Iedereen heeft het nu wel gehoord dat de universiteit van Maastricht slachtoffer is van ransonware en wel te weten het hoogstwaarschijnlijke Russische Clop virus. Waarom Russisch? Omdat de allereerste regels code van deze malware kijkt of het toetsenbord van de getroffen PC in het Russisch is. Zo ja, dan delete het virus zichzelf.
Maar hoe komt dit virus nu op de systemen van een Universiteit Maastricht terecht? Hebben ze geen virusdetectie software? Zeker wel maar deze malware had toevallig een net nieuw “email certificaat” die nog niet geblacklist was en zodoende kon de mail door de virusfilter komen. Stap 1.
Dan stap 2, de ontvanger….. klikt. Het begint met een “phishing email” waarop geklikt is. Die phishing emails hebben meerdere maar ALTIJD 2 variabelen namelijk URGENTIE; je moet nu direct xyz, want anders, abc. En je moet altijd op een link klikken. Met social engineering, dat wil zeggen dat ze inspelen op jouw verwachte psychologische respons op bepaalde tekst, wordt de mail geschreven. Vaak proberen ze je te verleiden tot acties waarmee je ervaring hebt en waarmee je vertrouwd bent en dus eerder geneigd bent te klikken. Bijvoorbeeld” “Je energieverbruik is veel hoger dan normaal, klik hier om je verbruik van afgelopen maand te bekijken” Als de afzender (of althans de naam) jouw energieleverancier blijkt te zijn dan klik je. En zo ook hier. Met klikken wordt stap 3 in actie gezet. De installatie van de versleutelsoftware, in dit geval de “Clop” software.
Wil je precies weten hoe dit virus stap voor stap te werk gaat? Check dan de post over Clop op de site van McAfee.
Vervolgens gaat dit virus op zoek naar bestanden, mappen en backups en versleutelt ze. Op dit punt is er weinig meer wat je kan behalve alle stekkers eruit trekken en zeker je netwerkkabels aangezien Clop naast de versleuteling ook nog eens “mutants” aanmaakt.
Hieronder zie je welk bericht je krijgt wanneer je door deze ransomware getroffen bent.
Comments are closed.