Toon posts:

KPN Abuse Team melding - Wannacry

Pagina: 1
Acties:

Onderwerpen

KPN

Vraag

maandag 15 mei 2017 15:14

Acties:
  • 0 Henk 'm!
  • Ketho
  • Registratie: Januari 2005
  • Laatst online: 21-06 18:21

Ketho

Topicstarter
Vanochtend een mailtje ontvangen van KPN betreffende mijn particuliere internetaansluiting dat er een beveiligingsprobleem is waargenomen op mijn aansluiting.

Zelf heb ik er nog niets van gemerkt op mijn Windows 10 devices. Deze ben ik allemaal nagelopen, geupdated en gescanned met de laatste Windows Defender definities en Malwarebytes.

Ik heb verder een Synology NAS staan met WebStation draaiend, deze package heb ik voor de zekerheid uitgeschakeld maar verder niets vreemds gezien. Ook even in de DHCP clients van de Experia Box v8 gekeken maar geen andere verdachte devices gezien.

Het recente nieuws heb ik gevolgd, maar ik heb nog steeds geen idee hoe ik mijn netwerk nu verder kan doorlichten op deze mogelijke besmetting :S
From: KPN Abuse Team <abuse@kpn.com>
Sent: Monday, May 15, 2017 9:37 AM
To: <snip>@planet.nl
Subject: [KPN Abuseteam #<snip>] Misbruik van uw internetaansluiting [<snip>]

Geachte heer, mevrouw,

Een veilig internet is in ieders belang. Wij maken ons als KPN sterk om uw (vertrouwelijke) informatie te beschermen.

Wij hebben een beveiligingsprobleem waargenomen op uw internetaansluiting. Meestal merkt u hier zelf niets van, omdat het om processen gaat die op de achtergrond draaien.

Wat is er aan de hand en hoe kunt u dit oplossen?

Een of meerdere computers of laptops die gebruik maken van uw internetaansluiting zijn besmet met het WannaCry-virus. Het betreft hier ransomware die uw bestanden kan versleutelen en losgeld vraagt voor het vrijgeven van de bestanden. Door deze besmetting lopen uw vertrouwelijke gegevens en bestanden gevaar. Het betreft hier het virus dat afgelopen weekend veelvuldig in het nieuws is geweest:

http://www.nu.nl/internet...-ransomware-wannacry.html
nieuws: Europol: bezorgdheid om nieuwe aanval ransomware

Wij raden u aan de volgende stappen te doorlopen:

Stap 1:
A. Ga naar kpn.com/virusverwijderen
B. Klik op de knop ‘Malwarebytes’
C. Volg de instructies op het scherm

Stap 2:
A. Download de laatste updates van Microsoft via https://www.windowsupdate.com/

Meer informatie van Microsoft en de directe links naar de patches zijn te vinden op: https://blogs.technet.mic...e-for-wannacrypt-attacks/

Wanneer er meerdere computers of laptops zijn aangesloten, is het belangrijk dat deze allemaal worden onderzocht. Telefoons en tablets hoeft u niet te scannen.

Wij vragen u de bovenstaande stappen uit te voeren en te reageren op dit bericht. Ook aanvullende vragen kunt u stellen in een antwoord op deze mail.

LET OP: Het onderwerp van dit bericht bevat een ticketnummer: [KPN Abuseteam #<snip>] . Indien u vanaf een ander e-mailadres contact met ons wilt opnemen, vermeld dan altijd het volgende in het onderwerp: [KPN Abuseteam #<snip>] .

Met vriendelijke groet,

<snip>
Abuse Specialist

Afbeeldingslocatie: https://www.kpn.com/public/images/logos/logo-kpn-groot.png

KPN
Abuse Team

KvK Den Haag nr. 27124701
NL 009292056B01

Het Abuse Team van KPN handelt veiligheidsincidenten af voor KPN. Meer informatie over de afdeling vindt u op: kpn.com/abuse
Afbeeldingslocatie: https://i.imgur.com/posgk6ft.png

Beste antwoord (via Ketho op 15-05-2017 15:49)

maandag 15 mei 2017 15:39

Anoniem: 135360

Heb jij toevallig die url van de killsiwtch geopend?
mogelijk dat ze daar op filteren. Ik kreeg soort gelijk bericht van mijn provider. enige logische verklaring die ik had was dat ik die url van de killswitch heb bezocht.

