WannaCry Ransomware voorkomen


Op zaterdag 13 mei werd gerapporteerd dat meer dan 200.000 computers uit meer dan 100 landen geïnfecteerd waren met de WannaCry ransomware. De snelheid waarmee WannaCry zich verspreidde was buitengewoon. WannaCry verspreid zich over het netwerk via een Windows SMB Exploit (MS17-010).

Er is gemeld dat de Exploit die is gebruikt is genaamd als EternalBlue, een verzameling hacking tools die naar verluidt door de NSA zijn ontwikkeld en door de hacking group “The Shadow Brokers” op het internet werd geplaatst.

Er hebben zich in een paar dagen een enorme hoeveelheid infecties voorgedaan over de gehele wereld, particulieren, kleine en serieus grote bedrijven werden getroffen door de WannaCry Ransomware. De eerste versie van WannaCry had een Killswitch, een specifiek domein wat geregistreerd werd en dat schakelde de WannaCry versie 1 Ransomware uit.

Kort daarna kwam er een versie 2 van WannaCry. Deze versie had ook een killswitch en werd doormiddel van reversed code uitgeschakeld, nogmaals door het registreren van weer een ander domein. Op dit moment verspreid zich een WannaCry versie (3?) die niet is ontwikkeld door de originele ontwikkelaars, echter afkomstig lijkt te zijn van het origineel, een nep WannaCry dus.

Helaas is al onderzocht en heeft deze versie 3 van WannaCry geen killswitch.

WannaCry Ransomware voorkomen

Hoe voorkom je nu een WannaCry infectie ?

wannacry ransomware

  • Allereerst natuurlijk door het niet openen van ongewenste of onbekende mail. WannaCry word verspreid via e-mail en na infectie zal het uw netwerk afzoeken naar andere computer om te infecteren. Dit gebeurt via de MS17-010 Windows SMB exploit.
  • Update uw Windows, dit is belangrijk. Dit geldt voor alle Windows versies. U dient zo snel mogelijk Windows Update te starten op elke computer op uw netwerk.
    Meer informatie vind u hier (TechNet van Microsoft).
  • Installeer MalwareBytes versie 3.1.
    MalwareBytes is een anti-malware pakket die WannaCry zal herkennen en stoppen nog voordat het uw computer bestanden geblokeerd heeft. Het pakket is gratis voor 14 dagen, hiermee kunt u de piek van WannaCry voorkomen.
  • Stop de SMB services in Windows. Let wel, dit kan problemen veroorzaken in uw netwerk, doe dit in overleg met uw systeembeheerder.
    meer informatie over het stoppen van SMBv1 SMBv2 en SMBv3 voor alle Windows versies vind u hier. (Technet Microsoft).

Backups, patches en up-to-date updates worden zo vaak als advies gegeven. Daardoor is deze aanval droevig en frustrerend in de zin dat het zoveel systemen heeft geïnfecteerd, hoewel Microsoft in maart een patch heeft vrijgegeven om de SMB-exploitatie te corrigeren is deze door veel mensen niet geinstalleerd.

Microsoft heeft sindsdien patches voor Windows XP vrijgegeven, een product dat het in 2014 stopte, dit om verdere WannaCry aanvallen en infecties voor te voorkomen. Deze update kunt u hier vinden. Dit is een losse update want Microsoft Windows XP wordt met updates niet meer ondersteund.

Bent u geinfecteerd met de WannaCry / WannaCry 2.0 Ransomware?

De enige manier om op dit moment uw bestanden terug te krijgen is door een backup te herstellen, zonder te betalen. Als u geen backup heeft is de enige manier om de cybercriminelen te betalen. Dit raden wij echter niet aan.

All verwijder instructies die u vind op internet zijn onzin. Ze kunnen mogelijk het Ransomware bestanden en de payload herkennen en verwijderen, echter de geinfecteerde bestanden zijn niet terug te halen.

Update: 22 mei 2017

Er is een MOGELIJKE manier om bestanden versleuteld door WannaCry terug te halen, lees hier meer.

 




Laat een bericht achter, we horen graag van u.