image

Onderzoeker vindt 'killswitch' voor grote ransomware-aanval

zaterdag 13 mei 2017, 08:24 door Redactie, 36 reacties

Een 22-jarige onderzoeker van het blog MalwareTech heeft een killswitch gevonden om de wereldwijde aanval met de WannaCry-ransomware te stoppen. In de code van de ransomware vond de onderzoeker een killswitch die alle functionaliteit van de ransomware stopt.

Zodra de ransomware op een machine actief is probeert het verbinding met een .com-domein te maken. Als de verbinding succesvol is stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. De aanvallers hadden de domeinnaam echter niet geregistreerd, wat de onderzoeker vervolgens wel deed. Zodoende maken alle besmette machines verbinding met zijn server, waarna de ransomware stopt met werken. Iets wat de onderzoeker niet van tevoren wist, zo laat hij op Twitter weten.

Tegenover de website The Daily Beast verklaart de onderzoeker dat hij na het opzetten van zijn server 5.000 tot 6.000 verbindingen per seconde van besmette machines zag. Hij gebruikt de data om de infecties in realtime te meten. Inmiddels zijn er 108.000 besmette machines waargenomen. De besmette ip-adressen gaat de onderzoeker met de FBI en Shadowserver Foundation delen. Deze organisaties kunnen vervolgens providers en getroffen instellingen waarschuwen.

De onderzoeker waarschuwt beheerders dat de huidige ransomware-versie nu niet goed meer werkt, maar dat de aanvallers ongetwijfeld een nieuwe versie zullen uitbrengen. Het advies is dan ook om de update van Microsoft, die verdere verspreiding op netwerken voorkomt en sinds 14 maart van dit jaar beschikbaar is, te installeren.

Reacties (36)
13-05-2017, 10:47 door [Account Verwijderd]
[Verwijderd]
13-05-2017, 11:39 door Anoniem
Het ironische is dat als je het advies opvolgt en je pc afkoppelt van het internet, de ransomware dan niet de killswitch kan zien...
13-05-2017, 11:54 door Anoniem
Het domein in kwestie is "iuqerfs odp9ifjaposdfjhgosur ijfaewrwergwea[.]com" zonder spaties en met een punt. Dit kun je op je name server blokkeren. Maak gebruik van RPZ op je netwerk: https://dnsrpz.info .
13-05-2017, 12:10 door Anoniem
Het ironische is ook dat virusscanners het domein van de killswitch als gevaarlijk beschouwde, contact met het domein tegen hielden en de ransomware daarmee hielpen.
13-05-2017, 13:28 door hstraat
Het domain werd bij toeval gevonden zoals de ontdekker in zijn tweet vermelde. Er schijnen inderdaad organisaties te zijn die nu het domain blokkeren wat een averechts effect heeft omdat de killswitch dan inderdaad niet geactiveerd wordt.
13-05-2017, 13:46 door Anoniem
Dit is waarschijnlijk een afleidingsmanoeuvre. Zulke geavanceerde code bevat een algoritme dat steeds nieuwe domeinen zou maken waarvan alleen de makers weten welk algoritme. Het gaat veels te gemakkelijk zeggen ze in films op dit soort momenten.

Het probleem met Windows is, als er 1 Windows systeem ziek is, tussen aanhalingstekens, dan zijn alle andere systemen eigenlijk ook ziek. Bij Windows is er geen biologische diversiteit.

Zal helemaal erg worden als Microsoft nog dringender en opdringerig mensen dwingt letterlijk allemaal hetzelfde systeem te hebben met exact dezelfde updates.

Mijn conclusie is dat dit slechts een speldeprikje is, een test. Ironisch genoeg is alles wat het tegen hield juist dat sommige systemen wel dit lek gedicht hadden. Maar iedereen weet als straks in de toekomst alle Windows systemen letterlijk allemaal up to date zijn met allemaal exact identieke werking, dat als er dan wat gebeurt, dan gaan alle Windows systemen wereld wijd.

Ik twijfel er verder niet aan dat Microsoft hoofdkwartier met 1 druk op de knop over de hele wereld bij definitie alle Microsoft producten stop kan zetten. Heb er wel eens grappen over gelezen, van of Microsoft een kill switch heeft en wat er gebeurt als iemand erachter komt.

Onze hele defensie draait op Microsoft, zelfs de JSF draait grotendeels op een Microsoft Kernel, het gehele Militaire arsenaal van Amerika draait allemaal op Windows, zelfs nog ironisch genoeg Windows 3.11

De lanceer Silo's draaien gelukkig op hele oude computers uit de jaren 60 begin 70 met floppy disks zo groot als een halve meter, heel ouderwets, maar werd toen gemaakt om honderd jaar mee te gaan.

Op wikipedia staan wel vermeldingen van oorlogsschepen die crashen door een Division By Zero nadat Microsoft Windows op de gehele oorlogsvloot van Engeland was geinstallleerd.

Kortom, niet alleen defensie van Nederland, de halve wereld draait op Microsoft, oorlogsschepen, vliegtuigen, en dat is zeer triest, want het is een kwetsbaar ding.

Zo moesten de Amerikanen lachen toen ze een MIG 29 bestudeerden van de Russen want die had immers Radiobuizen als electronica. Maar toen testen ze in Nevada met grote Nukes waar dan vliegtuigen over heen moesten vliegen, en wat bleek, transistor vliegtuigen zoals een JSF ook zal zijn vallen uit de lucht bij een Nuke, terwijl zo 'n ouderwets MIG 29 op Radiobuizen gewoon doorvliegt.

Gelukkig maar dat die lanceer Silo's voor een wereldwijd scenario zoals in de film Wargames op echt hele oude computers draaien.
13-05-2017, 13:56 door Anoniem
Niemand nog wakker geworden voor de situatie, die we met z'n allen in tientallen jaren hebben bereikt??????

De toestand van de internationale infrastructuur is gatenkaas. Dumbing down the masses, nu zie je de resultaten.
Je doet het zelf met je drie letter diensten, de onveiligheid ontsnapt naar het niveau van cybercrime en co en de kat zit voorlopig heel hoog in de gordijnen. Kan je er alleen uit ten koste van een globaal conflict?

AV schakelt windows defender uit per default, er zit een gapend gat in windows defender. Probleem.

Ik zie kinderen, die niet meer weten hoe ze op de knokkels van twee handen even en onveven maanden uit elkaar moeten houden? Wat leert men die kinderen nog op school vandaag? Hoe weerloos wil je ze later hebben? Alle slimmerikjes moeten eruit, zodat het managment dat te dom en te laf is om te poepen door kan gaan met iedereen van zijn laatste centjes te ontdoen op de meest geavanceerde graaimanier. We hoeven niet allemaal een lambda generator te draaien online, maar toch....

Nu zit iedereen huilie huilie te doen en is het de schuld van Kaspersky en de andere Russische boomheiligen of andere rare snuiters. Wordt toch eens wakker mensen, ga jezelf goed opleiden, neem die protocolletjes ter hand en zie in dat wat je twee weken geleden nog gecodeerd hebt het meest stupide en gevaarlijkste was wat je ooit deed. Go get a life. Educate yourself to a position that you can fence for yourself. Make the west great again.
13-05-2017, 14:09 door Anoniem
Door Anoniem: Het domein in kwestie is "iuqerfs odp9ifjaposdfjhgosur ijfaewrwergwea[.]com" zonder spaties en met een punt. Dit kun je op je name server blokkeren. Maak gebruik van RPZ op je netwerk: https://dnsrpz.info .
Blokkkeren? Dan blokkeer je dus de killswitch, alleen als de malware succesvol verbinding kan maken me dat domein wordt de killswitch geactiveerd en installatie gestopt.
13-05-2017, 14:50 door Anoniem
Klinkt als een "draai ik in een sandbox?"-check waar de auteur van de malware niet zo goed over nagedacht heeft.
13-05-2017, 15:18 door karma4
Door Anoniem:
Het probleem met Windows is, als er 1 Windows systeem ziek is, tussen aanhalingstekens, dan zijn alle andere systemen eigenlijk ook ziek. Bij Windows is er geen biologische diversiteit.
.....
Onze hele defensie draait op Microsoft, zelfs de JSF draait grotendeels op een Microsoft Kernel, het gehele Militaire arsenaal van Amerika draait allemaal op Windows, zelfs nog ironisch genoeg Windows 3.11
Die biodiversiteit is er met linux net zo min het is 1 Kernel met 1 kaatste versie voor iedereen zonder alternatieven. Gaat er wat er mis dan is het flink mis.

Voor alle specifieke militaire apparatuur en avionics heb ik weinig van Microsoft gezien wel veel van Unix en linux varianten. De verkeersleiding VS heeft slechte ervaringen met alle optimistische kan wel uitspraken waarna de crashes kwamen. Voor de defensie project speer al die verhalen gezien rond sap.sap een enkele leverancier in de erp erm wereld die als de leider gezien word ofwel monocultuur.

Je argumentering volg ik, de conclusies benodigen nuancering.
13-05-2017, 15:31 door SecGuru_OTX
Wannacry is nog steeds actief en schadelijk.

De meeste beveiligingsproducten blokkeren sinds gisteren de verbinding naar het webadres van de gecreëerde sinckhole(op basis van de oorspronkelijke URL in de code), hierdoor faalt de verbinding en zal de payload alsnog worden uitgevoerd.

In de code staat "// if request fails, execute payload"

Blokkeer het request en vervolgens zal de payload nog steeds worden uitgevoerd. Een proxy kan er ook voor zorgen dat de payload alsnog zal worden uitgevoerd.
13-05-2017, 15:51 door Anoniem
Dat er uberhaupt een kill-switch in zit doet mij meer vermoeden dat dit een product is van of in ieder geval via de CIA...
Wellicht een speeltje wat uit de proeftuin ontsnapt is... daar opzettelijk is uitgebroken door iemand die het wilde testen of misschien een experiment van de CIA om te kijken hoe makkelijk een zulke aanval zou zijn en welke onderdelen hier het meest gevoelig voor zijn. Zoals ziekenhuizen in Engeland en de Duitse spoorwegen (hebben die grundlichen duitsers soms engineers van Volkswagen ingehuurd? Zo van.. we schrijven liever sjoemelsoftware die net laat zien alsof windows geupdatet is ipv daadwerkelijk updaten....

Anyway... er is GEEN ENKELE REDEN waarom een cyber crimineel een killswitch zou willen in bouwen in een ding wat miljoenen euro's zou opleveren als deze een weekje ofzo doorgehobbeld had...

Alleen CIA, Mossad en GCHQ of MI5/6 achtige toko's....

Je moet je meteen af vragen.. zijn al die inlichtigen toko's inmiddels niet veel erger dan alle terroristen bij elkaar opgeteld?
13-05-2017, 16:22 door [Account Verwijderd]
[Verwijderd]
13-05-2017, 16:47 door wallum - Bijgewerkt: 13-05-2017, 17:00
Hoe kan de verspreiding nou zo snel gaan?
https://www.nytimes.com/interactive/2017/05/12/world/europe/wannacry-ransomware-map.html?_r=0
binnen 24 uur 100.000en PC's over de hele wereld.
Wannacry kan als een worm zelf vanaf een besmette PC andere PC's in het lokale netwerk besmetten via de SMB-exploit. Maar daarvoor moet het eerst op 1 PC zijn op net netwerk binnengehaald en uitgevoerd en dat gaat via een email+besmette bijlage. Die verspreiding kan nooit zo snel gaan, zeker in het weekend.

Het kan dus niet anders dan dat de worm zich ook via internet verspreid tussen organisaties die SMB van buitenaf hebben openstaan. Wordt kennelijk niet tegengehouden in de standaardconfiguratie van de meestgebruikte modems en firewalls...
13-05-2017, 17:15 door Anoniem
Door wallum: Hoe kan de verspreiding nou zo snel gaan?
https://www.nytimes.com/interactive/2017/05/12/world/europe/wannacry-ransomware-map.html?_r=0
binnen 24 uur 100.000en PC's over de hele wereld.
Wannacry kan als een worm zelf vanaf een besmette PC andere PC's in het lokale netwerk besmetten via de SMB-exploit. Maar daarvoor moet het eerst op 1 PC zijn op net netwerk binnengehaald en uitgevoerd en dat gaat via een email+besmette bijlage. Die verspreiding kan nooit zo snel gaan, zeker in het weekend.

Het kan dus niet anders dan dat de worm zich ook via internet verspreid tussen organisaties die SMB van buitenaf hebben openstaan. Wordt kennelijk niet tegengehouden in de standaardconfiguratie van de meestgebruikte modems en firewalls...
1 Servertje in de DMZ verkeerd geconfigureerd en het kan hard gaan. Vraag mij af of het nu eindelijk de industrie wakker schudt om updates en configuraties van firewall e.d. goed voor elkaar te krijgen. Zal helaas wel weer niet. *Zucht*.
13-05-2017, 17:55 door Anoniem
Door Anoniem: Dat er uberhaupt een kill-switch in zit doet mij meer vermoeden dat dit een product is van of in ieder geval via de CIA...
Wellicht een speeltje wat uit de proeftuin ontsnapt is... daar opzettelijk is uitgebroken door iemand die het wilde testen of misschien een experiment van de CIA om te kijken hoe makkelijk een zulke aanval zou zijn en welke onderdelen hier het meest gevoelig voor zijn. Zoals ziekenhuizen in Engeland en de Duitse spoorwegen (hebben die grundlichen duitsers soms engineers van Volkswagen ingehuurd? Zo van.. we schrijven liever sjoemelsoftware die net laat zien alsof windows geupdatet is ipv daadwerkelijk updaten....

Anyway... er is GEEN ENKELE REDEN waarom een cyber crimineel een killswitch zou willen in bouwen in een ding wat miljoenen euro's zou opleveren als deze een weekje ofzo doorgehobbeld had...

Alleen CIA, Mossad en GCHQ of MI5/6 achtige toko's....

Je moet je meteen af vragen.. zijn al die inlichtigen toko's inmiddels niet veel erger dan alle terroristen bij elkaar opgeteld?

Ik zet mijn aluhoedje weer af hoor. De CIAs zitten vast net als de rest van de security industrie natuurlijke achter deze malware bozos aan. Waarschijnlijk weten ze de bron ook te achterhalen maar of ze het delen?

Ik denk zelf dat het Wikileaks volgers zijn, gezien de exploit daar voor het eerst publiek geworden is. Tenminste dat is de enige nuchtere en herleidbare gedachte. Deze criminelen beseffen niet dat ze Wikileaks hier geen plezier mee doen. Ik kan me vergissen natuurlijk maar dit is hoe ik er vandaag over denk.
13-05-2017, 18:14 door karma4
Door Anoniem: ....
Anyway... er is GEEN ENKELE REDEN waarom een cyber crimineel een killswitch zou willen in bouwen in een ding wat miljoenen euro's zou opleveren als deze een weekje ofzo doorgehobbeld had...
De beste reden is dat de bouwer van dat ding niet zelf slachtoffer van de ransomware encryptie wilde worden.
Duidt op een betere ontwikkelaar, hij heeft de functies apart uitgewerkt en vermoedelijk ook apart getest. De meeste echt lastige zaken waren dankzij shadow brokers als open source beschikbaar.
13-05-2017, 18:25 door karma4
Door Kaba:
Dat zal ze leren om Windows te gebruiken voor bedrijfskritische processen! Lezen jullie mee, Renault c.s.?
Ik zie eigenlijk nooit dat robots en industriële apparatuur onder Windows draaien. Ja administratieve processen welke handmatig moeten omdat de boel elders gefaald heeft.
Kun je Frans? Lees het artikel nog eens er staat niet veel anders dan elders in de Engelstalige berichten.

Schandalig dat patches niet orde zijn
Schandalig dat het ict en secùrity beleid onvoldoende is.
Schandalig dat criminelen een slaatje uit de eerste twee proberen te slaan

Dat heeft niet met een os te maken. Dat is schandalig van it nerds os adepten om op die manier informatieveiligheid te frustreren. Het is management die van dat gebrek gebruik maakt om voor snel en goedkoop te gaan. Secùrity komt later wel uhhhh nooit want uitstel gaat naar afstel.
13-05-2017, 18:36 door Briolet
Door wallum: …Het kan dus niet anders dan dat de worm zich ook via internet verspreid tussen organisaties die SMB van buitenaf hebben openstaan. Wordt kennelijk niet tegengehouden in de standaardconfiguratie van de meestgebruikte modems en firewalls...

Dat klinkt heel aannemelijk. Je weet nooit of een bepaalde service een bug bevat. Daarom forward ik individuele poorten naar mijn servertje en gebruik geen dmz.

In de internet policy van Ziggo stond vroeger dat de smb poorten op hun netwerk geblokkeerd werden. Dit om mensen tegen zichzelf te beschermen. Of dat nog zo is, na de fusie met UPC, weet ik eigenlijk niet.
13-05-2017, 18:48 door Briolet
Door karma4:…De beste reden is dat de bouwer van dat ding niet zelf slachtoffer van de ransomware encryptie wilde worden. Duidt op een betere ontwikkelaar, hij heeft de functies apart uitgewerkt en vermoedelijk ook apart getest. De meeste echt lastige zaken waren dankzij shadow brokers als open source beschikbaar.

Maar die url werd juist in de gepubliceerde source gevonden. Ik denk wel dat deze kill-switch er in stond vanwege de reden die je aangaf. De oorspronkelijke ontwikkelaars van dit deel van de code (NSA), hadden die url in een lokale dns server staan of in hun host-file.

De criminelen hebben de source niet uitgeplozen voordat ze het aan hun eigen code toevoegden. En omdat die url niet geregistreerd stond, hebben zij er ook nooit iets van gemerkt bij hun testen.

De anti-virus bedrijven zagen wel dat deze mallware steeds deze url opvroeg en hebben deze daarom – achteraf onterecht – geblokkeerd in hun eerste updates.
13-05-2017, 20:10 door Anoniem
Door Anoniem: Dat er uberhaupt een kill-switch in zit doet mij meer vermoeden dat dit een product is van of in ieder geval via de CIA...
Wellicht een speeltje wat uit de proeftuin ontsnapt is... daar opzettelijk is uitgebroken door iemand die het wilde testen of misschien een experiment van de CIA om te kijken hoe makkelijk een zulke aanval zou zijn en welke onderdelen hier het meest gevoelig voor zijn. Zoals ziekenhuizen in Engeland en de Duitse spoorwegen (hebben die grundlichen duitsers soms engineers van Volkswagen ingehuurd? Zo van.. we schrijven liever sjoemelsoftware die net laat zien alsof windows geupdatet is ipv daadwerkelijk updaten....

Anyway... er is GEEN ENKELE REDEN waarom een cyber crimineel een killswitch zou willen in bouwen in een ding wat miljoenen euro's zou opleveren als deze een weekje ofzo doorgehobbeld had...

Er is een hele malware economie van mensen die malware schrijven en aan anderen verkopen of verhuren voor gebruik.
Net zoals andere malware 'diensten' (cashen van geld) ook op huur en percentage basis beschikbaar zijn.
Als *verhuurder* van de code heb je WEL belang bij een killswitch - als je niet betaald wordt zet je de malware uit.

(een _slimme_ koper kan die er wel uitslopen, maar net als de licentiecodes van legale software - een hoop gebruikers zijn daar niet slim genoeg voor ).

Een malware auteur KAN DUS WEL REDENEN HEBBEN VOOR EEN KILLSWITCH.
13-05-2017, 20:13 door Anoniem
Door Briolet:
Door karma4:…De beste reden is dat de bouwer van dat ding niet zelf slachtoffer van de ransomware encryptie wilde worden. Duidt op een betere ontwikkelaar, hij heeft de functies apart uitgewerkt en vermoedelijk ook apart getest. De meeste echt lastige zaken waren dankzij shadow brokers als open source beschikbaar.

Maar die url werd juist in de gepubliceerde source gevonden. Ik denk wel dat deze kill-switch er in stond vanwege de reden die je aangaf. De oorspronkelijke ontwikkelaars van dit deel van de code (NSA), hadden die url in een lokale dns server staan of in hun host-file.

De criminelen hebben de source niet uitgeplozen voordat ze het aan hun eigen code toevoegden. En omdat die url niet geregistreerd stond, hebben zij er ook nooit iets van gemerkt bij hun testen.

De anti-virus bedrijven zagen wel dat deze mallware steeds deze url opvroeg en hebben deze daarom – achteraf onterecht – geblokkeerd in hun eerste updates.
23.-.Nichts.Ist.So.Wie.Es.Scheint.Dvd.Divx.German

Ze willen juist dat we denken dat we een makkelijke prooi zijn die werkelijk geloofd dat we makkelijk kunnen afrekenen met dit soort zaken. De werkelijkheid is anders, niets is wat het lijkt.

Het is als een partij schaken met iemand die geld geeft als je wint. Als je wint krijg je geld. Maar je moet wel eerst inzetten. De eerste partijen win je natuurlijk, en dan plotseling wordt de inzet ontelbaar veel hoger, en vol goed vertrouwen ga je inzetten want je hebt immers eerdere partijen gewonnen.

En dan wordt je keihard afgemaakt door een overslaanbare computer die groter is dan de grootste schaakmeester die een mens ( als biologische vorm) ooit kan zijn.

Is een veel bekende truuk in de gokwereld. Laat je tegenstander geloven dat iets makkelijk te verslaan is, of het nu biljart of golf, of dammen, of schaken is, of sinds kort GO.

En dan als de inzet sterk verhoogd is, ja als alles ervan afhangt, dan bammmm al het geld wat je inzette verloren.

Zeer bekende truuk bij mensen die gokken op hun kennis en/of macht. Met name in oorlog situaties. Want ik denk dat dit oorlog is van een onbekende oorsprong.

Eerst laten ze/het je winnen, en dan verhoog je de inzet, en dan ben je alles kwijt, dat je gelukkig mag zijn als er nog een leger des heils is.

/Aluhoedje mode...... Maar wel op gokmethode gebasseerd, pas nog een gokmachine gezien die eerst mensen liet winnen en dan aan het einde hun geld afpakte op tweakers(dot)net
13-05-2017, 20:21 door Anoniem
Door karma4:
Door Anoniem:
Het probleem met Windows is, als er 1 Windows systeem ziek is, tussen aanhalingstekens, dan zijn alle andere systemen eigenlijk ook ziek. Bij Windows is er geen biologische diversiteit.
.....
Onze hele defensie draait op Microsoft, zelfs de JSF draait grotendeels op een Microsoft Kernel, het gehele Militaire arsenaal van Amerika draait allemaal op Windows, zelfs nog ironisch genoeg Windows 3.11
Die biodiversiteit is er met linux net zo min het is 1 Kernel met 1 kaatste versie voor iedereen zonder alternatieven. Gaat er wat er mis dan is het flink mis.

Voor alle specifieke militaire apparatuur en avionics heb ik weinig van Microsoft gezien wel veel van Unix en linux varianten. De verkeersleiding VS heeft slechte ervaringen met alle optimistische kan wel uitspraken waarna de crashes kwamen. Voor de defensie project speer al die verhalen gezien rond sap.sap een enkele leverancier in de erp erm wereld die als de leider gezien word ofwel monocultuur.

Je argumentering volg ik, de conclusies benodigen nuancering.
Ik kijk wel eens video van NASA meestal live, en ze gebruiken alleen maar systemen die niet lijken op Microsoft of Apple. De systemen van NASA zien eruit als GNOME, of KDE en zelfs MATE. Tegenwoordig kan je live op youtube meekijken bij lanceringen en het internationaal space station. Wanneer heb ik Windows gezien? Nooit, maar ik ben pas op internet gekomen in 2003.
13-05-2017, 20:41 door Anoniem
Door Anoniem: Dat er uberhaupt een kill-switch in zit doet mij meer vermoeden dat dit een product is van of in ieder geval via de CIA...

De reden voor een kill switch is eenvoudig: als ze ervan af willen omdat de grond te heet onder de voeten wordt. Ze hebben bijvoorbeeld de FBI of interpol achter zich aan.

