Europol: bezorgdheid om nieuwe aanval ransomware

Politieorganisatie Europol is bang dat de wereldwijde aanval met de zogenaamde WannaCry-ransomware nog grotere vormen gaat aannemen. Beveiligingsonderzoekers zijn bang dat op maandag, wanneer de werkweek weer begint, de verspreiding grotere vormen gaat aannemen.

Dat zei topman Rob Wainwright in een gesprek met een Britse tv-zender, waarover de BBC rapporteert. Hij spreekt van een 'aanval zonder precedent', die waarschijnlijk in de komende dagen nog verder gaat escaleren. Een van de redenen is dat maandag de werkweek begint, en werknemers waarschijnlijk in phishing-mailtjes zullen trappen, waarmee zij slachtoffer kunnen worden van de ransomware.

Volgens Wainwright zijn er inmiddels meer dan 200.000 besmettingen geconstateerd met de ransomware, verspreid over meer dan 150 landen. Vooralsnog is Nederland weinig geraakt door de malware, al bleek zaterdag dat de parkeergarages van Q-Park te maken hebben gekregen met niet-functionerende toegangspoortjes en betaalterminals. Alhoewel getroffenen moeten betalen om weer toegang te krijgen tot hun bestanden, zouden volgens Interpol 'verrassend weinig' mensen daadwerkelijk tot betaling zijn overgegaan. De eerste inschattingen spreken van enkele tienduizenden euro's die naar de criminelen zijn gevloeid.

Er zijn vermoedens dat de vrijdag ontdekte Wana Decrypt0r 2.0-ransomware gebruikmaakt van een exploit uit het arsenaal van de NSA. Hacktools van de Amerikaanse inlichtingendienst zijn enige tijd geleden gestolen en gepubliceerd op internet. Dit weekend bleek ook dat er een killswitch is ingebouwd waarmee de aanval voorlopig was te stoppen. De vrees is echter dat er een nieuwe aanval wordt gepland met een nieuwe versie van de ransomware waarin deze killswitch niet langer is ingebouwd. Microsoft heeft een patch uitgebracht voor de getroffen besturingssystemen, waaronder Windows XP, waardoor zij niet langer vatbaar zijn voor infecties.

Door RoD

Admin Mobile

Feedback • 14-05-2017 13:24194

14-05-2017 • 13:24

194 Linkedin Whatsapp

Lees meer

WannaCry-ransomware in 150 landen

15 mei 2017

WannaCry-ransomware in 150 landen

Wat maakt deze variant anders?

283
Interpol haalt duizenden online nepapotheken offline en ziet meer coronamisbruik
Interpol haalt duizenden online nepapotheken offline en ziet meer coronamisbruik Nieuws van 8 juni 2021
Interpol pakt drie Indonesiërs op voor verspreiden van Magecart-skimmermalware
Interpol pakt drie Indonesiërs op voor verspreiden van Magecart-skimmermalware Nieuws van 27 januari 2020
Interpol houdt grote politieactie in Zuidoost-Azië tegen cryptojacking
Interpol houdt grote politieactie in Zuidoost-Azië tegen cryptojacking Nieuws van 10 januari 2020
Europol: RAT-malware werkt niet meer na gecoördineerde politieactie
Europol: RAT-malware werkt niet meer na gecoördineerde politieactie Nieuws van 5 februari 2018
'Aantal ongerichte en gerichte aanvallen met ransomware neemt toe'
'Aantal ongerichte en gerichte aanvallen met ransomware neemt toe' Nieuws van 26 juni 2017
Zuid-Koreaans hostingbedrijf betaalt bijna 1 miljoen euro door ransomware
Zuid-Koreaans hostingbedrijf betaalt bijna 1 miljoen euro door ransomware Nieuws van 20 juni 2017
Politiediensten verrichten aanhoudingen bij Europol-actie tegen malwareplatform
Politiediensten verrichten aanhoudingen bij Europol-actie tegen malwareplatform Nieuws van 14 juni 2017
Techbedrijven sturen brief over hervorming surveillancewetgeving VS
Techbedrijven sturen brief over hervorming surveillancewetgeving VS Nieuws van 27 mei 2017
'Problemen rond internetbeveiliging zijn op te lossen, we doen het alleen niet'
'Problemen rond internetbeveiliging zijn op te lossen, we doen het alleen niet' Nieuws van 16 mei 2017
Onderzoekers vinden mogelijke link met Noord-Korea in WannaCry-malware
Onderzoekers vinden mogelijke link met Noord-Korea in WannaCry-malware Nieuws van 16 mei 2017
Microsoft: WannaCry toont gevaren opsparen kwetsbaarheden door overheden
Microsoft: WannaCry toont gevaren opsparen kwetsbaarheden door overheden Nieuws van 15 mei 2017
Ook Q-park krijgt te maken met aanval van ransomware
Ook Q-park krijgt te maken met aanval van ransomware Nieuws van 14 mei 2017
Beveiligingsonderzoeker vindt per toeval killswitch voor ransomware - update
Beveiligingsonderzoeker vindt per toeval killswitch voor ransomware - update Nieuws van 13 mei 2017
Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat - update
Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat - update Nieuws van 12 mei 2017
Meer producten en artikelen
Netwerk en systeembeheer Europol

IT-banen

Meer vacatures

Reacties (194)

-Moderatie-faq
194
190
96
15
1
81
Wijzig sortering
MaabuS
14 mei 2017 13:28
>> Dit weekend bleek ook dat er een killswitch is ingebouwd waarmee de aanval voorlopig was te stoppen

Het was toch een knullig geïmplementeerde sandbox-detectie die als "kill-switch" gebruikt kan worden en niet een ingebouwde kill-switch?

Maar goed, ik denk dat sysadmins er goed aan doen om de mailfaciliteiten maandagochtend even uit te zetten, tot een uurtje of 11. Dan eerst iedereen briefen en natuurlijk zelf eerst de spam verwijderen.

[Reactie gewijzigd door MaabuS op 14 mei 2017 13:32]

eltweako
@MaabuS14 mei 2017 13:35
Correct. Sommige sandbox implementaties resolven alle domeinnamen voor analyse (wat probeert de malware te communiceren met dit adres?). Voor de software lijkt het alsof het domein echt bestaat.
De malware probeert dus een niet bestaand domain te resolven, is er een reactie dan weet het dat de malware in een sandbox draait.

