Nieuws

Microsoft 365 en Ransomware?

Vorige week is grootschalig in het nieuws geweest dat een groot aantal buitenlandse instanties in onder andere Rusland en het Verenigd Koninkrijk slachtoffer zijn geworden van het WannaCry Ransomware virus. Kortgezegd wordt deze ransomware ergens binnen het netwerk binnengehaald door een gebruikersfout en grijpt vervolgens binnen de systemen om zich heen om alle bestanden te versleutelen zodat deze niet meer te openen zijn voor gebruikers. Deze versleuteling verloopt geheel automatisch en maakt alle documenten en informatie die op het systeem zijn aangesloten of verbonden zijn onbereikbaar. De software geeft vervolgens een melding dat er grote sommen geld per werkstation betaald moet worden om de versleuteling ongedaan te maken, de vraag is echter nog maar of dat ook daadwerkelijk gebeurd.

Het mechanisme van WannaCry is inmiddels ontrafeld en onschadelijk gemaakt, maar het is wachten op nieuwe vormen van ransomware. Dit dwingt ons gelijk na te denken over hoe dat eigenlijk zit met SharePoint Online en/of OneDrive, de plek waar veel van onze klanten hun documenten, stukken en informatie opslaan.

De ransomware is een executable van een bepaalde soort die lokaal op een gebruikerspc wordt uitgevoerd (al dan niet bewust). De ransomware die we hebben gezien heeft effect op SharePoint Online en OneDrive voor Bedrijven en is in staat om individuele bestanden op een werkstation via de OneDrive voor Bedrijven synchronisatieclient (of een SharePoint Online netwerkschijf in hele specifieke gevallen) te manipuleren. Zodra dit gebeurd worden de geïnfecteerde bestanden via de synchronisatie naar de online omgeving verstuurd. We hebben diverse manipulaties gezien zoals public/private key encryptie, overschrijven naar een onbekende extensie, verwijderen van bestaande bestanden en vaak worden grote aantallen nieuwe bestanden toegevoegd aan mappen met instructies over hoe te betalen voor decryptie.

Sommige symptomen zijn:

  • Grote hoeveelheden bestanden in de bibliotheek hebben dezelfde “Gewijzigd op” tijdsaanduiding.
  • Bestanden kunnen niet worden geopend of het systeem geeft aan dat het bestand corrupt is.
  • Mappen bevatten bestanden met namen als HELP_DECRYPT of HELP_RECOVER of andere willekeurige vreemde namen. Deze bestanden kunnen wel worden geopend en bevatten informatie over hoe en wie te betalen.
  • Bestanden zijn hernoemd of hebben een vreemde extensie gekregen.

Wat kan ik het beste doen?

Helaas is het vaak niet direct mogelijk alle schade ongedaan te maken aangezien het moeilijk is direct erachter te komen welk mechanisme is gebruikt. Dit gezegd hebbende: er is geen reden tot paniek!

Probeer indien u merkt dat er iets mis gaat de internetverbinding te verbreken en eventuele OneDrive apps uit te schakelen (via de system tray naast de klok rechtersonderin Windows). Als u werkt met een virtuele netwerkschijf naar SharePoint, verbreek deze dan ook zo snel mogelijk. Meld vervolgens de aanval bij ons en dan gaan we eventueel geïnfecteerde bestanden proberen te herstellen naar de oude staat.

N.B.: Probeer geen bestanden te hernoemen, verwijderen, etc!

Stuur indien mogelijk de volgende informatie mee met de melding als u contact met ons opneemt:

  • Wat is de URL van de siteverzameling en/of bibliotheek die is geïnfecteerd.
  • Wat is de laatst bekende tijd dat de bestanden nog “gezond” waren?