Alle reacties

maandag 15 mei 2017 15:18

Acties:
  • 0 Henk 'm!
  • Trommelrem
  • Registratie: Februari 2009
  • Laatst online: 09-11-2021

Trommelrem

Controleer even de SPF. Ik denk dat het een malafide email is. Welke link zit er onder Windowsupdate.com? Alleen Windows NT 5.x updatetet via een website, NT 6.x en NT 10.x updaten via een updatemechanisme, of via de Catalog. Niet via een website.

maandag 15 mei 2017 15:21

Acties:
  • 0 Henk 'm!
  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 22-06 11:04

AW_Bos

Liefhebber van nostalgie... 🕰️

Check even of je geen encrypted documenten hebt op je PC zowel je NAS, als dat wel het geval is ben je dus zeker de sjaak, en mag je teruggrijpen naar een backup. Als alles er volgens MBAM, je eigen virusscanner (AVG bijv.) goed uitziet, en niks encrypted is, dan lijkt mij niks mis.

De WannaCry ransomware kan alleen uitgevoerd worden vanaf een oudere Windows, en infecteert alles binnen een netwerk.

Headers checken van de mail zou ik ook doen.

[ Voor 5% gewijzigd door AW_Bos op 15-05-2017 15:22 ]

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

maandag 15 mei 2017 15:22

Acties:
  • 0 Henk 'm!
  • Trommelrem
  • Registratie: Februari 2009
  • Laatst online: 09-11-2021

Trommelrem

AW_Bos schreef op maandag 15 mei 2017 @ 15:21:
De WannaCry ransomware kan alleen uitgevoerd worden vanaf een oudere Windows, en infecteert alles binnen een netwerk.
Dat is absoluut niet waar. WannaCry kan vanaf iedere Windows versie worden uitgevoerd en het infecteert alle NT versies waar SMB 1.0 nog ingeschakeld is. Ondanks het bestaan van een patch, is het beter om SMB 1.0 gewoon uit te schakelen. SMB 1.0 is nergens meer voor nodig.

maandag 15 mei 2017 15:23

Acties:
  • 0 Henk 'm!
  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 22-06 11:04

AW_Bos

Liefhebber van nostalgie... 🕰️

Trommelrem schreef op maandag 15 mei 2017 @ 15:22:
[...]

Dat is absoluut niet waar. WannaCry kan vanaf iedere Windows versie worden uitgevoerd en het infecteert alle NT versies waar SMB 1.0 nog ingeschakeld is. Ondanks het bestaan van een patch, is het beter om SMB 1.0 gewoon uit te schakelen. SMB 1.0 is nergens meer voor nodig.
Deels waar dan... Windows 10 is al gepatched inmiddels.

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

maandag 15 mei 2017 15:30

Acties:
  • 0 Henk 'm!
  • Ketho
  • Registratie: Januari 2005
  • Laatst online: 21-06 18:21

Ketho

Topicstarter
Trommelrem schreef op maandag 15 mei 2017 @ 15:18:
Controleer even de SPF. Ik denk dat het een malafide email is. Welke link zit er onder Windowsupdate.com? Alleen Windows NT 5.x updatetet via een website, NT 6.x en NT 10.x updaten via een updatemechanisme, of via de Catalog. Niet via een website.
De mail lijkt mij een authentieke mail van KPN. Ik kan de message source niet openen in KPN Webmail, wel werd deze doorgestuurd naar mijn Outlook: https://gist.github.com/a...aba3c7ebabb4fe28e631d4dba

De link onder "windowsupdate.com" gaat direct naar https://www.windowsupdate.com/

maandag 15 mei 2017 15:31

Acties:
  • 0 Henk 'm!
  • Standeman
  • Registratie: November 2000
  • Laatst online: 20:43

Standeman

Prutser 1e klasse

Trommelrem schreef op maandag 15 mei 2017 @ 15:18:
Controleer even de SPF. Ik denk dat het een malafide email is. Welke link zit er onder Windowsupdate.com? Alleen Windows NT 5.x updatetet via een website, NT 6.x en NT 10.x updaten via een updatemechanisme, of via de Catalog. Niet via een website.
Ik heb er ook een heel raar gevoel bij. Hoe zou KPN kunnen weten of je geïnfecteerd bent met Wannacry? Infectie gebeurt door mail of via het interne (windows) netwerk. Dus tenzij ze jouw mail lezen of aan deep packet inspection doen is er volgens mij niet direct een manier om te weten dat je geïnfecteerd bent.

Maar misschien ken ik wannacry niet zo goed en is het prima te zien voor KPN.

The ships hung in the sky in much the same way that bricks don’t.

maandag 15 mei 2017 15:33

Acties:
  • 0 Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

Standeman schreef op maandag 15 mei 2017 @ 15:31:
[...]


