Gemeente Lochem voor verkiezingen getroffen door ransomware

Lochem is maandag in de ban geweest van de Cryptolocker-ransomware, malware die bestanden versleutelt en tegen betaling weer ontsleutelt. Daardoor konden medewerkers van de Gelderse gemeente een tijd lang niet bij hun bestanden.

Lochem meldde dinsdag op zijn site dat de malafide mail die het virus bevatte, het spamfilter wist te omzeilen. De zogeheten ransomware versleutelde bestanden voor geld, waardoor ambtenaren niet meer bij bepaalde bestanden konden komen. Privacygevoelige gegevens van burgers zouden geen gevaar hebben gelopen.

De ict-afdeling van de gemeente zou het virus snel hebben gesignaleerd en vervolgens meteen maatregelen hebben genomen. Medewerkers plaatsten noodzakelijke bestanden via een back-up van het systeem weer terug, waardoor de problemen waarschijnlijk zijn verholpen. Voor zover bekend gingen er geen gegevens verloren door de back-up.

Lochem heeft intussen melding gedaan bij de Informatiebeveiligingsdienst voor gemeenten, onderdeel van de Vereniging van Nederlandse Gemeenten. Daarnaast deed de gemeente aangifte bij de politie. Lochem overwoog naar eigen zeggen nooit om te betalen voor het ontsleutelen van de bestanden.

Burgemeester Sebastiaan van 't Erve heeft laten weten tevreden te zijn met hoe Lochem heeft gehandeld en dat het belang van een goede back-up wederom is aangetoond. Hij benadrukte daarnaast blij te zijn dat inwoners geen last hebben ondervonden van de cryptolocker en de Statenverkiezingen woensdag voor hen 'gewoon door kunnen gaan'.

Het is niet voor het eerst dat ransomware toeslaat bij Nederlandse instanties. Begin deze maand werden circa 200 computers van de Vrije Universiteit Amsterdam getroffen door Cryptolocker. En eerder viel de gemeente Den Haag al ten prooi aan ransomware.

Reacties (118)

BitsThatByte.nl 17 maart 2015 20:15

CTB-locker, zoals de cryptolocker heet, lijkt zich meer en meer te verspreiden.
Tot enkele weken geleden had ik er enkel over gelezen, maar ben het inmiddels bij diverse klanten tegengekomen.

De oplossing, zeker voor particulieren, is een taaie > Versleutelde bestanden zijn niet meer te herstellen en dus komt die altijd vergeten backup weer om de hoek kijken.

[Reactie gewijzigd door BitsThatByte.nl op 25 juli 2024 03:21]

FREAKJAM @BitsThatByte.nl • 17 maart 2015 21:20

Misschien is dit artikel van Mcafee dan ook het lezen waard.

Voor mensen die TMG of wat voor proxy/firewall hebben draaien zit er wel handige informatie tussen. Het ransomware tast trouwens de bestanden aan in alle mogelijke drive-letters waar de gebruiker op dat moment bij kan. Stel, een gebruiker activeert het ransomware op een laptop binnen een bedrijfsnetwerk en zij/hij heeft tevens een drive-letter H (bijvoorbeeld haar home-drive), dan zijn alle bestanden in die desbetreffende drive ook aangetast.

CTB-Locker belongs to a family of malware that encrypts the compromised user’s files available in the system and demands the user to pay a ransom amount to retrieve the files. CTB is an acronym for Curve Tor Bitcoin. Curve refers to the fact that the malware uses Elliptical Curve Encryption, which the author claims is the equivalent of RSA-encryption with a 3072 bit key. On execution, CTB-Locker usually copies itself into the %temp% folder with a random name (7 characters), such as,
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fzjujkn.exe CTB-Locker injects malicious code into svchost.exe and the injected code will in turn execute the dropped file from
%temp% location. The malware then creates a scheduled task(< random 7 characters >.job) to execute the above mentioned dropped binary at system startup, for example:
C:\WINDOWS\Tasks\cderkbm.job It also creates a random named mutex to ensure that only one instance of malware is running at a time.

