Search

Meer resultaten...

Generic filters
1
1
1
1
Jarno Baselier > Security > Nieuwe ransomware Petya overschrijft MBR

Nieuwe ransomware Petya overschrijft MBR

We leven in een gevaarlijke wereld, fysiek en digitaal. Het succes van ransomware als Locky inspireert andere helaas om nog verder te gaan en om nog gevaarlijkere ransomware te ontwikkelen. Vers van de pers is “Petya”. Momenteel is de Petya ransomware erg actief in Duitsland maar ook wij gaan dit nasty stukje code onder ogen krijgen. Zorg dat het niet op jouw PC gebeurt. Petya overschrijft namelijk het MBR.

Master Boot Record (MBR)
Het Master Boot Record (MBR) op de PC bevindt zich op de eerste sector van de harde schijf en is dus het eerste dat geboot wordt. In het MBR bevindt zich meestal een partitietabel welke aan de PC verteld welke bootrecord geladen mag worden. Het MBR zorgt er dus feitelijk voor dat het systeem weet waar de installatie van het actieve OS zich bevindt (Windows / Linux / Mac etc.).

Petya ransomware komt binnen via…
…e-mail! Net zoals de meest populaire ransomware varianten komt ook deze binnen via een e-mail. Deze e-mail lijkt op een vacature welke gericht gestuurd en geadresseerd is aan de HR afdeling. In de e-mail bevind zich een Dropbox link waarin zich de CV en foto zouden bevinden. De CV en foto zitten in een ZIP bestand. Als het ZIP bestand wordt gedownload en uitgevoerd wordt de ransomware geïnstalleerd. De software wordt over de bestaande MBR heen geschreven. Dit zorgt ervoor dat Windows crasht (BSOD) en verplicht reboot.

En de schade is
Na het rebooten zal er een CHKDSK plaatsvinden. Deze diskcontrole, welke eruit ziet als een legitiem proces is echter vals. Op de achtergrond encrypt Petya het MFT bestand (Master File Table). Dit bestand komt voor op NTFS partities (vrijwel elke Windows draait tegenwoordig op een NTFS partitie) en bevat informatie van ieder bestand op de harde schijf zoals de naam, grootte en sector mappings. Wat visueel volgt is een ASCII doodshoofd op een rode achtergrond. Na een flashing intro verschijnen de betaalgegevens. De betaling moet gebeuren in bitcoins en kost +/- 450 euro. Op dit moment heeft u dus een defecte MBR en een encrypted MFT bestand.
petya error

Herstellen van Petya
Op dit moment is het nog niet mogelijk om zonder betaling je systeem weer “gemakkelijk” up-and-running te krijgen. Omdat Petya niet al je data encrypt is het wel mogelijk om via bootable media je bestanden te benaderen. Het herstellen van je bestanden is echter zeer tijdrovend en niet accuraat. Bestanden staan namelijk op verschillende sectors van de harde schijf. Zonder het MFT bestand weet het systeem niet meer op welke sectors een bestand stond. Hoe gefragmenteerder het systeem is des te lastiger zal het zijn om data te herstellen.

Stappenplan
Dit is een basis stappenplan om je PC weer online te krijgen. Indien er behoefte is aan een uitgebreide beschrijving meld het dan hier beneden en dan maak ik er een tutorial en/of video van.

1. Maak je MBR record. Boot hiervoor de computer met je Windows media en open de command prompt. Voer hier het volgende commando uit “bootrec / fixmbr, bootrec / fixboot and bootrec / rebuildbcd“.

2. Reboot Windows in safe mode.

3. Selecteer “Verborgen bestanden, mappen en stations weergeven” in uw verkenner opties.
verborgen-bestanden

4. Ga naar uitvoeren (Windows toets + R) en voer in “notepad %windir%/system32/Drivers/etc/hosts“. De hosts file wordt nu geopend. Verwijder alle vreemde toevoegingen.
run

5. Ga naar uitvoeren (Windows toets + R) en voer in “msconfig”. Ga vervolgens naar de “opstarten” tab en verwijder alle processen met opstarten welke je niet kent.

6. Druk op “CRTL + SHIFT + ESC” en ga naar de “processen” tab. Bekijk elk proces. Als je denkt dat het een virus is dan opent u de bestandslocatie, sluit je het proces en verwijderd u de bestanden. Let op: je moet ervoor zorgen dat je zeker weet dat het proces een virus is. Het verwijderen van legitieme bestanden kan zeer schadelijke gevolgen hebben voor de werking van je OS. Noteer de procesnamen welke je verwijderd hebt en doorzoek vervolgens het register naar deze namen en verwijder ook in het register de sleutels.

7. Doorzoek nu al je drives en het register voor “bewerbungsmappe-gepackt.exe” en verwijder alles.

7. Download en run SpyHunter en/of Malwarebytes om te zoeken naar overige infecties.

8. Voer nu een systemrestore uit of gebruik de Recuva software om bestanden te herstellen die verloren gegaan zijn.

Update 12-04-2016 – Petya is gekraakt

Leo Stone heeft het voor elkaar gekregen om de encryptie van Petya te kraken. Alle door Petya geinfecteerde computers kunnen weer volledig hersteld worden. Lees hier hoe!

Phishing / Spam Checker:
Have you received a strange mail and do you want to make a better assessment? Is it phishing or spam? Use my "CheckForPhishing" tool!
Check your email
Laatst geüploade video:
Bekijk de meest recente video hier of bekijk alle video's op mijn:
YouTube kanaal
Top