Lokale killswitch voor Petya-ransomware ontdekt

      Reacties uitgeschakeld voor Lokale killswitch voor Petya-ransomware ontdekt

Killswitch voor Petya ontdekt !

Een onderzoeker heeft een lokale killswitch voor de Petya-ransomware ontdekt die voorkomt dat computers met de ransomware besmet raken. Amit Serper van securitybedrijf Cybereason meldde op Twitter dat het aanmaken van het bestand c:\windows\perfc de ransomware stopt.

De malware controleert namelijk of de naam perfc in c:\windows bestaat. Is dit het geval, dan wordt de ransomware niet verder uitgevoerd. Eerder had anti-virusbedrijf Kaspersky Lab al aangeraden om de AppLocker-feature van Windows te gebruiken om het uitvoeren van bestanden met de naam “perfc.dat” tegen te gaan. De onderzoeker met het alias MalwareTech, die de killswitch voor de WannaCry-ransomware ontdekte, spreekt op Twitter over ‘slechte PR’. “Elke malware kan worden gestopt door je systeem aan te passen. Het hele geval met WannaCry was dat het op afstand werd gestopt.”

Jezelf beschermen tegen de Petya-ransomware

Download dit batchbestand van Bleeping Computer.
Klik er op met de rechtermuisknop en kies Als Administrator uitvoeren

killswitch-petya-ransomware 01

Als je reeds Admin rechten hebt zal deze, hetzij met een waarschuwing, doorgaan.

Indien het proces klaar is (binnen 1 seconde) krijg je onderstaand scherm te zien :

killswitch-petya-ransomware 02

En wanneer je daarna in C:\Windows kijkt, zie je dat er 3 bestandjes zijn aangemaakt :
perfc, perfc.data, perf.dll

killswitch-petya-ransomware 03

Dit zijn de bestanden waar Petya (en huidige varianten) naar kijken.
Indien deze bestanden aanwezig zijn, dan zal Petya de bestanden op die computer niet encrypten.
Je kunt dus nog steeds besmet raken met Petya, maar er zal geen schade uit voort komen.

Uiteraard is dit geen garantie dat je tóch bestanden kwijt kunt raken bij een infectie aangezien een eventuele nieuwe variant bijvoorbeeld weer een andere killswitch zal hebben.

Zorg er ook voor dat je Windows ge-update hebt, je een goede en bijgewerkte viruscanner hebt.