Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 178 reacties

In de afgelopen week zijn circa 200 computers van de Vrije Universiteit Amsterdam getroffen door Cryptolocker, malware die bestanden versleutelt en tegen betaling weer ontsleutelt. Volgens de VU zijn nog geen bestanden verloren gegaan als gevolg van de infectie.

Woordvoerster Aukje Schep bevestigde de infectie, nadat beveiligingsonderzoeker Rickey Gevers een screenshot van een mededeling van de VU postte op Twitter. De waarschuwing roept studenten en medewerkers op om niet zomaar bijlagen in e-mails te openen. Ook op linkjes mag niet zomaar worden geklikt, waarschuwt de Vrije Universiteit.

Volgens woordvoerster Schep begon de relatief grootschalige infectie een week geleden en zijn er in die periode 'om en nabij' tweehonderd computers geïnfecteerd. "De malware waart al wel een tijdje rond, de afgelopen maanden werden af en toe al pc's geïnfecteerd", zegt Schep. Waardoor het aantal aanvallen zo is toegenomen, weet Schep niet. "We hebben nog geen idee in welke hoek we dit moeten zoeken."

De zogeheten ransomware versleutelt bestanden en eist dat gebruikers betalen voordat ze weer worden ontsleuteld. "Maar wij betalen natuurlijk niet", aldus Schep. De universiteit stelt dat er voor zover bekend bovendien nog geen bestanden verloren zijn gegaan door de malware-infectie.

"Het kan wel zijn dat studenten en personeel tijdelijk geen toegang hebben tot hun bestanden", zegt Schep, die afgelopen vrijdag zelf het slachtoffer werd van de malware. "Ik had vrijdag geen toegang tot mijn account, maar uiteindelijk was ik geen bestanden kwijt", aldus Schep.

Moderatie-faq Wijzig weergave

Reacties (178)

"Het kan wel zijn studenten en personeel tijdelijk geen toegang hebben tot hun bestanden", zegt Schep, die afgelopen vrijdag zelf het slachtoffer werd van de malware. "Ik had vrijdag geen toegang tot mijn account, maar uiteindelijk was ik geen bestanden kwijt", aldus Schep.
Het zou leuk/goed zijn als de beste heer dan even uit de doeken doet hoe hij weer van het virus afgekomen is (en z'n bestanden unlocked heeft zonder te betalen)?!
Of moet ik het letterlijk nemen en heeft de beste man z'n bestanden inderdaad nog (maar zijn ze alleen nog encrypted)?

Verder lijkt het me bepaald geen sinecure om dit op dit soort netwerken te voorkomen. Zo was ik gisteren in Groningen op het Zernike-complex en bij het accepteren van de (uitgebreide-) gebruiksvoorwaarden (van het open wifi-netwerk) stond iets als "Gij zult geen phishing mails openen" (als een soort van 11e gebod), maar of dat veel ellende zal schelen?
Natuurlijk lopen er daar over het algemeen wel slimme mensen rond, maar dat en "goed van vertrouwen" sluiten elkaar niet uit.....

[Reactie gewijzigd door SuBBaSS op 9 maart 2015 14:58]

Overigens helpt betalen natuurlijk ook niet, of denk je werkelijk dat de boeven een administratie bijhouden wie een paswoord nodig heeft.
Betalen helpt wel. Dat was de vorige keren wel duidelijk. Als betalen niet zo helpen dan zou het lucratieve er voor de criminelen snel vanaf zijn want dan betaalt er dus echt niemand meer.

@Abom hier beneden. Precies. Al kan de verleiding erg groot worden om wel te betalen als er eventjes een jaar werk bv weg is zonder back-up.

[Reactie gewijzigd door immetjes op 9 maart 2015 16:09]

Precies de reden dat men nooit moet betalen. Wanneer niemand zou betalen, zouden dergelijke virussen heel snel uitsterven.
Eerlijk gezegd hoor je vaak dat het juist niet loont als je betaald. Het is mijn inziens gewoon valse hoop. En gewoon een fabel dat je de key krijgt, ook allemaal om de mensen maar te laten betalen.
Nou sterker nog: in latere versies zit zelfs een soort van "helpdesk-functie" en ik heb over gevallen gelezen die wel betaald hadden en de decryption key hadden gekregen, maar waarbij het decrypten niet alles had meegenomen. Die hebben contact én ondersteuning gekregen om de rest ook te kunnen decrypten.
Dat duidt wel zeker op een (soort van-) administratie.

