Nieuws

Automatische reboot bij BSOD helpt Petya-ransomware

maandag 4 april 2016, 10:57 door Redactie, 5 reacties

Het automatisch herstarten van Windows bij een Blue Screen of Death (BSOD) helpt de Petya-ransomware, zo meldt anti-malwarebedrijf Malwarebytes. Petya is een nieuwe ransomware variant die eind maart verscheen en de master file table (MFT) van de harde schijf versleutelt, waardoor het bestandssysteem niet is te lezen en Windows niet meer kan worden gestart.

Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is een exe-bestand. Zodra het bestand wordt geopend crasht de computer en zal die automatisch herstarten. Vervolgens krijgt de gebruiker een melding te zien dat er een schijfcontrole plaatsvindt. In werkelijkheid wordt de de MFT echter versleuteld. Na de herstart, als Petya met de versleutelting begint, is de ransomware het gevaarlijkst.

Om te voorkomen dat de computer in deze situatie terechtkomt adviseert Malwarebytes om het automatisch herstarten van Windows bij een systeemfout uit te schakelen, zoals Microsoft op deze pagina uitlegt. Als de ransomware namelijk voor deze fase wordt gedetecteerd kunnen de gegevens van de gebruiker nog steeds worden hersteld. Slachtoffers moeten in het geval van een infectie niet de Windows Recovery Tools gebruiken om de Master Boot Record van de harde schijf te herstellen, omdat dit de gegevens permanent kan beschadigen.

GVB gaat door met opslaan dna spugende reizigers

Eerste hostingproviders op AbuseHUB aangesloten

Reacties (5)

04-04-2016, 11:24 door Anoniem

Ik snap eigenlijk uberhaupt waarom iemand ooit bedacht heeft dat het handig is om die automatische reboot in te voeren...
Op het moment dat een normale gebruiker een systeemcrash oploopt krijgt die niet-eens meer hetgene dat de probleemoplosser het meest kan helpen (op voorhand), de foutcode...

Door die keuze heb je zelfs dat "normale gebruikers" standaard komen met de melding "Ja, er kwam een blauw scherm en ineens startte 'ie opnieuw op." , voorheen kreeg je automagisch van de gebruiker nog wel eens de cijfertjes mee... nu heb je een gevorderde gebruiker nodig om uberhaupt nog die data te verkrijgen alvoor je er bent.

Dus als ik het zo even probeer te overzien, zie ik dat vanwege (aanname;) ongeinteresseerde/overmatig geirriteerde gebruikers wij zowel een security als productivity-issue hebben laten ontstaan? en dat zelfs een paar jaar laten voortbakken voordat men t doorheeft? goed gedaan...

Ik had al m.b.v. m'n GPO's standaard de automatische herstart uit staan, altijd... Blijkbaar toch geen onderbuikgevoel geweest ;)

04-04-2016, 12:40 door Anoniem

Door Anoniem: Ik snap eigenlijk uberhaupt waarom iemand ooit bedacht heeft dat het handig is om die automatische reboot in te voeren...
Op het moment dat een normale gebruiker een systeemcrash oploopt krijgt die niet-eens meer hetgene dat de probleemoplosser het meest kan helpen (op voorhand), de foutcode...

Door die keuze heb je zelfs dat "normale gebruikers" standaard komen met de melding "Ja, er kwam een blauw scherm en ineens startte 'ie opnieuw op." , voorheen kreeg je automagisch van de gebruiker nog wel eens de cijfertjes mee... nu heb je een gevorderde gebruiker nodig om uberhaupt nog die data te verkrijgen alvoor je er bent.

Dus als ik het zo even probeer te overzien, zie ik dat vanwege (aanname;) ongeinteresseerde/overmatig geirriteerde gebruikers wij zowel een security als productivity-issue hebben laten ontstaan? en dat zelfs een paar jaar laten voortbakken voordat men t doorheeft? goed gedaan...

Ik had al m.b.v. m'n GPO's standaard de automatische herstart uit staan, altijd... Blijkbaar toch geen onderbuikgevoel geweest ;)

Jij bekijkt het alleen als eindgebruiker. Het gaat om uptime.
Werknemer wil werken, werkgever wil dat werknemer werkt, IT'er wil logs uitlezen vanaf zijn (m/v) eigen systeem.
Daarnaast zijn heel veel systemen alleen via een netwerk te benaderen, dan is het wel handig dat deze niet te lang blijven 'hangen' natuurlijk. Voorbeeld: pinautomaat.

En zo voorts.

OT:
Beetje selectief bericht dit. Malware leeft al lang op BSOD's (bootware!), en alle malware is onschadelijk tot het daadwerkelijk wordt uitgevoerd, maar dat laatste terzijde.

Erik van Straten had eerder ook al opmerkingen over dergelijke adviezen (betrof executables vanuit %temp%), ik sluit me daarbij aan en vind het hier ook van toepassing.
Auto-reboot is een overweging die meer te maken heeft met functie, dan wat anders.

04-04-2016, 13:06 door Anoniem

Door Anoniem:
Door die keuze heb je zelfs dat "normale gebruikers" standaard komen met de melding "Ja, er kwam een blauw scherm en ineens startte 'ie opnieuw op." , voorheen kreeg je automagisch van de gebruiker nog wel eens de cijfertjes mee... nu heb je een gevorderde gebruiker nodig om uberhaupt nog die data te verkrijgen alvoor je er bent.geweest ;)

Windows 8 of 10 dan :( .. Dat is pas een grap van Microsoft. Trouwens die dmp (dump files) van blue screens kun je gewoon uitlezen met nirsoft bluescreenview of een ander alternatief om zo de bron van het probleem op te kunnen sporen. Hoe dit bij Windows 8 of 10 zit, geen idee.

04-04-2016, 15:20 door Anoniem

De gebruiker gaat die foutcode toch niet opschrijven.
De beheerder die kennis heeft en niet maar wat bralt op security.nl die weet dat na een dergelijke bluescreen/reboot
er een minidump bestand aangemaakt wordt (of zelfs een volledige dump als dat geconfigureerd is) en kan daar de
foutcode en stackdump uithalen met de debugger.
De pro-actieve beheerder controleert zelfs of er dat soort bestanden op de werkstations staan zelfs als de gebruiker
niet gemeld heeft dat zijn/haar PC crashte.

Maar ja, gewoon maar wat roepen dat is veel gemakkelijker! Veel succes verder met je werk.

05-04-2016, 17:15 door Anoniem

... Voorbeeld: pinautomaat.

Nou dat is juist een van de apparaten waar we zowat een allergische reactie voor moeten hebben als er een BSOD is geweest.

Dit wegmoffelen door een automatische reboot lijkt makkelijk, maar is een foute keuze.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Vacature

IT Security Officer

Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!

Lees meer

Strengere Privacyregels Appstore:

Walled garden pretty

Walled garden ugly

Wat is een walled garden?

9 reacties

Aantal stemmen: 625

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Automatische reboot bij BSOD helpt Petya-ransomware

Strengere Privacyregels Appstore:

Wachtwoord Vergeten

Password Reset

Registreren