Dat is zo bij veel bots. Die zijn vaak remote uitschakelbaar. Niets bijzonders. Voor wormen, zoals hier het geval is, moet je als internetcrimineel altijd een kill switch inbouwen omdat die anders tot de laatste ongepatchte server nog jaren blijven rondspoken. Er is voor internetcriminelen geen belang om bewijsmateriaal in omloop te laten.
13-05-2017, 20:53 door Anoniem
You have never gambled did you? The first games they let you win on purpose. But then at a certain moment it gets prime time. Gambling machines are made like this. First make you thinking you can win. Then suddenly when your stakes get higher, then... Have you ever did gambling? It is a classic. Sure you win today, but tomorrow when the stakes rise higher, there will be no match. Whomever created this is very smart even making us think we can be smarten than it, but we are only smarter if we understand we are not smarter at all against whomever created this.
Lijkt een lokaas te zijn, om te zien welke vissen er bijten.
13-05-2017, 21:07 door Anoniem
WAARSCHUWING: Xs4all heeft het killswitch domain (www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) aan hun malware detectie database toegevoegd. Als je er op klikt wordt je van het internet afgesneden en in "isolatie" geplaatst omdat hun systeem denkt dat je besmet bent.
Is er iemand die weet of dit juridisch mag? IK heb hierdoor schade opgelopen.
13-05-2017, 21:17 door ph-cofi
Niemand boos op de NSA voor het mogelijk maken van deze narigheid? Die onze wereld heeft verrijkt met Doublepulsar en Eternalblue, want zij mogen dat, zij zijn de good guys en laten nooit iets slingeren.
Niemand die de link legt naar de politieke discussie over geheime backdoors in encryptie, die dus ook niet alleen bij de good guys bekend zullen blijven?

In plaats daarvan gaat het publiek hier in de OS flamewar-modus, een lokale folklore.
13-05-2017, 21:59 door [Account Verwijderd]
[Verwijderd]
13-05-2017, 22:14 door Anoniem
"De lanceer Silo's draaien gelukkig op hele oude computers uit de jaren 60 begin 70 met floppy disks zo groot als een halve meter, heel ouderwets, maar werd toen gemaakt om honderd jaar mee te gaan."


Hoewel ik mij kan vinden in de generieke strekking, zijn de floppies slechts 8 inch, oftewel zo'n 20 cm. De verwisselbare hard disks waren ongeveer een halve meter.
Hardware was wellicht gemaakt voor de eeuwigheid. In mijn herinnering was de software van de Series/1 minder solide. Ik hoop dat dat allemaal nog steeds door bekwaam personeel (waarschijnlijk inmiddels pensionados) wordt beheerd.
13-05-2017, 23:05 door [Account Verwijderd]
[Verwijderd]
13-05-2017, 23:11 door Anoniem
XS4ALL sluit onterecht mensen af door deze malware waarom mag dat niet worden geplaatst?
14-05-2017, 08:40 door Anoniem
Door Briolet:
Door wallum: …Het kan dus niet anders dan dat de worm zich ook via internet verspreid tussen organisaties die SMB van buitenaf hebben openstaan. Wordt kennelijk niet tegengehouden in de standaardconfiguratie van de meestgebruikte modems en firewalls...

Dat klinkt heel aannemelijk. Je weet nooit of een bepaalde service een bug bevat. Daarom forward ik individuele poorten naar mijn servertje en gebruik geen dmz.

In de internet policy van Ziggo stond vroeger dat de smb poorten op hun netwerk geblokkeerd werden. Dit om mensen tegen zichzelf te beschermen. Of dat nog zo is, na de fusie met UPC, weet ik eigenlijk niet.

is niet aannemelijk, immers als malware bozo voer je simpelweg de code voor decrypten in, want die weet je immers zelf...
14-05-2017, 15:51 door Anoniem
Door Anoniem: WAARSCHUWING: Xs4all heeft het killswitch domain (www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) aan hun malware detectie database toegevoegd. Als je er op klikt wordt je van het internet afgesneden en in "isolatie" geplaatst omdat hun systeem denkt dat je besmet bent.
Is er iemand die weet of dit juridisch mag? IK heb hierdoor schade opgelopen.

Natuurlijk mag dat - lees je algemene voorwaarden door . Dit soort dingen heeft de juridische afdeling allang bekeken voordat zo'n quarantaine net actief gemaakt wordt.
14-05-2017, 18:31 door Anoniem
De nieuwe variant maakt gebruik van killswitch domain
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Dat zijn maar een paar letters verschil met de naam zoals hier beschreven.
iwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
15-05-2017, 08:10 door Anoniem
Of is dit een test programma.
20-05-2017, 14:38 door Anoniem
De volgende lijst met killswitch domeinen ben ik nu tegengekomen:
•iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
•ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
•iuqerfsodp9ifjaposdfjhgosurijfaewrwergweb.com
•iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com
•ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com
•lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com
Zijn er nog meer?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.