Link moet ik je even schuldig blijven zal er een zoektochtje aan wijden en nadien hier toevoegen

Overigens ben ik het helemaal met je eens dat het betalen ook niet helpt, in de zin van: dit virus zal daar niet van verdwijnen en het geeft de hackers ook nog eens bestaansrecht doordat mensen zich bijv. omwille van verloren privéfoto's willen laten afpersen en grof geld betalen.
Maar goed, zolang er nog geen andere oplossing is, is de keuze wmb. wel begrijpelijk.
Klopt. Net iemand gesproken die thuis dit virus had, ¤200 betaald heeft (in bitcoins uiteraard), en met wat hulp per mail alles gedecrypt heeft nu.

Overigens raad ik sterk af om te betalen, hiermee sponsor je de criminelen (en voed daarmee meer van dit soort virussen) en garanties krijg je nooit.
Dat is het mooie van Crypto locker. Iedere gebruiker (geinfecteerde machine) heeft zijn eigen sleutel en wordt netjes bijgehouden op een server. Na betaling krijg je je sleutel om je documenten weer te ontsleutelen. Zo heb ik het begrepen, zelf gelukkig nog geen last van gehad. Dan nog zit ik er wel zodanig in dat ik liever mijn werk verlies dan ook maar 1 cent aan die boeven te doneren.
Die sleutel krijg je gewoon. Zou ook dom zijn van die criminelen, dan gaat niemand meer betalen ;) nu krijg je een soort domino-effect. Iemand met het virus betaalt en krijgt netjes de key. Anderen zijn nu sneller geneigd om ook te gaan betalen.
[...]


Het zou leuk/goed zijn als de beste heer dan even uit de doeken doet hoe hij weer van het virus afgekomen is (en z'n bestanden unlocked heeft zonder te betalen)?!
Of moet ik het letterlijk nemen en heeft de beste man z'n bestanden inderdaad nog (maar zijn ze alleen nog encrypted)?
Het terugzetten van een backup van de bestanden is eigenlijk de enige oplossing. Nadat de malware zelf verwijderd is, natuurlijk.
Oh ja, dat is inderdaad een makkelijk(-er) oplossing in dit soort gevallen (waar backups verondersteld wél goed geregeld worden itt. bij "Toon de Thuisgebruiker").
Dank voor de heads-up.

Hiermee geeft de beste man trouwens niet het al te beste voorbeeld; hij kan immers maar op 1 manier besmet geraakt zijn (ergo: heeft zelf ook op een attachment geklikt).
Het wordt dan wel gesteld alsof het buiten zijn schuld om gebeurd is, maar dit is er toch zeker eentje die je zelf moet triggeren?
Of zijn er onderhand al varianten die zich zonder tussenkomst van gebruikershandelingen (-als klikken op bogus-attachments) naar andere gebruikers kunnen verspreiden?
Hiermee geeft de beste man trouwens niet het al te beste voorbeeld; hij kan immers maar op 1 manier besmet geraakt zijn (ergo: heeft zelf ook op een attachment geklikt).
Het wordt dan wel gesteld alsof het buiten zijn schuld om gebeurd is, maar dit is er toch zeker eentje die je zelf moet triggeren?
Er kunnen natuurlijk ook bestanden die op een netwerkshare stonden geïnfecteerd zijn door een onoplettende collega...
Ja, ik lees net de post van RaoulTLS daarover en die meldt dat er idd. netwerkshares aangetast zijn.
Ik zit teveel vanuit een thuissituatie te denken, maar nu is het me duidelijk.
Aukje lijkt me een vrouw, en is "alleen maar" woordvoerster. Waarom zo fel? Nergens wordt er iemand toch beschuldigt van moedwillig de boel om zeep te helpen? Ze is zelf vermoedelijk niet in de IT branch bezig, niet in de vorm als degene die IT problemen oplost in ieder geval, gezien de verwoording over de eigen inlog.

Verder zijn de betreffende mails (degene die ik gezien heb tenminste) van een iets andere orde dan de standaard spam/phising berichten, geen halfbrak engels/nederlands oid.

[Reactie gewijzigd door Amorac op 9 maart 2015 15:23]

Zo "fel" valt toch ook wel mee? Het is wel zo dat ik weinig empathie op kan brengen voor mensen die na al die jaren nog (klakkeloos) op attachments klikken. Dat speelde "vroegah" al met dingen als malafide screensavers.

Ik beschuldig niemand van wat jij beschrijft, dat is voor jouw rekening.
Of het nou om een mannetje of vrouwtje gaat maakt voor mijn reactie niets uit verder, dat diegene "slechts woordvoerder" is wel, itt. de IT-medewerker die ik veronderstelde die hij/zij was. Mijn excuses, ook als ik wat lomp overkom naar diegene toe.
Het zou leuk/goed zijn als de beste heer dan even uit de doeken doet hoe hij weer van het virus afgekomen is (en z'n bestanden unlocked heeft zonder te betalen)?!
Uni's en ziekenhuizen als de VU, het AMC etc. hebben vaak een backup bij de hand. Wordt daar vaak gedaan, een backup maken. Dacht dat het AMC/UvA elke dag wel een backup maakte.

Dus als je account getroffen is, dan wordt je account schoongemaakt net als dat je doet als je bijv. Windows met een schone kopie wilt beginnen, en dan zetten ze een backup terug.

[Edit] Typo's

[Reactie gewijzigd door MixT2311 op 9 maart 2015 18:38]

Wat dacht je van een Back-up.
Andere oplossing (naast betalen) is er namelijk niet.
Ik spreek uit ervaring, zie het forum.
Er van afkomen is niet zo heel erg moeilijk, na z'n daad wist deze malware zichzelf zeer grondig.

Dit ter voorkoming van analyse door anti-malware bedrijven die daarmee in staat zijn om op relatief korte tijd de encryptie ongedaan te maken.
Tevens zorgt dit ervoor dat anti-malware bedrijven geen malware signature voor detectie kunnen schrijven zo lang de malware niet wordt aangetroffen.

Ik noem het met opzet malware en geen virus, want pur sec genomen voldoet deze malware niet aan de definitie van een virus die over het algemeen door de meeste anti-malware vendoren wordt gehandhaafd.
"Trojan Horse" is de betere benaming voor de reproductie/verspreidings methode van dit type malware, een andere bekende benaming is: "Ransomware".

Overigens dit type malware wordt meestal voorafgegaan door social engineering via de telefoon.
Recent voorbeeld hiervan is de methode waarbij een niet van echt te onderscheiden e-mail in perfect Nederlands van DHL afkomstig lijkt gaande over een pakketje dat niet afgeleverd zou kunnen worden. Slachtoffers zijn (weken-, en soms maandenlang) van te voren bewerkt om deze e-mail te ontvangen, en zullen daarom meestal het gevaar ervan niet herkennen.

Hoewel per keer de inhoud verschillend is blijft de gebruikte methodiek vrijwel ongewijzigd.
De hoeveelheid slachtoffers per keer is zeer beperkt, waardoor signalering en detectie kansen ook sterk verminderd zijn t.o.v. de massalere aanvallen die we uit het verleden kennen.
Als dit het standaard cryptolocker virus is, en geen variant ervan, kan je hier terecht om je files te recupereren: https://www.decryptcryptolocker.com/
[...] Het zou leuk/goed zijn als de beste heer dan even uit de doeken doet [...]
Aukje Schep is een vrouw. Niet dat dat uitmaakt voor haar functioneren, maar toch.
ik denk dat het een mevrouw is: "Woordvoerster Aukje Schep"
Hebben hem ook gehad. gevalletje persoon opent Prive mail op het werk en drukt op bijlage.
Maar goed Apps data Afdeling data eigendata allemaal versleuteld of extensie gewijzigd.
Hebben het nu onder controle. En gelijk ingesteld users mogen geen exe uitvoeren van bepaalde locaties.
En gelijk ingesteld users mogen geen exe uitvoeren van bepaalde locaties.
En dat is een redelijk goede oplossing tegen dit soort virussen/malware. Of AppLocker.
Helaas kom je maar al te vaak brakke applicaties tegen die vervolgens niet meer werken..
Tell me about it.
Komen nu wel achter applicaties die verkeerd worden opgestart van locaties die daar niet voor bedoeld zijn.
Maar goed gebben weer genoeg werk.
Mooi om dat te ontdekken, kom je vanzelf beunhazen tegen die data partities als applicatie disks gebruiken. En kom je ongelicencieerde rotzooi snel tegen...

