• GoldenEye-slachtoffer heeft 30 minuten om systeem uit te schakelen

GoldenEye-slachtoffer heeft 30 minuten om systeem uit te schakelen

Clock Geplaatst op woensdag 28 juni 2017

Beheerders en eigenaren van systemen die met de GoldenEye ransomware besmet zijn geraakt hebben 30 tot 40 minuten de tijd om het systeem uit te schakelen en zo versleuteling van de bestanden en het aanpassen van de Master Boot Record (MBR) van de harde schijf te voorkomen.

Dat meldt het Russische securitybedrijf Group-IB op Twitter. De ransomware zal het systeem na de initiële infectie niet direct versleutelen, maar wacht hiermee. Een dergelijke lange ‘slaapfunctie’ wordt mogelijk gebruikt om niet te worden gedetecteerd. Het is nog altijd onduidelijk hoe organisaties in eerste instantie besmet raken. Volgens securitybedrijf Palo Alto Network maakten vorige versies van de GoldenEye-ransomware gebruik van e-mails, maar is de nu actieve variant niet in e-mailgerelateerde aanvallen waargenomen.

Mogelijk dat bedrijven, zoals eerder gemeld, direct via het SMB-lek in Windows worden aangevallen waardoor ook de WannaCry-ransomware zich verspreidde. Verder blijkt dat de nu actieve GoldenEye-variant zich als een dll-bestand verspreidt, dat door een ander proces moet worden uitgevoerd voordat de MBR overschreven kan worden en er een taak wordt ingesteld om het systeem te laten herstarten.

Op twitter meldt een onderzoeker met het alias Hacker Fantastic dat als systemen herstarten en er een scherm verschijnt dat het bestandssysteem wordt gerepareerd, de computer direct moet worden uitgeschakeld. Dit is namelijk het encryptieproces van de ransomware. Het uitschakelen voorkomt dan ook het versleutelen van de bestanden

Arrow leftTerug naar overzicht
Cross icon