Onderzoekers van antivirusbedrijf Sophos hebben duizenden versies van de beruchte WannaCry-ransomware ontdekt die door een corrupt zip-bestand niet werken. Ruim twee jaar na de grote WannaCry-uitbraak wordt de ransomware nog steeds miljoenen keren per maand gedetecteerd.
WannaCry maakt gebruik van een kwetsbaarheid in Windows die in maart 2017 door Microsoft werd gepatcht. Dat de malware nog steeds actief is laat zien dat tal van organisaties geen beveiligingsupdates voor Windows installeren. De WannaCry-versie die zich in mei 2017 verspreidde was voorzien van een killswitch. WannaCry probeerde op besmette systemen verbinding met een .com-domein te maken. Als de verbinding succesvol was stopte de ransomware met werken en werden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Een Britse beveiligingsonderzoeker registreerde deze domeinnaam, hoewel hij op dat moment niet wist dat de domeinnaam als een killswitch fungeerde.
De onderzoekers van Sophos vroegen zich af hoe het kon dat de killswitch niet voorkwam dat besmette computers andere computers aanvielen. Daarnaast was het ook onduidelijk waarom niemand over door WannaCry versleutelde bestanden klaagde. Verder onderzoek wees uit dat de originele WannaCry nog zelden wordt waargenomen. Het blijkt dat met name aangepaste versies van de ransomware rondgaan. Bijna al deze varianten, ruim 2700 unieke versies, waren aangepast waardoor de killswitch niet meer werkte.
Hierdoor kan de ransomware andere systemen in het netwerk aanvallen, wat de miljoenen detecties per maand verklaart. Toch waren de onderzoekers niet bekend met getroffen organisaties waar bestanden waren versleuteld. WannaCry beschikt over verschillende onderdelen. Eén onderdeel verspreidt de ransomware naar andere machines. Een ander onderdeel is verantwoordelijk voor het versleutelen van bestanden.
Dit tweede onderdeel bevindt zich in een met een wachtwoord beveiligd zip-bestand. De inhoud van het zip-bestand wordt op de computer uitgepakt en uitgevoerd, waarna WannaCry bestanden versleutelt. Bij alle WannaCry-versies die de killswitch konden omzeilen bleek dat het zip-bestand corrupt was geraakt, waardoor er geen bestanden werden versleuteld. Dit verklaarde voor de onderzoekers waarom WannaCry nog steeds zo actief is, maar niemand erover klaagt. Dat neemt niet weg dat organisaties hun computers moeten patchen, zo besluiten de onderzoekers (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.