Nog geen Unreal Tourney in \personal\work\project\stage\final\draft gevonden? ;)
Nee maar wel teamviewer
SQL manager en totalcomander
Onduidelijk waarom je op 0 gemod wordt, want blijkbaar heb je "inside-information" en zodoende ontopic bent, maar goed.

Dat users geen .exe's meer mogen openen is dus nu pas ingesteld? Heeft dat verder nog consequenties, of wat was de beweegreden om dit nu pas in/door te voeren?
Zelf zie ik daar sowieso niet veel toepassingen voor eerlijk gezegd, maar goed, wellicht is/was het onvermijdelijk in deze situatie?

Beter ten halve gekeerd dan ten hele gedwaald zeggen ze dan.
Maar van een vooruitziende blik is helaas geen sprake. Dit is niet van gisteren dit virus, vandaar ook mijn vraag wb. de reden om dit nu pas te wijzigen.
Als ik het goed begrijp kan cryptolocker bestanden versleutelen omdat bestanden niet geassocieerd zijn met een programma, en dus elk programma ze kan openen en bewerken zonder dat er alarmbellen gaan rinkelen.

(uiteraard met als voorwaarde dat je schrijf/wijzig permissies hebt)
Uiteraard. Dat kan altijd. Een .DOCX kun je ook openen met notepad, maar ook met LibreOffice of een ander pakket dat bijv. een geautomatiseerde actie uitvoert.
Dat begrijp je niet helemaal goed. Bestandsassociatie vertelt een OS alleen welk programma er gestart moet worden als je een bestand opent(bijvoorbeeld een .docx vanuit verkenner).
Een programma dat bestanden kan openen, kan in princiepe ieder bestand openen, de vraag is of het programma er daadwerkelijk wat mee kan.
Als ik het goed begrijp kan cryptolocker bestanden versleutelen omdat bestanden niet geassocieerd zijn met een programma, en dus elk programma ze kan openen en bewerken zonder dat er alarmbellen gaan rinkelen.
Nee, elk programma kan elk bestand openen als het de rechten heeft om bestanden te openen.
Cryptolocker kan dus elk bestand dat het wil encrypten gewoon encrypten.

Hoe kom je erbij dat bestandsextenties hier iets mee te maken hebben?
Ik heb het niet over extensies in het algemeen, ik doelde gewoon dat de software en antivirussoftware niets doen als een media player een .exe opent, of een ander type dat niet hoort.
Er is geen controle tussen programma en bestand , dus kan een programma als crytpolocker naar hartelust van alles modificeren.
ik doelde gewoon dat de software en antivirussoftware niets doen als een media player een .exe opent, of een ander type dat niet hoort.
Dit is ook nooit het geval geweest en heeft niks met bestandsassociaties te maken.
Als een programma een bestand kan bewerken dan kanie er alles mee doen watie ie wil.
Een virusscanner zou af moeten gaan als de exe van de encrypter gestart wordt. Dat is dus ook gewoon een executable.
Er is geen controle tussen programma en bestand , dus kan een programma als crytpolocker naar hartelust van alles modificeren.
Dat is ook niet reeel omdat de antivirus of whatever software natuurlijk niet van alle bestandsformaten kan lopen bijhouden wat een 'juist' bestand is en wat niet.
Deels wordt dit natuurlijk wel gedaan middels heuristische algoritmes, maar de aannames die je dan kan doen over de 'juistheid' van het bestand zijn minimaal.
Misschien moet de VU overstappen op open-source, dan heb je dit soort problemen niet zo gauw. Bespaart ook weer een hoop geld aan licentiekosten. Gelukkig waren ze wel zo slim om backups te maken.
Te makkelijk gesteld titan_fox. Voor veel software is er geen opensource variant. Veel bedrijven zijn locked in op het microsoft platform. Als er al een alternatief is, dan zie je dat de kosten voor overstap vaak niet opwegen tegen de voordelen.
Al is je software opensource, dit geeft je geen enkele garantie tegen malware attacks. Helemaal niet in dit geval, het draait hier om ransomware. Je hoeft maar 1share open te hebben staan.