Ik heb er ook een heel raar gevoel bij. Hoe zou KPN kunnen weten of je geïnfecteerd bent met Wannacry? Infectie gebeurt door mail of via het interne (windows) netwerk. Dus tenzij ze jouw mail lezen of aan deep packet inspection doen is er volgens mij niet direct een manier om te weten dat je geïnfecteerd bent.

Maar misschien ken ik wannacry niet zo goed en is het prima te zien voor KPN.
Misschien checken ze naar welke IP's je verbinding legt? Wannacry zoekt standaard verbinding met een voorgedefinieerd domein bij eerste "launch".

Owner of DBIT Consultancy

maandag 15 mei 2017 15:34

Acties:
  • +1 Henk 'm!
  • Maverick
  • Registratie: Oktober 2001
  • Laatst online: 22:22

Maverick

Ziet er redelijk legitiem uit, maar wat bij mij meteen alarmbellen doet rinkelen is het KVK-nummer. Welk groot bedrijf doet dit nu. Lijkt mij juist een poging om de mail echter te laten lijken terwijl hij dat niet is.

PSN: DutchTrickle PVoutput

maandag 15 mei 2017 15:36

Acties:
  • 0 Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

Maverick schreef op maandag 15 mei 2017 @ 15:34:
Ziet er redelijk legitiem uit, maar wat bij mij meteen alarmbellen doet rinkelen is het KVK-nummer. Welk groot bedrijf doet dit nu. Lijkt mij juist een poging om de mail echter te laten lijken terwijl hij dat niet is.
Eens, maar zolang de SPF klopt kan er weinig mis zijn met de afzender van die mail toch?

Owner of DBIT Consultancy

maandag 15 mei 2017 15:38

Acties:
  • +1 Henk 'm!
  • Ernemmer
  • Registratie: Juli 2009
  • Niet online

Ernemmer

Maverick schreef op maandag 15 mei 2017 @ 15:34:
Ziet er redelijk legitiem uit, maar wat bij mij meteen alarmbellen doet rinkelen is het KVK-nummer. Welk groot bedrijf doet dit nu. Lijkt mij juist een poging om de mail echter te laten lijken terwijl hij dat niet is.
KVK en BTW nummer zijn verplicht op alle zakelijke communicatie.

maandag 15 mei 2017 15:39

Acties:
  • Beste antwoord
  • +2 Henk 'm!

Anoniem: 135360

Heb jij toevallig die url van de killsiwtch geopend?
mogelijk dat ze daar op filteren. Ik kreeg soort gelijk bericht van mijn provider. enige logische verklaring die ik had was dat ik die url van de killswitch heb bezocht.

maandag 15 mei 2017 15:40

Acties:
  • +1 Henk 'm!
  • Ketho
  • Registratie: Januari 2005
  • Laatst online: 21-06 18:21

Ketho

Topicstarter
Anoniem: 135360 schreef op maandag 15 mei 2017 @ 15:39:
Heb jij toevallig die url van de killsiwtch geopend?
mogelijk dat ze daar op filteren. Ik kreeg soort gelijk bericht van mijn provider. enige logische verklaring die ik had was dat ik die url van de killswitch heb bezocht.
Heb ik inderdaad gedaan uit nieuwsgierigheid

maandag 15 mei 2017 15:40

Acties:
  • 0 Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

Ketho schreef op maandag 15 mei 2017 @ 15:40:
[...]


Heb ik inderdaad gedaan uit nieuwsgierigheid
Grote kans dat ze dus monitoren wie die URL aanroept en aan de hand daarvan mailtjes versturen. Opzich wel netjes!

Owner of DBIT Consultancy

maandag 15 mei 2017 15:41

Acties:
  • 0 Henk 'm!
  • Maverick
  • Registratie: Oktober 2001
  • Laatst online: 22:22

Maverick

Ernemmer schreef op maandag 15 mei 2017 @ 15:38:
[...]


KVK en BTW nummer zijn verplicht op alle zakelijke communicatie.
Hm, denk dat je gelijk hebt. Ik vind het er belachelijk prominent staan, vandaar. Maar das wellicht omdat het uit de footer komt en die opmaak door de copy/paste actie van de TS niet zichtbaar is in de post.

PSN: DutchTrickle PVoutput

maandag 15 mei 2017 15:48

Acties:
  • 0 Henk 'm!
  • Ketho
  • Registratie: Januari 2005
  • Laatst online: 21-06 18:21

Ketho

Topicstarter
Maverick schreef op maandag 15 mei 2017 @ 15:41:
Hm, denk dat je gelijk hebt. Ik vind het er belachelijk prominent staan, vandaar. Maar das wellicht omdat het uit de footer komt en die opmaak door de copy/paste actie van de TS niet zichtbaar is in de post.
(edit) ow je bedoelt de opmaak :$ ik kan het begrijpen dat het er dan raar uitziet ja

[ Voor 191% gewijzigd door Ketho op 16-05-2017 12:54 ]

maandag 15 mei 2017 16:48

Acties:
  • 0 Henk 'm!
  • Ketho
  • Registratie: Januari 2005
  • Laatst online: 21-06 18:21

Ketho

Topicstarter
Reactie van KPN nadat ik reageerde dat ik zelf de URL bezocht had
Geachte heer, mevrouw,

Bedankt voor uw reactie. Providers gebruiken intelligente IDS (intrusion detection systemen) waarbij er automatisch (alerts) worden aangemaakt als klanten met bekende malwarehosts (command & control servers) verbinding maken. U heeft aangegeven zelf de bewuste URL te hebben bezocht. Wij nemen daarom aan dat het hier een false positive betreft.

Met vriendelijke groet,

<snip>
Abuse Specialist

maandag 15 mei 2017 21:56

Acties:
  • 0 Henk 'm!
  • garp
  • Registratie: Augustus 2000
  • Laatst online: 03-06 13:25

garp

Nou, dat monitoren ze bij Ziggo niet voor zover ik weet. Toch wel netjes van KPN.

dinsdag 16 mei 2017 12:51

Acties:
  • 0 Henk 'm!
  • Ryan1981
  • Registratie: September 2002
  • Laatst online: 22-06 17:02

Ryan1981

Je ne sais pas

Ik kwam vandaag op de hoogte van deze ransomware. Iemand ergens een bron waar in beschreven staat hoe je kan zien of je geinfecteerd ben?

woensdag 17 mei 2017 07:31

Acties:
  • +1 Henk 'm!
  • Johan9711
  • Registratie: Maart 2013
  • Laatst online: 06:04

Johan9711

Verslaaft aan Tweakers

Wannacry start meestal snel met zichtbaar aanwezig zijn (populaire + zichtbare verandering van de extensies )
Maar de huidige variant is te herkennen doordat hij de hele tijd contact legt met domein iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. (het hier eerder besproken domein) je zou dus een rule in je firewall kunnen maken hier voor. Het complete lijstje:

1. Check for SMBv1 use (er word zelfs geadviseerd het te disablen als je nog niet de gelegenheid tot patchen hebt, patchen is sws beter natuurlijk)
2. . Early variants of WannaCry tried to contact iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Check your web traffic for any clients trying to connect to it
3. Check for an increase in the rate of file renames on your network
4. Look out for any outbound traffic on TCP 445. (Poort gebruikt door SMB)
5. Check for any instances of the file @Please_Read_Me@.txt on your file shares
6. Check for any instances of files with these extensions
.wnry
.wcry
.wncry
.wncryt

Mijn tweakblog: http://johan9711.tweakblogs.net/

woensdag 17 mei 2017 11:27

Acties:
  • +3 Henk 'm!
  • Audiowaste
  • Registratie: Mei 2011
  • Laatst online: 21-06 01:20

Audiowaste

Bij deze een script om te controleren of je besmet bent met het WannaCry virus:
Onderstaande code opslaan als een .bat file.
Er wordt een text file weggeschreven naar c:/temp/wannacry_detect met de resultaten.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92

@echo OFF

:: Is the reg key present?
SET RegKeyExists=0 
:: Is the scheduled task present?
SET SchedTaskExists=0
:: Is the WannaCry exe file present?
SET FilesExist=0
:: Is the mssecsvc service registered?
SET ServiceExists=0

:: Are there encrypted files on the file system? The /s option sets whether we're going to slowly crawl the entire system
IF "%1"=="/s" (SET CryptFilesExist=0) ELSE (SET CryptFilesExist=N/A)
:: Are the relevant hotfixes installed on this system?
SET HotfixesInstalled=0

:: reg query throws an error if the key does not exist
reg query HKLM\Software\Wanacrypt0r >nul 2>&1
IF %ERRORLEVEL% EQU 0 (
    SET RegKeyExists=1
)

:: Obtain the working directory
IF RegKeyExists EQU 1 (
    FOR /F "tokens=2*" %%a in ('reg query HKLM\Software\Wanacrypt0r /v wd') do SET "WannacryWorkingDirectory=%%~b"
)

