Waarschuwing: Ransomeware Petya Virusaanval

Zoals u wellicht via de media heeft vernomen is er een Ransomware virus actief onder de naam Petya. Zie hiervoor ook https://www.fox-it.com/nl/over-fox-it/corporate-nieuws/news/live-ransomware-peyta/. Het betreft hier een zeer agressief Ransomeware virus dat zich razendsnel verspreid via websites of email met hyperlinks en/of bijlagen waar verschillende bedrijven in Nederland door geraakt zijn. Let daarom extra goed op met het klikken op hyperlinks of bij het openen van bijlagen die deze ransomware zouden kunnen bevatten!

Het grote probleem van het virus is dat deze actief wordt op servers en lokale werkstations en zich direct
binnen uw netwerk probeert te verspreiden naar andere computers. Als het virus zichzelf vervolgens activeert worden alle geïnfecteerde computers (centrale servers en lokale werkstations) onbruikbaar en pas na betaling van Bitcoins worden systemen weer (gedeeltelijk) vrijgegeven voor gebruik. Betalen heeft geen zin omdat het betalingsverkeer is geblokkeerd door overheidsinstanties.

Back-up van cruciale dataPetya

Het is daarom nu extra belangrijk om alle back-ups van uw cruciale data en systemen na te gaan om er zeker van te zijn dat de back-ups goed lopen en daarom up to date en betrouwbaar zijn. Dit zodat data terug gezet kan worden als uw netwerk geraakt wordt door Petya Ransomware.

Speciaal team van BSU opgezet voor bestrijding kwetsbaarheden

BSU is woensdagochtend 28-6 met een speciaal samengesteld team aan de slag gegaan om de kwetsbaarheden bij klanten te identificeren. Alle klanten met kwetsbaarheden in hun netwerk zullen door ons benaderd worden om gepaste maatregelen te treffen.

Te nemen maatregelen:

• Patching; ervoor zorgen dat de besturingssystemen up to date zijn. Bij dit virus is dit geen garantie dat er geen besmetting plaats kan vinden.
• UAC inschakelen; dit is een mechanisme binnen windows dat aangeeft wanneer er iets geïnstalleerd wordt waar rechten voor nodig zijn. Hierdoor krijgt de gebruiker een melding om toestemming te geven als het virus zich probeert te activeren. Het nadeel hiervan is dat bepaalde ICT applicaties of gedeeltes daarvan toestemming nodig hebben of niet meer functioneren. Door het uitschakelen werkt WMI niet meer en dat gaat de verspreiding van het ransomeware virus tegen.
• SMBv1 uitzetten; dit is het protocol wat gebruikt wordt om het virus te verspreiden. Het grote nadeel hiervan is dat met name wat oudere softwarepakketten dit protocol gebruiken om te kunnen functioneren.
• Stop verspreiding / encryptie: maak een batch bestand aan met de volgende inhoud en voer deze uit als administrator:

del %WINDIR%\perfc.* /f
echo > %WINDIR%\perfc
echo > %WINDIR%\perfc.dat
echo > %WINDIR%\perfc.dll
attrib +R %WINDIR%\perfc.*
echo DONE

• Local admin rechten uitschakelen; vanuit de gebruikerssessie kan het virus niet de locale machine infecteren als de local admin rechten uit staan. Het nadeel hiervan is dat de werking van ICT applicaties beïnvloed kan worden waardoor ICT applicaties of delen daarvan niet meer werken.

Voor gedetaileerde info zie: https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/.

Voor vragen over de gang van zaken kunt u contact opnemen met onze service desk op nummer: 0413 – 24 33 33 (optie 1).