Honderden bedrijven zijn gisteren opgeschrikt door een grote ransomwareaanval. Door het Wana Decryptor-virus werden tienduizenden computers gegijzeld, wat tot veel chaos leidde. Inmiddels is de aanval gestopt door een beveiligingsonderzoeker, maar experts waarschuwen dat de Wana-aanval het begin is van een veel groter probleem. Laten we eens op een rij zetten wat we na 24 uur weten over de ransomware-aanval.

Wat gebeurde er precies?

De wereldwijde aanval begon vrijdagmiddag rond 14.00 in Engeland, toen 16 ziekenhuizen werden getroffen door een virus dat computers vergrendelde en bestanden versleutelde. De aanval werd na ongeveer een uur bevestigd door de Britse NHS, de 'National Health Service' die de ziekenhuizen overziet. Door de middag heen werden meer en meer ziekenhuizen geïnfecteerd.

Door de middag heen kwamen er berichten binnen van over de hele wereld van bedrijven en instanties die werden geraakt. Zo werd ook het Russische Ministerie van Binnenlandse Zaken getroffen, waarbij 1.000 computers van het departement onbruikbaar werden verklaard. Ook verschenen er tweets van de Wana-ransomware die de Deutsche Bahn had getroffen.

Aanvallen over de hele wereld

Kort na de Britse aanval bleek ook de Spaanse telecomprovider Telefonica slachtoffer te zijn van een aanval, maar later bleken niet alleen die twee instellingen te zijn geraakt.

Uiteindelijk werden wereldwijd meer dan honderdduizend computers getroffen. De New York Times maakte een animatie van de plekken waar de ransomware uiteindelijk toesloeg.

In de loop van de dag werd al wat meer duidelijk over de schade van de ransomware. Uit ziekenhuizen kwamen berichten dat patiënten hun niet-essentiële operaties moesten verzetten, en veel bedrijven lagen lange tijd plat.

Wana Decrypt0r

De aanval werd uitgevoerd door de Wana Decrypt0r-ransomware, ook bekend onder de namen Wanna, WannaCry en WannaCryptor. Specifieker gaat het om Wanna Decrypt0r 2.0-versie, een verbeterde versie van de WCry-ransomware die in maart voor het eerst de ronde deed.

Wana Decrypt0r is een vorm van ransomware die bestanden versleutelt en een pop-up op het scherm plaatst waarin losgeld wordt geëist van 300 dollars in bitcoin. De malware versleutelt bestanden AES-128-encryptie, met de extensie .wnry, .wcry, .wncry of .wncrypt.

Inmiddels hebben meerdere beveiligingsbedrijven de ransomware nader bestudeerd. Je kunt onder andere hier lezen hoe die in elkaar zit

SMB-protocol

Wana Decrypt0r maakte misbruik van een bekend lek in het SMB-protocol in Windows (Server Message Block), dat wordt gebruikt om verbinding te leggen met andere Windows-apparaten binnen een netwerk.

Onbekende attack vector

De aanvalsmethode van de ransomware is voorlopig nog vaag. Meestal wordt dergelijke ransomware via phishing-aanvallen verspreid, met emails met Word-bijlages die vragen om macro's in te schakelen. Maar omdat deze ransomware van een SMB-exploit gebruik maakt is het niet ondenkbaar dat de aanval ook van een afstandje wordt uitgevoerd - al lijkt dat minder logisch omdat de aanval niet op specifieke bedrijven lijkt te zijn gericht.

Opvallend is dat het lek in het SMB-protocol al ruim 2 maanden bekend is. Het gaat namelijk om een cyberwapen dat de NSA gebruikte voor aanvallen, genaamd EternalBlue. EternalBlue werd in maart van dit jaar bekend toen de notoire hackersgroep Shadow Brokers een groot aantal cyberwapens van de Amerikaanse inlichtingendienst openbaar maakte.

Patch al 2 maanden beschikbaar

Microsoft heeft al vrij snel na het lek van Shadow Brokers een patch uitgebracht voor Windows 7, 8 en 10. Inmiddels is er zelfs een patch vrijgekomen voor Windows XP, hoewel dat besturingssysteem al sinds juni 2014 end-of-life is en geen officiële beveiligingsupdates meer krijgt. Desondanks draaien veel instellingen (waaronder ook de Nederlandse overheid) nog op Windows XP, al zijn er speciale (en dure) afspraken gemaakt om toch nog betaalde beveiligingsupdates te krijgen. Het is alleen moeilijk te zeggen welke getroffen instellingen wel of juist niet voor die extended support betaalden.

Geen gerichte aanval

Het is nog niet bekend wie er precies achter de aanval zit. Niemand heeft het nog opgeëist, en in de broncode zijn voorlopig nog geen verwijzingen gevonden naar bijvoorbeeld het land van herkomst. Het lijkt erop dat de aanval niet gericht was op één specifieke instelling. Dat was bijvoorbeeld te zien aan de aard van de malware: die had geen persoonlijke boodschap maar een algemene tekst, en het losgeld werd in Amerikaanse dollars genoemd terwijl de aanval aanvankelijk op Britse instellingen was gericht.

Maar ook als je kijkt naar de verspreidingsmethode van Wana blijkt dat het gaat om een algemene aanval. Wana maakt namelijk gebruik van een lek in SMB waardoor kwetsbare systemen makkelijk via internet te vinden waren.

Weinig geld verdiend

Ondanks de schaal van de aanval lijken de aanvallers, wie het ook zijn, er niet rijk van te zijn geworden. Wie de bitcoin-adressen van de daders in de gaten hield, zag dat er uiteindelijk in totaal zo'n 11 bitcoins aan losgeld zijn betaald - met de huidige koers is dat zo'n € 17.000,-.

Dit zijn een aantal adressen waarvan de transacties te volgen zijn:

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Overigens kreeg de bitcoin-koers na de aanval een flinke klap. Deels door de negatieve publiciteit in de media over de anonieme munt daalde de waarde van de bitcoin met zo'n 200 dollar.

Schuldvraag

De grote vraag is natuurlijk of bedrijven hadden kunnen voorkomen dat ze slachtoffer werden van zo'n aanval. Het is niet gek dat zoveel instellingen tijdelijk niet konden werken. Zelfs met de juiste backups duurt het volgens beveiligingsonderzoekers gemiddeld zo'n 5 dagen voor een bedrijf weer volledig operationeel is na een ransomwareaanval.

Bedrijven zijn over het algemeen vaker kwetsbaar voor ransomware. Dat komt omdat ze vaker geld over hebben voor het losgeld (uit een onderzoek van IBM blijkt dat maar liefst 70% van alle bedrijven betaalt na een aanval, en bij 20% van alle betalingen gaat het om 40,000 dollar of meer ), maar ook omdat het makkelijker is een bedrijf te infecteren. Je hoeft immers maar één medewerker te hebben die in een phishing-mail trapt of een geïnfecteerde usb-stick gebruikt om zo meerdere computers te besmetten - wat ook precies bij deze aanval gebeurde. Uit een eerder onderzoek van vorig jaar bleek bijvoorbeeld al dat 47% van alle NHS-instellingen slachtoffer werd van ransomware.

Gebruiken van zero-days

Maar de discussie over de schuldvraag gaat dit keer dieper, en dat komt door de exploit die werd misbruikt tijdens de aanval. De hackers maakten namelijk gebruik van een exploit die de NSA ook gebruikte. Er is al langer discussie over het gebruik van zero-days door instellingen zoals de NSA, die actief softwarelekken opspoort én opkoopt om verdachten te hacken. Ook in Nederland wordt gewerkt aan wetgeving om dat mogelijk te maken.

Lees ook: 'Dit zijn de dubieuze bedrijven die handelen in zero-days'.

Rondom de ethiek van het gebruik van zero-days is inmiddels veel discussie ontstaan. Sommige experts vinden het nodig voor het opsporen van criminaliteit, maar tegenstanders wijzen op de gevaren van die praktijk - zeker nadat de CIA vorige maand de controle verloor over tienduizenden gevoelige documenten met informatie over het gebruik van zero-days.

Kritiek op slachtoffers

Maar er is ook veel kritiek op de slachtoffers zelf, die zichzelf hadden kunnen beschermen tegen de aanval. De patch voor MS17-010 werd al op 14 maart uitgebracht. Beveiligingsonderzoekers die Wana op VM's en in testomgevingen hebben gedraaid bevestigen ook dat de ransomware niet meer werkt wanneer de juiste patches zijn geïnstalleerd. Systeembeheerders hebben dus ruim 2 maanden de tijd gehad om hun systemen te patchen om deze specifieke ransomware te voorkomen, dus slachtoffers die nu geraakt zijn liepen aantoonbaar achter met hun beveiliging.

Bovendien wijzen eerste berichten erop dat slachtoffers SMB open hadden staan op internet, waardoor ze makkelijk konden worden gevonden door de hackers. Ook dat wijzen veel experts af als onnodig risicovol gedrag.

Aanval per ongeluk gestopt

Beveiligingsexperts zagen de bui vrijdag al hangen: het zou een lang en heftig weekend gaan worden. De worm zou naar verwachting ook naar duizenden andere bedrijven verspreiden die pas maandag hun pc's weer zouden opstarten, en dan prompt slachtoffer zouden worden. Buiten genoeg preventie en het maken van backups leek er aanvankelijk weinig te doen aan het virus, tot een security-researcher die tweet onder de naam @MalwareTechBlog per ongeluk een oplossing vond waardoor het virus vrijwel in één klap werd gestopt.

@MalwareTechblog reverse-engineerde de malware en ontdekte dat die begon met het checken van een specifieke domeinnaam, bestaande uit een willekeurige rij tekens: http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/. Wat dat deed, was hem niet duidelijk, maar toen hij zag dat die domeinnaam niet bestond registreerde hij hem - en plotseling hielden de aanvallen op. Blijkbaar had @MalwareTechblog een killswitch ontdekt, waarbij de ransomware verbinding maakt met de url, en het virus niet uitvoert als die url blijkt te bestaan. Zo konden de makers het virus op ieder moment uitschakelen als ze dat zouden willen.

De onderzoeker beschreef zijn acties op zijn blog.

Einde?

Sindsdien lijkt de aanval grotendeels tegen te zijn gehouden. Toch is niet alles opgelost, want het gaat nog wel even duren voor alle getroffen systemen weer naar behoren werken. Ook is de kans groot dat er binnenkort een nieuwe aanval plaatsvindt, maar dan iets aangepast. Experts zijn het over één ding in ieder geval eens: alle angst en waarschuwingen voor grootschalige ransomwareaanvallen waren compleet terecht.

Philips breidt de Baristina-serie uit met een nieuwe variant. De Baristina met Bean swap heeft een dubbele bonencontainer, waarmee je eenvoudig wisselt tussen twee soorten koffiebonen. Met één simpele beweging kies je bijvoorbeeld voor een stevige espresso in de ochtend en een decaf in de avond.

Dubbele bonencontainer voor meer keuze

De Philips Baristina met Bean swap heeft twee bonenvakken bovenop de machine. Door een simpele draai wissel je van boon, zonder dat je de container hoeft te legen of te vervangen. Je kunt ook je eigen blend maken door beide soorten tegelijk te malen.

Voor nog meer flexibiliteit is het mogelijk om gemalen koffie toe te voegen via de portafilter. Dat is ideaal als je af en toe een single origin of cafeïnevrije variant wilt gebruiken.

©Philips

Slim en duurzaam design

De machine is onderdeel van de BAR300-serie, die eerder positief werd beoordeeld in onafhankelijke tests. De behuizing bestaat deels uit gerecycled kunststof. Dankzij het compacte ontwerp past de machine in bijna elke keuken. Verkrijgbaar in zwart of wit, met roestvrijstalen accenten.

©Philips

De belangrijkste kenmerken op een rij

De Philips Baristina met Bean swap is verkrijgbaar vanaf midden juli 2025. De verwachte adviesprijs is 349 euro.

☕ Bekijk hieronder meer espressomachines van Philips op Kieskeurig.nl

Veel mensen zijn tevreden met het Knipprogramma van Windows om schermafdrukken te maken. Toch zijn er goede redenen om voor dit doel de voorkeur te geven aan een tool van derden. In de categorie screenshottools behoort Greenshot al jaren tot de populairste oplossingen. Dat dit terecht is, laten we graag aan je zien.

Behalve dat Greenshot gratis is, is vooral het minimalistische design een belangrijke reden waarom deze tool zo populair is. Greenshot staat dus nooit in de weg en neemt zelden ruimte in beslag, terwijl de tool toch uitgebreide mogelijkheden heeft. Het enige dat Greenshot niet kan in vergelijking met het Windows Knipprogramma is filmpjes vastleggen. De app werkt volledig vanuit het systeemvak en heeft niet eens een speciale interface. Alle functies haal je dus vanuit het pictogram in het systeemvak. Daarbij kun je bijna alle instellingen aanpassen.

Versies

Het gaat trouwens om een lichtgewicht tool van amper 4 MB. De thuisbasis van deze opensource-software is https://getgreenshot.org. Daar wordt direct duidelijk dat dit product gratis is. Klik op de knop Download Now en dan lees je dat de Windows-versie inderdaad kosteloos is. Voor macOS betekent ‘gratis’ dat je 1,99 dollar moet betalen.

Verder zie je staan dat de laatste stabiele release dateert van 9 augustus 2017. Dat betekent niet dat de ontwikkelaars sindsdien hebben stilgezeten. Klik op Version history om bij de lijst van daaropvolgende versies te komen. Deze hebben nog niet het label Stable hebben gekregen. Met andere woorden: ze hebben nog niet de volledige testprocedure doorlopen. Voor dit artikel hebben we de recentste versie geïnstalleerd: Greenshot 1.3.277 unstable. Daarmee hebben we geen enkel probleem ondervonden. Ben je niet zo avontuurlijk aangelegd, dan kun je voor de laatste stabiele versie op de downloadpagina gaan.

Er is een versie voor Windows en een versie voor macOS.

Set-up

De installatie verloopt in stapjes. Eerst selecteer je een taal, waarschijnlijk Nederlands. Vervolgens accepteer je de licentievoorwaarden en ga je akkoord met de locatie waar het programmabestand wordt geïnstalleerd. Vervolgens kom je op een scherm om extra componenten te selecteren. Dat zijn plug-ins die zorgen dat Greenshot naadloos samenwerkt met online diensten en andere desktopapplicaties. Wees selectief. Als je bijvoorbeeld niet van plan bent om schermafbeeldingen naar Dropbox of Flickr te exporteren, dan heeft het geen zin om deze componenten te installeren. De laatste groep componenten voegt eventueel extra taalversies toe. Kies gerust, maar wij houden het bij onze enige taalversie. Daarna vraagt de installer om een snelkoppeling in het startmenu te plaatsen en of het programma samen met Windows mag opstarten.

Voeg alleen de componenten toe die je werkelijk denkt te gebruiken.

Vanuit het systeemvak

Omdat je nog geen snelkoppelingen hebt vastgelegd, is het systeemvak nog de snelste manier om Greenshot te openen. Als je daar op het Greenshot-pictogram klikt, kom je bij vijf mogelijke schermafdrukken: Interactief kader, Laatste schermafdruk herhalen, Actief vensteropname, Volledige schermopname en Internet Explorer vensteropname.

Met Interactief kader selecteer je een deel van het scherm om daarvan een foto te nemen. In deze modus zie je een kruisje dat de muispositie aangeeft. Klik en sleep dan een rechthoekig selectiekader. De selectie wordt bedekt met een lichtgroene overlay en op het scherm verschijnen de pixelafmetingen van deze selectie. Om de schermafbeelding te bevestigen, laat je de muisknop los.

De afmetingen van de schermafdruk verschijnen op de overlay.

Kies een modus

Wanneer je eerder een gebied of venster hebt vastgelegd, dan kun je met de optie Laatste schermafdruk herhalen hetzelfde gebied opnieuw vastleggen. Met de optie Actief vensteropname maak je een schermafbeelding van het venster dat momenteel actief is. Je kunt schakelen tussen de modus Interactief kader en Actief vensteropname door de spatiebalk in te drukken.

In de Instellingen zit een optie om het actieve venster niet zomaar direct vast te leggen, maar om het interactief te selecteren. Open de Instellingen en ga naar het tabblad Schermopname. Dan kun je de optie Actief vensteropname / Interactieve schermopname aanzetten. In deze optie kun je een venster selecteren door erop te klikken. Daarna markeert Greenshot het te fotograferen gebied en kun je het volledige venster of een deelvenster selecteren, zoals het werkvlak, de zijbalk of de knoppenbalk. Met Volledige schermopname maak je een afbeelding van alles wat er op dat moment op het scherm te zien is.

Bepaal de manier waarop je het gebied wilt markeren.

Beeld bewerken

Greenshot heeft een interessante beeldbewerker die afgestemd is op wat men doorgaans met schermafbeeldingen doet. Eerst maak je een schermafbeelding en daarna kies je de optie In beeldbewerker. Je kunt inzoomen op de afbeelding, bovenaan staan ook de verschillende uitvoermogelijkheden (onder meer voor Outlook, Word, OneNote, PowerPoint en DropBox).

In de zijbalk vind je de tools. Voor het gemak is er ook een toets toegewezen aan elk gereedschap. De beschikbare vormen zijn: Rechthoek, Ellips, Lijn, Pijl en Vrijehandlijn. Je kunt elke keer zelf de lijndikte en de lijnkleur van de vorm bepalen. Op schermafdrukken staat vaak privacygevoelige informatie zoals een accountnaam of het e-mailadres van iemand. Je kunt die gegevens verbergen met het gereedschap Maskeren. Je kunt kiezen om die gegevens te vervagen of ze te pixelen zodat ze onleesbaar worden.

