Malware overschrijft harde schijf

Axoft IT & Telecom waarschuwt u voor een nieuw schadelijk malware-exemplaar dat harde schijven met een foto van een overleden Syrische jongetje overschrijft, waardoor de computer onbruikbaar wordt.

Ook andere beveiligingsbedrijven waarschuwen u hiervoor. Na het doen van een analyse gaat het om versie 2.0 van de Shamoon-malware die in 2012 voor het eerst verscheen en 30.000 computers van de Saoedische oliegigant Saudi Aramco saboteerde. De eerste Shamoon-versie gebruikte een foto van een brandende Amerikaanse vlag om de bestanden op de harde schijf te overschrijven. De nu ontdekte versie gebruikt een foto van een verdronken en aangespoeld Syrisch jongetje. Verder blijkt deze versie over vaste inloggegevens te beschikken die mogelijk bij een eerdere aanval zijn buitgemaakt. Het lijkt dan ook om een gerichte aanval te gaan.

Eenmaal actief probeert de malware toegang tot verschillende gedeelde mappen te krijgen. Zodra de malware hiertoe toegang heeft verkregen wordt de Remote Registry-service van Windows ingeschakeld. Verder verandert de malware de systeemklok van de computer naar een datum in augustus 2012. Waarschijnlijk wordt dit gedaan om ervoor te zorgen dat de driver die de bestanden wist nog steeds is te gebruiken. Organisaties kunnen aan de hand van deze tijdswijziging, alsmede het inschakelen van Remote Registry en het toevoegen van Registersleutels, dan ook controleren of de malware op hun netwerk actief is.