Nieuw gijzelvirus is slimmer dan WannaCry-virus van vorige maand

  • Joost Schellevis

    Techredacteur

  • Nando Kasteleijn

    Techredacteur

  • Joost Schellevis

    Techredacteur

  • Nando Kasteleijn

    Techredacteur

Het ransomware-virus dat dinsdagmiddag opeens wereldwijd opdook, is waarschijnlijk geavanceerder dan de WannaCry-ransomware. Dat zeggen beveiligingsonderzoekers.

Gijzelvirussen maken computers of bestanden ontoegankelijk, om mensen ertoe te verleiden om geld te betalen. In dit geval wordt de computer helemaal ontoegankelijk gemaakt, melden onderzoekers. Betalen heeft bij deze ransomware geen zin.

WannaCry verspreidde zich vorige maand vanzelf via een beveiligingslek in de code van Microsoft Windows. Als dat lek niet openstond, had het virus geen manier meer om zichzelf te verspreiden.

De nieuwe ransomware-aanval maakt ook gebruik van een lek, maar dat is niet het enige. "Het lijkt er op dat deze nieuwe ransomware zichzelf ook op andere manieren kan verspreiden", zegt beveiligingsonderzoeker Jornt van der Wiel van Kaspersky. "Ik zou zeggen dat het geavanceerder is."

Het nieuwe virus - waarvan de naam op dit moment nog onbekend is - misbruikt programmaatjes die systeembeheerders gebruiken om computers op afstand te beheren. Op die manier verspreidt het virus zichzelf verder binnen een netwerk van een bedrijf.

Hoe het virus dat precies doet, is nog onbekend. Want standaard zijn die programmaatjes afgeschermd van gewone gebruikers. "Blijkbaar gokt hij gebruikersnamen en wachtwoorden van systeembeheerders, of zijn die ergens gestolen", zegt beveiligingsonderzoeker Rickey Gevers.

Het lijkt er op dat het een schot hagel is geweest.

Erik de Jong

Bovendien lijkt de nieuwe ransomware geen 'kill switch' te bevatten. De opmars van de WannaCry-ransomware werd gestuit doordat een Britse beveiligingsonderzoeker een domeinnaam registreerde waar het virus verbinding mee maakte. Dat bleek de uitknop te zijn, waarop de verspreiding stokte. "Zoiets hebben we bij dit nieuwe virus niet gezien", zegt Van der Wiel.

Het virus raakt vooral bedrijven. Dat lijkt toeval te zijn, zegt Erik de Jong van Fox-IT. "Het lijkt er op dat het een schot hagel is geweest", zegt hij. Dat er een relatief laag bedrag van circa 260 euro wordt gevraagd om bestanden terug te halen, duidt daar volgens hem op.

'Getroffen bedrijven lijken per toeval slachtoffer te zijn'

Er is nog veel onduidelijk over de nieuwe ransomware-aanval. Onderzoekers kunnen het zelfs niet eens worden over de naam. Volgens onder meer computerbeveiliger ESET gaat het om het zogenoemde Petya-virus, dat al langere tijd rondwaart maar dat nu in een nieuwe gedaante zou zijn teruggekeerd.

Kaspersky is het daar niet mee eens. "We denken echt dat het om een volledig nieuw virus gaat. We hebben ernaar gekeken, en de verschillen zijn te groot." Het beveiligingsbedrijf heeft het virus daarom 'NotPetya' genoemd.

Volgens ESET was Oekraïne het eerste doelwit. De aanvallers zouden hun virus hebben verstopt in boekhoudsoftware en van daaruit zou het virus zich verder hebben verspreid.

Deel artikel:

Advertentie via Ster.nl