Hoe WannaCry zich echt heeft verspreid


In het begin van de wereldwijde aanval richting computers door WannaCry werd gedacht dat WannaCry zich verspreide via e-mail spam campagnes. Dit is na verder onderzoek door Malwarebytes helaas niet bevestigd. Volgens Symantec zou de Lazarus hackers groep uit Noord Korea achter de aanval zitten, ook dit niet bevestigd maar wel door een 3 tal overeenkomsten vooralsnog deels aangetoond.

WannaCry heeft zich verspreid via de EternalBlue exploit, genaamd door Microsoft als MS17-010. De EternalBlue exploit is samen met een andere backdoor genaamd DoublePulsar (beide bekend gemaakt door de Shadow Brokers groep) verspreid via het RPC SMB protocol op poort 445. 




Dit is een protocol wat het netwerken binnen Windows mogelijk maakt, echter helaas bevinden zich nog een hele hoop computer wereldwijd verbonden via het internet met poort 445. Aangezien een groot deel van de wereld de MS17-010 patch van Microsoft niet heeft geïnstalleerd was het daarom mogelijk voor WannaCry om zoveel computer te infecteren.

Na infectie ging WannaCry door met zoeken naar niet ge up dated computers zowel op een intern netwerk als een extern netwerk, het internet. DoublePulsar daarin tegen kon vaststellen of de computer al eerder was geïnfecteerd of niet.

Men dacht, en nam ook aan dat WannaCry zoals zoveel Ransomware verspreid werd via e-mail spam en advertentie netwerken. Dit bleek echter niet het geval.

In plaats van te patchen (wat natuurlijk wel nodig is) en het stoppen van het SMB protocol, had WannaCry ook voorkomen kunnen worden met Zemana Anti Malware. Dit pakket is al beste getest tegen een hoop Ransomware, zie hier de uitslag van deze test.

Download Zemana Anti Malware en voorkom of verwijder WannaCry

 


Laat een bericht achter, we horen graag van u.