:: WannaCry creates this entry to schedule a task in the operating system
reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Microsoft Update Task Scheduler" >nul 2>&1
IF %ERRORLEVEL% EQU 0 (
    SET SchedTaskExists=1
)


:: Artifacts left behind by WannaCry - source: https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware
SET WannaCryFiles=("C:\Windows\taskche.exe" "C:\Windows\mssecsvc.exe" "%WannacryWorkingDirectory%\taskche.exe" "%WannacryWorkingDirectory%\taskse.exe" "%WannacryWorkingDirectory%\!WannaDecryptor!.exe" "%WannacryWorkingDirectory%\c.wry" "%WannacryWorkingDirectory%\f.wry" "%WannacryWorkingDirectory%\m.wry" "%WannacryWorkingDirectory%\r.wry" "%WannacryWorkingDirectory%\t.wry" "%WannacryWorkingDirectory%\u.wry" "%WannacryWorkingDirectory%\TaskHost" "%WannacryWorkingDirectory%\00000000.pky" "%WannacryWorkingDirectory%\00000000.res" "%Temp%\0.WCRYT" "%Temp%\1.WCRYT" "%Temp%\2.WCRYT" "%Temp%\3.WCRYT" "%Temp%\4.WCRYT" "%Temp%\5.WCRYT" "%Temp%\hibsys.WCRYT" "%USERPROFILE%\Desktop\!Please Read Me!.txt")
:: Loop through artifacts and check whether they exist
::IF EXIST %%WannaCryFiles[%%a]%% SET FilesExist=1 &
FOR %%f in %WannaCryFiles% do IF EXIST %%f SET FilesExist=1

sc queryex type= service state= all | findstr /i mssecsvc >nul
IF NOT errorlevel 1 (
    SET ServiceExists=1
)

:: Search directories for files with WannaCry extension if this flag is passed to the script
IF "%1"=="/s" (
    FOR /R C:\ %%f in (*.wcry,*.wncry,*.wncryt) do SET CryptFilesExist=1
)

:: Find if updates are installed - if ONE of these is installed, the vulnerability is patched
:: From: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
SET HotfixIds=(KB4012212 KB4012213 KB4012214 KB4012215 KB4012216 KB4012217 KB4012598 KB4012606 KB4013198 KB4013429 KB4015549 KB4015550 KB4015551 KB4018466 KB4019215 KB4019216 KB4019264 KB4019472 KB4019473 KB4019474)

:: Put hotfixes in temp file to work with
SET Hotfixes="%Temp%\hotfixes.txt"
wmic qfe get hotfixid > "%Hotfixes%"

FOR %%h in %HotfixIds% do (
    find "%%h" %Hotfixes% >nul && (SET HotfixesInstalled=1 )
)

DEL "%Hotfixes%"

:: Read hostname into a variable
FOR /F "usebackq" %%i IN (`hostname`) DO SET Hostname=%%i
:: Read IP address into a variable
FOR /F "usebackq tokens=2 delims=:" %%i in (`ipconfig ^| findstr /c:"IPv4 Address"`) DO SET IPAddress=%%i
:: Read OS information
FOR /F "tokens=*" %%f in ('wmic os get caption /value ^| find "="') do set WindowsName=%%f
FOR /F "tokens=*" %%f in ('wmic os get version /value ^| find "="') do set WindowsVersion=%%f


:: Results
::ECHO Hostname: %Hostname%
::ECHO IP address: %IPAddress%
::ECHO Windows name: %WindowsName%
::ECHO Windows version: %WindowsVersion%
::ECHO Reg key: %RegKeyExists%
::ECHO Scheduled task: %SchedTaskExists%
::ECHO Service registered: %ServiceExists%
::ECHO Files exist: %FilesExist%
::ECHO Encrypted files found: %CryptFilesExist%
::ECHO Hotfixes installed: %HotfixesInstalled%


IF EXIST C:\Temp (
    ECHO %Hostname%,%IPAddress%,%WindowsName%,%WindowsVersion%,%RegKeyExists%,%SchedTaskExists%,%ServiceExists%,%FilesExist%,%CryptFilesExist%,%HotfixesInstalled% > C:\Temp\wannacry_detect.txt
) ELSE (
    MKDIR C:\Temp 
    ECHO %Hostname%,%IPAddress%,%WindowsName%,%WindowsVersion%,%RegKeyExists%,%SchedTaskExists%,%ServiceExists%,%FilesExist%,%CryptFilesExist%,%HotfixesInstalled% > C:\Temp\wannacry_detect.txt
)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq