Verwijdert de Petya/NotPetya gijzelsoftware data? Nee, het is iets anders
Petya / NotPetya levert meer raadsels op voor IT-experts
Net als na de aanval van WannaCry, moet de wereld ook nu manieren vinden om bij te komen van de Petya/ExPetr/NotPetya-aanval.
Hoewel de aanval kleiner van omvang was dan het eerder genoemde virus, blijkt dat de uitkomsten ernstiger zijn. Cyber-beveiligingsspecialisten creëerden al snel een decrypter voor WannaCry, maar NotPetya-gebruikers zullen die kans waarschijnlijk niet krijgen.
Nieuwe feiten ontdekt
Op 27 juni werd de wereld getroffen door de malware die een andere versie van Petya lijkt te zijn. Verdere analyse onthulde:
- de malware, genaamd NotPetya/Petya.A/Petrwrap, blijkt een variatie van Petya te zijn, maar met een volledig overschreven broncode
- dat het virus OS laadtin plaats van Windows
- dat het gebruik maakt van dezelfde kwetsbaarheden
- dat het USD 300 aan losgeld eist
- dat het geen ID toewijst aan een getroffen computer
Hoewel de broncode helemaal anders kan zijn, gedraagt het virus zich op dezelfde manier dan de originele versie van Petya. Het rommelt met opstartinstellingen waardoor de malware in plaats van Windows kan worden geladen.
Bovendien heeft het recente rapport aangetoond dat de malware uiteindelijk de bestanden van slachtoffers verwijdert. Maar dergelijke aannames werden al snel tegengesproken. Meer specifiek bleek de malware eerder een cyberaanval dan echte gijzelsoftware te zijn. Noch de originele versie van Petya noch de laatste afwijkende versie communiceren niet met commando-encontroleservers.
Zo wijst het virus geen specifieke identificatiecode toe aan een getroffen apparaat. Kortom, zonder deze informatie kunnen slachtoffers de bijbehorende decryptiesleutel voor hun bestanden niet ontvangen. Bovendien moeten slachtoffers van NotPetya niet overwegen om te betalen, aangezien een van de belangrijkste e-maildomeinen is verwijderd.
De bron van de infectie ligt in Oekraïne
Hoewel de virtuele bedreiging wereldwijd tientallen internationale ondernemingen en bedrijven heeft geïnfecteerd, had het een duidelijke voorkeur voor Oekraïne. Recentelijk is dit land frequent doel geweest voor cyberplegers.
Niettemin leverden de rapportages verbazingwekkende resultaten op. De bron van NotPetya/Petna/Petya.A ligt bij de Oekraïense ontwikkelaar van digitale boekhoudsoftware, M.E. Doc. IT-professionals beweren dat er bewijzen zijn dat cyberschurken het computersysteem van het bedrijf hebben geïnfiltreerd en zijn update-netwerk hebben gecorrumpeerd.
Zo zou elk partnerbedrijf dat dedoor de moedermaatschappij uitgegeven updates heeft geïnstalleerd onmiddellijk geïnfecteerd worden. Nieuw ontdekte functies suggereren dat deze malware het puntje van de ijsberg zou kunnen zijn van een grotere cyberpolitieke campagne gericht tegen Oekraïne. Weet dat, nadat WannaCry aan het daglicht kwam, XData-malware meer schade toebrachten dan de eerdere bedreiging.
Sinds zijn opkomst zijn er verbazingwekkende feiten ontdekt, en hopelijk zal verdere analyse niet alleen nog meer intrigerende feiten onthullen, maar zullenze ook een hint geven over hoe de infectie permanent kan worden afgewend.
%MCEPASTEBIN%
Over de auteur
Julie Splinter is de nieuwsredacteur van Zondervirus.nl. Ze is bachelor in de Engelse filologie.
