Petya-ransomware: advies en mogelijke killswitch

Op dit moment is er een wereldwijde uitbraak van een ransomware op Windows-machines. Dit is een variant van de bestaande Petya-ransomware die sinds 2016 bestaat. De wijze van infectie is nog niet bevestigd, waarschijnlijk gebeurt dit via e-mailbijlagen.

Volgens experts vonden de oorspronkelijke besmettingen plaats via een vervalste update van het M.E.Doc programma. Na infectie wacht Petya 30 minuten voordat deze bestanden op de computer versleutelt; dit om detectie door antimalware te voorkomen en tijd te hebben om andere systemen in het netwerk te kunnen besmetten.

MS patch MS17-010
De ransomware probeert eerst wachtwoorden uit de computer te verkrijgen, waarna met exploits voor Windows, genaamd ETERNALBLUE en ETERNALROMANCE alle systemen in het lokale netwerk worden geïnfecteerd. Hierbij worden kwetsbaarheden in SMBv1 misbruikt, die in maart 2017 door Microsoft verholpen zijn met patch MS17-010.

Versleuteling
De versleuteling start met een onverwachte herstart van de computer of server, waarna het lijkt alsof CHKDSK wordt gestart. Dit is echter de versleuteling door Petya. De gebruiker ziet dan het volgende scherm:



Hierbij versleutelt Petya zowel bestanden als het Master Boot Record (MBR), waardoor de computer niet meer kan opstarten. Zie het fragment van 1 minuut op YouTube. Advies: computer direct uitschakelen bij onverwachte herstart en vertoning van bovenstaand CHKDSK-scherm.

Volg onderstaande stappen, wanneer een computer onverwacht herstart en bovenstaand CHKDSK-scherm wordt getoond:
• Schakel DIRECT de computer uit. Snelheid is geboden, want de versleuteling kan in zo’n 30 seconden zijn afgerond.
• Haal het systeem van het netwerk om verspreiding te voorkomen.
• Als de computer is uitgeschakeld, kunt u (een deel van) de bestanden redden door vanaf een LiveCD te booten.
• Verwijder Petya van het systeem met anti-malware.
• Kopieer hierna bestanden van het systeem naar een externe harddisk of USB-stick.
• Na het redden van de bestanden moet het systeem bij voorkeur vanaf ‘schone’ installatiemedia opnieuw worden geïnstalleerd.

Overige preventieve maatregelen om besmetting te voorkomen
• Benadruk bij gebruikers dat zij geen onbekende e-mailbijlagen openen.
• Rol direct patch MS17-010 uit, als dit nog niet is gebeurd.
• Schakel waar mogelijk SMBv1 op systemen uit.
• Maak back-ups en houd deze apart.
• Update antivirus- en antimalwaresoftware.

Mogelijke killswitch gevonden
Op Twitter bespreken beveiligingsonderzoekers een mogelijke killswitch in deze variant van de ransomware, waarmee infectie kan worden voorkomen. Er dient een bestand c:\windows\perfc of c:\windows\perfc.dat te worden aangemaakt, beiden worden door beveiligingsonderzoekers genoemd. Deze moet Read-Only worden gemaakt. Hiervoor zijn lokale beheerdersrechten nodig.

Aanmelden voor onze nieuwsbrief