Waar op letten na WannaCry ransomware aanval mei 2017 – MS17-010

Op vrijdag 12 mei dook in de loop van de dag de WannaCry randsomware op. Dit was een grote cyberaanval met ransomware in Europa en een groot gedeelte van de wereld. Vooralsnog twee Nederlandse infecties.

Wat kun je preventief doen?

  • Zorg voor een offline backup
  • Zorg dat de virusscanner up to date is
  • Installeer de laatste Windows Updates
  • Controleer patch voor MS17-010
  • Haal alle oude Windows machines (zonder updates) uit het netwerk
  • Controleerde consistentie van je bestanden regelmatig
  • Blokkeer poort 445 vanaf buiten

Hoe herkennen?
De ransomware versleuteld bestanden en vraagt daarna om geld te betalen om de bestanden weer te ontsleutelen. Dit is te herkennen aan een reeks bestanden die niet meer te openen zijn.

Wat doen bij een infectie?
Bij infectie geïnfecteerde PC’s zoveel mogelijk isoleren of alles uitzetten om verspreiding te voorkomen. Er is inmiddels een decryptie tool (versie 0.1) voor het WannaCry virus.

https://github.com/gentilkiwi/wanakiwi/releases

Deze tool werkt uitsluitend als de machine niet opnieuw opgestart is. Er zijn nog problemen met deze tool en de vraag is of het werkt voor nieuwe varianten.

Weet je niet goed wat je moet doen? Neem contact op met een IT bedrijf of specialist voor de vervolgstappen.

ESET Security Alert
Vanmiddag melde ESET dat klanten volledig beschermd zijn:
“ESET klanten zijn volledig beschermd!”
“Alle ESET versies detecteren de ransomware als Win32/Filecoder.WannaCryptor. Deze detectie is al aanwezig in onze software sinds 06-04-2017.”
zie: https://www.eset.com/nl/wannacryptor-ransomware/

Patch MS17-010:

LET OP! Er zijn meerdere patches voor verschillende versies. Zie onderstaande lijst voor de patch die nodig is voor de verschillende Windows versies. Er is helaas veel onduidelijkheid over de benodigde patches. Inmiddels heb ik ook Windows 7 machines gezien die mogelijk niet automatisch gepatched zijn. Vooralsnog hou ik zelf onderstaande lijst aan:

KB4013429 voor Windows 10 v1607

KB4013198 voor Windows 10 v1506

KB4012215 of KB4012212 voor Windows 2008 R2 en Windows 7

KB4012212 voor Windows SBS 2011 server

KB4012598
Windows Server 2003, 2008
Windows XP, Vista
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 (manual download)

Voor een uitgebreidere test zie:

https://github.com/eset-la/Check-EternalBlue

Hier staat ook een tool van Eset bij waarmee je kunt testen of je systeem kwetsbaar is.

 

Bronnen en meer informatie:

https://www.politie.nl/nieuws/2017/mei/14/11-politie-waarschuwt-bedrijven-en-consumenten-voor-gijzelsoftware.html

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://www.eset.com/nl/wannacryptor-ransomware/

Hotfixes that possible contains the fix
“KB4012212”, “KB4012217”, “KB4015551”, “KB4019216”, “KB4012216”, “KB4015550”, “KB4019215”, “KB4013429”, “KB4019472”, “KB4015217”, “KB4015438”, “KB4016635”

 

Your email address will not be published. Required fields are marked *

*