Wat kunnen we doen tegen de laatste ransomwareuitbraak - en wie zit erachter?

De grootschalige ransomwareuitbraak van gisteren leidde wereldwijd tot de nodige chaos. Veel geld hebben de aanvallers er niet mee verdiend. Wie zit er nou achter en wat kunt u er tegen doen? Vijf vragen, deels zonder eenduidig antwoord.

Beeld epa

Is dit hetzelfde als WannaCry?

Nee, de uitbraak is weer een volgende stap in de steeds geavanceerdere methodes van cybercriminelen om zoveel mogelijk schade aan te richten. Aanvankelijk richtte ransomware (gijzelsoftware) zich op eindgebruikers, door middel van phishing of andere besmettingsmethoden die een actie van de gebruiker vereisten. Bijvoorbeeld het klikken op een link of het openen van een besmette bijlage.

WannaCry tilde ransomware naar een nieuw niveau doordat het zichzelf wist te verspreiden over een netwerk met andere kwetsbare computers. Dit wordt een 'worm' genoemd. WannaCry deed dus twee dingen: bestanden versleutelen én zichzelf vermenigvuldigen.

'Het bijzondere aan Petya is dat het voortbouwt op de worm-techniek die door WannaCry werd gebruikt, maar tevens nieuwe elementen toevoegt waarmee systemen die niet kwetsbaar zijn voor de initiële zwakheid, toch besmet kunnen worden', zegt Steve Grobman van virusbestrijder McAfee. Dit is volgens hem mogelijk doordat Petya inloggegevens steelt van besmette systemen, die worden gebruikt om andere systemen te besmetten die volledig gepatcht zijn. Deze hybride aanpak zorgt ervoor dat de impact en de schaal van deze aanval drastisch worden vergroot.

Ok, hij heet dus Petya?

Er doen verschillende namen de ronde. Het gaat in ieder geval om een worm die in veel opzichten op het al eerder ontdekte Petya lijkt, dus velen noemen hem gewoon Petya. Beveiliger Kaspersky stelt dat het virus toch echt op heel veel punten anders werkt dan Petya, en noemt hem ExPetr.

Dus computers die zijn beveiligd tegen WannaCry zijn niet automatisch veilig?

Wie netjes de laatste Windows-patches heeft geïnstalleerd op zijn computer (en in het bijzonder MS17-010) én niet met zijn pc in een (bedrijfs)netwerk hangt, hoeft niets te vrezen.

Anders is het voor bedrijven. Opmerkelijk aan de aanval van dinsdag is dat een aantal grote bedrijven hard werd getroffen; bedrijven die zich waarschijnlijk al hadden beschermd tegen het lek waar voorganger WannaCry gebruik van maakte. Petya maakt volgens beveiligingsexperts gebruik van een lek in een onderdeel van Windows dat updates verzorgt. Het komt er op neer dat hiermee binnen een bedrijfsnetwerk beheerdertaken kunnen worden uitgevoerd, zoals het installeren van updates. Aanvallers kunnen dus achter de beveiligingslinies komen om hun aanvallen uit te voeren.

Gedetailleerde technische informatie

Diverse beveiligingsbedrijven hebben op hun blogs zeer specifieke informatie over Petya en de werking ervan. Een kleine greep:
McAfee
Symantec
FOX IT
Trend Micro
Sophos
Kaspersky

Wat is het doel?

Het korte antwoord: dat is gissen. Het lijkt er in ieder geval op dat de aanval vooral is gericht op Oekraïne, omdat het virus is zijn opmars is begonnen in een Oekraïense boekhoudprogramma genaamd MeDoc. Dat meldt beveiligingsbedrijf Talos Intelligence, onderdeel van netwerkconcern Cisco. In Oekraïne vond ook het gros van de besmettingen plaats: twee derde van de getroffen computers staat hier.

Het virus heeft zich echter niet beperkt tot dit land. Ook bedrijven in andere landen werden getroffen, zoals het Russische staatsoliebedrijf Rosneft en de Deense containergigant Maersk. Dat kan nevenschade zijn.

Als de criminelen het doel hadden veel geld te verdienen met hun gijzelingsactie zijn ze daar in ieder geval bijzonder slecht in geslaagd. Het betaalsysteem achter het virus is ronduit knullig en er is sinds een klein etmaal slechts een paarduizend dollar aan bitcoins opgehaald. Dat is klein bier. Volgens Grobman van McAfee is het dan ook een oefening voor een grotere aanval in de toekomst.

Tegen dit argument valt in te brengen dat aanvallers met zo'n test juist een deel van hun strategie uit handen geven. Beveiligers kunnen hier op inspelen door systemen te wapenen tegen aanvallen die op deze manier worden uitgevoerd.

Wat is ertegen te doen?

Voor particulieren is het relatief simpel: altijd de laatste Windows-updates installeren. Stel de computer zo in dat dit automatisch gebeurt. Dit is echter geen garantie voor de toekomst. Zonder twijfel duiken er lekken op die nog niet zijn gedicht en waarvan criminelen misbruik kunnen maken. Wees dan ook altijd achterdochtig met bijvoorbeeld mailtjes met verdacht ogende linkjes of rondslingerende usb-sticks. En aan preventie is ook veel te doen: maak backups van de bestanden die u niet wilt verliezen. Zet deze op een externe schijf die u alleen aan uw computer koppelt bij het moment van updaten. Bestanden met gevoelige informatie? Versleutel deze.

Voor netwerkbeheerders in bedrijven en instellingen zijn dergelijke aanvallen een regelrechte nachtmerrie. Er is altijd wel een onbeveiligde, niet geüpdatete pc binnen het netwerk, zegt Victor Gevers van GDI Foundation, een non-profitorganisatie die werkt aan een veiliger internet. Zodra het virus ergens weet binnen te dringen, kan het zich achter de linies razendsnel verspreiden en staan beheerders machteloos.

Individuele gebruikers kunnen een besmetting in een vroeg stadium stoppen door hun computer onmiddellijk uit te zetten als het scherm zwart wordt en de tekst 'Repairing file system on C:' verschijnt. Dat is het moment waarop bestanden worden versleuteld. Hoe sneller de computer wordt uitgeschakeld, hoe groter de kans op herstel. Een stoplap voor Petya kan het bestandje 'perfc' zijn. Het virus controleert bij elke computer of dit bestand aanwezig is in de bestandsmap C:\WINDOWS. Als dat het geval is, wordt de computer overgeslagen.

Dit bestandje houdt verspreiding van het virus niet tegen, maar is een voorlopig vaccin dat beveiligers de tijd kan geven zich te wapenen tegen besmettingen. Iedereen kan dit gewoon zelf in het programma kladblok maken: sla een leeg documentje op onder deze naam. Tot slot kunnen systeembeheerders ook de rechten van zo veel mogelijk computers in het netwerk beperken zodat deze geen programma's kunnen installeren.

Het beruchte zwarte scherm: gelijk computer uitzetten!Beeld Petya
Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden