Petya ransomware-aanval: hoe en wie is geïnfecteerd; hoe het te stoppen

Een nieuwe ransomware-aanval die gebruik maakt van een aangepaste versie van de EternalBlue-kwetsbaarheid die in de WannaCry-aanvallen wordt gebruikt, is dinsdag verschenen en heeft al meer dan 2000 pc's wereldwijd in Spanje, Frankrijk, Oekraïne, Rusland en andere landen getroffen.

De aanval was vooral gericht op bedrijven in deze landen, terwijl ook een ziekenhuis in Pittsburg, VS, werd getroffen. De slachtoffers van de aanval zijn onder andere Central Bank, Railways, Ukrtelecom (Oekraïne), Rosnett (Rusland), WPP (VK) en DLA Piper (VS).

Terwijl het grootste aantal infecties is gevonden in Oekraïne, het op één na hoogste in Rusland, gevolgd door Polen, Italië en Duitsland. De bitcoin-account die betalingen accepteerde, had meer dan 24 transacties voltooid voordat deze werd afgesloten.

Lees ook: Petya Ransomware-hackers verliezen toegang tot e-mailaccounts; Slachtoffers zijn gestrand.

Hoewel de aanval niet gericht is op bedrijven in India, richtte het zich wel op de scheepvaartgigant AP Moller-Maersk en wordt de Jawaharlal Nehru-haven bedreigd omdat het bedrijf de Gateway Terminals in de haven exploiteert.

Hoe verspreidt de Petya Ransomware?

De ransomware maakt gebruik van een vergelijkbare exploit die eerder deze maand werd gebruikt in de grootschalige WannaCry-ransomware-aanvallen die gericht waren op machines die op verouderde versies van Windows draaien, met een kleine aanpassing.

Het beveiligingslek kan worden misbruikt via externe code-uitvoering op pc's met Windows XP naar Windows 2008-systemen.

De ransomware infecteert de pc en start deze opnieuw op met systeemtools. Bij het opnieuw opstarten versleutelt het de MFT-tabel in NTFS-partities en overschrijft het de MBR met een aangepaste lader die het losgeld weergeeft.

Volgens Kaspersky Labs: “Om referenties voor verspreiding vast te leggen, gebruikt de ransomware aangepaste tools, a la Mimikatz. Deze halen referenties uit het lsass.exe-proces. Na extractie worden referenties doorgegeven aan PsExec-tools of WMIC voor distributie binnen een netwerk. ”

Wat gebeurt er nadat een pc is geïnfecteerd?

Nadat Petya een pc heeft geïnfecteerd, verliest de gebruiker de toegang tot de machine waarop een zwart scherm met rode tekst wordt weergegeven dat als volgt luidt:

“Als u deze tekst ziet, zijn uw bestanden niet langer toegankelijk omdat ze zijn gecodeerd. Misschien bent u bezig op zoek te zijn naar een manier om uw bestanden te herstellen, maar verspil onze tijd niet. Niemand kan uw bestanden herstellen zonder onze decoderingsservice."

En er zijn instructies voor de betaling van $ 300 in Bitcoins en een manier om de decoderingssleutel in te voeren en de bestanden op te halen.

Hoe veilig te blijven?

Momenteel is er geen concrete manier om de bestanden die door de Petya-ransomware worden gegijzeld te decoderen, omdat deze een solide coderingssleutel gebruikt.

Maar de beveiligingswebsite Bleeping Computer is van mening dat het maken van een alleen-lezen bestand met de naam 'perfc' en het in de Windows-map in C-schijf plaatsen de aanval kan stoppen.

Het is ook belangrijk dat mensen, die dat nog steeds niet hebben, de Microsoft-patch voor oudere Windows-besturingssystemen die de door EternalBlue misbruikte kwetsbaarheid opheffen, onmiddellijk downloaden en installeren. Dit helpt hen te beschermen tegen een aanval door een vergelijkbare malwarestam zoals Petya.

Als de machine opnieuw opstart en u dit bericht ziet, schakelt u onmiddellijk uit! Dit is het coderingsproces. Als u niet inschakelt, zijn bestanden prima. pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@hackerfantastic) 27 juni 2017

Hoewel het aantal en de omvang van ransomware-aanvallen met elke dag die voorbijgaat toeneemt, wordt gesuggereerd dat het risico op nieuwe infecties aanzienlijk afneemt na de eerste paar uur van de aanval.

Lees ook: Ransomware-aanvallen in de lift: hier is hoe u veilig kunt blijven.

En in het geval van Petya voorspellen analisten dat de code aangeeft dat deze zich niet buiten het netwerk zal verspreiden. Niemand heeft nog kunnen achterhalen wie verantwoordelijk is voor deze aanval.

Beveiligingsonderzoekers hebben nog steeds geen manier gevonden om systemen te decoderen die zijn geïnfecteerd door de Petya-ransomware en aangezien zelfs de hackers nu niet kunnen worden gecontacteerd, blijft iedereen betrokken vooralsnog.