This injected code, in svchost.exe, will then encrypt the files with following extensions:
.pdf
.xls
.ppt
.txt
.py
.wb2
.jpg
.odb
.dbf
.md
.js
.pl , etc

Some IPs administrators need to block:
maisondessources.com (213.186.33.19)
pleiade.asso.fr (213.186.33.19)
scolapedia.org (213.186.33.19)
breteau-photographe.com (213.186.33.150)
voigt-its.de (188.93.8.7)
jbmsystem.fr (213.186.33.3)

It also connects to hardcoded remote host to download other malware, for example:
hxxps://ourtrainingacademy.com/LeadingRE/sancho.tar.gz
hxxps://thomasottogalli.com/webtest/sancho.tar.gz
hxxps://cds-chartreuse.fr/locales/sancho.tar.gz
hxxps://m-a-metatre.fr/media/sancho.tar.gz

[Reactie gewijzigd door FREAKJAM op 25 juli 2024 03:21]

MAX3400 @FREAKJAM • 17 maart 2015 21:33

Een artikel van 6 weken geleden, een gemuteerd virus bij de UvA en de gemeente en een security-suite die door Microsoft op sommige vlakken al maanden geen update heeft gekregen en in 2015 EOL wordt verklaard zonder opvolger?

FREAKJAM @MAX3400 • 17 maart 2015 21:49

Ondanks dat het artikel nu al 6 weken oud is, heb ik de desbetreffende ip-adressen en hosts toch geblokkeerd in onze TMG een tijdje geleden. Omdat een product EOL is, wil dat niet zeggen dat het dan niet meer werkt.

"Microsoft will continue to provide mainstream support for TMG until April 14, 2015, and extended support until April 14, 2020." Mainstream support van Windows XP eindige ook al op 14 april 2009 en extended support dit jaar zoals bekend en XP werd toch echt wel tot vorig jaar (en nog steeds) veelvuldig gebruikt. XP werd ook gewoon voorzien van updates tot het einde van de extended support periode, dus of TMG 2010 geen updates meer krijgt valt te betwijfelen.

En qua opvolger; Er zijn genoeg alternatieven, zoals Sophos UTM. Wij stappen vrij binnenkort ook waarschijnlijk over naar deze oplossing.

[Reactie gewijzigd door FREAKJAM op 25 juli 2024 03:21]

MAX3400 @BitsThatByte.nl • 17 maart 2015 20:31

Same here; zowel kleine als grote bedrijven trappen erin. Het lijkt er alleen wel op dat het een steeds aangepaste variant is zodat de signature van gisteren en de signature van vandaag niet hetzelfde zijn en dus niet wordt gedetecteerd door AV-pakketten.

Sowieso vind ik het erg stom; de klanten waar ik voor werk hebben zogenaamd mail gekregen van KPN met een factuur erin voor de internetlijn. Dat terwijl 1 klant helemaal geen diensten afneemt bij KPN. Dan vraag je er eigenlijk ook wel een beetje om, eerlijk gezegd.

Daarnaast heeft KPN zelf gister aan het begin van de middag al onderkend dat bepaalde mail-aliassen van hun worden gefaked en dus cryptoware bevatten. Gelukkig (sarcasm) lezen alle IT-verantwoordelijken dagelijks dit soort meldingen en wordt meteen het mail-filter aangepast.

De mails van gisteren kwamen trouwens van een set VPS-servers vanuit OVH Roubaix 9. Dat stond gewoon in de mail-header maar weinig beveiligingsuites hebben dit dus opgepikt; ook de beheerders van OVH hebben een seintje gekregen hiervan en zijn vandaag aktie gaan ondernemen.

hhoekstra @MAX3400 • 17 maart 2015 21:23

Als wij een mail filter moet opzetten tegen dit soort mailtjes dan kan een er volledige FTE op gezet worden.

Maar zonder dollen. Dit begint een steeds groter probleem te worden. Daarom gaan wij binnenkort ook beginnen met application manager van Appsense. Zien of we deze "terror" malware de deur kunnen toewijzen.

MAX3400 @hhoekstra • 17 maart 2015 21:28

Off-topic maar AppSense gaat deze ransomware ook niet buiten de deur houden. Zelfs als je je mail-client zoals Outlook isoleert, zal je toch minstens 2 connecties naar je netwerk moeten hebben; 1 naar de mailserver en 1 naar de redirected %appdata% zoals op de home-dir.