Wellicht toch eerst eens verdiepen in de materie alvolgens te reageren met mijns inziens een trollbait.
Steeds meer software wordt verplaatst naar de cloud. Feitelijk maakt het dan niet meer uit welk OS je draait. Als een webapplicatie in Firefox onder Windows draait, zal die normaliter ook in Firefox op Ubuntu draaien.

Ik vraag me af of het vastroesten in Windows een kwestie van "moeten" is of een kwestie van "willen".
Je praat een beetje met de mode mee. "The cloud" is iets dat veel organisaties niet willen/kunnen.
Software die al jaren draait, ga je niet "even" omzetten. Een backend van honderden servers zet je niet "even" om naar b.v Linux. Niet alleen tecnhnisch niet zomaar te doen, wat denk je van scholing van support en users ? Voor elk pakket een oplossing zoeken, nieuwe uitrollen, etc dan heb je het over flinke bedragen, en om wat te bereiken ? Je hebt hier niet zomaar een business case voor.chtig


Je visie is echt te kortzichtig. En doet me denken aan de uitspraken van het handige neefje dat wel beter weet....en totaal geen kaas heeft gegeten van bedrijfsmatige it.
Flauwekul. Het is Microsoft ook gelukt. Men had eerst een Cyrus IMAP op een Linux server. Nu betaald men de hoofdprijs met een exchange omgeviing, alleen om je mail en agenda te kunnen synchroniseren. Er waren zat andere mogelijkheden, maar helaas men heeft gekozen voor een virusgevoelig platform, waarop mallware met 1 klik (zelfs zonder klik) geinstalleerd kan worden.
Fantastisch zo'n cloud met internet of things. Ben je straks niet alleen je documenten kwijt, maar is je thermostaat thuis ook versleuteld.
Daarom dat Synology - wat gebruik maakt van een Linux variant - ook getroffen is door dit type virus zeker 8)7
Open source is niet perse waterdicht.

Zodra een platform groot en wijdverspreid is, en een groot deel van de source in openbaar, komen dit soort dingen de kop op steken.

Uiteindelijk bleken de meeste getroffenen de mensen te zijn die NIET op tijd de updte's deden, en maar afwachtende houding hielden.
Alle getroffen systemen waren op basis van 4.3, terwijl die vrijwel allemaal al een update hadden kunnen doen naar 5.x
Juist de late update icm de nieuwe software gaf de open deur om Synolocker te activeren.
Uiteindelijk bleken de meeste getroffenen de mensen te zijn die NIET op tijd de updte's deden, en maar afwachtende houding hielden.
Alle getroffen systemen waren op basis van 4.3, terwijl die vrijwel allemaal al een update hadden kunnen doen naar 5.x
Juist de late update icm de nieuwe software gaf de open deur om Synolocker te activeren.
De 4.3 branch werd op dat moment nog steeds actief bijgehouden met alle security fixes vandien. Het was voor een flink deel gewoon stom toeval dat de 5.x branch niet gevoelig was voor de exploits waarmee Synolocker binnen poogde te komen en de gebruikers die hierdoor niet getroffen waren hebben stom geluk gehad.

Tuurlijk; er zullen ook genoeg mensen zijn die niet eens de meeste recente 4.3 versie draaiden en daar zal ook een aanzienlijk deel van het probleem gezeten hebben.

Een veel groter en daadwerkelijk chronisch probleem met Synology NASes zijn onwetende thuis-gebruikers die die kastjes onbeschermd aan het internet blootstellen omdat het zo makkelijk is om altijd aan hun spullen aan te kunnen. (Het is in dat opzicht misschien te laagdrempelig geworden om een NAS neer te zetten.)

Iemand die degelijk technisch onderlegd is spijkert zo'n ding dicht (en zorgt voor secundaire, off-site backups, als het even kan).

[Reactie gewijzigd door R4gnax op 9 maart 2015 20:43]

[...]

Iemand die degelijk technisch onderlegd is spijkert zo'n ding dicht (en zorgt voor secundaire, off-site backups, als het even kan).
Ik weet niet of je het topic op GOT gevolgd hebt destijds, maar er waren best wel wat "experts" hun spullen gewoon kwijt.

Die update terughoudendheid was in deze een groot issue, omdat men het niet altijd even serieus nam.

Ik ben geen snelle updater op mijn apparaten, zeker niet naar mayor versions, maar binnen dezelfde versie hou ik het wel bij
Ieder populair platform is een potentieel doel, of het nu Linux (zie bijv. Synolocker), Android of Windows is. Zodra criminelen er geld van kunnen opstrijken maakt het ze niet uit of het nu open-source of closed is.
Dit heeft niets met open vs closed source te maken. Dit is simpelweg een manifestatie van het feit dat Windows een zeer populaire target is.

Als Linux het meest gebruikte OS was geweest, kwamen er net zo goed mensen met het evenslechte argument dat je beter closed source had kunnen gebruiken.
In dit geval zou het niet helpen. Mensen werken steeds meer met hun eigen apparatuur, de hele "bring your own insecure device" beweging. Dan is de apparatuur van de uni misschien wel veilig maar draait het virus op het apparaat van de gebruiker en ben je alsnog de pineut.

Overstappen op vrije software blijft een goed idee, maar dat is een andere discussie.
Inderdaad een beetje een kansloze reactie, de VU gebruikt flink wat open-source software, deze worden ook vaak als aanbevolen programma's gegeven (Firefox, Thunderbird). Verder draaien ze windows 7 met antivirus software. Van iedere account worden meerdere back-ups bijgehouden en ik geloof dat iedere week een vers image op de computers gezet wordt, waarbij updates en nieuwe en/of vervangende programmas et cetera worden verspreid.
En hoe beschermt open source je tegen trojans? Als ze een gebruiker zover krijgen dat die een niet vertrouwd programma start dat slechte bedoelingen blijkt te hebben, dan zal het voor dat programma worst wezen of het al dan niet op open source software draait.

Misschien kunnen ze voor de grap de malware in open source schrijven... dat maakt het veiliger ;)
Of de VU moet gewoon beter security beleid invoeren. Overigens is open-source niet perse gratis of goedkoop.
Eens. We staan bij ons niet toe dat er executables worden gedraaid vanuit het user profiel. Alleen mappen zoals program files en Windows. Mappen waar alleen de IT executables neerzet.
Nadeel is dat vaak de kosten om het te beheren + kennis weer duurder uitvalt...
Kan je een keer kappen met je kansloze anti Microsoft opmerkingen in ieder nieuwsbericht neer te zetten?
Je bent echt erg irritant hiermee en je voegt echt totaal niets toe aan de discussies (sterker nog : voorzover ik het zie ben jij gewoon de grootste troll van Tweakers op dit moment).

OT : Ik zie echt niet wat voor meerwaarde open source software in dit geval geboden zou hebben. Criminelen zien gewoon een manier om geld te verdienen. Als 90% van de wereld op een een open source OS zou hebben gedraaid dan zou dit het doelwit zijn.
De cryptolocker varianten welke ik gezien heb maken ook geen gebruik van exploits ; simpelweg een onwetende user welke de attachment uit een mail opent was voldoende om het encrypten van de files waar de gebruiker toegang toe had te veroorzaken.
Door de vele varianten zijn er ook maar erg weinig virusscanners welke dit effectief tegen kunnen gaan.
Lol, grappenmaker.

