Wereldwijde Malware attack met Wanna Decryptor | 15-05-2017

Het virus komt binnen via email en mogelijk ook via besmette websites. Ondanks alle beveiligingen moet men bij het openen van emails altijd alert zijn en niet zondermeer bijlagen openen of op links in e-mails klikken.

Een eenmaal besmette computer infecteert bij dit virus ook andere computers en servers via een lek in het SMB protocol. Systemen die up-to-date zijn zouden hier geen last van mogen hebben omdat er al in maart een patch is uitgebracht. Dit besmetten van andere systemen is anders dan de ‘normale’ infecties waarbij alleen het besmette systeem getroffen wordt. Dit virus kan dus hele netwerken platleggen.

Dit virus heeft ook een hoog geheim agent '007'  gehalte want het schijnt afkomstig te zijn van de NSA (National Security Agency) of van aan de NSA gelieerde instellingen. Hackers van de ‘NSA Shadowbrokers’ hebben delen van NSA bestanden openbaar gemaakt waardoor deze NSA hack ‘publiek’ geworden is.

Microsoft neemt het probleem zo serieus dat ze zelfs nog een ‘fix’ voor het al lang uit gefaseerde Windows XP/Server 2003  uitgebracht hebben. QPARK en de Engelse Ziekenhuizen (NHS) die afgelopen dagen zo getroffen zijn gebruiken nog veel XP machines.

De verspreiding is voorlopig een halt toe geroepen omdat in het virus een killswitch ingebouwd is. Voordat het virus aan zijn snode werk begint controleert het of een bepaalde domeinnaam bestaat. Als de domeinnaam bestaat dan voert het virus zijn werk niet uit. Een onderzoeker die de code aan het uitpluizen was ontdekte de voor de killswitch gebruikte URL en heeft het domein in de URL geregistreerd waarna de infecties afnamen.

Uitgebreide informatie in het engels:
http://www.wired.co.uk/article/wanna-decryptor-ransomware