Nieuwe ransomware maakt computer ontoegankelijk
Onderzoekers hebben een nieuwe ransomware-variant ontdekt die niet bepaalde bestanden versleutelt, zoals de meeste ransomware doet, maar de gehele harde schijf ontoegankelijk maakt. Bedrijven zijn daarbij het doelwit van de ransomware, die de naam Petya heeft gekregen.
Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is een exe-bestand. Zodra het bestand wordt geopend crasht de computer en zal die herstarten. Vervolgens krijgt de gebruiker een melding te zien dat er een schijfcontrole plaatsvindt. In werkelijkheid wordt de harde schijf echter versleuteld, aldus het Duitse anti-virusbedrijf G Data.
Het blijkt hier echter niet om versleuteling te gaan, maar het overschrijven van de master boot record (mbr), zo stelt anti-virusbedrijf Trend Micro. Na de schijfcontrole verschijnt er een doodshoofd en de melding dat de harde schijf is versleuteld. Via een website op het Tor-netwerk kunnen gebruikers voor 0,99 bitcoin (370 euro) een decryptiesleutel aanschaffen. De prijs hiervan wordt na een week verdubbeld.
Of de harde schijf inderdaad is versleuteld zoals G Data claimt is onduidelijk. De onderzoekers van het anti-virusbedrijf stellen in hun eigen analyse dat waarschijnlijk alleen de bestandstoegang is geblokkeerd, maar de bestanden zelf niet zijn versleuteld. Het onderzoek naar de Petya-ransomware loopt echter nog.
Update
Anti-virusbedrijf Trend Micro laat in een analyse weten dat Petya de master boot record (mbr) van een besmette harde schijf overschrijft. Er wordt echter niet gesproken over het versleutelen van de harde schijf zoals G Data doet.
Update 2
G Data laat in een reactie aan Security.NL weten dat het onderzoek nog loopt, maar dat uit de voorlopige resultaten blijkt dat alleen de mbr en systeembestanden worden aangepast. Andere bestanden laat de ransomware buiten beschouwing. De onderzoekers van het Duitse anti-virusbedrijf kunnen zich dan ook voorlopig in de conclusie van Trend Micro vinden dat Petya de mbr overschrijft en aanpast, maar de harde schijf zelf niet wordt versleuteld.
Maar ondanks deze twee alarmsignalen zullen er altijd mensen zijn die dit over het hoofd zien... in de haast van het werk, dus loont het blijkbaar nog steeds om deze Malware te verspreiden.
Voorkomen kun je dus niet maar met alleen Malware/Virusscanners alleen lopen we óók met betrekking tot Ransomware vaak hopeloos achter de feiten aan.
In elk bedrijf zou er algemene voorlichting over 'Hoe voorkom ik malwarebesmetting' gegeven kunnen worden.
Ik denk dat veel IT bedrijven daar zinnige kennis over zouden kunnen meedelen middels halfjaarlijkse circulaires of indien vaker vereist door gesignaleerde volledig nieuwe Malware.
Nu blijft deze kennis vaak alleen nog beschikbaar hier op Security.nl bijvoorbeeld.
Niet echt ideaal want de meeste werknemers interesseren zich niet voor deze zaken. Waarom zouden zij ook ? "We hebben toch een IT bedrijf die ervoor zorgt dat ons netwerk goed functioneel blijft", zal de vaak gehoorde opmerking zijn.
Volgens mij wel. Hoe wil je middels een key de mbr weer repareren ?
dropbox en uit te voeren op de computer? Is er dan geen sprake van wanbeheer?
En waarom raakt er een bedrijf in zodanige problemen dat het losgeld zou willen betalen als er een werkstation
van een hr-medewerker door zo iets wordt getroffen? Dat kan toch ook alleen maar bij wanbeheer?
Kennelijk komen mensen in de problemen als ze het beheer van hun IT omgeving maar slecht genoeg oplossen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior specialist OSINT
Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!