Open-source is juist vragen om problemen!!!
Maar dan heb je wel de kosten voor het ontwikkelen van software die niet beschikbaar is linux
Waarom zou je met OS dit soort problemen niet hebben? Alleen omdat het minder populair is bedoel je? Of zit er een inherent technisch voordeel aan OS dat dit voorkomt?
kun je me de relevante stukken uit dit stuk noemen, of ga je alleen slingeren met links?

ook in Linux kan een applicatie alles doen waar de draaiende gebruiker rechten voor heeft. Dus heb je als gebruiker de rechten om op een file system bestanden te modifien, dan kan een applicatie die onder jouw naam draait deze bestanden versleutelen. Daar verandert Unix Security weinig aan denk ik.
Het gaat hier meestal om een programma onder windows dat geen verhoogde rechten nodig heeft, omdat gewoon bestanden worden benaderd op de gekoppelde schijven. En indien een bestand beschrijfbaar is wordt het encrypt.
Daar kan Open Source of "Unix Security" niets aan beginnen. Enige wat hiertegen helpt is:
• schrijftoegang tot bestanden op 'need to have'-basis (vaak zijn ze iets ruimer, maar dat ligt meestal niet aan de sysadmins, maar aan de verantwoordelijke die de toegang aanvraagt.
• een Antivirus/Antimalware-pakket (maar meestal net te laat)
• en het opvoeden van gebruikers (erg moeilijk),
Je kan met grsec, selinux etc nog wel wat toevoegen (fijnmazigere access control), maar de administratieve lasten daarvan kunnen nogal groot zijn.

[Reactie gewijzigd door begintmeta op 9 maart 2015 17:09]

Distro's als Ubuntu hebben nog een extra beveiligingslaag hier tegen :
Bestanden wat je download zijn standaard niet uitvoerbaar en geven een foutmelding als je erop klikt.

Al helpt dat niet tegen idioten die dan de x-bit aan zetten.
Ware het niet dat je voor dingen zoals het cryptolocker malware helemaal geen admin rechten nodig heeft, het is gewoon een zelfstandige executible die gewoon je bestanden encrypt.
Daar heb je echt geen admin rechten voor nodig net zoals je bijv voor het installeren van chrome ook geen admin rechten nodig heeft en hij deze gewoon in je profiel installeert.
Maar Windows waarschuwt ook als je gedownloade bestanden of programma's wil openen. Dat kun je echter negeren.
Echter: Dit virus draait gewoon onder een gebruikersaccount en gaat gelijk bestanden versleutelen (waar de betreffende gebruiker rechten op heeft, dan). Geen root-access voor nodig...
Leuk als je een stelling doet, maar nog leuker als je hem ook onderbouwt met aantoonbare bewijzen dat het daadwerkelijk zo is.
Bedrijf waar ik werk was ik met kerst de sjaak! Iedereen aan de kerstlunch en ik alle pc's van het netwerk trekken omdat vanaf 1 pc alle shares op de fileserver werden encrypt. Vreselijk irritant en gelukkig wel een backup van een dag eerder maar toch, de kans dat zoiets weer kan gebeuren is zo enorm groot!

Toevoeging:
Allemaal linkjes op het internet om te deblokkeren waarin verwezen word naar allerlei zooi. Uren aan kwijt maar helpt geen moer. Betalen, nooit! Backup terugzetten is de oplossing :).

Hier getroffen vanaf een Windows XP machine die de files op Windows Server 2008 R2 encrypte.

[Reactie gewijzigd door Seikbal op 9 maart 2015 14:43]

Daarom: Geef gebruikers alleen rechten op shares/bestanden waar ze ook echt iets mee moeten. En niet klakkeloos 'Domain Users' RW rechten overal, want 'het is toch niet vertrouwelijk' of 'ze doen er toch niets mee' zoals je zo vaak tegenkomt...
gebruik maar allemaal windows XP op die apparaten, ben je zeker veilig :+
Technisch gezien, zou je zelfs veiliger kunnen werken ermee, aangezien er steeds minder gebruikers zijn.

De jacht op de grote groep is vaak lucratiever dan een kleine gemeenschap.
XP wordt steeds veiliger :p

[Reactie gewijzigd door FreshMaker op 9 maart 2015 23:48]

Het zou kloppen als het niet zo was dat de bugs in windows zo dikwijls beginnen in oudere versies en dan worden 7 en 8 wel gepatched maar XP niet...
Verbazingwekkend dat men anno 2015 nog steeds dom en klakkeloos alles maar opent. 99% van de gevallen valt hier echt mee te voorkomen. Toch van de zotte dat hiervoor nog steeds gewaarschuwd moet worden...
Herkenbaar gevoel, mn zusje had dat jaren terug met MSN, kreeg ze van een kind van een jaar of 7 uit onze familie een berichtje "here are some pictures of me naked! "

KLIK!

Echt.. wtf, mensen zien vaak een link, en klikken er op voordat ze uberhaupt de rest van de tekst hebben gelezen, laat staan dat ze even nadenken of het logisch is dat die persoon zo'n bericht stuurt..
Mensen kun je niet veranderen, omstandigheden wel.
Helemaal mee eens. In de basis kan dit gebeuren omdat het systeem slecht is ontworpen.
Zo is de actie 'bekijken/editen van document' precies hetzelfde als 'voer programma uit'. Dit is iets waar mensen gegarandeerd een keer in gaan trappen, dus kun je zeggen dat die interface slecht bedacht is en eigenlijk voor een tijd is gemaakt waarin alles veel naiever kon zijn. Vroeger kon je je deze fout (die dus gegarandeerd een keer gaat optreden, mensen kennende) nog permiteren, nu niet. Gevolg, interface voldoet niet meer.
Stilletje heb ik toch bewondering voor de skills van de programmeurs die deze malware schrijven, het beheren van decryption keys van miljoenen slachtoffers is geen sinecure.
Er komt een tekstbestand op de getroffen systemen met hierin de public key. Deze moet je copy/pasten op een website (uiteraard alleen via TOR te benaderen), aan de hand daarvan vinden ze je systeem en private key...
Vaker krijg je gewoon een code die je in de beschrijving van de betaling moet gooien, meestal via een anonieme betaalservice.
Wat is de volgende stap in beveiliging? Rechten per applicatie/executable? Een soort van trusted applications lijst welke toegang tot bepaalde locaties kunnen krijgen.
Als je echt alles dicht wil zetten, waarschijnlijk wel. Zo iets is in de praktijk vrijwel onhaalbaar, zeker op scholen/universiteiten waar veel mensen met eigen devices werken.
Voor een enkel bestandje kan de decryptolocker website van FireEye en FoxIT mischien een uitkomst zijn.

https://decryptcryptolocker.com/
Sterker nog, ze stellen (mocht de decryptie lukken) ook een tool beschikbaar om de rest te doen. Echter, deze site en tool werkt met een zeer beperkt aantal achterhaalde private keys, de meeste recente varianten gebruiken andere keys en de decryptie zal dus niet lukken.
Wij hebben hem ook bij 1 gebruiker binnen gekregen, nasty sh*t . Heb de pc nu in quarantaine om eens te kijken hoe dit kan gebeuren.

Forefront heeft hem kunnen pakken maar helaas wel pas nadat er een 20 tal files geencrypteerd zijn geraakt. En ja Forefront was/is up to date. draaien Win 7. Gebruikers zijn users / geen admins

Is dit trouwens een Java iets?
Ik heb wel het gevoel dat het met een java update mee kan komen. Zelf ooit eens slachtoffer geweest, direct nadat ik een java update liet doen.
Dan denk ik dat dat een malafide update melding geweest is.

Vaak komt malware binnen via e-mail, of via een drive by download welke gebruikt maakt van een lek in een bepaald stuk software, wat Java zou kunnen zijn maar niet hoeft te zijn.
Mjah, dat zal dan eerder net voor de java update zijn. Doordat een site die je bezocht de oude lekke java heeft gebruikt voor een inbraak op je computer.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True