In opvolging van de nieuwsberichten over de cyberaanval met de Ransomware WannaCry geven wij u onderstaande adviezen.
Het is raadzaam deze adviezen door te geven aan het personeel, de veiligheidsconsulent en de dienst informatica van uw bestuur
Advies aan alle gebruikers binnen uw organisatie:
- Open geen verdachte mails van onbekende afzenders!
- Open zeker ook geen bijlagen of links die in deze mails voorkomen!
- Raadpleeg uw ICT-dienst bij de minste twijfel.
Advies aan de ICT-verantwoordelijken binnen uw organisatie:
- Controleer of de werkstations en servers van de volgende update voorzien zijn:
Voor recente Windows systemen
Installeer Windows update MS17-010
https://support.microsoft.com/en-us/help/4013389/title
Voor oudere werkstations met Windows XP
Installeer deze patch:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks
- Controleer bij de fabrikant van de beveiligingssystemen (hard-en software) of er aanbevelingen zijn om deze vorm van ransomware tegen te houden.
- Lees de adviesnota van V-ICT-OR m.b.t. Ransomware, in het bijzonder punt 5. Maatregelen
- Lees de bijlage, ‘Het DNA van Wannacry’ en overweeg om de technische instellingen bij te sturen waar nodig.
(Tijdelijk) goed nieuws:
Tijdens de activatie van het virus wordt er verbinding gemaakt naar de volgende URL: hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Indien dit niet lukt (domein bestaat niet) zet het virus de installatie verder.
Ondertussen werd dit domein door een ‘Accidental Hero’ geregistreerd waardoor de huidige variant van Wannacry geen nieuwe besmettingen meer kan uitvoeren.
Het is wachten op een nieuwe variant van Wannacry waar deze URL aangepast wordt.
Bijlage: het DNA van Wannacry
Om onze beveiligingsmechanismen voor deze nieuwe dreiging bij te sturen moeten we eerst de werkwijze van Wannacry kennen.
Op de volgende links vind je een uitgebreide analyse:
Hybrid-Analysis
Technet
Hieronder enkele voorbeelden van eigenschappen van Wannacry waar we kunnen op inspelen:
- Misbruik maakt van een kwetsbaarheid in het SMBv1 protocol
Overweeg om het SMBv1 protocol uit te schakelen indien u met recentere besturingssystemen werkt, zie uitleg op de volgende link - Na encryptie krijgen de bestanden de volgende extensies: .WNCRYT, .WNCRY en/of .WCRY
Indien u gebruik maakt van de File Server Resource Manager (zie Adviesnota 5.3.3) update dan de extensie met de lijst die op de volgende link terug te vinden is. - Maakt verbinding naar de volgende IP-adressen/poorten:
213.61.66.116:9003"
"171.25.193.9:80"
"163.172.35.247:443"
"128.31.0.39:9101"
"185.97.32.18:9001"
"178.62.173.203:9001"
"136.243.176.148:443"
"217.172.190.251:443"
"94.23.173.93:443"
"50.7.151.47:443"
"83.162.202.182:9001"
"163.172.185.132:443"
"163.172.153.12:9001"
Blokkeer deze IP-adressen
Maakt de volgende registersleutel aan: HKLM\SOFTWARE\WanaCrypt0r\wd
Overweeg om deze sleutel aan te maken en de rechten op deze sleutel te ontnemen.