Op 27 juni 2017, ongeveer een maand nadat de wereld een beetje is bijgekomen van het WannaCry virus, is er een nieuw smaakje in omloop: Petya. Deze ransomware gebruikt min of meer dezelfde exploits als die zijn voorganger gebruikte, maar is nu een stuk agressiever.

Dit virus lijkt minstens zo effectief als zijn voorganger, met o.a. het resultaat dat de monitoringsystemen van Chernobyl stilgelegd zijn omdat de verbinding naar de Windowscomputers die hiervoor verantwoordelijk zijn (ja, inderdaad, Windowscomputers zijn hier verantwoordelijk voor!) tijdelijk verbroken was. Daarnaast hebben ze een dag tijd meer dan 3,99BTC (ruim € 8800) los weten te krijgen.

Werking van Petya

In tegenstelling tot de meeste ransomware, waaronder ook WannaCry, maakt deze variant gebruik van een dubbele encryptielaag, niet alleen de bestanden, maar ook het NTFS bestandssysteem wordt versleuteld.

Het virus wordt zeer waarschijnlijk via een JavaScript dropper of simpelweg als e-mail bijlage op een computer geplaatst en vervolgens wordt de executable gestart. Het virus scant als eerste naar andere computers in het netwerk, in een poging om zichzelf te repliceren. Vervolgens wordt de standaard bootloader van Windows overschreven door die van het virus en wordt je computer geforceerd afgesloten (d.m.v. een crash).

Standaard start bijna elke Windows computer na een crash opnieuw op, waardoor de nieuwe bootloader van Petya zal starten en er een neppe variant van chkdsk wordt getoond.

Let op!

Start je computer niet direct opnieuw op, laat hem dan absoluut uitgeschakeld, dus zet 'm niet meer aan! De bestanden worden namelijk pas versleuteld bij het opstarten. Haal je harddisk uit je PC en sluit deze aan via bijvoorbeeld een SATA/USB converter om de bestanden nog te kunnen kopiëren naar een andere drager. Of breng je PC naar een specialist — en vermeldt deze duidelijk wat er aan de hand is en dat hij de PC absoluut niet mag opstarten — om jouw bestanden te kopiëren.

Deze Check Disk geeft je het idee dat het bestandssysteem wordt gecontroleerd, echter geeft het in werkelijkheid de tijd om jouw bestanden en bestandssysteem te encrypten. Vervolgens start jouw computer niet meer op, maar wordt het geweldig gezellige scherm van Petya getoond[1].

ClamAV Sanesecurity

Wanneer ClamAV gebruik maakt van de Virusdefinities van Sanesecurity, is deze sinds het weekend van 13 en 14 mei 2017 beveiligd tegen WannaCry en sinds gisteren is ook de definitie voor Petya hier aan toegevoegd. Hierdoor zou ClamAV de bekende varianten van het virus tegen moeten houden. Helaas is het wel zo dat alle Antivirus programma's gebruik maken van zogenaamde 'Signature Based Detection' — van de hele of een deel van de executable wordt een hash gegenereerd, waarmee andere executables vergeleken worden — is de kans groot dat als er nieuwe varianten komen, deze niet gedetecteerd worden.

Petya virus signatures controleren

Om te zien of de antivirus database van ClamAV geladen is met de signatures voor het detecteren van dit virus, gebruiken we een simpele find-opdracht:

find /var/lib/clamav -type f | xargs grep -i --color 'petya'

Wanneer deze opdracht geen resultaten geeft, raden we je aan om zo snel mogelijk alsnog de Virusdefinities van Sanesecurity toe te voegen en de virusdefinities opnieuw (geforceerd) op te halen:

/usr/local/clamav-unofficial-sigs.sh --force

Conclusie

In on ClamAV installaties, o.a. gebruikt op onze mailservers, zijn de bekende signatures om het Petya virus tegen te houden geladen. Binnenkomende mails die het virus bevatten worden op de mailserver in quarantaine geplaatst. Helaas betekent dat niet dat we meteen 100% beveiligd zijn, want zoals aangegeven bestaat de kans dat er andere varianten van dit virus — met andere signatures — de wereld in worden geslingerd.

Daarom blijft het belangrijk om goed te controleren of 1) jouw computer de meest recente updates bevat en 2) goed na te denken voor je een e-mail bijlage opent (ook als je een groot geldbedrag hebt geërfd van een verre oom uit Arabië).

Bronnen

  1. Voorbeeld van de werking van het Petya virus:
    https://www.youtube.com/watch?v=MT3MwYlJBDU