Let op: WannaCry ransomware

WannaCry ransomware – Wat is het en hoe kunnen we dit stoppen?

 

Wat is er gebeurd?

Op vrijdag 12 mei 2017 omstreeks 13:30 uur zijn de eerste infecties van een nieuw ransomware virus gemeld.
Het virus versleutelt alle bestanden op de geïnfecteerde computer en op alle toegankelijke netwerklocaties.
Tevens zal het virus alle computers in het lokale netwerk scannen om te zien of deze nog niet voorzien zijn van een aantal Windows updates waardoor deze computers een lek bevatten en ook besmet kunnen worden door het virus.

Hoe kan mijn bedrijf besmet raken?

Bij al onze klanten staat poort 445 en 139 vanuit het internet dicht waardoor een systeem niet zomaar via een externe aanval besmet kan raken.

Het virus dient dus eerst initieel binnen het bedrijf geactiveerd te worden. Dit kan gebeuren wanneer één van uw medewerkers een bijlage opent van een onbetrouwbare e-mail. Indien het werkstation van de betreffende medewerker niet up-to-date is dan zal dit besmet worden en vervolgens zal het virus zichzelf proberen te verspreiden door uw netwerk en starten met het versleutelen van bestanden.

Inmiddels is overigens een killswitch voor verspreiding van het virus gevonden door een specifieke domeinnaam te registreren. Het virus zal zichzelf hierdoor niet verder verspreiden, echter u kunt nog altijd via e-mail besmet raken indien uw werkstation niet up-to-date is. Tevens is het niet ondenkbaar dat het virus zal muteren waardoor de killswitch niet langer werkt.

Wat moet ik doen als ik besmet ben geraakt?

Ziet u onderstaande melding op uw computer? Zet uw pc dan onmiddellijk uit en neem telefonisch contact met ons op!

Wat doet Kneepkens ICT Services om ons te beschermen?

Indien u beschikt over een onderhoudscontract van minimaal K-Zilver dan zijn al uw servers reeds voorzien van de betreffende Windows Updates. Wij hebben zowel vrijdag als zaterdag doorgewerkt om voor de zekerheid alle servers in ons beheer extra te controleren en waar nodig bij te werken.

Dit betekent echter niet dat bestanden op uw server gegarandeerd veilig zijn tegen deze aanval. Wanneer een werkstation in uw organisatie met het virus besmet raakt en toegang heeft tot bestanden op uw server, dan is het mogelijk dat alsnog bestanden door het virus aangetast worden. U doet er dus verstandig aan om ook uw werkstations in het onderhoudscontract mee te laten nemen zodat wij deze ook van updates kunnen voorzien.

Verder bevelen wij Sophos Intercept-X bij onze klanten aan. Dit is het enige product in de markt wat ransomware kan stoppen zonder iedere variant specifiek op voorhand te kennen middels definitie-updates. Sophos kijkt naar het gedrag van ransomware (bestanden versleutelen). Wanneer een ransomware virus uitbreekt dan zal Sophos onmiddellijk het proces stoppen en tevens automatisch een back-up van het versleutelde bestand herstellen waardoor er geen schade kan ontstaan.

Intercept-X is een nieuwe module van Sophos, dus ook wanneer u reeds met Sophos werkt is het mogelijk dat u toch nog niet over deze nieuwe module beschikt. Wij zullen u in dit geval zelf gaan benaderen met een voorstel om uw product uit te breiden.

Conclusie

Dus, heeft u nog niets geregeld op het gebied van werkplekbeheer of het nieuwe Sophos Intercept-X? Neemt u dan contact met ons op en wij adviseren u omtrent de mogelijkheden specifiek voor uw organisatie.