Categories: Blog

Opgelet! WannaCry / Wcry Ransomware

Er is een enorme ransomware aanval gaande via email (spam) onder de naam Wanna, Wannacry, or Wcry. Deze email berichten gaan meestal over facturen, het niet kunnen afleveren van pakketten, aanbiedingen voor werk en andere zaken. Berichten worden verstuurd naar onwillekeurige email adressen. In de berichten zit een .zip bestand of een Office document met kwaadaardige macro’s, met hierin de WannaCry infectie.

De aanval richt zich op het bestandsdeling protocol SMB (Server Message Block) via een P2P exploit, bekend als EternalBue (MS17-010 exploit). Eenmaal geactiveerd, maakt de ransomware verbinding via het TOR netwerk om bepaalde afhankelijkheden te downloaden. Daarna installeert het programma en gaat zich voorbereiden op de encryptie van uw lokale PC bestanden, maar ook gekoppelde netwerk shares worden doorlopen en versleuteld.

De encryptie laat in elke map een bestand achter met daarin de mededeling dat uw bestanden zijn versleuteld en dat u via het TOR netwerk een website kunt bezoeken om vervolgens de betaling in BitCoins te voldoen. In ruil hiervoor ontvangt u een softwaretool met uw unieke code om uw bestanden te kunnen decrypten.

Onze tips om ervoor te zorgen dat u deze ellende bespaart blijft of dat u z.s.m. weer online bent:

Gebruikers instrueren over gevaren van het openen van dit soort berichten en waar ze op dienen te letten.
Patch Management. Ondanks dat er reeds 14 dagen patches beschikbaar waren voor deze exploits, zijn er nog steeds systemen die kwetsbaar zijn. Zorg ervoor dat u wekelijks uw systemen voorziet van recente patches!
Anti-Virus / Anti-Malware bescherming, welke niet alleen vertrouwd op signature-based detectie.
Kritisch kijken naar de rechten van uw gebruikers. Aangezien meerdere varianten van deze malware infecties ook netwerk shares (gedeelde netwerklocaties) versleutelen is het goed om ervoor te zorgen dat gebruikers enkel toegang krijgen tot de data waarmee ze ook moeten werken. Dit bespaart tevens tijd wanneer een data restore moet plaatsvinden van data.
Zorg voor een dagelijkse backup van uw (server)bestanden!!!

Bart Heijman