Wat is Wannacrypt en hoe hou je het buiten de deur?

Wat is Ransomware?
Ransomware of gijzelsoftware is een chantagemiddel op internet. Letterlijk vertaald betekent ransom: losgeld. Ransomware is malware die een computer en/of gegevens die erop staan blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te ‘bevrijden’. Malware is elke software die gebruikt wordt om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot private computersystemen.

Het betalen van “losgeld”, meestal in bitcoins, blijkt echter niet (altijd) tot ontsluiting van de computer te leiden.

Zo werkt ransomware in praktijk
De computers van de slachtoffers worden geïnfecteerd zoals ook andere virussen worden verspreid. Bij het heropstarten van de computer krijgt de gebruiker een scherm te zien met een boodschap. In deze boodschap krijgt het slachtoffer te lezen dat zijn of haar computer geblokkeerd werd en pas na betaling weer wordt vrijgegeven. Vaak wordt de indruk gewekt dat het bericht afkomstig is van een betrouwbare instantie en dat er een boete moet worden betaald wegens misbruik van het internet. Maar de politie en opsporingsdiensten gaan zo niet te werk. Wie ransomware op zijn computer heeft, is voor de politie dus niet ineens een verdachte. De criminelen zijn enkel op het geld uit en zullen de computer na de betaling mogelijk vrijgeven. Er zijn meerdere gevallen bekend waarbij de computer daarna werd ontgrendeld, daarentegen zijn er ook genoeg gevallen van computers die niet werden ontgrendeld.

Wannacrypt
De recente Cyberaanval met de ransonware genaamd Wannacrypt zorgt grote paniek in de wereld. De ransomware die via een lek in Windows wordt verspreid, is gebaseerd op een kwetsbaarheid die de NSA gebruikte om stilletjes in te breken in computers en die vervolgens uitlekte.

Het goede nieuws in deze hele zaak is dat het gat in netwerkprotocol SMB, dat al sinds zeker december op kleinere schaal werd misbruikt, reeds in maart is gepatcht (MS17-010). Voor niet patchende thuisgebruikers is er ook goed nieuws: de meeste firewalls blokkeren de poorten waar de exploit gebruik van maakt. Nog meer kalmerend nieuws: het misbruikte gat zit in het 30 jaar oude SMB versie 1, waarvan het gebruik allang wordt afgeraden.

Het slechte nieuws is dat deze beperkingen blijkbaar niet veel uitmaken, gezien het grote aantal infecties eind vorige week. Daarnaast duurt het niet lang voor een kwetsbare PC of embedded systeem wordt gegrepen door de ransomware.

Onderzoekers zetten afgelopen weekend een honeypot op, verbonden deze met het internet en het loksysteem werd zes keer in anderhalf uur aangevallen door de malware.

De ransomware buiten de deur houden is niet zo ingewikkeld. Doe de volgende drie dingen om ook de nieuwe iteraties die ongetwijfeld volgen deze week te blokkeren:

  1. Draai Windows Update. Microsoft heeft nu zelfs patches uitgebracht voor het niet meer ondersteunde Windows XP.
  2. Blokkeer de poorten die door het protocol om Windows-computers te delen gebruikt worden (NetBIOS op tcp/137, 138 en 139, en SMB op 139).
  3. Werk de antimalware-software bij. De nieuwste definities, waaronder de engine van Windows Defender, zijn bijgewerkt om ransomware WannaCrypt te detecteren.

Wil je meer informatie? Lees dan ook de blog van Brad Smith, president en chief legal officer bij Microsoft.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *