Wannacry ransomware : Het verhaal

Wat is er gebeurd ?

Een zeer ernstige vorm van ransomware die zich zeer snel heeft verspreid en zich Wanna (aka WannaCry, WCry, WanaCrypt, WanaCrypt0r en Wana DeCrypt0r) noemde heeft laatstleden vrijdag 12/01/2017 wereldwijd Windows computers gegijzeld .
De National Health Service hospitals (NHS) in het Verenigd Koninkrijk zijn zeer zwaar getroffen geweest door deze ransomware aanval . Wereldwijd werden er ook grote bedrijven , telecomdiensten en IT systemen gegijzeld .
De ransomware vercijferde de bestanden van zijn slachtoffers en veranderde  extenties naar: .wnry, .wcry, .wncry en .wncrypt.  Slachtoffers werden dan geconfronteerd met een gijzelnota waarin om losgeld werd gevraagd.

Het had erger kunnen zijn !

Door een toevallige ontdekking van een IT-onderzoeker met Twitter handle @MalwareTechBlog een soort van kill switch gevonden in de code. Hij deelde een gedetailleerd verslag van zijn ontdekking hier. In zijn Tweet schreef hij het volgende :

One thing that is very important to note is our sinkholing only stops this sample and there is nothing stopping them removing the domain check and trying again, so it’s incredibly important that any unpatched systems are patched as quickly as possible.

Analyse van de malware lijkt dan ook  te bevestigen dat de aanval gebeurde door gebruik te maken van verdachte NSA code gelekt door een groep van hackers gekend onder de naam Shadow Brokers. De malware gebruikt een variante op ShadowBrokers’ APT EternalBlue Exploit (CC-1353). Daarnaast gebruikt het ook sterke vercijfering op bestanden zoals documenten, afbeeldingen en video’s.

Deze maal was het een zeer andere vorm van ransomware aanval .

De WannaCry aanval werd deze maal helemaal anders uitgevoerd  dan de vorige types van ransomware aanvallen in die zin dat typische ransomware aanvallen via een e-mail gebeuren, met daarin een link of een bijlage waar de gebruiker op klikt en zo besmet raakt.
In dit geval misbruikte de malware  een remote code execution (RCE) lek welke toeliet om niet up-to-date machines te besmetten zonder enige tussenkomst van de gebruiker.

Daardoor was het voor de malware mogelijk om zich, net zoals de Slammer en Conficker wormen zo’n 10 jaar geleden, vliegensvlug te verspreiden.

WannaCry misbruikte een Windows lek waarvoor Microsoft reeds in maart een update voor had verspreid. Het lek bevond zich in de Windows Server Message Block (SMB) dienst, die Windows computers gebruiken om bestanden en printers te delen over je lokaal netwerk. Microsoft besprak het probleem in zijn MS17-010 bulletin.

Bedrijven durven nog wel eens oudere code draaien omwille van compatibiliteit met in-huis geschreven software, waardoor vooral niet langer ondersteunde versies van Windows (zoals Windows XP) hard getroffen werden. Microsoft ging zelf zo ver om de veiligheidsupdate voor platformen met speciale ondersteuning  (zoals Windows XP)  voor iedereen beschikbaar te maken. De software reus citeerde dan ook in een bericht:

We know some of our customers are running versions of Windows that no longer receive mainstream support. That means those customers will not have received the Security Update released in March. Given the potential impact to customers and their businesses, we made the decision to make the Security Update for platforms in custom support only, Windows XP, Windows 8, and Windows Server 2003, broadly available for download here.

Microsoft doet nu alsof zijn neus bloed .

Microsoft beweert dat het reeds in maart 2017 een update had uitgebracht voor het probleem , klopt dit ? Het zou ook wel eens kunnen zijn dat Microsoft om één of andere reden de update ingetrokken heeft . Het is niet de allereerste maal dat Microsoft op het laatste moment een (belangrijke) update intrekt !
De Update die volgens Microsoft in maart 2017 zou zijn uitgebracht is hier te downloaden waarna hij geïnstalleerd kan worden .
Ter controle heb ik mijn windows7 systeem gecheckt en laten zoeken naar Updates . Systeem is up to date en er zijn geen ontbrekende updates kreeg ik te lezen .
Maar wanneer ik de update ging downloaden en uit nieuwschierigheid ging proberen of de update zich zou laten installeren viel mijn mond van verbazing open . De Update ontbrak en liet zich installeren. er werd zelfs gevraagd na installatie van de update om Windows opnieuw op te starten zodat de installatie kon afgerond worden .
Waarom krijg ik te lezen als ik mijn windows laat zoeken naar updates dat mijn systeem up to date is en geen updates ontbreek ? Fout van microsoft of ?????? .
Ik ben niet de enige die zijn windows up to date houd , en anderen die ook hun windows up to date houden bleek het fenomeen zich ook voor te doen dat hun systeem up to date was maar de bewuste update zich liet installeren omdat hij ontbrak !!!waarom beweert microsoft dan dat de update reeds in maart uitgebracht werd ?  Ik noem dit geen toeval !
Ik raad dan ook iedere Windows7 gebruiker aan om voor alle zekerheid de Update te gaan downloaden en te installeren . Word de installatie afgebroken omdat hij reeds geïnstalleerd is , heb je hem. Word de installatie verder gezet en gevraagd om windows opnieuw op te starten ontbreek of ontbrak je hem .

Bron: baudrez.be

 

 

 

 

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *