‘Petya’-ransomware: wat moet u weten?
Foto: EPA

De vorige grootschalige cyberaanval met ransomware was nog maar net verteerd, en opnieuw duikt er een nieuwe variant op die wereldwijd computernetwerken treft. Wat moet u weten over deze Petya-ransomware?

De voorbije dagen kregen heel wat bedrijven wereldwijd af te rekenen met Petya, een ransomware-aanval die computerbestanden onleesbaar maakt. De daders eisen vervolgens losgeld om de versleutelde bestanden terug toegankelijk te maken. Na WannaCry is dit de tweede keer in twee maanden dat een cyberaanval op grote schaal een veiligheidslek van het besturingssysteem uitbuit.

Eerst en vooral: wat is ransomware?

Ransomware is een bepaald type malware dat belangrijke bestanden op een computer versleutelt. De gebruiker krijgt dan de vraag om losgeld te betalen in ruil voor de digitale sleutel om de getroffen bestanden te ontgrendelen. Meestal vragen de daders hun losgeld in Bitcoin.

Hoe werkt deze Petya-variant precies?

Wat meteen opvalt aan de nieuwe malware is de gelijkenis met de Wannacry-ransomware, die vorige maand bij bedrijven in honderdvijftig landen toesloeg. Ook dit keer gaat het om software die bestanden versleutelt en dan 300 dollar losgeld eist. De nieuwe Petya-variant zou bovendien gebruikmaken van hetzelfde beveiligingslek in Windows: het EternalBlue-lek, oorspronkelijk ontdekt (en vermoedelijk gebruikt) door de NSA, maar vervolgens publiek gemaakt door de hackersgroep The Shadow Brokers. Microsoft heeft een patch om dat lek te dichten, maar die blijkt nog niet door alle systeembeheerders geïnstalleerd te zijn. Inmiddels blijkt dat Petya ook andere methodes hanteert om zichzelf te verspreiden. Onder meer via het Microsoft-programma PsExec.

Hoe is de aanval begonnen?

De initiële verspreiding ging erg snel door een gerichte aanval op een Oekraïens boekhoudpakket dat in overheidsmiddens gebruikt wordt. Het waren het dan ook vooral energiebedrijven, luchthavens, het openbaar vervoer en de centrale bank van Oekraïne die verstoord werden door deze cyberaanval. Ook de computers van de kerncentrale in Tsjernobyl werden besmet, waardoor de radio­activiteit opnieuw manueel moest worden gemeten. Het Russische oliebedrijf Rosneft werd eveneens slachtoffer. In de uren die volgden, verspreidde de malware zich over Europa. Minstens een tachtigtal bedrijven raakte besmet, waaronder transportreus Maersk, farmabedrijf Merck en expressbezorger TNT.

Wie zit er achter Petya?

In eerste instantie leek deze Petya-variant het werk van een cybercrimineel die snel een centje wou bijverdienen. Maar het betaalsysteem was zo dom ontworpen, dat sommigen beweren dat het onmogelijk echte ransomware kan zijn. Ook betalen lukt bijvoorbeeld niet omdat slachtoffers contact moesten nemen via mail en de mailaccount geblokkeerd was.

Omdat de aanval begonnen is in Oekraïne, wordt er ook aan sabotage gedacht. Eind 2015 beschuldigde Oekräine buurland Rusland van cyberaanvallen om het elektriciteitsnet te ontwrichten. Rusland heeft dat overigens altijd ontkend. Op de securityblog Krebs on Security zegt een beveiligingsspecialist dat dit een ‘zeer gerichte, kwaadwaardige aanval is, vermomd als ransomware’.

Kan ik mij beschermen?

De verspreiding van Wannacry werd vorige maand sterk afgeremd door een ingebouwde ‘kill switch’, wat met ­Petya blijkbaar niet het geval is. Er circuleert wel een ‘vaccin’ dat de versleuteling van de bestanden op een geïnfecteerde computer tegengaat. Door een leeg bestand met de naam perfc.dat in de map C:\Windows te zetten en dat als ‘alleen lezen’ te markeren, zou Petya de bestanden op dat systeem ongemoeid laten. Maar de infectie en verdere verspreiding van de malware wordt hiermee niet afgeblokt.

Maar als gewone consument hoeft u zich niet al te veel zorgen te maken. Of toch niet als u netjes de laatste Windows-updates installeert en antivirussoftware draait. De meeste grote antivirusbedrijven zijn voorzien om de Petya-infectie tegen te houden.