Op vrijdag 12 mei 2017 is er een wereldwijde uitbraak ontstaan van het ransomware computervirus dat inmiddels de naam ‘Wannacry’ draagt. Op deze pagina kunt u belangrijke informatie vinden over ransomware in het algemeen en Wannacry in het bijzonder, wat u in ieder geval bij voorbaat moet weten en wat u ertegen kunt ondernemen.
Wat is Ransomware?
Ransomware is een type computervirus dat de bestanden op een PC probeert te versleutelen om deze hierdoor onleesbaar te maken. Alle informatie op de geïnfecteerde PC wordt als het ware gegijzeld omdat alle bestanden onbruikbaar zijn geworden. De Ransomware biedt vervolgens de mogelijkheid om de bestanden weer vrij te kopen door middel van het betalen van losgeld aan de verspreiders van het virus.
Ransomware bestaat toch al een tijdje en is dus niets nieuws?
Waarom kreeg het Wannacry virus zoveel publiciteit?
Het Wannacry virus is wereldwijd plotseling op grote schaal verspreid via email berichten. Het Wannacry virus wijkt af ten opzichte van andere ransomware virussen omdat Wannacry naast de schade die het lokaal op de geïnfecteerde PC aanricht gebruik maakt van een zwakke plek in windows computers. Deze zwakke plek maakt het in sommige situaties mogelijk dat vanuit een geïnfecteerde PC het Wannacry virus zich geheel zelfstandig kan verspreiden naar alle andere PCs in het lokale computernetwerk waar de PC deel van uitmaakt. Dat betekent dat potentieel een compleet netwerk ineens in zijn geheel besmet zou kunnen raken en overal alle bestanden gegijzeld worden en onbruikbaar worden. Dit soort situaties zijn dus reeds in het nieuws geweest. Het virus kan dus in theorie gehele netwerken saboteren en is daarin dus potentieel zeer schadelijk te noemen. Het Wannacry virus wordt door ESET NOD32 aangeduid als “Win32/Filecoder.WannaCryptor.D”.
Wat houdt die zwakke plek op windows PCs precies in?
Het betreft een zwakke plek in het windows SMB protocol dat wordt gebruikt voor het delen van bestanden in een computernetwerk. Door een bepaald informatiepakket met virus code te verzenden aan andere PCs in het netwerk wordt de SMB faciliteit in de andere PCs misbruikt om daarop ook kwaadaardige code op te starten en het Wannacry virus te verspreiden. Vooral bij grotere netwerken kan men zich voorstellen dat dit een behoorlijk rampzalig scenario zou zijn. Het is dus zeer begrijpelijk en terecht dat de media deze virus uitbraak onder de aandacht hebben gebracht.
Waarom zijn huidige computernetwerken in veel gevallen nog niet volledig geupdate?
Het is vaak een keuze van systeembeheerders om updates gepland en gefaseerd uit te voeren. Men doet dit vaak om potentiële ICT problemen te voorkomen. Door een geschikt moment te kiezen om updates toe te passen en vervolgens de werking van alle software te testen proberen systeembeheerders een meer bedrijfszekere ICT te waarborgen. Dat is uit de praktijkervaring zo gegroeid. In geval van Wannacry wisten veel systeembeheerders niet of onvoldoende van de zwakke plek die ontdekt was in de windows implementatie van het SMB protocol. Vervolgens gebeurde dus het ergste scenario, namelijk dat er massaal werd geprobeerd er misbruik van te maken.
Hoe kan deze zwakke plek in de windows SMB software verholpen worden op PCs?
PCs moeten “gepatched” worden om de zwakke plek te verwijderen. Microsoft heeft hiervoor gelukkig diverse updates uitgebracht. Een provisionele lijst van microsoft KB (“knowledge base”) update nummers is als volgt:
KB3205409
KB3210720
KB3210721
KB3212646
KB3213986
KB4012212
KB4012213
KB4012214
KB4012215
KB4012216
KB4012217
KB4012218
KB4012220
KB4012598
KB4012606
KB4013198
KB4013389
KB4013429
KB4015217
KB4015438
KB4015546
KB4015547
KB4015548
KB4015549
KB4015550
KB4015551
KB4015552
KB4015553
KB4015554
KB4016635
KB4019213
KB4019214
KB4019215
KB4019216
KB4019263
KB4019264
KB4019472
Bovenstaande lijst KB nummers heb ik via de website community.spiceworks.com gevonden, zie onderaan de referentie.
Het betreft dus informatie afkomstig van derden.
Meer specifiek per besturingssysteem kan ik naar aanleiding van het updaten van PCs bij mijn klanten het volgende bevestigen:
KB4019215 (Windows 2012/R2 / Windows 8.1)
– middels windows update geïnstalleerd
KB4019264 (Windows 7)
– middels windows update geïnstalleerd
KB4012598 (Windows XP SP3)
Deze update valt op de volgende pagina te downloaden:
https://www.microsoft.com/nl-NL/download/details.aspx?id=55245
Wat u moet doen is uw PC zoveel mogelijk bijwerken met windows update, net zolang totdat deze aangeeft dat er geen belangrijke updates meer open staan. Het gaat hier om de kritieke beveiligingsupdates, en dus niet om de “aanbevolen” updates. Nadat het updaten volledig klaar is kunt u de lijst van geïnstalleerde updates opvragen in het windows update scherm en controleren of één van de bovenstaande update nummers in de lijst voorkomt.
Waar u naar moet zoeken is de update met in de omschrijving “2017-05 Beveiliging – Maandelijkse kwaliteitsrollup”. En dan niet de update voor .NET Framework maar de update voor windows zelf. Het betreft een maandelijkse verzameling beveiligings updates. Hierachter staat dan waarschijnlijk één van de bovenstaande KB nummers vermeld. In dat geval zou theoretisch de SMB zwakke plek zoals gebruikt door het Wannacry virus gedicht moeten zijn. Dit wil niet zeggen dat u niet meer door Wannacry getroffen kunt worden, echter de bedoeling van de update door Microsoft is het voorkomen van de automatische verspreiding via SMB naar windows PCs die in dezelfde lokale netwerkomgeving aangesloten zijn. Uiterst belangrijk dus.
Wat kunt u verder nog doen?
Beveiliging begint altijd met voorzichtigheid. Klik nooit op links in emails, open nooit bijlagen die worden meegestuurd met emails. De enige uitzondering is wanneer u een bijlage of link nodig hebt voor uw werkzaamheden en u deze bijlage of link ook verwacht te ontvangen. U moet dus als het ware andersom leren denken, bij voorbaat niets vertrouwen tenzij u er 100% zeker van bent dat de link of bijlage te vertrouwen is. Blijft u altijd de berichttekst met de gedachte lezen dat u altijd met nep emails te maken kunt krijgen. Krijgt u emails van instanties of grote bedrijven, weest u dan altijd op uw hoede dat deze mogelijk niet echt van deze afzenders afkomstig kunnen zijn.
Vervolgens blijft uiteraard een goede antivirus bescherming noodzakelijk. Knaap IC raadt ESET NOD32 antivirus aan, en dan de nieuwste software versie ervan. Zorgt u dat uw antivirus altijd geupdate is met de meest actuele virusdefinities. Daarmee heeft u een hogere kans op detectie van nieuwe virussen.
Tenslotte moet u altijd zorg dragen voor een goed werkende en regelmatige backup. Recente backup data dient altijd veilig, dus offline, bewaard te worden. Offline wil zeggen dat het backup medium uit is en niet met een computer verbonden is. Alleen op deze wijze kan ransomware virus software er niet bij. Hierbij wil ik blijven aangeven: hoe meer verschillende backups u maakt, hoe beter. Denk ook altijd aan uitpandig bewaren van backups. Knaap IC adviseert u graag over het verhogen van de veiligheid van uw backups. Houdt u altijd in gedachten hoe groot de schade is voor uw bedrijf indien u alle gegevens zou verliezen. Hieraan moet ook het belang van en de investering in backups worden afgemeten. Onthoud altijd dat Ransomware veel minder kans heeft indien u offline altijd kopieën van al uw backups bewaart. Backups moeten altijd gecontroleerd worden, leest u altijd de backup rapporten na of hierin staat dat u een geslaagde backup heeft, en dat er geen fouten opgetreden zijn tijdens het backup proces.
Wat moet ik doen wanneer mijn antivirus software een ransomware infectie aantreft op mijn computer?
Dit is helaas altijd een scenario dat u van tevoren in gedachten paraat moet hebben. Dit is met name zo omdat tijd en reactiesnelheid van groot belang zijn.
Leest u altijd virusmeldingen aandachtig door, maak desnoods een foto met uw mobiele telefoon van de melding. Dit kan altijd sneller dan het doorlezen ervan, dus is zeker aan te raden.
Ransomware versleutelt en beschadigt al uw bestanden en gegevens. Weest u zich hier bewust van. Het wijzigen van alle bestanden door een virus kost echter tijd. Dus het is zeer belangrijk dat de geïnfecteerde PC zo spoedig mogelijk na constateren van een infectie afgesloten wordt. Sluit u de PC op normale wijze af. Doet u dit wel zo spoedig mogelijk en laat de PC in kwestie hierna ook uit. Koppel desnoods alle kabels af en leg de stroomkabel weg zodat niet per ongeluk iemand anders de PC kan aanzetten.
Indien er binnen uw computernetwerk een virus is aangetroffen door antivirus software mogen vanaf het netwerk geen documenten en/of programma’s meer worden geopend. Er is namelijk een reële kans dat er reeds bestanden op het netwerk geïnfecteerd zijn en dus andere PCs door deze bestanden kunnen worden besmet met hetzelfde virus. Bij infecties op één PC moeten alle PCs in uw netwerk worden gecontroleerd. Voordat dit gebeurd is mogen geen documenten meer worden geopend en geen programma’s meer worden opgestart.
Ook mag u de backup unit niet meer verwisselen. Dit zou immers het risico met zich meedragen dat ook een goede backup wordt versleuteld door ransomware en dus onbruikbaar wordt. Uw backups zijn uiterst belangrijk en dienen offline te blijven tot alle sporen van infecties verwijderd zijn van uw netwerk. Koppelt u voor de zekerheid ook eventuele nog aangesloten backup units direct na constateren van een virus af.
Na welk infectie incident dan ook dient een PC altijd te worden nagekeken door een ervaren ICT expert. Aansluitend kan dus ook een controle van andere PCs noodzakelijk blijken. Knaap IC helpt u graag bij het herstellen van uw PC(s) en de software hierop.
Ook indien u twijfelt over een afdoende backup scenario en graag een extra controle en aanvullend advies hierover wenst kunt u gerust contact opnemen.
Links en referenties:
https://community.spiceworks.com/topic/1994770-wannacrypt-resources
https://community.spiceworks.com/topic/1995222-wannacry-ransomware-windows-kb
https://www.eset.com/ca/about/newsroom/corporate-blog/what-you-need-to-know-about-wannacry/
De informatie zoals beschikbaar gesteld op deze website is puur informatief bedoeld en met de uiterste zorgvuldigheid samengesteld. Voordat u eventuele tips en advies op deze website uitvoert moet u zich wel bewust zijn dat dit ten alle tijde geheel voor uw eigen risico is, Knaap IC kan hiervoor geen aansprakelijkheid accepteren. Het is niet toegestaan zonder uitdrukkelijke toestemming van Knaap IC kopieën te maken en/of te publiceren van de tekst en informatie op deze website. Vindt u de informatie nuttig en wilt u deze onder de aandacht brengen bij bezoekers van uw eigen website of blog, verzorgt u dan uitsluitend een link naar de betreffende pagina. Windows is een geregistreerd handelsmerk van Microsoft Corporation.