Wat doet de ransomware ?

Ransomsoftware of ook wel ransomware genoemd is een soort computervirus wat de bestanden op de pc of in het netwerk ‘gijzelt’ door deze te versleutelen waarna er vervolgens geld gevraagd wordt om de bestanden te ontsleutelen en vrij te geven. De ransomware waar het nu om gaat heeft als naam “WannaCry” en zorgt wereldwijd dus voor allerlei problemen bij organisaties. Media besteden er veel aandacht aan vanwege de grote schaal waarop de ransomware wordt verspreid.Er is een nieuwe vorm van ransomware wereldwijd actief en vele organisaties hebben er last van. Bij het schrijven van dit artikel, zijn er een groot aantal besmettingen bekend, onder andere bij een grote telecomprovider in Spanje, een energie- en een gasbedrijf uit Spanje, Italiaanse universiteiten, Engelse ziekenhuizen, Russische ministeries en het Duitse spoorwegbedrijf.

Zie voor meer informatie onder andere dit bericht: http://nos.nl/artikel/2172846-gijzelsoftware-verspreidt-zich-razendsnel-mogelijk-ook-in-nederland.html

Ransomware WannaCry
De ransomware wordt in snel tempo, op grote schaal verspreid en is gericht op ungepatchte Windows systemen. Vele organisaties in Nederland hebben nog niet alle patches up-to-date en maken wel gebruik van Windows systemen. Hierdoor is de kans op infectie groot en aangezien de variant ontwikkeld is om zich binnen het netwerk verspreiden is de potentiele impact ook aanzienlijk. Dat zou betekenen dat bestanden versleuteld worden en organisaties geen toegang meer hebben tot hun eigen data.

Wat gebeurt er bij een besmetting?

Bestanden worden versleuteld met extensies .wnry, .wcry, .wncry en .wncryt. Eindgebruikers zien een rood scherm zoals hiernaast met een ransom bericht;
Bij herstarten van de computer wordt een blauw scherm zichtbaar waarna de computer niet verder laadt;
Encryptie wordt toegepast op de lokale host en open SMB shares
Op wie is dit van toepassing?
WannaCry richt zich op alle gebruikers van Windows systemen. Heeft uw organisatie Windows systemen? Lees dan nu verder.

Elke Windows versie heeft een zogenoemd Server Message Block (SMB), een standaard onderdeel in alle versies om bestanden te kunnen uitwisselen. In deze SMB is een enkele weken geleden een kwetsbaarheid ontdekt, waardoor het SMB vatbaar is voor infecties door bijvoorbeeld malware/ransomware.

Elke kwetsbaarheid krijgt een uniek nummer, een zogenoemde CVE score. Het nummer van deze kwetsbaarheid is CVE-2017-0143 tot en met CVE-2017-0148. Microsoft heeft het geregistreerd onder het nummer MS17-010.

Meer details kunt u hier vinden: https://technet.microsoft.com/library/security/MS17-010

Update: Microsoft heeft ook updates uitgebracht voor de end-of-life varianten van Windows zoals XP en 2003. Dus ook als ie die systemen gebruikt is het dringende advies om te updaten via https://update.microsoft.com.

Wat moet u doen?

Scan eerst uw computer met een malware scanner bijvoorbeeld MBAM en zorg altijd voor dat de laatste updates van Windows geïnstalleerd zijn. installeer daarnaast  altijd minimaal 1 extra anti malware programma. Verschillende voorbeelden van deze programma’s vind u hier op deze site.

Sharing is caring!

Ransomware Wannacry besmet 200.000 computers

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *