Ransomware Petya: Wat je moet weten over de tweede grote ransomware-aanval in korte tijd

SHA1-hashingalgoritme

Het was groot nieuws gisteren: wereldwijd werden systemen aangevallen door een nieuwe vorm van ransomware, Petya. Het virus vergrendelt computers en vraagt om losgeld. Maar wat is de impact nu eigenlijk en wat is er allemaal gebeurd?

Het lijkt er vooralsnog op dat de infectie begonnen is in Oekraïne. Daar werd het als eerste opgemerkt in de energie-, telecom- en mediasector, weet The Register. De computers bij bedrijven gingen op zwart. In beeld kwam een tekst waarin om 300 dollar losgeld werd gevraagd, uit te betalen in Bitcoins.

Bron van de verspreiding is onder meer MeDoc, stellen beveiligingsonderzoekers. MeDoc is boekhoudsoftware uit Oekraïne en veel van de bedrijven die in andere landen getroffen werden, lijken hier ook gebruik van te maken. Microsoft zegt dat het updateproces misbruikt werd om het virus te verspreiden.

Het duurde niet lang tot Petya ook in andere landen opdook. In Nederland zijn onder meer scheepvaartbedrijf Maersk, dochteronderneming APM Terminals en volgens RTL Nieuws ook koeriersbedrijf TNT getroffen. Mearsk heeft inmiddels via Twitter laten weten dat de systemen nog altijd plat liggen, maar dat het probleem geïsoleerd is en er naar een oplossing gezocht wordt.

Buiten Nederland zagen we infecties in onder meer Frankrijk, Spanje, India en Rusland. Zeker duizenden computers werden het slachtoffer, al zijn er nog geen officiële cijfers. Het overgrote deel van de slachtoffers zit in Oekraïne en Rusland.

Verspreiding

Petya verspreid zich op eenzelfde manier als WannaCry, de vorige wereldwijde ransomware-aanval. Is één computer in een netwerk het slachtoffer van Petya, dan verspreidt het virus zich automatisch naar de rest van het netwerk.

De malware maakt gebruik van hetzelfde lek als WannaCry deed, namelijk EternalBlue, dat gevonden werd door de NSA en door hen geheim werd gehouden. Dat lek werd echter in maart al door Microsoft gedicht met een update. Heeft een computer die update nog niet gehad, dan blijft deze kwetsbaar.

NotPetya

Opvallend genoeg is het helemaal niet zeker dat het wel om Petya gaat. Die malware werd begin 2016 voor het eerst opgemerkt in een aanval. Maar beveiligingsexperts twijfelen of het nu ook om een variant van de ransomware gaat. Zij stellen dat er wel elementen van Petya gebruikt worden, maar er ook allerlei nieuwe elementen in zitten. Om die reden noemen sommige onderzoekers de variant nu NotPetya.

NotPetya is volgens diverse experts veel geraffineerder dan de originele variant en WannaCry. Daarnaast wordt er wel om geld gevraagd, maar het ontvangen van losgeld lijkt niet het belangrijkste doel te zijn. Voor betalingen wordt gebruik gemaakt van één bitcoin-adres, terwijl er normaal gesproken voor iedere geïnfecteerde pc een apart adres aan wordt gemaakt, stelt een beveiligingsonderzoeker met de schuilnaam The Grucq.

Daarnaast zegt de aanvaller dat hij wil communiceren via een e-mailadres, maar dat adres werd binnen een paar uur geblokkeerd. Het ontgrendelen van bestanden na betaling van het losgeld is daardoor onmogelijk geworden. Met andere woorden: je bestanden krijg je niet terug. Naar alle waarschijnlijkheid is de ransomware dus ontwikkeld om snel veel schade aan te richten. Sommige experts zeggen ook dat de ransomware misschien alleen maar een manier was om het echte doel te verbergen.

Wie zit er achter?

Wie er precies achter (Not)Petya zit, is niet duidelijk. Beveiligingsonderzoekers speculeren dat een overheid verantwoordelijk kan zijn, maar dat is waarschijnlijk moeilijk te bewijzen.

Voor consumenten is er wel goed nieuws: de ransomware richt zich vooralsnog puur op het bedrijfsleven. Het virus wordt dus niet via het internet naar andere computers verspreid, wat met WannaCry wel het geval was. Toch is het goed om niet op verdachte links in e-mails te klikken of om bestanden uit e-mails van onbekende afzenders te openen. Daarnaast is het belangrijk om de laatste versie van Windows geïnstalleerd te hebben met alle bijbehorende beveiligingsupdates.

Mocht je toch het slachtoffer worden van Petya, dan is er nog wel iets wat je kunt doen. De ransomware infecteert een computer namelijk en wacht vervolgens ongeveer een uur voor hij deze opnieuw opstart. Als je computer opnieuw opstart en je het onderstaande bericht ziet staan, dan kun je de versleuteling van je bestanden voor komen door de stroom er af te halen. Vervolgens kun je proberen om de bestanden van je computer af te halen.