Dubbelklik de verkeerde attachment en %homedir% is om zeep. Beperkt risico, maar toch.

Hiermee zie je ook meteen een beperking; niemand heeft binne Outlook AppSense nog een connectie naar de afdelingshare en kan niemand meer documenten intern doormailen.

hhoekstra @MAX3400 • 18 maart 2015 08:24

Application manager is gewoon een whitelisting pakket. Dus een verkeerde attachment aanklikken zal hij gewoon blokkeren.

FREAKJAM @MAX3400 • 18 maart 2015 00:22

Hier idem dito alleen dan een medewerker die een factuur van Vodafone had gekregen terwijl ze niet eens klant is bij Vodafone. En de volgende dag dan toch horen van de medewerker dat ze heeft geprobeerd het nummer die in de mail stond te bellen, want anders kreeg ze straks nog een aanmaning. #palmface

Anoniem: 524929 @BitsThatByte.nl • 17 maart 2015 21:31

Die bestanden zijn gemakkelijk te herstellen, zie:
https://www.decryptcryptolocker.com/

EDIT: Gebruik dit natuurlijk niet voor password kladblokjes etc. of gevoelige informatie.

[Reactie gewijzigd door Anoniem: 524929 op 25 juli 2024 03:21]

BitsThatByte.nl @Anoniem: 524929 • 17 maart 2015 22:02

Voordat je gaat reopen dat bestanden makkelijk te herstellen zijn, dat zijn ze dus niet.
Zie ook het Tweakers forum onder "virussen en beveiliging". Er worden heel veel decrypters aangeraden met download links erbij. Er schijnt een nieuwe encrypter te zijn die niet zo makkelijk te verwijderen is. Ook mislukt het bijna altijd om de bestanden weer te unlocken.

MaartenH @Anoniem: 524929 • 17 maart 2015 22:03

Dit werkt echter helaas NIET (!) bij alle varianten...zoals sander761 al zegt.. het blijft een wapenwedloop...

Anoniem: 524929 @MaartenH • 17 maart 2015 22:06

@BITSthatBYTE.eu Ik praat ook over de Cryptolocker, geen varianten zoals Cryptowall. Dit zijn nieuwe varianten die inderdaad alles hard encrypten. De benamingen verschillen ook.

[Reactie gewijzigd door Anoniem: 524929 op 25 juli 2024 03:21]

BitsThatByte.nl @Anoniem: 524929 • 17 maart 2015 22:12

Waarom zeg je dan dat die bestanden makkelijk zijn te herstellen?...

[Reactie gewijzigd door BitsThatByte.nl op 25 juli 2024 03:21]

Anoniem: 524929 @BitsThatByte.nl • 17 maart 2015 22:15

Volgens mij begrijp je het niet? Dit is voor de Cryptolocker, niet voor varianten zoals cryptowall, cryptodefense en ransomware dat afgeleid is van deze locker. Dit is "alleen" voor als je getroffen bent door Cryptolocker, dat staat in het artikel toch?

Morress @BitsThatByte.nl • 17 maart 2015 20:43

Same here,,kaspersky lijkt m echter wel goed tegen te houden. Miss. Dat iemand daar confernatie van heeft.

214464 @BitsThatByte.nl • 17 maart 2015 21:04

Goed punt. Ik heb als voorzorg bij mijn ouders vast de e-mail volledig naar Linux omgezet. Hierdoor is de kans in ieder geval een stuk kleiner dat er per ongeluk een exe-bestand doorglipt naar (de laatst gepatchte) Windows 7 installatie.
Maar ja, het blijft een wapenwedloop - gerichte aanvallen kun je helaas niet echt goed voorkomen.

Megamind 17 maart 2015 20:16

1 email gaat langs de spamfilter en het is direct raak? Misschien die gebruiker maar zijn emailrechten ontnemen of hem in een zandbak zetten.

Olaf van der Spek @Megamind • 17 maart 2015 20:35

Waarom zou dit de eerste email zijn die langs het filter komt?

Megamind @Olaf van der Spek • 17 maart 2015 20:38

Lochem meldde dinsdag op zijn site dat de malafide mail die het virus bevatte, het spamfilter wist te omzeilen.

Impliceert het een beetje.

SBTweaker @Megamind • 18 maart 2015 20:09

Impliceert niet dat andere mails niet langs het filter komen.

MAX3400 @Megamind • 17 maart 2015 20:47

Niet alle spamfiltets controleren de hele header maar alleen het sender-domain. Dit kan zowel komen door black/whitelist maar ook om een stuk privacy van de gebruiker te waarborgen (ja, klinkt raar maar de ICT afdeling mag ook geen digitaal vangnet uitgooien om het bedrijf te beschermen).

Keypunchie @Megamind • 17 maart 2015 22:21

1 email gaat langs de spamfilter en het is direct raak? Misschien die gebruiker maar zijn emailrechten ontnemen of hem in een zandbak zetten.

Flauwe reactie. Het eeuwige probleem met IT security:
"We have to win every battle, they only have to win one".

Klinkt alsof IT Lochem de zaakjes nog redelijk op orde had. Virus geisoleerd, backups teruggezet. Precies wanneer een goed IT-beleid zich uitbetaalt.

Soldaatje 17 maart 2015 20:16

Misschien een gekke gedachte maar als de malware bij de bestanden kan komen, kan die ze dan ook uploaden naar een server, vertrouwelijke documenten?
De meeste medewerkers hebben toch wel internet toegang.

Kain_niaK @Soldaatje • 17 maart 2015 20:38

Tuurlijk maar deze virus makers hebben geen spionage doeleinden, ze wilen geld. Randsomeware gijzelt je bestanden door ze te versleutelen en je geld te vragen voor de sleutel. (Die geven ze ook effectief als je betaalt)

[Reactie gewijzigd door Kain_niaK op 25 juli 2024 03:21]

BitsThatByte.nl @Kain_niaK • 17 maart 2015 20:49

Dat ze die sleutel ook werkelijk geven als je betaald hebt is niet bewezen. Overal wordt dan ook afgeraden om te betalen. Zet je backup terug of neem het verlies en steek het geld in een backup oplossing.

Kain_niaK @BitsThatByte.nl • 17 maart 2015 22:44

Als ze die steutel niet zouden geven dan zou niemand betalen. Ze geven effectief de sleutel, genoeg verhalen op internet waar mensen vertellen hoe ze betalen en de sleutel terug krijgen. Zijn zelfs cryptolockers waar de gijzelnemers tech support geven om er maar zeker van de zijn dat je bestanden terug zijn en je iedereen verteld dat na betaling alles terug werkte. Het is in het voordeel van de bouwers van deze randsomware dat hun slachtoffers die betalen ook echt hun bestanden terug krijgen. Er zullen echter vast ook wel cryptolockers zijn die slecht in elkaar steken. Er zijn ondertussen duizenden viruschrijvers over de hele wereld met cryptolocker virussen bezig. De succesvolle varianten die miljoenen opleveren geven je wel degelijk je bestanden terug nadat je betaald. Er word afgeraden om te betalen omdat het dan minder succesvol is en dan stoppen de makers er misschien mee. En omdat je niet met terroristen moet onderhandelen.

[Reactie gewijzigd door Kain_niaK op 25 juli 2024 03:21]

SBTweaker @BitsThatByte.nl • 18 maart 2015 20:08

Een vriend van mij heeft wel betaald, toen het unlocken niet luckte hebben ze via de mail zelfs support gegeven en was het alsnog gelukt.

BitsThatByte.nl @SBTweaker • 18 maart 2015 20:17

Dat komt nogal laconiek over. Als ik jou auto jat en vervolgens help met de verzekering ga je ook niet naar de politie om te vertellen dat ik wel service heb verleend.

SBTweaker @BitsThatByte.nl • 18 maart 2015 20:47

Stel dat ze dat niet zouden doen, dan zou hij tegen ze vrienden vertellen (die via hem geïnfecteerd zijn) niet te betalen omdat het niet werkt. Nu zal hij zeggen dat het werkt en je zelfs support krijgt, de kans is dan vele malen groter dat zijn vrienden ook zullen betalen, voor 600€ per unlock toch te moeite waard.

