Naar inhoud gaan

Trending thema's

Petya Ransomware FAQ: Wat je al weet en nog niet weet

Martijn

30.06.17 5 min. lezen

Noemen we deze uitbraak nog steeds Petya?

Ja.

Microsoft Defender heeft het gevonden als “Petya.A”.

“We hebben gecontroleerd dat de Petya MBR-code van een variant uit december vorig jaar vergelijkbaar is met de MBR-code van deze nieuwe variant,” zegt Karmina Aquino, Service Lead bij F-Secure Labs. “Er zijn maar enkele kleine verschillen.”

Is Petya ransomware?

Petya is ransomware.

Maar doet Petya ook andere dingen naast de versleuteling van bestanden om ze te gijzelen?

Petya steelt ook wachtwoorden omdat dit nodig is.

Microsoft meldt dat Petya een “supply chain attack” is die de bekende EternalBlue en EternalRomance kwetsbaarheden(ontdekt door de NSA en vervolgens vrijgegeven door de Shadowbrokers hacking-groep) gebruikt. Dit betekent dat er software van derden op de computer was die het updateproces van MEDoc software misbruikte. Medoc-servers zouden kunnen worden gecompromitteerd of getroffen door een “man-in-the-middle” aanval.

Maar het is nog te vroeg om hier zeker van te zijn of zelfs maar over te speculeren.

“Er is nog teveel onbekend” zegt Sean Sullivan, F-Secure Security Advisor.

Kan Petya iedereen infecteren? Dus ook thuisgebruikers en ‘gewone netwerken’?

“Tijdens ons onderzoek zagen we Petya bestanden versleutelen, zelfs als deze niet aangeslotenen waren op een netwerk,” zegt Karmina. “Maar op basis van één van de ontdekte infectievectoren, evenals het type slachtoffers, lijkt het erop dat bedrijven het doelwit zijn. Dit was ook het geval bij eerdere versies van Petya.”

Zit er een natiestaat achter Petya?

“Daar zou ik mijn geld niet op zetten op dit moment”, zegt Sean.

Karmina voegt eraan toe: “We hebben de code gecontroleerd en tot nu toe hebben we geen bewijs gevonden dat deze malware iets anders dan ransomware probeert te maken.”

Denken we nog steeds dat “pros” achter Petya staan?

Er zijn mensen die speculeren dat we te maken hebben met een natiestaat of met amateurs, omdat hun e-mail afgesloten is door hun provider. Maar dit negeert de werking van ransomware.

‘Criminelen willen betaald worden’, zegt Sean. “Ze kunnen geen telepathie of postduiven gebruiken.”

Zoals Sean op Twitter heeft uitgelegd, zijn er slechts twee manieren waarop criminelen betaald kunnen worden. Via een e-mail of via een webportal. Petya gebruikt e-mail, net als de meerderheid van de crypto-ransomware-bedreigingen.

Toen we ransomware-aanbieders onderzochten, deden we bijna al onze onderhandelingen via e-mail. Slechts één van de twee ransomware-families met een webportal reageerde. Alle drie de criminelen die e-mail gebruikenten reageerden en waren vaak professioneler dan de meeste softwarebedrijven.

Zit er een kill-switch in Petya?

Nee, een kill-switch is een gecentraliseerde oplossing.

Eigenlijk was er niet eens een “kill switch” in WannaCry. Er was een anti-emulatie functionaliteit die naging wat een “non-existent” domein had moeten zijn. Vaak beschikt Malware over een “bullshit checker” die ervoor zorgt dat de malware niet geanalyseerd kan worden door virtuele machines. Een onderzoeker heeft dit “bullshit domein” gevonden dat signaleerde dat de bedreiging werd uitgevoerd op een virtuele machine en heeft het vervolgens geregistreerd. Vervolgens kon WannaCry niet meer uitgevoerd worden.

Zoiets hebben we niet gevonden in Petya.

Is er een vaccin / inenting voor Petya?

Het is heel gebruikelijk dat malware een dubbele infectie voorkomt, zodat het niet in een oneindige loop terecht komt en zichzelf onthult. Er zijn veel tools die gebruik maken van malware functionaliteit om te voorkomen dat het geanalyseerd wordt. En veel verschillende malware zal jou niet infecteren als je een Cyrillisch toetsenbord of een Russisch IP-adres gebruikt.

Als vaccin of inenting kun je faken dat je een virtuele machine bent of in Rusland bent. Maar als iedereen zich gaat wapenen met deze trucs, dan passen de bedreigingen zich snel aan.

Voor Petya is er een inenting of vaccin, maar dat is waarschijnlijk zonde van je tijd.

“Als je tijd hebt om een ​​vaccin in te zetten, kun je betere dingen doen om jezelf te beschermen tegen ransomware,” zegt Sean. “Installeer  Microsoft Updates, verwijder alle software die je niet gebruikt, gebruik een wachtwoordbeheerder, update jouw wachtwoorden, etc. … Er zijn dingen die je kunt doen om jezelf te beschermen tegen meerdere typen malware. Zorg ervoor dat de basis in orde is.”

Hier zijn enkele dingen die je bedrijf kan doen om Petya te verslaan.

Is de e-mail die de decoderende sleutel bevat uit de lucht?

Ja, F-Secure Labs heeft het gecontroleerd en de e-mail wordt niet bezorgd.

De website van het hostingbedrijf Posteo zegt dat het “in contact is met het Federal Office for Information Security (Bundesamt für Sicherheit in der Informationstechnik).”

Kunnen bedrijven de ransomware betalen?

Nu niet. Hierdoor blijft het aantal slachtoffers nog beperkt, maar dat is niet permanent.

De criminelen hebben altijd wel een manier om bij hun ransomware te komen, dus ze zorgen er wel voor dat ze op een andere manier betaald worden.

“Deze gasten kunnen bijvoorbeeld een portaal opzetten waar slachtoffers kunnen betalen, zegt Sean. “Of ze verkopen de decryptiesleutel aan andere criminelen.”

Of ze doen niets en gaan verder.

“Als je dat harteloos vindt of zonde van de moeite, dan ken je geen cybercriminelen.” zei Sean. “Volgende dinsdag, wanneer de volgende partij verzonden wordt, zorgen ze ervoor dat ze hun geld op een andere manier ontvangen.

Red je je bestanden door het systeem uit te schakelen als het CHKDISK scherm verschijnt?

Blijkbaar niet.

Is er een decrypter tool beschikbaar van een security white hat?

Dit onderzoeken we op dit moment.

Beschermt F-Secure mij tegen Petya?

Ja, F-Secure endpoint producten stoppen alle vormen van Petya.

Martijn

30.06.17 5 min. lezen

Uitgelicht artikel

Verwante berichten

Newsletter modal

Bedankt voor je interesse in de cybersecurity update. Je ontvangt binnen enkele momenten een e-mail om je inschrijving te bevestigen.

Gated Content modal

Gefeliciteerd – Je kunt de content nu bekijken door op onderstaande button te klikken.