Een nieuwe vorm van de schadelijke malware is een variant van ransomware Petya. Besmettingen begonnen bij bedrijven de Oekraïne en verspreidden zich in een mum van tijd naar andere organisaties, onder meer bij APM (Maersk) in Rotterdam. De besmettingen van NotPetya, Nyetya, exPetr, SortaPetya - of hoe je het beestje ook wilt noemen zijn inmiddels afgenomen nu definities zijn bijgewerkt en kwetsbaarheden worden gedicht.

Maar zo vlak na WannaCrypt is het opvallend dat er wéér een stukje ransomware rondwaart, nota bene gebruikmakend van dezelfde aanvalsvector. Wederom wordt de kwetsbaarheid gebruikt die de NSA hanteerde om jarenlang in te breken op machines. Ransomware-aanvallen zijn geëxplodeerd vorig jaar en nemen nog steeds toe. Want waarom zou je data stelen die je vervolgens moet verkopen als je ook rechtstreeks geld kunt eisen van je slachtoffer?

NotPetya tegenhouden

Een pleister tegen het bloeden is het aanmaken van een bestand 'perfc' in de windows-map. NotPetya kijkt of dat bestand aanwezig is en voert niet uit als de malware het bestand aantreft. Dat is geen reëele langetermijnoplossing voor bedrijven die zich willen beschermen, maar het is een goede work-around voor legacy-systemen die niet zijn bij te werken, maar wel actief moeten blijven.

Je maakt gewoon een leeg bestand aan in Kladblok genaamd 'perfc', zet hem op alleen-lezen en plaatst hem dan in de map Windows op de C-schijf. Dat doe je in een handomdraai, maar BleepingComputer heeft een batchfile beschikbaar gesteld om het automatisch uit te voeren als je meerdere systemen langs moet en voor de volledigheid voegt het ook een .dat en .dll toe.

Nieuwe trucs, verschillende OS'en

De eerste stap in het tegenhouden van ransomware is het begrijpen tegen wie je het opneemt. McAfee-CTO Raj Samani vertelt dat er 400 families van ransomware zijn (inclusief gijzelsoftware voor Linux en Mac) en dan hebben we het nog niet eens over alle varianten.

Ook veranderen ze de trucs. NotPetya maakt de MBR onklaar, terwijl andere ransomware vaak specifieke bestandstypes versleutelt en andere gijzelsoftware zoekt gênante foto's en video's en dreigt ze door te sturen naar je contactenlijst. Chantage dus, naast gijzeling.

Voor we overgaan op opruimen: een aantal preventietips die gelden voor alle soorten malware.