Anonymoussaurus @Soldaatje • 17 maart 2015 20:26

Zoiets kan je natuurlijk programmeren. Ik denk dat dit puur om het geld gaat, en niet om de gegevens zelf.

PostHEX @Soldaatje • 17 maart 2015 21:14

Zoals gezegd, het is zeker niet onmogelijk. Echter houd dit type crimineel er normaliter van om zo snel mogelijk zo veel mogelijk computers te infecteren, om vervolgens vrijwel achterover te leunen en het geld zien binnen rollen. Als hij dan ook nog eens alle data van de dagelijks duizenden nieuwe PCs moet doorspitten -- kost aardig wat manuren. Ook is zo'n grote lijn naar een dergelijke server plus opslag ruimte van die server best prijzig, en zullen de bandbreedte spikes het profiel van de beheerder verhogen.

Maar het kan altijd nooit kwaad om direct je LAN kabel eruit te trekken of je WiFi plat te gooien als je merkt dat je een cryptolocker variant op je apparaat bezig is met encrypten. En merken zul je (alles wordt enorm traag, en het lijkt net of dat je systeem gaat crashen).

[Reactie gewijzigd door PostHEX op 25 juli 2024 03:21]

GEi 17 maart 2015 20:41

Tot nu toe hier alleen over gelezen. Kan deze software ook de bestanden op een NAS versleutelen, dmv de netwerkoppelingen onder Windows? Of loop je alleen lokaal een risico?
Editie: op NAS loop ik dus ook een risico. Hier thuis maar even wat instructies geven 😀.

[Reactie gewijzigd door GEi op 25 juli 2024 03:21]

MAX3400 @GEi • 17 maart 2015 20:44

Alle gekoppelde drives worden versleuteld. Dus als jij een share op je NAS hebt en deze heb je aan Windows toegekend onder letter N: bijvoorbeeld, zal je N: dus volledig versleuteld worden.

Het protocol doet er ook niet toe; CIFS, SMB, iSCSI etc. is allemaal kwetsbaar.

mufana @GEi • 17 maart 2015 20:45

Als je direct onder je huidig ingelogde userID rechten hebt (schrijf rechten) op de NAS en als de NAS beschikbaar is als drivemapping op het moment dat je de ransomware opent, dan kan het ook de bestanden op NAS versleutelen.

Moet je op de NAS apart inloggen en heb je dat niet gedaan op moment dat je de Ransomware opent, dan zullen de bestanden niet zijn versleuteld.

Dromer

17 maart 2015 20:47

Virus versleutelt alle bestanden.
Ook diverse klanten inmiddels gehad die het virus hadden.
1 daarvan had geen enkele backup, dus daar heeft de klant betaalt.
Keurig een decryptie tool gekregen en de key, dus voor 2 bitcoins had hij alles weer terug.
Nu maakt hij wel backups, dat scheelt

ATS @Dromer • 18 maart 2015 10:16

Betalen bij afpersing (wat dit is) en ontvoering zou wat mij betreft verboden moeten worden en strafbaar gesteld worden. Het is hard, maar de enige manier om te zorgen dat het gewoon niet meer loont om te doen.

Dromer

@ATS • 18 maart 2015 10:25

Eens, totdat het ineens de klant treft die geen backups heeft gemaakt en wel zijn business ziet instorten op deze manier.
Niet betalen is de beste weg, en als hij een backup had gehad was er uiteraard niet betaalt.
uiteindelijk niet mijn keuze geweest, ik was uitvoerende in deze in opdract van onze klant.

ATS @Dromer • 18 maart 2015 10:38

Op het moment dat je betalen strafbaar maakt, is dat dus gewoon geen keuze meer. Dan is het einde verhaal. Juist omdat je in zulke gevallen in dat individuele geval een andere afweging zou kunnen maken die ingaat tegen het grotere algemene belang, zou je dit vast moeten leggen in een wet die het verbiedt om hierop in te gaan.

Merk op dat als zijn hele business zo afhangt van die bestanden, e.e.a. ook op andere manieren verloren had kunnen gaan. Denk aan brand, falende hardware, fysieke inbraak of wat dan ook.