In dit geval probeerde de malware de domeinnaam iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com te bereiken welke niet zou moeten bestaan, en ging de malware er van uit dat hij in een sandbox zat als het domein wel bestond. Toen Malwaretech het domein registreerde leek het voor alle varianten alsof deze in een sanbox omgeving draaide en stopte deze met werken. Geen echte killswitch dus, maar wel de zelfde werking.

bron:
https://www.malwaretech.c...global-cyber-attacks.html

Het lijkt er op dat er al weer nieuwe varianten zijn welke een willekeurige domeinnaam genereren en/of niet meer controleren of ze in een sandbox draaien.
Edit 1:
Vals alarm, ik kan de berichten niet terug vinden. Ik verwacht deze varianten wel in de komende dagen.

Edit 2:
Edit: Zoals biglia aangeeft heeft het on-line gestaan maar zijn deze tweets verwijderd. (https://motherboard.vice....-struck-the-globe-is-back)

[Reactie gewijzigd door eltweako op 14 mei 2017 15:14]

knokki
@eltweako14 mei 2017 16:27
Wat ik niet begrijp is dat ondanks registratie van die domeinnaam het aantal infecties blijft toenemen als ik de site van malwaretech moet geloven. Door de kill switch onderneemt de worm toch geen actie?! Of zit daarin het verschil? Wel geïnfecteerd, maar geen versleuteling? Dan zou ik het kunnen begrijpen.
frozensky_
@knokki14 mei 2017 16:42
het is niet uitgesloten dat sommige systemen niet op internet zijn aangesloten. Een volledig aanname, maar in het geval van Q-park zou het kunnen zijn dat een intern systeem (eerder) is getroffen, en doordat deze zichzelf intern kan verspreiden over SMB, terecht komt bij de terminals 'op straat', welke wellicht geen routing naar het internet hebben (of een interne DNS server gebruiken) en dus de genoemde domeinnaam (killswitch) niet kunnen resolven, dus vrolijk doorgaan met files encrypten.
knokki
@frozensky_14 mei 2017 16:47
Ja, dat is een goede, maar ik zou zeggen dat-ie dan ook niet meerdere keren in de statistieken komt. Ik neem aan dat als een bedrijf wordt geraakt en daar staan 100 computers, het maar als 1 infectie telt.
Anoniem: 172410
@knokki14 mei 2017 20:27
Natuurlijk telt dat niet als één infectie. Ieder apparaat met een infectie is een infectie. Volgens jouw redenatie zou een enorm bedrijf met duizenden computers die besmet zijn één infectie zijn en de laptop van je moeder ook één infectie. Dat zou de boel uiteraard behoorlijk vertekenen :P
knokki
@Anoniem: 17241014 mei 2017 20:55
Je zal gelijk hebben, maar dan klinkt 200.000 infecties meteen niet meer als heel veel, zeker in de wetenschap dat thuisgebruikers (nog?) niet of nauwelijks geïnfecteerd zijn.

Deze is trouwens ook wel aardig: https://intel.malwaretech.com/pewpew.html Daar zie je "a live map which will display a blip every time an infected computer pings one of my tracking servers"
Meta3D
@Anoniem: 17241015 mei 2017 08:13
natuurlijk wel, het uitgaande ipadres van een lan telt als 1 infectie of daar nu 1 pc achter hangt of 10.000 ga je echt niet zien in de life tracker en die telt alleen unieke ip's
knokki
@Meta3D16 mei 2017 16:53
Gelukkig, dat was ook mijn gedachte.....
citegrene
@frozensky_14 mei 2017 23:20
Is de conclusie wel goed van de ontdekkers van de killswitch. Want degene die dus de killswitch resolven , dat zijn systemen die Wel besmet zijn, maar niet geencrypt.
De systemen die de killswitch niet resolven, en dus niet bekend zijn , zijn de systemen die er last van hebben. Het probleem is dus groter dan de systemen die de dns resolve doen.
BlackShadow
@knokki14 mei 2017 19:01
Systemen die naar internet connecteren via een proxy. Uit onderzoek blijkt dat de worm een rechtstreeks connectie opzet, wat dan niet lukt.
SunnieNL
@BlackShadow14 mei 2017 22:48
En daar zit het gevaar in. De live tracker laat alleen maar infecties zien die aankomen bij de sinkhole. Dat zijn systemen waar de malware verder niets gaat doen omdat hij het domein kan bereiken. Die systemen krijgen de malware waarschijnlijk via de SMB exploit of door aanklikken van mail met de malware er in.

De gevaarlijkste zijn de bedrijven met een proxy. De malware kan niet verbinden via de proxy en gaat daarom gewoon aan de slag met wat hij moet doen. Deze infecties worden dus niet geregistreerd.
friend
@SunnieNL14 mei 2017 23:23
Dan zou ik als adminitrator toch eventjes iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com in de DNS naar een lokale web server laten wijzen. Is toch niet te veel moeite?
Cis
@eltweako14 mei 2017 14:16
Het lijkt er op dat er al weer nieuwe varianten zijn welke een willekeurige domeinnaam genereren en/of niet meer controleren of ze in een sandbox draaien.
Heb je toevallig een bron daarvan?
biglia
@Cis14 mei 2017 14:48
https://motherboard.vice....-struck-the-globe-is-back
Update: Originally, this piece included quotes from a second security researcher who tweeted he had found samples without the so-called killswitch. The researcher has since deleted those tweets and Motherboard has removed them from the article. Another researcher confirmed they have seen samples of the malware without the killswitch.
eltweako
@biglia14 mei 2017 15:14
Bedankt, ik begin nog niet helemaal gek te worden dus.
Is een kwestie van tijd, gebruik deze tijd goed om je te "wapenen" tegen deze malware.
tom.cx
@eltweako14 mei 2017 17:46
Niet alleen deze malware maar alle malware. Er kunnen] meer varianten van ransomware komen die dezelfde of andere exploits gebruiken van de NSA tools. Het is denk ik alleen maar een kwestie van tijd.
Sieb2
@tom.cx14 mei 2017 17:54
Conclusie blijft nog altijd dat men dus niet zomaar op linkjes in de email klikt of attachments opent
sympa
@Sieb214 mei 2017 18:06
Die dingen zijn zo goed vermomd, dat je het een gebruiker eigenlijk gewoon niet kan aanrekenen.
Zoals laatst in Duitsland, een spearphishing campagne met een op naam gestelde brief, aangepaste functie, en een excel erbij met de payload.
"Open dan geen macro's" kan je stellen. Maar ik zou stellen: bouw die rotzooi niet in. Die beveiligde modus is leuk, maar als ik niet iets kan printen zonder die modus te verlaten :?
brammieman
@sympa14 mei 2017 18:38
Volgens mij kun je gewoon printen hoor, alleen niet met een button op de sheet zelf. Kan het mis hebben maar volgens mij doet ctrl+p en print via het menu het gewoon.
rotterdams
@brammieman15 mei 2017 05:25
Nee.
Kevke
@Cis14 mei 2017 14:19
Ja, hier ook nog niks over gehoord en ik zit er sinds vrijdag al bovenop..
eltweako
@Cis14 mei 2017 14:34
Ik wou hier een link plaatsen naar een discussie op een ander forum. Maar het lijkt er op dat deze verwijderd zijn. Waarschijnlijk vals alarm. Ik heb mijn reactie hierop aangepast.

Ik ga er wel van uit dat in deze varianten in de komende dagen verspreid gaan worden.
Erik-Hendriks
@Cis15 mei 2017 07:28
https://blog.comae.io/wan...nts-detected-b8908fefea7e
Alleen die werkt vooralsnog niet.
freaxje
@eltweako14 mei 2017 17:07
Dus de volgende malware schrijver zal een random gegenereerde url gebruiken.
Defo_
@eltweako14 mei 2017 17:51
Belangrijk om te beseffen is dat de meest secure netwerken geen http toegang naar buiten zullen toestaan en dat de "kill-switch"/anti-analysis code niet zal kunnen verbinden met dat domein. Tevens is mijn ervaring dat juist op deze netwerken software patches niet zo snel worden uitgerold.
Als bijv. een engineer zijn infected laptop in zo'n netwerk hangt dan gaat het los.
We gaan het zien als men weer aan het werk gaat..
r2504
@eltweako14 mei 2017 18:21
Ik las ergens dat indien je bedrijf een proxy gebruikt het ook nog steeds actief zou zijn... vermoedelijk tracht de code dus rechtstreeks naar buiten te gaan (en kijkt het niet naar de proxy settings) wat dan mislukt zodat het toch niet inactief is.
biglia
@eltweako15 mei 2017 10:50
Er zijn al nieuwe varianten ontdekt. Er is ook een nieuwe killswitch ontdekt, die ook weer geregistreerd is: https://blog.comae.io/wan...nts-detected-b8908fefea7e
henk717
@MaabuS14 mei 2017 13:34
Het was een website die op het moment dat de worm deze kon benaderen zijn verdere activiteiten kan stopzetten. Naar mijn weten kun je dit niet gebruiken als sandbox detectie gezien deze in de sandbox de website ook niet had kunnen bereiken. Ik vermoed dat het eerder gaat om een update mechanisme wat op deze manier pergeonluk is gesloopt of een daadwerkelijke killswitch.
Loggedinasroot
@henk71714 mei 2017 13:41
De malware vraagt om een reply van dat domein maar zal nooit een reply krijgen omdat dat domein niet geregistreerd is.

Sommige sandbox omgevingen geven wel een reply aan de software die daar binnen in draait.

Als het domein online is.. draait het niet in de "echte wereld"
Als het domein offline is.. draait het in de "echte wereld"

Uiteraard ging de schrijver er niet van uit dat iemand het domein ging registreren.

Op malwaretech kan je het met wat meer details teruglezen.
dimitrivisser
@henk71714 mei 2017 13:46
In een sandbox kan je een niet bestaand domein uiteraard makkelijk toch aanmaken. Op mijn mac is het 10 sec werk.
Goldwing1973
@dimitrivisser14 mei 2017 14:17
Windows ook,

c:\windows\system32\etc\hosts editten en het domein toevoegen met een bestaand IP erachter (b.v. 8.8.8.8, de DNS server van Google)
StGermain
@Goldwing197314 mei 2017 14:25
Het mag ook localhost zijn denk ik, het gaat er om of het bestaat of niet bestaat. Heeft natuurlijk nog weinig zin nu het domein ook werkelijk geregistreerd is.
Anoniem: 392841
@StGermain15 mei 2017 01:54
Hmmm... Heeft iemand dat al geprobeerd ergens? Eerste wat ik als blackhatter zou doen is bij dit soort dingen juist dat soort zaken 'vastzetten' zodat gebruikers daar niet mee gaan klooien om mijn virus/malware dwars te zetten. Maar gezien het feit dat de maker van WannaCry sowieso eea over het hoofd gezien zou het zomaar maar kunnen....
Vedette.
@Anoniem: 39284115 mei 2017 10:05
Sandbox detectie is een techniek om analyse van malware lastiger te maken. Er zullen niet veel gebruikers zijn die ransomware binnen krijgen, de sandbox detectie eruit patchen en het vervolgens nog een keer op hun eigen systeem draaien. 8)7
Anoniem: 392841
@Vedette.15 mei 2017 12:30
... Ik zie net dat ik niet goed had gelezen/iets was vergeten in mijn reply en vergeten was dat het om een sandbox ging...
xFeverr
@Goldwing197314 mei 2017 16:12
Na system32 moet je toch eerst de drivers-map kiezen?
aadje93
@xFeverr14 mei 2017 20:06
ligt aan je windows versie :)
xFeverr
@aadje9314 mei 2017 20:30
Ben ik benieuwd welke, want voor NT, 2000, XP, 2003, Vista, 2008, 7, 2012, 8 en 10 geld bovenstaande.
Devil N
@MaabuS14 mei 2017 13:35
Same difference in dit geval. Het was hoogstwaarschijnlijk inderdaad bedoeld als sandbox-detectie om analyse te bemoeilijken, maar omdat de check van maar één enkel hard-coded domeinnaam gebruik maakt, is het daarmee ook effectief een kill-switch.
SunnieNL
@Devil N14 mei 2017 13:38
Rare sandboxdetectie...
Als website bestaat, dan stoppen... in welke sandbox zou die website bestaan?

Edit: eltweako legt het goed uit. Weer wat geleerd :)

[Reactie gewijzigd door SunnieNL op 14 mei 2017 13:38]

goarilla
@SunnieNL14 mei 2017 19:47
Soms wil je het DNS gesprek kunnen volgen. Heeft iemand trouwens meer weet van
sandbox/debug omgevingen met die en andere nuttige functionaliteiten ?
Loggedinasroot
@MaabuS14 mei 2017 13:34
Dit kan alleen de schrijver zeggen denk ik. Die hoogstwaarschijnlijk wel gepakt gaat worden aan het aantal infecties te zien.
knokki
@MaabuS14 mei 2017 17:58
Maar het gaat toch helemaal niet om mails of spam? Het gaat als ik het goed begrepen heb om directe aanvallen op openstaande poorten waarbij een wormvirus wordt geïnstalleerd. Dus laat die mailfaciliteiten maar zitten, patchen die handel als dat nog niet gebeurd is. En ik neem aan dat de computers bij de meeste bedrijven gewoon zijn blijven draaien in het weekend, dus maakt het ook niks (nou ja, weinig dan) uit of je alsnog de hele handel plat legt. Als je nog niet geïnfecteerd bent, is de kans klein dat het nou net gebeurt als iedereen binnen is. Maw, in de tijd tot de patch geïnstalleerd is.
Het is trouwens opvallend dat er tot nu toe zo goed als geen thuisgebruiker geïnfecteerd lijkt te zijn. Daar hoor ik iig niks over. Op BleepingComputer is er zelfs sinds 5 mei maar 1 post geplaatst en dit is toch wel de plek waar particulieren in paniek naar toe rennen om om een decryptor te vragen.
Heel interessant allemaal.
Z80
@knokki14 mei 2017 20:06
Ja en Nee. Er is mail in omloop met de worm als attachment voor de verspreiding over internet. Eenmaal binnen de muren van de firewall/router zal de verdere verspreiding via de SMB gebeuren.
De constructie de de meeste wormen gebruiken.
knokki
@Z8014 mei 2017 20:09
Dat begrijp ik, maar volgens mij is er nog geen aanval bekend van WannaCry via een e-mail oid. Dus mijn vraag blijft....
Z80
@knokki14 mei 2017 20:13
Ik mag hopen dat de systemen die nu getroffen zijn niet direct aan internet hangen.
De SMB poorten zet je normaal gesproken niet open voor de buitenwereld.
knokki
@Z8014 mei 2017 20:44
Dacht dat Windows Firewall SMB verkeer by default blocked.
DealExtreme2
14 mei 2017 14:04
Waarom noemt iedereen dit een aanval/attack? "Global Cyberattack Hits 150 Countries, Europol Chief Says". We noemen het toch ook geen Ebola aanval, maar een Ebola outbreak. Er wordt hier totaal random gezocht door de software naar kwetsbare machines, en de maker was uit op geld, niet op het lamleggen of wat dan ook. Als morgen Samsung's TV's op afstand door een virus met een ransom-payload wordt getroffen, is het dan ook een attack, of een virus outbreak?

Is het woord 'aanval' niet wat foutief suggestief, en zou 'uitbraak' of 'besmettingen' niet meer de lading dekken? Beide zijn niet 100% correct, maar mij lijkt aanval zo overdreven. Of weet iemand een beter woord?
Mr777
@DealExtreme214 mei 2017 14:34
Typische sensatiezucht van de media. Let ook op de foto's die vaak bij dit soort artikelen geplaatst worden. De BBC zet er een jonge knaap met een hoodie bij, zijn gezicht vermomd door groene cijfertjes à la Matrix. Anderen tonen een duister kamertje met dreigende handen boven een toetsenbord enz. Los van het feit dat dit inderdaad een ernstige zaak is, is dit natuurlijk gewoon pure brainwashing en bangmakerij.
Daniel_Elessar
@Mr77714 mei 2017 15:07
Ja die foto's zouden beter kunnen. Maar ergens ís het wel degelijk een aanval. Deze exploit wordt door iemand of meerdere personen ingezet om slachtoffers te maken. Dan spreken we van een aanval en dekt zo'n stomme foto misschien wel de lading. Al is het erg fantasievol.
Anoniem: 300525
@DealExtreme214 mei 2017 14:20
Wanneer een virus 'ingezet' wordt als aanvalsmiddel, kan wel degelijk gesproken worden over 'aanval'. Hoe dat virus dan vervolgens de kwetsbare systemen detecteert en infecteert, lijkt me niet zo relevant voor de woordkeuze in die gevallen.
Timoo.vanEsch
@Anoniem: 30052514 mei 2017 21:56
wat is dan het doel?
Als het virus het middel is en geld het doel, is het dan wel een aanval?
Dan lijkt het me meer een overval. Of, zoals hierboven gesteld, een uitbraak.
eltweako
@DealExtreme214 mei 2017 14:58
Ebola is een virus dat op zichzelf staat, niemand heeft er baat bij en er is niemand die Ebola op iemand "afstuurt".
WannaCry is door iemand gemaakt en bewust op systemen afgestuurd. Er is ook iemand die er baat bij heeft zodra mensen het losgeld betalen.

In dit geval is het dus geen uitbraak maar een daadwerkelijke aanval van een persoon of groep welke computersystemen aanvalt om hier zelf beter van te worden.
Timoo.vanEsch
@eltweako14 mei 2017 21:57
Volgens mij noemen wij dat wat je hier beschrijft een overval [robbery], geen aanval [attack].

Maar goed, rudimentair taalgebruik in de media schotelt ons inderdaad een 'aanval' voor. Kan zijn dat dat de definitie gaat blijven, kan ook zijn dat we ransomware als overvallen en de daders erachter als overvallers gaan bestempelen. Of wellicht als gijzelnemers.

[Reactie gewijzigd door Timoo.vanEsch op 14 mei 2017 21:59]

TJRef
@DealExtreme214 mei 2017 16:27
Het is toch daadwerkelijk een aanval. Het woord dekt de lading en het gevaar.
Dit is een zelfverspreidende vorm van malware. Andere malware wordt meestal actief verstuurd om mensen te lokken. Maar dit zoekt bekende gaten in systemen en stuurt zichzelf actief door naar een volgend systeem. Het schakelt elk systeem uit in principe, garantie tot decryptie heb je niet als je betaalt. Hoofddoelen zijn bedrijven met grotere netwerken met achterstallig onderhoud en naïeve werknemers. Slagingspercentage van infectie BEWUST hoog, met vooraf te voorspellen gevolgen voor dingen die niet alleen invloed hebben op inkomsten van een bedrijf. Wetende dat overheidsinstellingen, ziekenhuizen, noodvoorzieningen etc lam komen te liggen.

Het is een aanval. Geen eufemisme voor nodig, dit is ernst.

Hopelijk schudt het mensen ook eens wakker en zien ze wat de echte gevolgen zijn in plaats van naïviteit voorop te stellen en een vals gevoel van onaantastbaarheid te laten voortbestaan.

Het is net zo triest als een gevaarlijk kruispunt waar mensen pas als er echt iets misgaat actie ondernemen om het veiliger te maken.
CivLord
@DealExtreme215 mei 2017 10:46
Ebola is niet door iemand gemaakt om mensen te doden. Het is in de natuur ontstaan.
WannaCry is wel door iemand gemaakt om computers te gijzelen.

Wanneer ik op de Dam met een pistool in wilde weg om me heen ga schieten, wordt dat ook een aanval genoemd, zelfs wanneer ik niet bewust op bepaalde voorbijgangers mik.
__Rza
14 mei 2017 16:46
Mijn klant zijn server was aangetast. De infectie gebeurt zonder interactie van de gebruiker. Restore gedaan, de volgende dag terug geïnfecteerd. Terug restore gedaan, onmiddellijk Windows Update gedaan en nu al drie dagen geen infectie.
Dus servers zo snel mogelijk updaten.
Blokker_1999
@__Rza14 mei 2017 17:22
Dan zit er in zijn netwerk nog ergens een pc met infectie. Opsporen die handel.
innerchild
@Blokker_199914 mei 2017 20:59
Hoeft toch niet ? Mogelijk kan er een stukje intelligentie in de worm geschreven zijn.
Bv :

- Worm scant ip adres
- Ziet dat deze kan infilteren
- Stuurt info terug aan de command server met ip en ok
- Vervolgens word de computer gegijzeld
- Software stuurt steeds een ack naar de command server
- Zodra er geen antwoord komt, wordt het ip in kwestie weer benaderd om een herstelde computer opnieuw te besmetten

Even simpelweg opgeschreven..
Niet Henk
@innerchild14 mei 2017 23:21
Het idee is dat de worm zich of via phishing mails met executables, of via SMBv1 verspreid. Ik ga ervanuit dat __Rza gezorgd heeft dat SMBv1 niet benaderbaar is via het publieke internet (zoals standaard is, je wil nooit dat SMB benaderbaar is via internet). Als er dan een herinfectie is zonder gebruikersinteractie, moet er dus een computer in hetzelfde lokale netwerk zitten die geïnfecteerd is.
Anoniem: 392841
@Niet Henk15 mei 2017 01:45
Tenzij ik me heel erg vergis, gebruikt de ransomware onder meer de poortscan techniek om zwakke plekken op te sporen en infecteert via daar als de poort aan de eisen voldoet.

Daarnaast installeert de ransomware ook DOUBLEPULSAR als het nog niet erop staat. DOUBLEPULSAR is een soort van worm/doorgeefluik die echter niet zichzelf permanent vastzet (waardoor het dus vlugger eraf gegooit kan worden, maar ook moeilijker opspoorbaar is). Het betekend dat WannaCry (dat zichzelf ook in een netwerk verspreid als het kan) altijd terug kan komen zolang 1 onderdeel van het netwerk een infectie van DOUBLEPULSAR heeft of de beveiliging niet op orde heeft.
DonLexos
@Blokker_199915 mei 2017 10:58
Ja of de server is op 1 of andere manier wel van buiten te bereiken. Een port scan alleen zal stranden in de router tenzij deze is geforward naar de server.
Anoniem: 310408
@__Rza15 mei 2017 09:35
Terug restore gedaan, onmiddellijk Windows Update gedaan en nu al drie dagen geen infectie.
Rijst de vraag waarom je die update niet al gedaan had.
234FaTaLiTy
@__Rza15 mei 2017 10:47
Niet toevallig RDP openstaan ? ;)
SunnieNL
14 mei 2017 13:31
Dus systeembeheerders in de wereld:
- installeer de patch op alle pc's
- zet smb1 uit
- isoleer de XP machines binnen het netwerk

En stuur al je werknemers naar huis om te voorkomen dat er iemand op een phisingmail klikt :)

Overigens geloof ik niet dat NL er geen last van gaat hebben. De overheid in Nederland werkt niet op vrijdag, dus die gaan allemaal nog aan t werk terwijl de malware mogelijk al op hun systemen sluimerd. En ik denk dat er maar weinig systeembeheerders zijn die dit weekend de patch al hebben geïnstalleerd.
eltweako
@SunnieNL14 mei 2017 13:38
Het installeren van de patch en het uitschakelen van SMB1 zorgt er (helaas) alleen voor dat het virus zich niet over het netwerk kan verspreiden. De computers kunnen nog steeds geïnfecteerd worden en alle bestanden versleutelen als iemand een phishing mailtje opent.

Wat ook helpt is in je firewall alle TOR exitnodes als blocklist opnemen. De meeste malware, waaronder deze, maakt verbinding met een C&C server om een key te krijgen voor het versleutelen van je data. Als deze niet bereikt kan worden gebeurt er verder weinig.
Lijst met tor exit nodes: https://www.dan.me.uk/torlist/ .
Het is geen garantie, maar alle beetjes helpen.
SunnieNL
@eltweako14 mei 2017 13:40
Beste methode in dit geval is whitelisting, dan kan de malware gewoon niet starten. Dat implementeer je echter niet in een paar uur helaas.
Blokker_1999
@SunnieNL14 mei 2017 13:57
Er wordt binnen bedrijven nog veel te weinig gewerkt met lijsten van toegestane executables en dat is spijtig. Het zou in professionele omgevingen zoveel problemen kunnen voorkomen.
Anoniem: 129319
@Blokker_199914 mei 2017 15:55
Klopt volledig, de functie zit zelfs standaard in de Windows policies als ik mij niet vergis? Gewoon alle .exe's oplijsten die de werknemers mogen gebruiken en klaar.
sympa
@Anoniem: 12931914 mei 2017 18:07
Gebruiken ze dan niet powershell, of IE of whatever om javascript te executen of zo?
BeosBeing
@Blokker_199915 mei 2017 13:37
Er wordt binnen bedrijven nog veel te weinig gewerkt met lijsten van toegestane executables en dat is spijtig. Het zou in professionele omgevingen zoveel problemen kunnen voorkomen.
En dan blijken toch best wel veel gebruikers extra applicaties te gebruiken, ook gewoon gekochte pakketten, en moet je weer een procedure in het leven roepen om die applicaties ook te whitelisten. Van die applicaties komen er trouwens weer updates, die moet je ook whitelisten en zo wordt het beheer een onoverzichtelijke brij.

Ja whitelisten is in sommige situaties zeker aan te bevelen, maar het is zeker geen fits-all-oplossing.
Bl@ckbird
@SunnieNL14 mei 2017 17:17
Als whitelisting grootschalig gebruikt gaat worden, zal malware zich op bestaande applicaties richten. (Zoals Word of Excel.) Op de lange termijn is whitelisten geen oplossing: Het geeft zelfs een gevoel van schijnveiligheid.
SunnieNL
@Bl@ckbird14 mei 2017 20:05
Het is een extra layer boven op bestaande security. Puzzel stukjes die te samen een security vangnet vormen.

En bestaande apps targeten doen ze al, de malware komt niet voor niets binnen.
kidde
@eltweako14 mei 2017 14:32
Het installeren van de patch en het uitschakelen van SMB1 zorgt er (helaas) alleen voor dat het virus zich niet over het netwerk kan verspreiden. De computers kunnen nog steeds geïnfecteerd worden en alle bestanden versleutelen als iemand een phishing mailtje opent.
?? Volgens Kaspersky:
"Our analysis indicates the attack, dubbed “WannaCry”, is initiated through an SMBv2 remote code execution in Microsoft Windows. This exploit (codenamed “EternalBlue”) has been made available on the internet through the Shadowbrokers dump on April 14th, 2017 and patched by Microsoft on March 14."
https://securelist.com/bl...tacks-all-over-the-world/

Volgens Microsoft:
To exploit the vulnerability, in most situations, an unauthenticated attacker could send a specially crafted packet to a targeted SMBv1 server.
https://technet.microsoft...ty/ms17-010.aspx#ID0ERPAG

Dit lijkt te betekenen dat er geen phishing mail nodig is, als de SMB poorten openstaan en SMB niet gepatcht kan je inbreken, of mis ik iets?

[Reactie gewijzigd door kidde op 14 mei 2017 14:33]

eltweako
@kidde14 mei 2017 14:37
Nee, je hebt het juist.
Met de exploit kan een computer welke niet gepatched is zonder interactie van de gebruiker geïnfecteerd worden.
Wat ik met mijn reactie aangeeft is dat als het systeem gepatched is, je alsnog d.m.v. een phishing mailtje geïnfecteerd worden. Op het moment denken veel mensen dat het virus niet werkt als je systeem gepatched is.
Terrestrial
@eltweako14 mei 2017 15:24
Nee! Dat phishing mailtje werkt alleen als je beheerders rechten hebt en niet gepatched bent, geen anti-virus/antimalware software draait en zo dom bent om die bijlage te openen.

Eigenlijk best een lijst dus en dat geeft meteen aan hoe slecht het gesteld met de generieke beveiliging van deze netwerken. Laat ze aub allemaal besmet raken, misschien leren ze daarvan.

Gelukkig zijn er ook nog bedrijven die nergens last van hebben en hun spulletje wel voor mekaar hebben. Een simpele waarschuwing naar de werknemers met wees voorzichtig wat je opent is dan voldoende. Trouwens de mailserver kan dit soort rommel ook nog uitfilteren.
eltweako
@Terrestrial14 mei 2017 15:28
Voor ransomware heb je geen beheerdersrechten nodig, en patches zorgen er alleen voor dat exploits extern niet werken. Als iemand nietsvermoedend de factuur opent waar hij/zij op zat te wachten kan het zo zijn dat alles versleuteld wordt. Helaas is anti-virus software er vaak te laat bij.

Ransomware kun je niet altijd voorkomen, daarom zijn back-ups zo belangrijk.

Video waarin WannaCry uitgevoerd wordt in een up-to-date w7 systeem:
https://www.youtube.com/watch?v=fkF4IVW5xiQ&t=0s

[Reactie gewijzigd door eltweako op 14 mei 2017 15:30]

SuperDre
@eltweako14 mei 2017 16:33
En het probleem met ransomware is wel vaak dat die niet meteen zijn gezicht laat zien, maar eerst een paar dagen/weken in de achtergrond draait om zo te zorgen dat ook je backups fubar zijn.
justinwolter
@eltweako14 mei 2017 18:27
Ik backup het meeste met een cloudopslag. Dan is het altijd real time gebackuped en kan je een versie terug.
mjz2cool
@justinwolter15 mei 2017 10:34
de versleutelde bestanden worden dan ook geupload, en niet alle cloudopslag providers ondersteunen bestandsgeschiedenis.
justinwolter
@mjz2cool15 mei 2017 10:50
Maar die ik gebruik wel ;) en het is dan geen ramp als de versleutelde bestanden worden geupload. En in het andere geval trek je je internetkabel eruit als je het (optijd) merkt en dan kan je alleen maar hopen dat hij nog niet alles heeft geupload naar de cloud.
mjz2cool
@justinwolter15 mei 2017 10:55
als die bestandsgeschiedenis betrouwbaar is dan gaat dat wel goed ja, maar bij onedrive bijvoorbeeld vind ik het niet zo betrouwbaar
justinwolter
@mjz2cool15 mei 2017 12:51
onewatte? die ene wat van dat besturingssysteem is, perfect geintegreerd zou kunnen zijn maar vaak niet synced of update? Ik gebruik er meerdere trouwens, voor muziek fotos en bestanden alle 3 een andere.
SunnieNL
@eltweako14 mei 2017 20:10
Wannacry wordt hier wel uitgevoerd met admin rechten en uac uit.
Het eerste wat het namelijk doet is icacls en attrib gebruiken om de security op bestanden naar beneden te trekken. Daarna start het cmd.exe om shadowcopies uit te schakelen. Icacls en die cmd vereisen admin rechten en triggeren op een normaal systeem een uac melding. Daarnaast wordt er geschreven in hklm wat ook een uac trigger is.
eltweako
@SunnieNL14 mei 2017 20:38
Ik zou wannacry zelf moeten uitvoeren om te weten wat het precies doet zonder admin rechten.
Ik verwacht dat het net zoals andere ransomware varianten alleen bestanden versleuteld waar de gebruiker rechtstreeks toegang tot heeft. De UAC zal zeker getriggerd worden voor de door jou genoemde stappen.
mjz2cool
@Terrestrial15 mei 2017 10:30
dat phishing mailtje zal altijd werken ongeacht je rechten, het zal alleen je eigen bestanden versleutelen en andere bestanden waar je rechten op hebt. het is vermomd als een bestand wat je normaal ook opent. een virusscanner zal het niet zo snel als virus zien, als deze nog niet in de definities is opgenomen.

[Reactie gewijzigd door mjz2cool op 15 mei 2017 10:35]

PageFault
@kidde15 mei 2017 08:21
Ik zat al te zoeken op de updates, maar ik kon niks recents vinden. Jij bevestigt netjes in je quote dat dit al een tijdje gepatched is (indien je die updates hebt gedraaid).
kidde
@SunnieNL14 mei 2017 13:36
Hier staat hoe je SMB1 kan uitschakelen:

https://support.microsoft...,-and-windows-server-2012
denPes
@kidde14 mei 2017 14:26
Ik heb in mijn WIN7 pro, de "server" service disabled. Hiermee is volgens mij ook smb1 smb2 en 3 uitgeschakeld.

Dit kan je uiteraard enkel doen indien je geen files/printer sharing (op basis van windows specifieke protocollen) doet binnen je lokale netwerk.

Ik draai geen anti virus of defender plus k loop jaren achter op security patches.. Dus de enige bescherming die ik heb is alles wat ik niet gebruik, en gevaar kan opleveren te disablen. Maar ook met virus scanner is dit een goeie praktijk.

[Reactie gewijzigd door denPes op 14 mei 2017 14:32]

jurroen
@denPes14 mei 2017 14:46
Off topic, maar waarom gebruik je geen antivirus? Een AV vergroot de attack vector in sommige gevallen, maar er zijn ook prima on-demand oplossingen (zodat je geen on-access of pro-actieve AV of suite hoeft te gebruiken die altijd meedraait).

On topic, ik vind je gedachtegang interessant. Ik weet niet of het uitschakelen van SMB voldoende is om deze vulnerability te 'fixen'. Theoretisch kan het zijn dat het uitschakelen geen effect heeft op de werking van de exploit.
denPes
@jurroen14 mei 2017 20:02
Ik heb nooit AV gebruikt op win7, en ook geen defender. Ik ben van mening dat AV een lapmiddel is, en dat je beter de werkelijke oorzaken kunt aanpakken. ( niet als admin draaien, scripting host disablen, services disablen, netwerk protocollen, en alle functionaliteit waarbij windows zorgt voor hulp en automatisch gemak, etc etc etc. ). 'k gebruik wel de windows firewall voor IN en uitgaand verkeer.

het is gewoon een methode. Firewall + antivirus en laatste patches is ook een methode. Ieder zijn ding.

Volgens mij is het zo dat als je smb disabled, deze exploit niet meer gebruikt kan worden. En nog vele andere mogelijke exploits ook niet.
goarilla
@jurroen14 mei 2017 20:04
Off topic, maar waarom gebruik je geen antivirus? Een AV vergroot de attack vector in sommige gevallen, maar er zijn ook prima on-demand oplossingen (zodat je geen on-access of pro-actieve AV of suite hoeft te gebruiken die altijd meedraait).
Ze zijn traag, ze zijn invasief, ze adverteren erop los, ze herkennen 'system files', ze minen userdata, etc ...

Alsnog moet je vaak toch zelf de dinstinctie kunnen maken tussen false positive of niet. En een wansmakelijk en vooral verwarrend science-fiction thema helpt hierbij niet.
Anoniem: 636203
@SunnieNL14 mei 2017 14:01
Je kan XP ook gewoon patchen, dus er is geen reden om deze computers te isoleren. Tenzij de hackers een XP zero-day gebruiken, maar dat is nog niet aangetoond.
mutley69
@Anoniem: 63620314 mei 2017 16:34
XP is over & out - dat moet eruit. Dat had de les moeten zijn - idem voor Vista. Uw goedbedoeld advies kan net een averechts effect hebben dus. Nu brengt Microsoft nog even een fix uit - de volgende keer kan't anders zijn.
Carlos93
@mutley6915 mei 2017 00:24
Ik ben het met je eens hoor, probleem is vooral dat veel bedrijven gewoon niet over willen gaan omdat software pakketten niet meer beschikbaar zijn.
Ik zelf zou het wel weten, maar voor die bedrijven is het gewoon een kosten/baten analyse.
jimbo123
14 mei 2017 15:50
Welke extensie heeft de bijlage in de phishingmail eigenlijk? Is het een exe? Of iets van dotm ofzo?
wildhagen
@jimbo12314 mei 2017 15:55
Meestal zijn het ZIP-files met daarin een .exe (al dan niet met dubbele extensie) of tegenwoordig ook vaak ,js (Javascript) bestanden.

Hoewel ik even niet weet of dat in dit specifiek geval ook zo is, ik heb (gelukkig) nog geen email met deze ransomware ontvnangen.

En ja, het kan natuurlijk ook in Office-documenten verspreid worden (.docm, .xlsm etc).
Kevke
@wildhagen14 mei 2017 17:31
Ter aanvulling; Tot nu toe is er volgens mij geen enkel voorbeeld van een phishing mail welk deze malware verspreidt. Alleen mensen die er angstig voor zijn en voor waarschuwen.
BoringDay
14 mei 2017 13:41
Laat de NSA maar voor de schade opdraaien ... $$$
fsfikke
@BoringDay14 mei 2017 13:54
Als iemand jouw auto steelt en er een ramkraak mee pleegt zou jij ook de schade willen vergoeden?

Ik vraag me af of oplossingen zoals Advanced Threat Protection wat ze recent bij ons in gebruik hebben genomen nog het beste antwoord zijn op dit soort problemen.
bytemaster460
@fsfikke14 mei 2017 14:42
Dat is geen correct vergelijk.
De NSA gebruikt zwakke plekken in software om te kunnen spioneren terwijl men weet dat deze zwakke plekken enorm veel schade kunnen veroorzaken. Zwakke plekken moeten gewoon direct gemeld worden aan de softwaremaker zodat die ze kan dichten. Vroeg of laat worden overheden zelf slachtoffer van deze praktijken.
Je kunt het beter vergelijken met een situatie waarbij Justitie weet dat iemand een moord gaat plegen maar Justitie grijpt niet in omdat ze willen weten wie allemaal tot de kenniskring van de moordenaar behoort. Dat zou iedereen onacceptabel vinden, maar in de digitale wereld wordt dit gewoon geaccepteerd.
freaxje
@bytemaster46014 mei 2017 17:15
De politie weet dat er ergens een moordwapen ligt dat criminelen ook weten liggen, en justitie noch politie halen het wapen weg.
bytemaster460
@freaxje14 mei 2017 17:22
Ze weten niet alleen dat het er ligt maar maken er ook gebruik van dat het er ligt om het gedrag van mensen in de gaten te houden en nemen daarmee bewust het risico dat er een misdrijf gepleegd wordt.
OddesE
@bytemaster46014 mei 2017 18:30
De vergelijking gaat nog verder.

