Blog

Ten prooi gevallen aan Peyta? Xylos schiet te hulp!

Johan Celis
|

Er duikt steeds vaker een nieuwe ransomwarevariant op: Peyta (ook Petya of Petrwrap genoemd). Ze heeft veel gemeen met Wannacry. Beide maken gebruik van een NSA-vondst die bekend staat als EternalBlue. Die focust zich op een kwetsbaarheid in SMB (CVE-2017-0144), waarvoor Microsoft in maart nog een patch uitbracht. Helaas laat Peyta zich niet zo gemakkelijk afschrikken.

Wat maakt Peyta gevaarlijker?

Cybercriminelen hebben lessen getrokken uit de zwakke plekken van Wannacry. Wanneer de computer opnieuw opstart, verschijnt er een valse boodschap “Schijfcontrole Systeem herstellen”. Dit is het versleutelproces, dus zet de computer meteen weer uit. Peyta zet echter in op meer dan een kwetsbaarheid. Zelfs al heb je de hierboven vermelde beveiligingsupdate van Microsoft uitgevoerd, dan nog kun je getroffen worden. De ransomware verspreidt zich immers ook in netwerken die gebruikmaken van PSEXEC en WMIC.

Sinds haar eerste aanval werd er een ‘kill switch’ gevonden dankzij @Ptsecurity: maak een bestand ‘C:\Windows\perfc’ aan. Het gaat om een mechanisme dat virusschrijvers inbouwen om het verspreidingsmechanisme centraal uit te schakelen.

Hoe kan je Peyta te slim af zijn?

Gouden regel: betaal nooit het losgeld. De e-mailaccount van de makers van de ransomware werd al geblokkeerd. Je zal dus geen decoderingssleutel krijgen. Enkele eenvoudige tips:

  • Update je antivirusprogramma’s.
  • Installeer de Microsoft MS17-010-patch voor EternalBlue … en alle andere patches (als je dan toch bezig bent).
  • Wees extra op je hoede voor phishing e-mails.
  • Houd het netwerkverkeer TCP/445 in de gaten, alsook SMB en andere bedienings- en controleactiviteiten.

Extra hulp nodig om Peyta te omzeilen? Maak een afspraak met onze beveiligingsexpert: johan.celis@xylos.com.

 

Technische termen in mensentaal:

  • NSA: National Security Agency (Nationaal Veiligheidsagentschap)
  • EternalBlue: een lek (stuk software, een reeks gegevens of een sequentie van commando’s die gebruikmaken van een bug of kwetsbaarheid) waarvan vermoed wordt dat het door het NSA werd ontwikkeld.
  • SMB: Server Message Block, voornamelijk gebruikt om gedeelde toegang te verlenen tot bestanden, printers en seriële poorten en om uiteenlopende communicatie tussen knopen in een netwerk mogelijk te maken.
  • PSEXEC: een lichtgewicht telnet-vervanging waarmee je processen kunt uitvoeren op andere systemen, inclusief volledige interactiviteit voor consoletoepassingen, zonder klantensoftware manueel te moeten installeren.
  • WMIC: Windows Management Instrumentation Command-line is een opdrachtregel- en schrijfinterface die het gebruik van Windows Management Instrumentation (WMI) en systemen die beheerd worden via WMI, vereenvoudigt.

 

Johan Celis

Written by

Leave a Reply

Your email address will not be published. Required fields are marked *