Petya: Update cyberaanval ransomware

Gistermiddag, dinsdag 27 juni, is er een nieuwe variant van het Petya virus ontdekt die via nog onbekende wegen wordt verspreid. Een groot aantal bedrijven wereldwijd is getroffen door deze ransomware. We informeren je graag over te nemen maatregelen om te voorkomen dat ook jullie organisatie de dupe van Petya wordt.

Security alert Petya

Door: Martijn van Ramesdonk en Melvin Lammerts

Welke maatregelen moet je nemen om te voorkomen dat ook jullie organisatie de dupe van Petya wordt? Onze security specialisten zetten de belangrijkste adviezen op een rij.

Niet betalen!

Zodra de computer besmet is zal er om een bedrag van 300 dollar in bitcoins worden gevraagd. We adviseren je dit bedrag NIET te betalen. De e-mail provider, Posteo, heeft het e-mailadres van de ransomware ontwikkelaar offline gehaald.Ook na eventuele betaling worden de bestanden dus niet hersteld.

Windows hosts

Voor alle Windows hosts geldt hetzelfde advies als bij WannaCry.

– Schakel SMBv1 uit
– Zorg dat alle servers en werkstations up to date zijn. Het gaat voornamelijk om de update MS17-010, die in maart 2017 uitgebracht is door Microsoft.

De malware verspreidt zich via het netwerk door PsExec / WMIC. Hiervoor gebruikt de malware credentials die uit geïnfecteerde hosts worden gehaald. Je kunt bijvoorbeeld je SIEM/IDS afstellen om dit netwerkverkeer te detecteren en eventueel te blokkeren.

Hoe ontdek je of je systemen geïnfecteerd zijn?

Als één van de systemen een (nep) CHKDSK venster weergeeft ben je al te laat. De rest van je systemen kun je nog redden.

Hoe kun je de rest van je systemen nog redden?

Bij infectie maakt de ransomware een <i>reboot task</i> aan via <i>schtasks</i>. Hierna herstart het systeem na ongeveer 2 uur. Pas na de reboot worden het MBR en de bestanden op de schijf echt overschreven. Schakel bij een uitbraak alle systemen uit en gebruik een LiveCD of mount de schijven elders om de ransomware te verwijderen.

Update systemen en maak altijd BACKUPS van kritieke data

Onderstaand document legt uit je het beste een back-up kan maken van servers en bestanden.

https://www.us-cert.gov/sites/default/files/publications/data_backup_options.pdf

Hoe voorkom ik dat mijn gegevens gegijzeld worden?

  • Gebruik een goede virusscanner en lokale firewall.
  • Controleer de afzender van de mail.
  • Geef geen persoonlijke of vertrouwelijke gegevens door.
  • Controleer de link die in de mail is opgenomen.
  • Open niet zomaar een bijlage in de mail.
  • Neem bij twijfel contact op met de afzender van de mail.
  • Maak regelmatig een back-up van je gegevens (voor het geval je gegevens toch zijn gegijzeld).

We adviseren deze informatie te delen met degene die binnen de organisatie verantwoordelijk is voor informatiebeveiliging. Heb je vragen over dit onderwerp, dan kun je uiteraard contact met ons opnemen!

Lees ook eerdere blogs over Phishing en Ransomware en WannaCry.

Meer artikelen

Bekijk al het nieuws