Om te huilen: WannaCry

Het is nauwelijks nieuws te noemen als ergens weer iemand in een phishing mail de bijlage opent en te laat beseft dat hij/zij slachtoffer is geworden van RansomWare. Een zéér vervelende variant van de ellende die via internet op gebruikers af komt. Toch was er dit weekeinde GROOT nieuws: Een nieuwe RansomWare variant…

Wat maakt WannaCry zo anders dan anderen? 

In de eerste plaats gaat het om de omvang van besmettingen. Cijfers spreken elkaar wat tegen, maar het lijkt er op dat het aantal besmette Windows machines richting de 250.000 gaat, en dat in slechts 2 dagen tijd, buiten werkdagen. Dat is véél, zeker als je in de overweging meeneemt dat het alléén gaat om machines die nog niet zijn voorzien van Windows 10 (Windows 10 blijkt namelijk ongevoelig voor deze RansomWare).

Een andere reden waarom WannaCry zo anders is, is gelegen in het feit dat encryptie van bestanden niet het enige doel is van deze malware. Dit is het eerste Crypto-virus dat actieve code heeft om ook andere computers in het netwerk te besmetten. Dat betekend dat je PC besmet kan worden ZONDER dat je zelf actief een foute mail opent, of besmette software installeert. Er is in het geheel géén gebruikers actie nodig om andere PC’s in het netwerk te besmetten. De eerste besmette PC (vaak laptops) krijgt uiteindelijk wel zijn payload op de gebruikelijke manier. Vooral gevoelig zijn daardoor bedrijven die laptops uitlenen aan personeel, waarna werknemers de laptop ook thuis of op andere plaatsen blootstellen aan besmetting.

Reden nummer 3: het lijkt er op dat de Amerikaanse NSA debet is aan de uitbraak. Deze Amerikaanse inlichtingen dienst heeft een exploit voor het door WannaCry gebruikte lek ontwikkelt. Deze Exploit is door de NSA gelekt (gestolen?) richting criminelen, en de NSA code is nu de basis van de Crypto-virus. Experts zeggen dat de gewoonte van inlichtingendiensten om exploits onder de pet te houden om te kunnen misbruiken voor offensieve doeleinden in plaats openbaar te maken voor defensieve doeleinden onderdeel is van het probleem. Als reactie op het lek bij de NSA zegt Microsoft president Brad Smith: “Repeatedly, exploits in the hands of governments have leaked into the public domain and caused widespread damage. An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen.”

Wat kun je doen om besmetting te voorkomen?

Patch, patch, patch… Microsoft heeft sinds 14 maart van dit jaar al een patch uitgebracht. Zelfs voor het niet meer ondersteunde Windows XP is een patch uitgebracht. Die patch moet dan wel toegepast worden! Dat wordt vaak niet of te laat gedaan. Bij veel bedrijven is het zelf beleid dat patches pas na een paar maanden worden toegepast, om te voorkomen dat een patch nieuwe problemen met zich meebrengt. In dit geval funest. PC’s met Windows XP zouden eigenlijk sowieso vervangen moeten worden.

Ander belangrijk aandachtspunt is een betrouwbare anti-virus voorziening. Gerenommeerde merken als ESET bijvoorbeeld hadden al binnen 2,5 uur na de uitbraak updates klaar liggen die het nieuwe virus herkennen en besmetting kunnen voorkomen. Bezuinig hier dus niet op, en neem geen genoegen met “gratis” virusscanners, dat is in deze tijden van crypto-virussen echt niet meer voldoende.

Besmetting via exploits van je besturingssysteem kun je als gebruiker verder weinig tegen doen. Maar er is altijd iemand het eerste in een netwerk. Verbind je mobiele apparaten niet zomaar met elk open wifi netwerk, zeker Windows laptops niet! Open géén bijlagen uit mailtjes met onzekere afkomst. Kijk vóór je een link volgt altijd naar de URL van die link, dat geeft een vrij grote zekerheid of dat adres daadwerkelijk toebehoort aan de organisatie die ze zeggen te zijn. Open Sowieso NOOIT zogenaamde facturen, pakbonnen of andere documenten waarvan niet duidelijk is dat het daadwerkelijk om een PDF gaat. Vaak noemen ze dat een ZIP of een factuur.pdf.exe, wat natuurlijk niet écht een PDF is. Bij twijfel is verwijderen veiliger dan openen…

Ben je toch besmet?

Dan is de enige juiste remedie uithuilen en opnieuw beginnen. Een goede backup is daarbij het halve werk, en eigenlijk de enige manier om weer snel aan de slag te kunnen. Sluit een backup op USB stick of drive NOOIT aan op een besmette PC, want dan is de backup ook meteen waardeloos. Laat eerst door een specialist vaststellen dat het virus correct verwijderd is.

Voor assistentie met goede antivirus, voorlichting over beveiliging, het inrichten van een goede backup en “slachtofferhulp” kunt u uiteraard terecht bij Timmermans IT. Bel: 0475 – 33 28 34