De gijzelsoftware die de afgelopen dagen rondzong op het wereldwijde web is stopgezet. Ronald Prins, beveiligingsexpert van Fox-IT, heeft dit voor elkaar geperongelukt door een domeinnaam te registeren. Prins had wel al een paar uur nadat het virus tevoorschijn kwam een oplossing in de code gevonden.
Hij had van tevoren echter niet gedacht dat het aanmaken van een domeinnaam de verspreiding van de ransomsoftware zou stoppen, zegt hij ook op Twitter.
Ransomware
Wereldwijd kwamen meldingen binnen van grootschalige gijzelsoftware-aanvallen. Verschillende bedrijven, zoals telecom- en electriciteitsbedrijven, maar ook ziekenhuizen en FedEx zijn getroffen door de ransomeware. Bestanden werden daarbij ontoegankelijk gemaakt en de getroffene moest dan een bedrag van 300 Dollar betalen om de bestanden weer te kunnen gebruiken. Deze aanval bewijst maar weer dat je moet oppassen met het openen van bijlagen van onbekende afzenders en dat je regelmatig een backup zou moeten maken van je bestanden.
“De ransomware maakt gebruik van zwakke plekken in besturingssysteem Windows.” Nou, dat is weer een hele geruststelling.(En niks nieuws.)
Deze zwakke plek was al lang ontdekt door de NSA, maar die hebben dat geheim gehouden voor eigen misbruik. Dat je maar even weet waar we de ellende aan te danken hebben.
Updaten van je besturingssysteem helpt ook al enorm.
Updaten als in je windows vervangen door linux?
Het is gestopt zeg je? Wordt het hier weer leuk dan?
Ik mag het hier niet zeggen maar het begint met een A…
http://i102.photobucket.com/albums/m95/puh_02/appel2.jpg
Niks zeggen..ehm…aambeien?
Het eindigt met ffffFFFF
B?
https://forum.synology.com/enu/viewtopic.php?t=129158
Z?
https://forums.freenas.org/index.php?threads/is-zfs-protected-against-crypto-wall-locker-ransomware-virus-infections.39591/
Hmm…
https://duckduckgo.com/?q=apple+ransomware&atb=v52-7&ia=news
Hmm+m…
https://duckduckgo.com/?q=apple+(btrfs+OR+zfs)&atb=v52-7&ia=web
https://www.welivesecurity.com/2017/05/08/malware-warning-mac-users-handbrake-mirror-download-server-hacked/
Prins heeft helemaal niets gedaan. Deze meneer uit het VK heeft de oplossing gevonden: https://twitter.com/MalwareTechBlog/status/863364498215890948
Het enige dat Prins heeft gedaan, is het gebruikelijke aandachtshoereren om zijn imago als superhacker te versterken en reclame te maken voor zijn superhackende bedrijf.
Die check for updates werkt helaas niet op Win-XP systemen (en een aantal andere ouwetjes waarschijnlijk ook niet). Schijnt dat die juist in ziekenhuizen nog actief zijn. ZIEKENHUIZEN!!!! Waar miljarden aan medicijnen uitgegeven wordt (die voor een paar cent gekookt worden), waar specialisten grote bedragen mee naar huis nemen en waar mensen over het allemeen hun laatste centen nog willen neertellen voor een beetje hoop. Daar zijn ze dus niet bereid iets uit te geven om ouwe XP muk te vervangen door wat fatsoenlijks.
Prins geeft de credits verder keurig aan die onderzoeker. Die op zijn blog uitlegt dat het inderdaad een snelle toevalstreffer was, maar wel onderdeel van een zekere routine, en ingegeven door heel veel ervaring en na tyfussnelle en reteknappe analyse van de code. Die routine bestaat uit command-and-control (botnet) domeinen registreren, teneinde malware de wind uit de zeilen te nemen door alle verkeer naar die domeinen naar een soort digitaal afvoerputje (sinkhole) te sturen.
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
De onderzoeker zelf vermoedt dat die kill switch een slecht doordachte en uitgevoerde bescherming was voor de malware zelf: de makers gingen er van uit dat deze mogelijk geanalyseerd zou worden in een sandboxed environment (bunker met zandzakken) waarin ook verkeer naar een niet bestaande domeinnaam (niet door een DNS server aan een ip adres gekoppeld) tóch ‘thuis’ zou geven. In welk geval de malware zichzelf uit moest schakelen om verdere analyse te voorkomen. Spion schiet zichzelf door het hoofd om verdere ondervraging te voorkomen, zoiets.
Versie twee is natuurlijk al in de maak.
https://twitter.com/MalwareTechBlog/status/863626023010750464