Virusuitbraak WanaCry

De virusuitbraak WanaCry in een nutshell

Bent u getroffen door een virus, worm of andere MalWare zoals WanaCry?

Wij concentreren ons in dit artikel op een WanaCry virusuitbraak met een kort stappenplan (actieplan).
Buiten het kader van dit artikel zijn de preventieve maatregelen om de kans op besmetting te reduceren & te beperken.

Het WanaCry virus (eigenlijk een worm) is van het type "RansomWare" en versleutelt bestanden. Hieronder is een screenshot weergegeven van wat u te zien krijgt als u bent getroffen.

= = = = Toelichting screenshot = = = =

WannaCry virus RansomWare

Ziet u het bovenstaande scherm, dan is het eigenlijk game over! Uw PC of Server zit op slot en de kans dat u uw data terug krijgt is klein, erg klein. Nu de volgende vraag waar is mijn back-up en hoe oud is deze? Heeft een een recovery mechanisme dat werkt?

= = = = Einde toelichting screenshot WanaCry  = = = =

Bent u nog niet getroffen door dit virus. De Microsoft SCAM is de volgende val waar u in zou kunnen trappen (doelgroep consumenten en MKB). 

Stappenplan:

01. Nummer één wat u moet doen is de schade beperken! Dit is de PC of Server direct loskopplen van het netwerk!

Zit u in een bedrijfsnetwerk, PC / Server los koppelen van het netwerk en direct melden bij de centrale IT (urgent, helpdesk).

Zit u in een klein netwerk (thuis, MKB), PC / Server direct loskoppelen van het netwerk.

Dit was stap één.

02. Volgende stap is dat de andere systemen worden geisoleerd zodat verdere verspreiding van de MalWare zoals WanaCry niet mogelijk is. Dit is een bijzonder belangrijke stap. U kunt zo druk zijn met één systeem dat u vergeet dat de andere systemen ook gevaar lopen. En de kans is groot dat de andere systemen ook snel besmet raken. We gaan hier niet in op de technische kant. Dat doen we later in de zogeheten Post Mortum Analyze.

De snelste methode om een geinfecteerd systeem te isoleren inclusief alle direct aangesloten systemen (de buren) van dit systeem is om de netwerk switch uit te zetten of alle poorten dicht.

03. Nu moeten we de potentiële schade gaan inventariseren. Voor grotere organisaties is dit een afweging van veel facetten: Reputatieschade, beperking van productie, risico's, inventarisatie, kosten van opruimen en ontsmetten. Parallel hieraan dient het Business Contingency Plan (BCP) al in werking gesteld te zijn. Is een dergelijk plan niet aanwezig, dan is dit zeker een onderwerp dat op de agenda moet komen bij de volgende (directie)vergadering.

Kortom de volgende vragen en acties: wat is de schade, schade beperken en wat is de kwetsbaarheid die wordt gebruikt. Welke systemen kunnen we wel opnieuw starten zodat onze bedrijfsprocessen door kunnen gaan. Welke systemen kunnen we snel patchen of zijn er andere mogelijkheden zodat dit virus zich niet verspreid.

Bijzonderheden WanaCry

Het virus maakt gebruik van een  speciale website (domein dat /nog/ niet bestaat). Zolang het domein niet bestaat gaat de verspreiding verder. Toevallig is dit domein nu wel geregistreerd waardoor dit type virus stopt met de verspreiding. Grotere organisaties gebruiken een firewall om ongewenst verkeer te blokkeren. De spagaat die zij nu krijgen is: Dichtzetten en verdere verspreiding in het lokale netwerk of openzetten omdat je weet dat het virus dan niet verspreid omdat er een zogeheten KILL switch is ingeboud (en deze is geactiveerd). Best Practice is om in een grotere organisatie ze veel mogelijk in te spelen op "Early detection and instant quarantaine". <over deze methode later meer>

Wat kunnen we leren van RansomWare en de WanaCry virusuitbraak?

Wat zijn de belangrijkste leerpunten:

  1. RansomWare (gijzeling van uw gegevens) is de meest lucratieve business voor Hackers.
  2. De aanvallen worden steeds slimmer.
  3. Veel systemen zijn niet beschermd omdat zij in een gesloten netwerk zitten (Q Park heeft een gesloten netwerk, met helaas een besmetting) en het patchen alsmede een virusscanner met alle managementoverhead niet opweegt tegen de kosten (althans tot op heden).
  4. Uw PC dient beschermd te zijn (laatste updates en virusdefinities).
  5. Het back-up mechanisme moet werken en periodiek worden getest.
  6. Hoge beschikbaarheid van servers werkt niet omdat het probleem wordt meegekopieerd. (we hebben wel een oplossing voor een snelle recovery van besmette servers)