5 vragen over de nieuwe ransomware Petya
Het nieuwe gijzelvirus Petya maakte honderdduizenden slachtoffers in een dag. Wat moet je over de nieuwe ransomware weten?
Lees ook: Mega-schade Nederlandse bedrijven door ransomware
Petya is dinsdagmiddag voor het eerst verspreid. Dat begon bij een Oekraïens bedrijf dat boekhoudsoftware maakt, stelt de Oekraïense cyberpolitie. Alle klanten werden geïnfecteerd. Daarvandaan is het naar andere computers verspreid. Het bedrijf ontkent dat. Oekraïne is het land dat het hardst is getroffen door Petya: banken, energiebedrijven, openbaar vervoer en zelfs een systeem dat omgevingsstraling bij de kerncentrale Tsjernobyl monitort zijn slachtoffer van de ransomware.
Hoe verspreidt het zich?
Het virus maakt gebruik van drie methoden om zich te verspreiden. Allereerst wordt de malware verspreid via het lek in SMB (Windows-protocol voor delen bestanden) waar ook het Wannacry-virus gebruik van maakte. Daarnaast verzamelt de ransomware admin-wachtwoorden van besmette computers, om vervolgens met deze gegevens toegang te krijgen tot andere systemen. Ten slotte maakt Petya misbruik van PsExec, een Windows-protocol waarmee je andere systemen kunt besturen. PsExec wordt vaak gebruikt om de IT-afdeling op afstand toegang te geven tot je pc.
Ook al zou je de laatste Windows-updates hebben geïnstalleerd, dan nog kun je besmet raken. Dit moet dan wel gebeuren door bijvoorbeeld een malafide mailbijlage te openen: een bekende methode om ransomware te verspreiden.
Wie zijn de slachtoffers?
Dat zijn vooral bedrijven. Een lijstje: containergigant APM Maersk, koeriersdienst TNT, medicijnfabrikant MSD, advocatenkantoor DLA Piper, reclamebureau WPP, staalfabrikant Evraz, oliefabrikant Rosneft en verschillende Amerikaanse ziekenhuizen.
Petya lijkt ook specifiek gericht op bedrijven. Zo versleutelt de ransomware geen foto's en video's, maar wel zip-bestanden, pdf's en databases. Bij beveiligingsbedrijven zijn vooralsnog geen meldingen van getroffen consumenten.
Krijg je je bestanden terug als je betaalt?
Simpel gezegd: nee. Het mailadres waar je naartoe moet mailen om te bevestigen dat je hebt betaald, is door de mailprovider afgesloten – tot grote ergernis van slachtoffers.
Hoe krijg je je bestanden dan terug?
Petya infecteert computers en laat ze vervolgens opnieuw opstarten. Tijdens dat proces toont de computer een scherm waarop staat dat een deel van harde schijf moet worden gerepareerd. In werkelijkheid is de ransomware alle bestanden aan het versleutelen.
Het belangrijkste is om de computer na de infectie niet opnieuw op te starten, maar gewoon uit te laten. Je kunt dan via een externe machine of de Windows-cd weer toegang krijgen tot je bestanden.
Ook is het mogelijk om de map C:\windows\perfc aan te maken. Als de ransomware deze map herkent dan worden je bestanden niet versleuteld, blijkt uit een analyse van beveiligingsbedrijf Symantec.
Inmiddels is het gros van de antivirusscanners geüpdatet met detectiemogelijkheden voor Petya. Dat geldt ook voor Defender, de gratis antivirussoftware die Microsoft met Windows-computers levert. De verwachting is dan ook dat het aantal infecties snel zal afnemen.
Wie zit er achter Petya?
Dat weten we nog niet, maar uit analyse van experts blijkt dat de ransomware erg goed in elkaar steekt. De manier waarop die zich verspreidt en aanvankelijk antivirusscanners om de tuin wist te leiden, geeft blijk van kennis en kunde.
Opvallend is het daarom ook dat de mogelijkheid om het losgeld te betalen zo slecht is geïmplementeerd. Doordat het mailadres is afgesloten, kunnen de criminelen geen versleutelde computers meer vrijgeven. En dat is nu juist waar het bij ransomware om te doen is.
Sommige beveiligingsonderzoekers stellen dan ook dat de ransomware niet is verspreid om geld te verdienen, maar om zo veel mogelijk schade aan te richten. Opvallend genoeg had Wannacry, de andere grote ransomware-uitbraak, ook al een bijzonder slecht betaalsysteem voor het losgeld.
Op dit moment onderzoeken beveiligingsbedrijven de programmeercode waarmee Petya is gebouwd. Daaruit zullen de eerste aanwijzingen komen die de ransomware koppelt aan bijvoorbeeld een land of criminele hackersgroep.