Nadat afgelopen jaar Petya en NotPetya een digitale ravage aanrichtten met hun ransomware aanvallen, is er nu opnieuw een ransomware virus ontdekt dat internationaal problemen veroorzaakt. Vermoedelijk zijn ook dit keer vliegvelden en openbaar vervoer netwerken getroffen: Het Oekraïense bureau CERT-UA heeft in een noodbericht aangegeven dat de luchthaven van Odessa en de metro in Kiev getroffen zijn door de aanval.

Het virus, Bad Rabbit gedoopt, werkt door middel van een drive-by aanval via geïnfecteerde websites. Het toont de gebruiker, wanneer deze de website opent, een pop-up die de gebruiker aanspoort om ‘install_flash_player.exe’ te downloaden en installeren. De gebruiker moet zelf hiervoor toestemming geven, maar zodra dit gedaan is, installeert het virus zijn eigen bootloader in het Master Boot Record (MBR) en plant het een reboot in. Zodra de computer opnieuw opstart, wordt er een bericht getoond op het scherm waarin losgeld geëist wordt. De computer is vanaf dat moment niet meer te gebruiken, tot het geld in de vorm van bitcoin wordt overgemaakt.

Wat kunt u doen?
Als uw computer besmet is geraakt met dit virus kunt u weinig doen. Op de website van de politie wordt geadviseerd om altijd aangifte te doen. Zij geven het advies om contact te zoeken met een erkend computerreparateur, om te kijken of er iets te doen is tegen deze ransomware aanval. Soms zijn er decryptie keys bekend die de computer weer kunnen ontgrendelen, waarna het virus verwijderd kan worden. De politie adviseert ook om niet te betalen, omdat dit niet de garantie geeft dat het virus verwijderd wordt, en het de criminelen de fondsen geeft om het virus verder te ontwikkelen of andere cyberaanvallen uit te voeren.

Voorkomen
U kunt een infectie met het virus voorkomen door goed op te letten op eventuele meldingen van een website. Omdat het virus handmatig moet worden geïnstalleerd, is het heel belangrijk om uw ogen goed open te houden. Klik nooit zomaar op een linkje of download-knop. Daarnaast kunt u uw Windows OS zo instellen dat de bestanden  ‘C:\windows\infpub.dat’ en ‘C:\Windows\cscc.dat’ niet worden uitgevoerd. Deze bestanden worden door het virus geïnstalleerd. Zorg er daarnaast voor dat uw virusscanner up to date is. Ook wordt er geadviseerd om WMI uit te zetten en Windows Defender Credential Guard aan te zetten.

Als u gebruik maakt van de Qualys Cloud Solution, kunt u met uw Vulnerability Management module uw netwerk scannen met QID 1043. Deze controleert naast de eerdergenoemde bestandsnamen ook op taken met de namen ‘Rhaegal’, ‘Drogon’, en ‘Viserion’. Deze taken worden ingesteld door het virus. De netwerkscanner werkt echter alleen als een geïnfecteerde computer nog niet opnieuw is gestart.

 

update 26-10:
De servers die Bad Rabbit verspreidden lijken door de hackers zelf offline te zijn gehaald, zo meldt de website Motherboard. Onderzoekers van meerdere security bedrijven, waaronder Avira, Kaspersky Labs en McAfee, hebben de verspreiding nauw in de gaten gehouden en zagen na de eerste twee uur een sterke afname in de mate van verspreiding. De impact van Bad Rabbit lijkt vooralsnog niet van hetzelfde niveau te zijn als Petya en NotPetya. Er is echter geen duidelijkheid over de reden achter het offline halen van de servers. Een security expert van EVET geeft daarom ook aan dat de servers ieder moment weer online zouden kunnen komen. Het is dus alsnog aan te raden om uw beveiliging up to date te houden.

Categorie  SSL & Security | Tags  Qualys virus vulnerability