Zo bescherm je je pc tegen ransomware zonder updates
Door een leeg bestand met een specifieke naam aan te maken, kan je de nieuwste golf van ransomware te snel af zijn. Dat ontdekte beveiligingsonderzoeker Amit Serper. Zijn oplossing komt te laat voor wie al getroffen is door de Petya/NonPetya-aanval. Wanneer je bestanden al versleutelt zijn door de malafide cryptolocker, is er nog maar weinig dat je kan doen.
Niet alle kwetsbare systemen werden echter al getroffen. Bedrijven met computers die vatbaar zijn voor het virus, hebben naar alle waarschijnlijkheid niet de mogelijkheid om al hun kritieke systemen zomaar van een upgrade te voorzien. Anders durven we toch hopen dat het lek dat Petya uitbuit, gedicht werd na de hele Wannacry-affaire.
Wie kwetsbaar is, voor het leven van zijn computer vreest, maar om de één of andere reden niet in staat is de nodige updates uit te rollen, kan eenvoudig weg zelf een bestandje aanmaken om de ransomware te verschalken. Serper ontdekte dat de Petya-ransomware meteen op zoek gaat naar een specifiek bestand zodra een infectie heeft plaatsgevonden. Vindt de software dat bestand, dan sluit de malware zichzelf af zonder het getroffen systeem te versleutelen.
https://twitter.com/0xAmit/status/879778335286452224
Het bestand in kwestie heet ‘perfc’. Om je computer immuun te maken tegen de huidige versie van de ransomware, moet je een bestand met die naam plaatsen in de Windowsmap op je systeemschijf. Open daarvoor kladblok, en sla een leeg document op onder de naam perfc. Verwijder nu de .txt-extensie die de schrijftool automatisch toevoegt. Je moet hiervoor vermoedelijk een waarschuwingsvenster wegklikken.
Tot slot moet je het bestand opslaan in de Windowsmap (C:Windows), en het de alleen lezen-attribuut geven. Klik daarvoor rechts op ‘perfc’, kies eigenschappen en vink Alleen lezen aan.
In principe is je computer nu immuun voor de nieuwste ransomwaregolf, al kunnen we niet voorspellen hoe lang het trucje zal werken. De kans bestaat dat de criminelen achter perfc hun code kunnen aanpassen om de verdedigingstechniek te omzeilen. We kunnen bovendien niet voldoende benadrukken dat deze oplossing enkel werkt voor dit specifieke type malware, en dus geen langetermijnoplossing is voor wie dringend enkele updates moet doorvoeren. Dat zo snel mogelijk doen, moet de topprioriteit blijven.