Geïnfecteerd met de Petya Ransomware? PECH! (Ja echt)


Op dinsdag 27 juni 2017 is er een oost-europa/europa uitbraak getraceerd met de voor ons niet helemaal nieuwe Petya Ransomware. Deze vooralsnog gerichte ransomware aanval lijkt vooral in Ukraine en vanuit Rusland veel schade aan richten.

We hebben Petya eerder dit jaar actief gezien, ook deze aanval werd ingezet in Ukraine. De Petya Ransomware gebruikt net als WannaCry de EternalBlue exploit om zich te verspreiden. Niks bijzonders, maar toch richt deze Petya Ransomware in Nederland meer schade aan dan WannaCry. 




De Petya Ransomware verspreid zich niet alleen via EternalBlue MS17-010 maar ook via social engineering truucs. Petya word ook via e-mail verspreid en wij denk dat het succes van Petya in Nederland daaraan te wijten is.

De ExternalBlue exploit zal intern in een netwerk nog wel te misbruiken zijn, maar buiten een netwerk via poort 135,139, en 445 geven we het binnen Nederland weinig kans. De providers blokkeren deze poorten op onze internet verbindingen bij voorbaad (dat deden ze al voor WannaCry).

Op het moment van schrijven zijn de volgende bedrijven in Nederland geraakt door de Petya ransomware, APM Terminals, Maersk , MSD en  TNT Express.

Helaas zijn backups en herstelbestanden bij Petya geen optie.

Hoe bescherm je de computer tegen Petya?

  1. een hele simpele methode is gevonden. U kunt een bestand aanmaken, dit zal de computer beschermen tegen de versie van Petya die momenteel verspreid word. Download dit bestand van Bleeping computer en voer het uit als Administrator.
    Meer informatie in het engels vind u hier.
  2. Installeer de MS17-010 patch van Microsoft. Petya word o.a. via dit beveiligingslek verspreid net zoals WannaCry verspreid is/werd.

Wat kan ik doen als Petya mijn computer heeft geinfecteerd?

U kunt niets doen, Petya heeft uw bestanden al gemarkeerd voor versleuting nog voordat er zich een reboot heeft voorgedaan en CHKDISK (neppe checkdisk) scherm verschijnt. Men dacht bij de uitbraak dat niet herstarten het versleuten kon voorkomen…

Petya Ransomware voorkomen versleutelde bestanden

Dit is helaas niet zo. U vind op internet mogelijk een hoop websites die claimen dat Petya verwijderd kan worden. Dit klopt, u kunt de Petya Ransomware payload verwijderen, maar de versleutelde bestanden zijn niet terug te halen.

Petya word NOtPetya, huh?

Het is zelfs in nieuw onderzoek gebleken dat de “ontwikkelaars” van de Petya (ondertussen NOtPetya genoemd) helemaal niet de bestanden konden ontsleutelen na betaling door het slachtoffer. Aldus nieuw onderzoek door Kaspersky.

De makers van Petya zouden worden neergezet als criminelen terwijl deze Ransomware niet door hen werd verspreid maar door een overheid, alsdus de speculaties. De Petya Ransomware is helemaal nooit ontwikkeld voor het geld, het is ingezet als afleidings manoevere om zoveel mogelijk schade aan te richten en andere neer te zetten als criminelen.

Rusland zou de schuldige zijn aan het verspreiden van Petya tegen Oekraine. Tuurlijk, who else, Rusland…

Laat een bericht achter, we horen graag van u.