SBTweaker @ATS • 18 maart 2015 20:12

Als je verbinding hebt met een server op een externe locatie door middel van een map op je bureaublad o.i.d. worden deze ook allemaal gelockt. Je bent nooit veilig. stel je maakt elke maand een backup en bewaard deze op 3 locaties, alles verloopt goed, tot je erachter komt dat er malware opzit die pas na een jaar wakker wordt, als je nu de backups opent ben je alsnog al je bestanden kwijt en zijn al deze backups dus nog nutteloos. een perfecte backup bestaat niet.

BitsThatByte.nl @Dromer • 17 maart 2015 21:44

0.2 BTC hoop ik voor hem!

RGAT @BitsThatByte.nl • 17 maart 2015 21:50

Nee, bij dit soort cryptolockers is 1 tot 1,5 bitcoin 'normaal', 2 bitcoins voor al je data is dan geen gekke prijs voor een bedrijf...

Dromer

@RGAT • 17 maart 2015 21:52

was idd 2 bitcoins
zuur voor de klant, maar gelukkig heeft hij het wel terug.
Ik weet niet of het altijd zo werkt, maar als je je data niet terug krijgt gaat niemand meer betalen dus ik denk wel dat iedereen die key krijgt die betaalt.

RGAT @Dromer • 17 maart 2015 21:58

Was hier op GoT nog een topic over, kan m zo even niet vinden maar daar kreeg een Tweaker zelfs support van de virusmaker(s) via email nadat een gekochte sleutel niet werkte, die heeft daarna e.a. aan updates gekregen waarna het weer werkte.
Aparte situatie, waar je met een soort gijzelnemer gaat overleggen en samenwerken...
Je zal er vast nog wel wat minder slimme jongens tussen hebben die een cryptolocker bouwen welke niet decrypt, maar de slimme hebben door dat je een reputatie moet hebben die betalen aanmoedigt...

Kettrick @RGAT • 18 maart 2015 12:43

Het is uiteraard crimineel, maar als het ook bekend wordt dat je zelfs na het betalen je data niet terug betaalt helemaal niemand meer. Een "betrouwbare" reputatie is voor deze criminelen erg belangrijk.

DriftwoodSan @RGAT • 17 maart 2015 22:09

2 BTC is bijna 550,-. Voor een bedrijf wel te doen, maar voor Jan met de Pet veel te veel geld

[Reactie gewijzigd door DriftwoodSan op 25 juli 2024 03:21]

Kettrick @DriftwoodSan • 18 maart 2015 12:41

Ik zou er niet van uit gaan dat een normaal persoon geen 550 euro kan betalen. Ik vermoed dat de meeste mensen met liefde 550 euro betalen om hun foto's terug te krijgen als ze geen backup hebben.

basdej 17 maart 2015 20:11

Ook bij ons bedrijf gebeurd.. Vooral heel vervelend. Maar we slagen er niet in om de gebruiker bewust te maken

Milmoor

@basdej • 17 maart 2015 20:24

Er zijn aardig wat randvoorwaarden, waarvan de technische het minst moeilijk zijn, maar een tool als AppGuard is voor zoiets ideaal: men kan domweg zelf geen nieuwe/onbekende executables opstarten. Want hoe vaak moet iemand dit voor het werk echt doen? Dus geen onderbuik reactie van "ja maar, ik moet dit kunnen", maar een echte reden. Helaas is dat voor velen onacceptabel.

[Reactie gewijzigd door Milmoor op 25 juli 2024 03:21]

Kain_niaK @Milmoor • 17 maart 2015 20:34

Elk programma dat je start is een executable. Dus ook internet, email. Allemaal een .exe die gestart word. Waar jij het over hebt is een white list met alleen goedgekeurde programma's erop. Appguard doet dan eerst een hash check, alleen als de hash op de lijst staat kan het programma starte. Appguard heeft dan een lijst van mogelijke hashes want die veranderen na een update van een .exe

Milmoor

@Kain_niaK • 17 maart 2015 20:41

Je hebt gelijk: ik heb de woordjes "nieuwe/onbekende" ingevoegd. Niet onbelangrijk

telenut @Milmoor • 17 maart 2015 21:56

heb je twee fulltime medewerkers nodig om alle exe's in het bedrijf te gaan whitelisten...(toch als je in een universitair ziekenhuis werkt)

Loekie

@telenut • 18 maart 2015 00:16

Group policy zal vast wel mogelijk zijn met deze oplossing, 1x lijst maken, daarna bijhouden, dat kost je minder tijd dan 2 FTE.

ATS @Loekie • 18 maart 2015 10:13

Ik ben programmeur. Ik bouw mijn eigen .exe files. Moet ik volgens jou met elke build langs een IT support om hem te laten signen of zoiets? Hoe zie je dat voor je?

TryOG @ATS • 18 maart 2015 14:50

Laat IT-support jullie genoeg rechten en een middel geven om zelf executables whitelisten tenzij je niet al te vaak met nieuwe builds zit. Dan kun je alsnog de nieuwe executable (van de build) mailen? Of misschien de hash ervan doorgeven?

Of pak je schild en zwaard en sluit met IT-support aan bij de ronde tafel en discussieer hier samen over welke oplossing het meest efficiënte zou zijn.

Ik neem aan dat je vooral als programmeur antivirussen en firewalls gebruikt en gerelateerde standaardpraktijken voor de veiligheid wel toepast. AppGuard lijkt mij een waardevolle oplossing om de veiligheid van het bedrijf door eventuele fouten van niet-technische werknemers beter te waarborgen.

Loekie

@ATS • 18 maart 2015 23:59

Je zou toch aannemen dat je als programmeur defensief genoeg bent ingesteld om niet op ransomware mailtjes te klikken en slachtoffer te worden van iets dergelijks. Bij ons krijg de programmeurs(en de rest) ook gewoon rechten om programma's te installeren en zonder beperking uit te voeren.
En als programmeur kun je vast in een andere group policy gezet worden dan administratie die toch een gevoeliger doel is voor dit soort zaken

ATS @Loekie • 19 maart 2015 08:01

Bij ons is dat ook zo (alle developers zijn local admin), maar dat was natuurlijk niet het voorstel van hierboven. ICT beheerders vergeten IMHO nog wel eens dat er ook nog gewerkt moet worden met de systemen die ze moeten beheren, en dat dat werk voor verschillende doelgroepen verschillende dingen inhoudt.

Programmeurs zijn een extreme groep, maar ik heb ook gewerkt als onderzoeker in een groep die veel met data werkte. Daar werden allerhande tools gebruikt voor het prunen en visualiseren van data. Ik moet er niet aan denken dat de onderzoekers voor elk wissewasje langs een ICT support zouden moeten (die er eens per week of zoiets was) om de software die ze willen proberen te gebruiken voor een analyse vrij te geven...

[Reactie gewijzigd door ATS op 25 juli 2024 03:21]

regmaster 17 maart 2015 20:16

Defensie van de week ook al via één of andere cadeau website die ze voor hun kerst cadeaus inzetten.
Defensie personeel ontvangt inmiddels phisingmail van o.a. Wehkamp Nederland BV. ed.. met van die leuke attachments.

BitsThatByte.nl @regmaster • 17 maart 2015 20:21

De klant waar ik vandaag zat had ook een email van Wehkamp gehad. Er zat een attachment bij welke zich voor deed als factuur voor een PS4. Nu dus besmet met CTB-locker

bwt @BitsThatByte.nl • 17 maart 2015 20:48

Dit heb ik vanmorgen ook gezien bij een gebruiker.
Direct de stekker er uit nadat de eerste files gelocked waren.........................
Gebruikers blijven gebruikers.
Mailtje ziet er namelijk heel erg echt uit.
de gebruiker had ook een bestelling lopen......

GerardVanAfoort

17 maart 2015 20:50

De "gebruiker" raakt gemiddeld al in de war als ie de keuze krijgt opslaan>locatie uh, wat moet ik nou kiezen.
Maar toch zou bij dit soort gevaarlijke cryptoware mede een oplossing zijn om niet elke bijlage (PDF met PDF reader) en (document open met Word) direct te openen, maar bijvoorbeeld eerst op te slaan in een beveiligde omgeving, of ergens te laten autoriseren alvorens het geopend MAG worden (weer een paar ICT banen erbij!)

't Klinkt lullig, maar het is haast wel nodig. Of een script die elk ontvangen bijlage ff door een VM jaagt, opent, sluit enz.

[Reactie gewijzigd door GerardVanAfoort op 25 juli 2024 03:21]

MAX3400 @GerardVanAfoort • 17 maart 2015 21:01

Ik zou bijna zeggen; ga eens stage lopen bij een gerenommeerd bedrijf wat aan beveiliging en beheer doet in middelgrote tot grote omgevingen (meer dan 500 users). Denk dat je na een dag wel zal inzien dat geen van je ideeen ook maar enigszins uitvoerbaar is, laat staan enige vorm van acceptatie bij de ICT-managers zal vinden.

Vergeet hierbij ook even niet dat een gemiddelde medewerker op een willekeurig tijdstip op een willekeurige Windows-based omgeving pakweg 600 tot 1000 file-handles open heeft; die zal je dan ook allemaal moeten controleren (realtime) op enige interactie met elke attachment wat je binnenhaalt.

GerardVanAfoort

@MAX3400 • 17 maart 2015 21:06

't Was maar zo iets wat me te binnen schoot, maar hoeveel groter kan de schade in de toekomst nog gaan worden (als backups niet in orde zijn, wat al verwijtbaar is natuurlijk)

Zoals je zelf al schrijft "Het protocol doet er ook niet toe; CIFS, SMB, iSCSI etc. is allemaal kwetsbaar."

Best verontrustend.

Johan9711 17 maart 2015 20:16

Als ik dit zo lees had deze gemeente zijn zaakjes prima op orde, wat mij betreft een voorbeeld voor de rest van de wereld!

aZuL2001 @Johan9711 • 17 maart 2015 20:20

Alleen beetje raar dat ze van een spamfilter verwachten dat het een virus tegenhoudt.

The Realone @aZuL2001 • 17 maart 2015 20:40

Waarschijnlijk simpelweg verkeerd verwoord. Veel van dit soort diensten doen namelijk gewoon aan malware en spam detectie.

CAPSLOCK2000

Beveiliging en antivirus
Politiek en recht

@aZuL2001 • 17 maart 2015 23:06

De afdeling communicatie zal er wel even overheen zijn gegaan. Voor niet techneuten is het verschil tussen de verschillende mailfilters al snel te moeilijke. Het verschil tussen echte spam, nieuwsbrieven en virussen ontgaat de meeste gebruikers. Ze kennen "mijn mail" en "al die troep".

Soldaatje @Johan9711 • 17 maart 2015 20:19

Behalve dan dat het virus is binnengekomen en kon draaien op de pc's...

The Realone @Soldaatje • 17 maart 2015 20:45

Draaien kan het nogal gauw, behalve als je met bijvoorbeeld AppLocker of iets soortgelijks werkt. Aangezien AppLocker enkel op de Ultimate/Enterprise versies van Windows draait kom je dan al snel uit bij third party oplossingen en daarvan is de kwaliteit erg wisselvallig.

Binnenkomen is ook niet zo moeilijk als de beveiligingsmechanismen het simpelweg niet detecteren. En dat komt bij deze malware aan de lopende band voor.

Het enige wat hiertegen vaak echt werkt is een goede backup strategie en bewustwording bij de gebruikers zodat deze mails gewoon rechtstreeks de prullenbak in gaan.

Kain_niaK @Soldaatje • 17 maart 2015 20:36

Dat een bijlage uitgevoerd kan worden als exe dat is de fout. Beter om via een whitelist alleen applicaties te laten starten die nodig zijn voor werk.

Kain_niaK @Xatr0z • 17 maart 2015 22:41

Ja maar dan werken al die applicaties niet meer want die zijn voor windows geschreven. Voor het opnieuw schrijven is geen geld.

mufana 17 maart 2015 20:32

Je hoeft lokaal geen admin/superuser rechten te hebben. Ransomware doet gewoon zijn werk op alle plekken waar je als gebruikter schrijfrechten hebt. (Netwerkshares waar documenten staaan bv)

AttilaD @mufana • 17 maart 2015 20:58

zelfs niet, enkel geopende bestanden, hangt van je settings af.

Op dit item kan niet meer gereageerd worden.

Gemeente Lochem voor verkiezingen getroffen door ransomware

Lees meer

Reacties (118)

Sorteer op:

Weergave: