Wannacry ransomware-aanval: 3 cruciale dingen om te weten

Ransomware-aanvallen, WannaCry genaamd, zijn vrijdag door Cyber-beveiligingsexperts wereldwijd gemeld en er zijn meerdere waarschuwingen gegeven om verhoogde beveiligingsmaatregelen op apparaten met een internetverbinding te impliceren, aangezien deze week een tweede aanval wordt verwacht.

De ransomware-aanvallen - een tien jaar oude hacktruc - hebben Rusland, Oekraïne, Spanje, het VK en India zwaar getroffen.

Andere landen, waaronder de VS, Brazilië, China, onder andere uit Noord-Amerika, Latijns-Amerika, Europa en Azië zijn getroffen door de ransomware-aanval.

De ransomware codeert bestanden op een apparaat met de extensie '.wcry' en wordt geïnitieerd via een externe SMBv2-uitvoering (Server Message Block Version 2).

Lees ook: Wat is Ransomware en hoe ertegen te beschermen? en zijn smartphones kwetsbaar voor de WannaCry Ransomware-aanval?

Het Global Research and Analysis-team van Kaspersky Lab wees erop dat 'niet-gepaarde Windows-computers die hun SMB-services blootstellen op afstand kunnen worden aangevallen' en 'deze kwetsbaarheid lijkt de belangrijkste factor te zijn die de uitbraak heeft veroorzaakt'.

Hacking-groep Shadow Brokers is naar verluidt verantwoordelijk voor het op 14 april beschikbaar stellen van de schadelijke software om deze aanval op internet uit te voeren.

Hoe wijdverspreid is de aanval?

De volledige impact van deze aanval is nog onbekend, omdat experts op het gebied van cyberbeveiliging verwachten dat extra aanvalsgolven meer systemen zullen treffen.

Volgens een rapport in de New York Times heeft de aanval de controle overgenomen over meer dan 200.000 computers in meer dan 150 landen.

Bedrijven en overheidsinstellingen, waaronder Russische ministeries, FedEx, Deutsche Bahn (Duitsland), Telefonica (Spanje), Renault (Frans), Qihoo (China) en de Britse nationale gezondheidsdienst zijn getroffen.

Het Spaanse Computer Emergency Response Team (CCN-CERT) heeft ook opgeroepen tot een hoge waarschuwing in het land, omdat het zegt dat organisaties mogelijk zijn getroffen door de ransomware.

“De kwaadaardige WannaCrypt-software verspreidde zich snel wereldwijd en is afkomstig van de exploits die zijn gestolen van de NSA in de VS. Microsoft had een beveiligingsupdate uitgebracht om dit beveiligingslek te verhelpen, maar veel computers bleven wereldwijd ongepatched, "verklaarde Microsoft.

De volgende software is tot nu toe getroffen:

• Windows Server 2008 voor 32-bits systemen
• Windows Server 2008 voor 32-bits systemen servicepack 2
• Windows Server 2008 voor Itanium-systemen
• Windows Server 2008 voor Itanium-gebaseerde servicepack 2
• Windows Server 2008 voor x64-systemen
• Windows Server 2008 voor x64-gebaseerde servicepack 2
• Windows Vista
• Windows Vista-servicepack 1
• Windows Vista-servicepack 2
• Windows Vista x64-editie
• Windows Vista x64 Edition-servicepack 1
• Windows Vista x64 Edition-servicepack 2
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 en R2
• Windows 10
• Windows Server 2016

Hoe beïnvloedt het de systemen?

De malware codeert bestanden met Office-extensies, arhives, mediabestanden, e-maildatabases en e-mails, broncode en projectbestanden van ontwikkelaars, grafische en afbeeldingsbestanden en nog veel meer.

Een decryptor-tool wordt ook geïnstalleerd samen met de malware die helpt bij het maken van de $ 300 aan losgeld die in Bitcoins wordt geëist, evenals het decoderen van de bestanden zodra de betaling is uitgevoerd.

De decryptor-tool voert twee countdown-timers uit - een 3-daagse timer, waarna wordt aangegeven dat het losgeld zal toenemen en een 7-daagse timer die de resterende tijd aangeeft voordat de bestanden voor altijd verloren zijn.

Gezien het softwaretool de mogelijkheid heeft om de tekst in meerdere talen te vertalen, is het duidelijk dat de aanval wereldwijd gericht is.

Om ervoor te zorgen dat de decryptor-tool door de gebruiker wordt gevonden, wijzigt de malware ook de achtergrond van de getroffen pc.

Hoe veilig te blijven?

• Zorg ervoor dat de database van uw antivirussoftware is bijgewerkt en dat deze uw systeem in realtime beschermt en een scan uitvoert.
• Als de malware: Trojan.Win64.EquationDrug.gen wordt gedetecteerd, zorgt u ervoor dat deze in quarantaine wordt geplaatst en wordt verwijderd en start u het systeem opnieuw op.
• Als u dit nog niet hebt gedaan, wordt het aanbevolen om de officiële patch van Microsoft - MS17-010 - te installeren, die de SMB-kwetsbaarheid die tijdens de aanval wordt misbruikt, beperkt.
• U kunt ook de SMB op uw computer uitschakelen met behulp van deze handleiding van Microsoft.
• Organisaties kunnen communicatiepoorten 137 en 138 UDP en poorten 139 en 445 TCP isoleren.

In de VS gevestigde systemen zijn per ongeluk beveiligd

Een 22-jarige Britse beveiligingsonderzoeker heeft per ongeluk de verspreiding van de malware naar netwerken in de VS stopgezet toen hij het kill-switchdomein van de malware kocht dat nog niet was geregistreerd.

Zodra de site live was, werd de aanval gestopt. Je kunt zijn volledige rapport hier lezen over hoe hij de kill-schakelaar voor de malware heeft onthuld en uiteindelijk heeft uitgeschakeld.

Lees ook: dit kritieke Android-beveiligingsfout blijft niet opgelost door Google.

“Er is al een andere variant van de ransomware die geen kill-schakelaar heeft, waardoor het moeilijk te bevatten is. Het is al begonnen met het infecteren van landen in Europa, ”zei Sharda Tickoo, technisch hoofd van Trend Micro India.

Het is nog steeds onduidelijk wie verantwoordelijk is voor de aanval en speculaties hebben gewezen op Shadow Brokers - die ook verantwoordelijk zijn voor het vrijgeven van de malware online - of meerdere hackorganisaties.

Bekijk hieronder de video van GT Hindi voor Wannacry / Wannacrypt Ransomware.