Men ontdekt dat het slot dat op vrijwel alle deuren van alle huizen in hun eigen land en in het buitenland zit gebreken heeft.
Men meldt deze gebreken niet.
Men licht het publiek niet voor over deze gebreken.
Men ontwikkelt, gebruik makend van die gebreken een loper waarmee men alle deuren kan openen.
Men laat deze loper in handen vallen van criminelen.
Criminelen gebruiken de loper om massale aanvallen mee uit te voeren
Ondanks dit alles vindt men het toch niet ironisch om zichzelf 'veiligheidsdienst\ te noemen.

Helaas is dit nog niet het ergste dat ze gedaan hebben. In dit geval maken ze gebruik van de gebreken in het product van een commercieel bedrijf. Maar die gebreken zijn niet hun schuld. We weten inmiddels echter dat ze ook zijn geïnfiltreerd in allerlei bedrijven om actief gebreken toe te voegen.

Analogie: infiltreren in de slotenmaker om actief gebreken in het slot toe te voegen dat op de deuren van alle panden in het eigen land zit en je dan veiligheidsdienst noemen...
bytemaster460
@OddesE14 mei 2017 18:42
Precies, en het is jammer dat een groot deel van onze volksvertegenwoordigers en bestuurders het gevaar er niet van inzien en willen instemmen met wetten die op dit gebied steeds verder gaan. Het middel wordt erger dan de kwaal.
CivLord
@OddesE15 mei 2017 10:22
Maar wie heeft nu de grootste schuld? Degene die als één van de weinige weet dat dat gebrek in die sloten zit, of diegene die dat gebrek aan de grote klok hangt?
BeosBeing
@CivLord15 mei 2017 13:46
Maar wie heeft nu de grootste schuld?
Goede vraag
Degene die als één van de weinige weet dat dat gebrek in die sloten zit,
Dat is niet één van de weinige, sterker nog hij gebruikt het en stelt het ter beschikking van de criminelen.
of diegene die dat gebrek aan de grote klok hangt?
Dat is in deze Shadowbrokers geweest die nu eigenlijk onbedoeld een grote held is geworden, net zoals Snowdon, en Wikileaks eerder.
CivLord
@BeosBeing15 mei 2017 13:58
Dat is in deze Shadowbrokers geweest die nu eigenlijk onbedoeld een grote held is geworden, net zoals Snowdon, en Wikileaks eerder.
Grote held? Daar zullen de bedrijven met gegijzelde PC's anders over denken. Zonder de publicatie door Shadowbrokers zaten zij nu niet met de gebakken peren.
BeosBeing
@CivLord15 mei 2017 14:09
Grote held? Daar zullen de bedrijven met gegijzelde PC's anders over denken. Zonder de publicatie door Shadowbrokers zaten zij nu niet met de gebakken peren.
Dan zijn ze kortzichtig want ook zonder shadowbrokers had deze exploit vroeg of laat misbruikt geworden. Waarschijnlijk zelfs door dezelfde malware.
CivLord
@BeosBeing15 mei 2017 14:41
Feit is dat ze nu met de problemen zitten. Kort na publicatie die extra aandacht op het lek heeft gevestigd.
eltweako
@fsfikke14 mei 2017 13:58
Het helpt, maar is niet de oplossing.
Als iemand binnen de organisatie (wellicht tegen de regels in) zijn privé webmail opent en daarmee malware binnen haalt, doet de ATP niets.
SuperDre
@BoringDay14 mei 2017 16:39
Tja of degene die de tools heeft gepubliceert, want die is er eigenlijk nog veel meer verantwoordelijk voor.
Nieuwevolger
14 mei 2017 13:39
Is er eigenlijk een voorbeeld hoe die fishingmail eruit zag? Ben wel benieuwd.
Anoniem: 636203
@Nieuwevolger14 mei 2017 14:00
Die is er niet, want het is waarschijnlijk zo dat de verspreiding niet via email ging. Dat had ik ook al eerder opgemerkt, vanwege de snelle verspreiding. Ik vermoed dat er nog een Windows zero-day gebruikt word,t maar men heeft dit nog niet kunnen aantonen.
Anoniem: 392841
@Anoniem: 63620314 mei 2017 14:13
Naast ETERNALBLUE maakt het ook gebruik van DOUBLEPULSAR - ten minste, zoiets las ik of op Twitter van een infosec specialist of een van de sites van infosec bedrijven... Ik weet ff niet meer precies waar - sorry
eltweako
@Anoniem: 39284114 mei 2017 14:53
DOUBLEPULSAR wordt diverse malen vermeld in de broncode van WannaCry (bron: https://gist.github.com/m...d5f0d8b760080640687e23d60).

Ook Cisco Talos (welke ransomware vaak erg uitgebreid analyseren, echt een aanrader) heeft vastgesteld dat DOUBLEPULSAR gebruikt wordt (bron: http://blog.talosintelligence.com/2017/05/wannacry.html).

DOUBLEPULSAR is een backdoor welke geinstalleerd kan worden met de ETERNALBLUE exploit. Als je meer informatie wilt over deze tools kan ik dit artikel van van dearbytes aanraden: https://www.dearbytes.com...d-with-nsa-hacking-tools/
daan4231
14 mei 2017 13:38
Hier was ik vrijdag al bang voor. Het virus werd natuurlijk pas eind de middag ontdekt. Voor veel mensen al weekend dus. Maandagmorgen gaat iedereen snel zijn mailbox doorspitten en is de kans groter dat je in de gauwigheid op een verkeerd mailtje klikt.

Dus inderdaad: patchen, patchen en nog eens patchen!
Anoniem: 636203
14 mei 2017 13:52
Ik vermoed dat de betalingen na het weekend komen omdat de besmetting vrijdag was. Veel bedrijven laten betaling uitvoeren door gespecialiseerde bedrijven, want zelf heeft men vaak geen Bitcoin account.

[Reactie gewijzigd door Anoniem: 636203 op 14 mei 2017 16:10]

biglia
14 mei 2017 14:50
Europol had misschien beter bezorgd kunnen zijn dat de NSA heel die tijd zeer eenvoudig toegang had kunnen verschaffen tot miljoenen pc's.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee