Ongeveer zes weken na de uitbraak van de WannaCry-ransomware, zijn bedrijven wereldwijd opnieuw getroffen door een grootschalige ransomware-uitbraak. Het gaat dit keer om een ransomware-exemplaar dat Petya, GoldenEye, ExPetr en ook NotPetya wordt genoemd.
Wat doet de ransomware?
In tegenstelling tot WannaCry die alleen bepaalde bestanden versleutelde, versleutelt Petya zowel bestanden als de hele harde schijf. Daardoor kan Windows niet meer worden gestart. Daarnaast probeert de ransomware zich verder op het netwerk te verspreiden.
Hoe kan je je tegen de aanval beschermen?
Veel ramsomware wordt verspreid via mailtjes met onbekende bijlages of bijlages met een aparte naam. Open GEEN onbekende mailtjes en/of vreemde bijlages. Verwijder deze mailtjes direct.
Installeer in ieder geval beveiligingsupdate MS17-010 van 14 maart. Daarnaast wordt aangeraden om de AppLocker-feature van Windows te gebruiken om het uitvoeren van bestanden met de naam “perfc.dat” te blokkeren, alsmede de PsExec-tool van de Sysinternals Suite. Verder wordt geadviseerd het SMBv1-protocol uit te schakelen.
Wat kunnen slachtoffers doen?
De ransomware begint niet meteen met versleutelen. Na de initiële infectie wacht de ransomware tussen de 10 en 60 minuten voordat de encryptie begint. Als slachtoffers in dit tijdsvenster de computer uitschakelen zijn de bestanden veilig. Daarnaast hebben slachtoffers nog een kans als de encryptie begint. De ransomware herstart namelijk het systeem en laat vervolgens een zogenaamde checkdiskmelding van Windows zien. Deze melding claimt dat de harde schijf is beschadigd en hersteld moet worden.
In werkelijkheid is dit het encryptieproces. Als gebruikers bij het zien van dit scherm de computer uitschakelen zijn de bestanden ook veilig. Experts stellen dat als de encryptie is voltooid het vooralsnog niet mogelijk lijkt om bestanden kosteloos te ontsleutelen, bijvoorbeeld door een fout in de gebruikte encryptieprocessen, zoals bij sommige andere ransomware-exemplaren het geval is geweest.