Je beschikt over een arsenaal aan tools om te markeren en aan te wijzen.

Spelen met tekst

Je beschikt over een Teksttool, over Tekstballonnen en je kunt tekst markeren zodat het lijkt alsof je er met een markeerstift overheen bent gegaan. Heel interessant is de tool Teller toevoegen om met een muisklik volgnummers te plaatsen. Dit is handig als je bijvoorbeeld een schermafdruk maakt waarbij je in het bijschrift een aantal elementen uit het plaatje wilt toelichten. Klik met deze tool in de buurt van het eerste element dat je wilt toelichten en dan verschijnt het getal 1 in een cirkel. Bij een volgende klik verschijnt het getal 2. Daarna volgt drie en zo verder. Ook hier kun je aangeven welke kleur de cirkel moet hebben.

Met de onderste knop in de kolom Gereedschappen pas je de afmetingen van de schermafbeelding aan. Standaard lees je hier de oorspronkelijke pixelafmetingen van de afbeelding. Je kunt de afmetingen met pixelwaarden wijzigen of door een percentage in te geven. Vergeet niet om hierbij het vakje Verhouding aan te vinken, zodat de hoogte-breedteverhouding van de afbeelding behouden blijft. Ten slotte kun je nog een vijftal effecten op de schermafbeelding toepassen, zoals een schaduw toevoegen en omzetten naar grijstinten.

Met elke muisklik plaats je het volgende nummer.

(Snelle) instellingen

In het menu van Greenshot vind je zowel Snelle instellingen als Instellingen. Wat is het verschil? De Snelle instellingen gebruik je meestal tijdens het werken met Greenshot. Hiermee bepaal je bijvoorbeeld dat de schermafbeelding naar het klembord gekopieerd moet worden of naar Microsoft Word, of dat de afbeelding moet geopend worden in de beeldbewerker. Met de Snelle instellingen beslis je ook of de cursor op de schermafbeelding moet staan.

De Instellingen neem je meestal door voordat je het programma gebruikt. Hier kun je bijvoorbeeld regelen dat het programma samen met Windows opstart. Hier vind je ook het tabblad waar je de sneltoetsen vastlegt om een van de vijf verschillende soorten schermafbeeldingen te activeren.

In de Snelle instellingen bepaal je of de cursor mee op de schermafbeelding moet staan.

Opslaglocatie

Via Instellingen / Opslaan kun je op voorhand vastleggen in welke map alle schermafbeeldingen worden opgeslagen. Tegelijkertijd regel je de automatische naamgeving van de bestanden. De knop met het vraagteken leert hoe je gebruikmaakt van variabelen om de datum en het tijdstip aan de bestandsnaam toe te voegen. Als je bijvoorbeeld het patroon ${YYYY}-${MM}-${DD} ${hh}-${mm}-${ss} gebruikt, dan wordt de naam in de vorm van een tijdstempel weergegeven zoals 2025-01-26 10-34-49.jpg. In het derde vak selecteer je het gewenste afbeeldingsformaat. Je kunt kiezen uit bmp, gif, jpg, png, tif, jxr, greenshot, of ico. Kies je voor jpg, dan moet je met een schuifje de kwaliteit instellen. Hoe hoger de gewenste kwaliteit, hoe minder compressie er wordt toegepast en hoe groter het jpg-bestand wordt.

Leg de opslaglocatie vast waar alle schermafdrukken komen.

Exporteren

Greenshot heeft krachtige exportmogelijkheden, zowel lokaal als online. Zo kun je vanuit de app of vanuit de beeldbewerker schermafbeeldingen exporteren naar Dropbox of Flickr. Ook is het in de beeldbewerker mogelijk om de bewerkte afbeelding te openen in OneNote, PowerPoint, Word of Paint. Om schermafbeeldingen online op te slaan, download je eerst de vereiste plug-in, als je deze tenminste niet al via de installatieprocedure hebt toegevoegd.

Wanneer je in de Instellingen het tabblad Plugins opent, kun je de geïnstalleerde plug-in selecteren, bijvoorbeeld Dropbox. Vervolgens klik je onderaan op de knop Instellingen en dan bepaal je de bestandsindeling die gebruikt wordt om de schermafbeelding naar Dropbox te exporteren. Tot slot is het zelfs mogelijk om meerdere opslagmethoden te selecteren of om de schermafbeeldingen simultaan naar meerdere locaties te sturen.

In dit geval exporteren we de schermafbeeldingen in de beeldbewerker van Greenshot, in het klembord en in Word.