Computers Rijkswaterstaat zijn besmet met ransomware

Computers van Rijkswaterstaat zijn getroffen door ransomware. Dat bevestigt Rijkswaterstaat desgevraagd. De malware versleutelt bestanden en probeert slachtoffers geld te laten betalen om de bestanden weer te ontsleutelen.

Volgens een woordvoerster van Rijkswaterstaat zijn er inmiddels 'maatregelen genomen'. Volgens interne informatie die in handen is van Tweakers, ging het om een flinke aanval. Het is echter onduidelijk hoeveel computers zijn getroffen, of om welke ransomware het gaat. Intern spreekt Rijkswaterstaat van 'crypto ransomware'. Mogelijk gaat het daarbij om de Cryptolocker-malware, die recent nog de Vrije Universiteit Amsterdam en de gemeente Lochem trof.

De overheidsinstelling waarschuwt medewerkers dat ze niet zomaar op linkjes en bijlagen in e-mails moeten klikken. Ransomware versleutelt bestanden van gebruikers, en probeert slachtoffers ertoe te verleiden om geld te betalen om weer bij hun bestanden te kunnen. Het is onbekend of Rijkswaterstaat geld betaalt aan de aanvallers.

Mogelijk zijn ook andere overheidsinstellingen getroffen. Het ministerie van Veiligheid en Justitie zegt echter 'geen uitspraken te doen over individuele incidenten'. "Maar op grotere schaal, zowel binnen als buiten de overheid, kunnen we melden dat we een toename van ransomware zien", zegt woordvoerster Renske Piet.

Door Joost Schellevis

Redacteur

Feedback • 20-03-2015 18:03161

20-03-2015 • 18:03

161 Linkedin

Lees meer

Amerikaans ziekenhuis betaalt veertig bitcoin na ransomware-aanval Nieuws van 18 februari 2016
Nieuwe ransomware richt zich op Linux-webservers die Magento draaien - update Nieuws van 9 november 2015
FBI-afdeling adviseert bedrijven regelmatig om ransomware-losgeld te betalen Nieuws van 23 oktober 2015
Twee Nederlanders opgepakt op verdenking verspreiding ransomware Nieuws van 17 september 2015
Ontwikkelaar brengt decryptie-toolkit uit voor diverse ransomware Nieuws van 23 mei 2015
Gemeente Lochem voor verkiezingen getroffen door ransomware Nieuws van 17 maart 2015
Vrije Universiteit Amsterdam getroffen door cryptolocker-virus Nieuws van 9 maart 2015
Meer producten en artikelen
Politiek en recht Netwerk en systeembeheer Malware Overheid

Reacties (161)

-Moderatie-faq
161
152
96
1
0
0
Wijzig sortering
AzzKickah
20 maart 2015 18:09
Ik mag toch aannemen dat ze daar de backups fatsoenlijk geregeld hebben.
Paar weken geleden had zo'n helder licht bij mij op 't werk dus ook zo'n attachment geopend. Crypto-locker was al lekker bezig in de open home-folders van alle users (iedereen heeft ook een 'privé' home-folder). Maar het draaide wel alleen vanaf die specifieke PC.

Dus die bak uit het netwerk gehaald, backups van de home-folders van de vorige dag teruggezet, en klaar. Duurde 2 dagen, maar uiteindelijk 0 schade.

[Reactie gewijzigd door AzzKickah op 20 maart 2015 18:13]

aryan1171
@AzzKickah20 maart 2015 18:23
Plotseling wordt elke overheids instantie aangevallen. Ik weet niet in dit geval echter niet of dit komt door het aanhoudende slechte IT management of omdat het een valse smoes is om nog meer toegang te krijgen tot iedereens gegevens onder het mom: cyber-terrorisme bestrijding.

Ik begin hier onderhand dan ook moe van te worden, elke dag is het weer raak. De ene dag krijgen we te horen dat er een nieuwe wetgeving komt; een andere dag krijgen we te horen dat dezelfde overheid (Natuurlijk niet de zelfde groep) ook nog een faalt in het redelijk beveiligen van systemen.

Nou begrijp ik dat niks waterdicht is, en ben ik ook een leek wat security betreft, maar we horen dit wel erg vaak de laatste tijd.
Anoniem: 524877
@aryan117120 maart 2015 18:30
Mee eens. Ik weet echter wel dat overheid ict ert lastig is omdat bijna elk ministerie weer meerdere netwerken heeft van sub-ministeries. Bijv het OM en de rechtspraak hebben eigen netwerken met zeer beperkte verbindingen naar elkaar toe.
Razwer
@aryan117120 maart 2015 19:17
1) Dit is oud nieuws. Binnen RWS was dit al 2 weken geleden bekend gemaakt
2) Nee ze hebben geen smoes nodig om nog meer toegang te krijgen tot gegevens. Ze timmeren juist de werkstations dicht. Mail kon het ministerie toch al lezen doordat het door hun relay heen komt :)
SpazzII
@aryan117120 maart 2015 19:21
Mijn eerste gedachte daarbij is dat misschien niet de feiten, maar de berichtgeving veranderd is. Als "cryptolockers bij de overheid" hot news is, zal dat vaker in het nieuws komen, terwijl wanneer "het effect van het beleid van Brein" hot is in media land, dat niet betekent dat Brein ineens wakker is en de rest van het seizoen helemaal niets aan het doen was.

Ik zeg niet dat bovenstaande waar of sluitend is, maar wel dat het mijn eerste gedachte hierbij is.
wauwwie
@aryan117120 maart 2015 20:29
Nee hoor, ik hoor en zie dit bij meer bedrijven. Ook bij grote en kleine bedrijven gaan afdelingen plat omdat er iemand via zijn privé webmail een factuur.pdf.exe opent.
To_Tall
@aryan117121 maart 2015 00:12
Dit is geen specifieke aanval op de overheid. weet niet waar je dat vandaan haalt :+

Zijn genoeg individuen die het zelfde mailtje op hun thuis computer krijgen en openen. Dit virusje is specifiek bedoeld om netwerkshares te encrypten en niet je eigen PC..

Dat iemand bij Rijkswaterstaat zo slim is geweest om Tweakers te informeren is ook niet handig!! Maar het had net zo goed Deloite of Shell kunnen zijn..
SPee
@To_Tall21 maart 2015 12:06
Niet met een goede opvoeding en virusscanner.
krosis
@aryan117123 maart 2015 08:58
De overheid moet over op Linux, nu is de kans.
aryan1171
@krosis23 maart 2015 13:43
Ik begrijp je punt compleet, maar linux is gewoon niet een optie. In meer dan 6 jaar dat ik linux gebruik heb ik nooit een stabiele, gewoon goed werkende pc kunnen realiseren.
Altijd problemen met stabiliteit; een simpele update maakte vaak mijn computer onbruikbaar.

Als de overheid Linux moet gebruiken zullen ze zelf daarom een distro moeten maken die rocksolid is en ook nog goed beveiligd!
krosis
@aryan117126 maart 2015 08:59
Debian is niet stabiel?
Anoniem: 126717
@AzzKickah20 maart 2015 19:07
Je bent kennelijk een beheerder, hoe komt het dat internet en het eigen netwerk kennelijk niet gescheiden zijn?
Ik ben gewend een linux omgeving op te starten voor internet toegang, geen enkele mogelijkheid om direct op links te klikken. (En het kopiëren van links tussen de omgevingen is ook lastig, maar dat is bijzaak.)
Die VDI heeft geen enkele toegang tot het eigen systeem.

Bijlagen horen gescand te zijn, maar dat werkt niet met nieuwe malware natuurlijk.
AzzKickah
@Anoniem: 12671720 maart 2015 19:38
Ik begrijp je vraag over internet en eigen netwerk gescheiden niet helemaal denk ik..? Die gebruiker kreeg het binnen als een e-mail met een ZIP-attachment, met daarin een EXE die diegene doodleuk ging proberen te openen.
Vervolgens ging die crypto-locker op onze fileserver de netwerkschijf van die gebruiker aan de gang.

[Reactie gewijzigd door AzzKickah op 20 maart 2015 19:48]

TweakOverflow
@AzzKickah20 maart 2015 23:12
Eigenlijk komt het binnen door middel van een '.PDF.EXE'. Een doorsnee gebruiker die te zien krijgt dat het om een mogelijke betalingsachterstand gaat klikt hier op. In bedrijfsnetwerken wordt dit keurig geblokkeerd, echter wil er bij Google, Microsoft en de grote providers nog wel eens een mailtje tussendoor schieten. Klikt de gebruiker hem dan open op kantoor dan kan je wel eens een groot probleem hebben mits je een gebruiker bent met veel lees/schrijfrechten.
RielN
@TweakOverflow21 maart 2015 10:33
Bij Google erdoor schieten?

Lijkt mij zeer onwaarschijnlijk. Ik heb van afgelopen week wel 2 voorbeelden waarbij deze door de exchangeserver kwam en zo netwerkschijven versleutelde.

Dan beter Drive / Onedrive gebruiken.

[Reactie gewijzigd door RielN op 21 maart 2015 10:33]

Thystan
@RielN25 maart 2015 09:11
Beter anti-spam pakket gebruiken. Alleen Exchange is niet voldoende.

Mijn persoonlijke voorkeur gaat uit naar GFI

[Reactie gewijzigd door Thystan op 25 maart 2015 09:11]

RielN
@Thystan25 maart 2015 11:17
Beter geen exchange gebruiken :P Dan hoef je niet van die toeren uit te halen.

Ha, sorry dat was gechargeerd. :)
trisje
@RielN21 maart 2015 19:08
Of de exchange of outlook beter inrichten, want natuurlijk kan dat ook tegengehouden worden. Standaard is dat ook zo ingesteld.
GeoBeo
@TweakOverflow21 maart 2015 10:07
Wat je zegt klopt niet: als je mail verzend via gmail kun je onmogelijk een .exe versturen. Ook niet als die in een .zip file zit. Hier heb ik als developer regelmatig last van bij het opleveren van binaries.

Ontvangen kan ook niet als je standaard bijvoorbeeld chrome gebruikt: die laat je geen .exe openen uit emails (ook niet in .zip files). Volgens mij gaat gmail zelfs zo ver dat hij uberhaupt geen .exe laat downloaden uit ontvangen mail...

Wel kan ik zonder problemen standaard .exe bestanden versturen, ontvangen en openen via de eigen gemiddelde outlook web access van bedrijven.

Dus aan Google of Gmail zal het niet liggen. Het ligt eerder aan de beslissingen van bedrijven over hoe ze hun werkstations en toolchains voor werknemers inrichten.
Cerberus_tm
@GeoBeo21 maart 2015 19:29
Wat ze ook doen is een zip met een wachtwoord beveiligen, dat ze erbij geven in die e-mail. Dan wordt mensen wijsgemaakt dat dat is omdat het een belangrijk bestand is, bla bla. Zoiets kan Gmail/Chrome niet tegenhouden, omdat je inhoud van een zip-bestand dat met een wachtwoord versleuteld is niet kunt zien normaliter. Tenzij ze alle zip-bestanden gaan blokkeren, maar dat is weer te onhandig voor gebruikers. Ik denk dat de bescherming uiteindelijk toch ook van de gebruiker zelf en/of van anti-virusdingen op zijn eigen computer moet komen.
Thystan
@Cerberus_tm25 maart 2015 09:10
waarom gebruik je geen filesharing service, zoals mega.co.nz ?

*Reactie op GeoBeo

[Reactie gewijzigd door Thystan op 25 maart 2015 09:10]

Anoniem: 126717
@AzzKickah20 maart 2015 19:51
Ik verwachtte dat de gebruiker naar een leuke website geleid werd, vandaar mijn vraag over de scheiding van de netwerken.
Om eerlijk te zijn heb ik nu de vraag waarom een gebruiker een executable kan opstarten die niet bekend is... Op mijn werk heb ik nergens execute rechten. Officieel tenminste, als tweaker weet je wel de juiste plekken te vinden.
Maar dan moet je moeite doen, de normale gebruiker zal het niet eens weten..
AzzKickah
@Anoniem: 12671720 maart 2015 19:57
Omdat we bij ons pas sinds 2 weken nieuwe systemen niet meer met local admin-rights installeren. Tot dan toe was (en diegenen nog steeds) iedereen gewoon local admin op z'n eigen bak...

Breek mij de bek niet los. Ik ben niet degene die daarover bepaalt. Nu sinds kort installeren we nieuwe machines dus zonder local admin rights voor de user.
Is meer werk met remote overnemen van systemen omdat weer iemand één of ander specifiek programmaatje nodig heeft, maar alle toolbars, adware en andere ellende is wel verleden tijd.

Maar god damn wat moet je op een dag vaak je wachtwoord invoeren in Windows zeg. Echt belachelijk.

[Reactie gewijzigd door AzzKickah op 20 maart 2015 20:10]

Dysmael
@AzzKickah20 maart 2015 20:09
"
Maar god damn wat moet je op een dag vaak je wachtwoord invoeren in Windows zeg. Echt belachelijk.
Leg eens uit.
Ik hoef dat namelijk maar één keer te doen. Als je doelt op UAC prompts omdat medewerkers geen local admin zijn dan doe je iets niet goed. Is via een GPO tegen te houden en zou sowieso niet nodig hoeven zijn want in dagelijks gebruik doe je geen dingen waar je admin voor moet zijn.
Rolfie
@Anoniem: 12671720 maart 2015 21:11
En zo iets wil jij bij de overheid implementeren? Veel gebruikers worden al gek als icoontjes al anders zij. Of van xp naar w7, office 2003 naar office 2007.

En wil jij ze zo iets complex laten uitvoeren?

Er zij maar weinig bedrijven die de oplossing zoals jij hem schets neer zetten. Veel te gebruikers onvriendelijk.
Anoniem: 126717
@Rolfie20 maart 2015 22:24
Ik werk bij de *edit ivm privacyredenen*
Wat ik hierboven beschreven heb is hoe het werkt. Zelfs het rijksportaal gaat via een VDI.

[Reactie gewijzigd door RoD op 30 maart 2015 17:57]

To_Tall
@Anoniem: 12671721 maart 2015 00:09
Maar op kantoor werkplekken kunnen gebruikers gewoon het internet op, mail gebruiken en word documenten schrijven.

Wat hier is gebeurd is dat een dappere dodo een mailtje heeft ontvangen met de afzender b.v. ZIGGO met onderwerp FACTUUR NIET BETAALD..

Die openend dan het bestand. Want er staat in de mail factuur.pdf.exe
Die gebruiker heeft rechten op netwerkshares.. om zijn word documenten te openen en aan te passen enz enz.. wat je normaal op een KA netwerk ook doe en mag.

Alle netwerkshares in folders waar deze gebruiker rechten op heeft worden dan geniecrypt..

========

Nu mijn vraag. hoe wil jij een doodnormale gebruiker die word documentjes moet openen en aanpassen en dan een keer EXEL bestandje aanpassen en zijn mail leest en voor het werk ook iets moet kunnen opzoeken op het internet om die informatie ook weer in zijn mail of excel of wordt te kopiëren..

Die mensen hebben geen affiniteit met IT en IT Security.. Ja ze zijn een risico voor het bedrijf omdat ze niet de volle 100% weten waar ze op klikken en wat er op de achtergrond gebeurd.. Maar het werk waarvoor zij zijn aangenomen zijn ze heel goed in.. Dat soort mensen kan jij niet in een strak IT regiem laten werken dan komen ze niet aan werken toe omdat ze niet begrijpen waarom ze informatie van Google niet kunnen plakken in dat word document.

[Reactie gewijzigd door To_Tall op 21 maart 2015 00:15]

Teijgetje
@To_Tall21 maart 2015 12:11
Nu mijn vraag. hoe wil jij een doodnormale gebruiker die word documentjes moet openen en aanpassen en dan een keer EXEL bestandje aanpassen en zijn mail leest en voor het werk ook iets moet kunnen opzoeken op het internet om die informatie ook weer in zijn mail of excel of wordt te kopiëren..

Wat is nu jouw vraag? Je legt alleen uit wat voor gebruikers jij hebt, ze kunnen lezen en knippen en plakken. ;)

Maar je kunt ze bijvoorbeeld leren dat EXCEL een Microsoft product is, met een C van document ertussen, dat EXEL niet bestaat als document, en dat .EXE uitvoerbare en mogelijk gevaarlijke software betreft.
Bij de moeilijke gevallen plak je desnoods een Post-it op hun scherm (met Bisontix als het moet) . :9~

[Reactie gewijzigd door Teijgetje op 21 maart 2015 12:12]

telenut
@Teijgetje21 maart 2015 14:13
en dan krijgen ze een bijlage als pif, hta, msi... lap, dat vertelde je niet hé
Teijgetje
@telenut21 maart 2015 16:51
De post-it was een gekscherend antwoord op een niet gestelde vraag.
Er is zat mogelijk voor een systeembeheerder om het systeem veilig en work-only te houden.
Een werknemer alle rechten geven is daar niet één van.

De rest doe je maar thuis, of in de pauze op je prive smartphone of tablet.
Cerberus_tm
@telenut21 maart 2015 19:34
Pif, hta, lap: zijn dat echt bestanden die alles met je computer kunnen doen, zoals exe, msi, com?

(Als systeembeheerde kun je vast wel instellen dat gebruikers alleen bestanden mogen openen met een extensie die in een wittelijst staat, zoals doc, pdf, jpg, xls, en nog zo wat.)
Nosfera7u
@Teijgetje21 maart 2015 14:26
Al hang je 10 post-it's op het scherm dan nog klikken ze er op.
Gevalletje PICNIC.

Als admin gewoon zorgen dat je verschillende beveiligingsmaatregelen neemt.

Mail via een partij als Mimecast of Barracuda op je mailserver af laten leveren. Hierin o.a. .exe en andere usual suspects blokkeren.

Een goede virusscanner met Exchange integratie installeren, bijv. Forefront.

Filescreens aanzetten op je fileservers om het opslaan van ongewenste extensies te blokkeren.

.EXE opslaan blokkeren op de werkstations dmv GPO.

Uiteraard ook een virusscanner op de werkstations.

Gebruikers geen local admin maken.

Webfilter installeren zoals bijv. Barracuda, Websense

Internet blokkeren voor Domain Admin accounts met uitzondering van een aantal websites zoals bijv. HP & Microsoft.
Teijgetje
@Nosfera7u21 maart 2015 16:46
Helemaal mee eens, ik snap ook niet helemaal waarom je workstations als homecomputers zou moeten configureren voor je personeel, zodat ze meer kunnen dan alleen werken er mee.

Tenzij je alle geleden schade op hen mag verhalen natuurlijk........ :+
Sissors
@Anoniem: 12671720 maart 2015 19:55
Als ik sommige verhalen lees van hoe mensen vinden dat het gedaan moet worden, en soms dus ook daadwerkelijk hoe het op sommige plaatsen geregeld is vraag ik me af: Hoeveel productiviteit kosten al die maatregelen wel niet. En weegt dat echt op tegen de gemiste productiviteit door malware?

Het voorbeeld dat jij noemt, niet op links kunnen klikken en ze bijna niet kunnen kopieren, dat zou me elke dag weer tijd kosten. Om het nog niet te hebben over zoveel irritatie dat ik waarschijnlijk ergens anders zou gaan werken.
Anoniem: 126717
@Sissors20 maart 2015 20:48
Als ik vanuit mijn eigen situatie kijk? Weinig impact.
Ik heb een Gmail wegwerp account waarnaar ik mails met links forward zodat ik geen copy&paste problemen heb. Internet sessie starten, Gmail openen, klik.
Voor de rest is een dichtgetimmerde omgeving prima, soms bekijk ik de crapmail die binnenkomt en je hebt er bij die direct proberen om een template te installeren. Kansloos, dus een glimlach, maar ze laten wel zien dat zelfs het openen link kan zijn.

Dus ja, beperkingen maar in het dagelijks werk heb ik er geen last van. Mits het openen van een internet sessie werkt, daar schort het nogal eens aan.
En geen belletjes naar de helpdesk om backups terug te zetten, geen eindeloze virus verwijdering, geen tijd verlies.
Cerberus_tm
@Anoniem: 12671721 maart 2015 19:38
Een template, voor Word of zo? Wat heeft dat voor extensie?
Ik neem toch aan dat een gebruiker niet alleen op de link moet klikken, maar ook ergens het bestand moet openen binnen Windows (ergens op OK moet klikken)?
Anoniem: 126717
@Cerberus_tm21 maart 2015 20:21
Outlook. Geen idee wat voor extensie, zal wel VBS zijn in werkelijkheid.
En nee, het openen van de mail is genoeg om die actie in gang te zetten.
Cerberus_tm
@Anoniem: 12671721 maart 2015 20:31
Au. Dan lijkt mij Outlook echt fundamenteel onveilig als e-mail-client?
Anoniem: 126717
@Cerberus_tm21 maart 2015 20:37
Dat is het al jaren? Ik heb om meerdere redenen de preview optie uitgeschakeld. Het previewen houdt namelijk in dat Outlook het mailtje opent. Alsof de gebruiker het doet.
Cerberus_tm
@Anoniem: 12671721 maart 2015 20:47
Aha, okee. Ik heb het nog nooit gebruikt. Misschien tijd dat bedrijven hiervan afstappen?
jorikc
@AzzKickah20 maart 2015 18:11
Hoezo kon dat heldere licht bij de home folders van alle users? Bij ons zijn home folders toch echt alleen toegankelijk voor de eigenaar van de home folder.
Uiteraard zijn er genoeg gedeelde mappen in een gemiddelde organisatie waar deze software kwaad kan, maar home folders van alle users zou ik niet verwachten.
AzzKickah
@jorikc20 maart 2015 18:13
Je hebt gelijk, ter verduidelijking: wij hebben 2 home-folders voor de users. 1 waar ze alleen zelf in kunnen + 1 waar iedereen in kan. In die laatste was dat virus dus bezig.
Anoniem: 16328
@AzzKickah20 maart 2015 18:16
Waarom blokkeer je gewoon niet alle bestandsformaten op een paar veelgebruikte types na?
Nerot1x
@Anoniem: 1632820 maart 2015 18:39
Omdat dat niet altijd gaat werken, iederen download vaak van alles + het kan in een ADS verstopt zitten of iets dergelijks.
Dysmael
@Nerot1x20 maart 2015 18:47
Juist dat 'van alles downloaden' is kinderlijk eenvoudig te voorkomen. Net als Cryptolocker. Kwestie van simpelweg het downloaden en opslaan van uitvoerbare bestanden blokkeren. Goede firewall (met UTM en evt. APT blocker) is je vriend.

Als je geen executables kan downloaden is al veel voorkomen. Is het daarna wel mogelijk om bv een .zip-bestand waar een wachtwoord op zit te downloaden dan voorkom je het uitvoeren ervan doordat je het opslaan van executables (o.a. in de %temp% folder, homedrive en algemene datafolders) hebt geblokkeerd met Filescreen.
Sissors
@Dysmael20 maart 2015 19:50
Probleem is dat je omgeving nog wel werkbaar moet zijn. En dan is dus de vraag of het risico op malware verkleinen belangrijk genoeg is om een situatie te maken waarbij IT elk klein dingetje moet gaan goedkeuren voor je het mag installeren.
Dysmael
@Sissors20 maart 2015 20:05
Lijkt mij weinig aan goed te keuren. Dat is een fout die volgens mij vaak wordt gemaakt. De meeste 'gebruikers' van een systeem hoeven niets te installeren. Sterker nog; dat wil je als IT-verantwoordelijke toch juist in de hand houden?

Belangrijk voor een organisatie is dat de LOB-applicaties werken. Je wil juist voorkomen dat mensen zelfstandig gaan sleutelen aan het systeem.
Sissors
@Dysmael20 maart 2015 20:16
Maar genoeg gebruikers moeten dat wel om normaal hun werk te kunnen doen. Niet iedereen zit enkel achter de PC om office te gebruiken, als je wat meer moet doen zal het vaak genoeg voorkomen dat je een ander programma nodig hebt.

Maar ook als je wel alleen achter de PC zit voor office, en je wil naar je muziek op spotify luisteren, eerst maar naar IT. Of je gebruikt een ander, eerst naar IT. En voor de IT'ers, je wil je een andere browser gebruiken dan IE, mag niet. Je wil een plaatje voor een presentatie wat verbeteren, dus je wil Gimp downloaden. Eerst naar IT. Je wilt iets wat lekkerder lezen dan met notepad, dus je wilt notepad++ hebben.
Dysmael
@Sissors20 maart 2015 20:23
Allemaal onzin.
Spotify installeer je thuis maar. Notepad++ wil vast iedereen dus deploy dat gewoon standaard of biedt het aan als toegestane package. Zijn genoeg methoden om wel flexibiliteit te bieden en veiligheid te blijven waarborgen.

Gimp downloaden; prima. Maar waarom Gimp als je ook photoshop van huis mee kan nemen? .rar-bestanden pak je thuis uit met WinZip of WinRar dus dat installeer je op kantoor dan ook maar zelfstandig. Dat het illegaal softwaregebruik is beseffen veel mensen niet bij dit soort toepassingen. Die PC optimizer 2016 schijnt ook je computer te verbeteren dus die ook maar gelijk installeren. En als klap op de vuurpijl natuurlijk ook die factuur die is binnengekomen via de e-mail, in een .zip-bestand met de titel Factuur1234.pdf.exe even snel openen.

Het getuigt van een zeer slecht IT-beleid als je zomaar iedereen al deze rechten geeft. Uitzonderingen kunnen er best zijn en voor die gevallen heb je een goede firewall, liefst met APT blocker mogelijkheid. Uitgangspunt is dat alles dicht zit en daarna ga je uitzonderingen bepalen. Alles gewoon open zetten is simpelweg dom en onkundig.
Keypunchie
@Dysmael20 maart 2015 23:45
Het getuigt van een zeer slecht IT-beleid als je zomaar iedereen al deze rechten geeft.
Alles dichtgooien ook. Als IT'er ben ik er om de business te ondersteunen, zij zijn er niet om naar mijn IT-pijpen te dansen. Als ik met te restrictieve maatregelen innovatie binnen het bedrijf in de weg zit, ben ik niet goed bezig.
Spotify installeer je thuis maar.
Kan een business-beslissing (of jurdiisch) zijn, maar is niet iets waar ik als IT'er over beslis. Ik kan wel aangeven wat de gevolgen kunnen zijn, met name in het kader van bandbreedte en zal iets zijn waar ik pro-actief op monitor en over communiceer. Maar het beleid zelf daarover maak ik niet.

Wat betreft de zaak in kwestie. Als IT'er moet je er ook overheen kunnen stappen dat het een keer misgaat:
Dat er een keer malware door de mailfilters heenkomt, dat is vervelend, maar zolang ik maar snel die situaties kan isoleren/herstellen, dan werkt mijn verdediging. Voorkomen is beter dan genezen, maar dat laatste moet ik _ook_ kunnen.

Mooie case om de users weer eens wat scherper te maken op het belang van het volgen van Informatieveiligheidsbeleid.

Immers, van alle hackers die me kwaad willen doen, hoeft er maar 1tje geluk te hebben, terwijl ik alle medewerkers nodig heb om ons veilig te houden.

[Reactie gewijzigd door Keypunchie op 20 maart 2015 23:51]

Sissors
@Dysmael20 maart 2015 21:01
En op die manier zorg je dus dat mensen en de pest aan ICT krijgen, en daarnaast gaan proberen rond de restricties uit te komen. Weer lekker bedrijf is dat: Je mag nog geen eens naar je eigen muziek luisteren, ICT heeft besloten dat dit verboden is.

Ik ben toch erg blij dat ik bij een werkgever werk waar ik wel gewoon zelf kan zorgen voor een omgeving waar ik mijn werk kan doen, waarbij ICT dat ondersteund in plaats van frustreert. Wat overigens een multinational is die een imo best indrukwekkende ICT infrastructuur verder heeft. En blijkbaar werkt dat prima.

Oké, granted, ik kan me voorstellen dat in een engineering functie dat wat meer vertrouwd wordt dan een random administratief medewerk(st)er. Maar dan nog, voor mij toont het aan dat de hele handel vastzetten niet automatisch noodzakelijk is.

[Reactie gewijzigd door Sissors op 20 maart 2015 21:11]

EdwinW
@Dysmael20 maart 2015 19:20
Juist dat 'van alles downloaden' is kinderlijk eenvoudig te voorkomen. Net als Cryptolocker. Kwestie van simpelweg het downloaden en opslaan van uitvoerbare bestanden blokkeren. Goede firewall (met UTM en evt. APT blocker) is je vriend.
Dergelijke malware wordt niet via websites aangeboden, maar als bijlage bij een email, bijvoorbeeld als PDF bestand.
Dysmael
@EdwinW20 maart 2015 20:03
Precies. En dat is dus net zo eenvoudig tegen te houden. Ook e-mail verloopt via internet en gaat door je firewall.
BoerTien
@Nerot1x20 maart 2015 23:06
Je kunt dit op meerdere manieren moeilijk maken. En ervan is al bijna twee jaar gedocumenteerd.
http://www.computerworld....do-if-you-are.html?page=2
Het lijkt me dat bij de overheid dit soort voorzieningen worden uitgerold via group policies
redfoxert
@AzzKickah20 maart 2015 18:16
Kan je dan niet echt meer een "home" folder noemen he, eerder een open group share ofzoiets :)
chowmonkey
@redfoxert20 maart 2015 18:49
Mwa, public en private home kan toch gewoon? Tís maar een naampje :)
Vale vista
@AzzKickah20 maart 2015 20:30
Behalve de arbeidskosten voor het repareren van de pc's uiteraard ;)
jpsch
@AzzKickah20 maart 2015 19:25
Twee dagen werk, nul schade?
ATS
@jpsch20 maart 2015 20:08
Dat een proces twee dagen duurt, wil niet zeggen dat het twee dagen werk is... Een back-up van mijn mas terugzetten vanuit de cloudbackup die ik gebruik (crashplan) gaat ook wel even duren. Maar dat wil niet zeggen dat ik er lang mee bezig ben.
AzzKickah
@jpsch20 maart 2015 19:39
Ja hehe, je begrijpt prima wat ik bedoel. Nul schade qua data.
Killer
@AzzKickah21 maart 2015 01:29
0 schade? Werk jij gratis dan?
SBTweaker
@Anoniem: 65356020 maart 2015 19:19
Haha hoe kom je daar bij ? Die ransomware is ook op os x te vinden hoor.
krosis
@SBTweaker23 maart 2015 09:07
Kan inderdaad alleen vinden dat er voor OSX ransomware is. Voor debian enzo niks kunnen vinden, linkje?
Rolfie
@Anoniem: 65356020 maart 2015 19:43
Jep, en dan doet ook meteen geen enkele applicatie het meer. Probleem helemaal opgelost.

Daarbij tegenwoordig heb je ook al ransomware die het gewoon volledig onder linux doen. Je kan je machine wel niet verkloten, maar de data op het netwerk wel.

Klinkt dus leuk, maar totaal niet haalbaar.
Perkele88
@Anoniem: 65356020 maart 2015 22:03
Als jullie met zijnn allen op Linux of OSX gaan werken... Dan blijf ik lekker op Windows want dan zijn de rollen over een paar jaar omgedraaid. Dit is een relatief onnozele opmerking. Criminelen schrijven liever virussen voor een OS met een groot markt aandeel omdat ze dan meer kans maken op inkomsten.

Dus als het marktaandeel van OSX of Linux groeit, groeit daarmee ook het aantal virussen voor die besturingssystemen.
krosis
@Perkele8823 maart 2015 09:06
Dat een paar bedrijven over gaan op linux betekend niet dat het marktaandeel ineens zo hard stijgt denk ik. Windows blijft hét consumenten OS.
ShellGhost
20 maart 2015 18:11
De besmetting hoeft niet via emails te zijn geweest al is dat wel hoofdoorzaak nr1.
Als het via email is gegaan blijf ik het bizar vinden dat er nog steeds mensen zijn die elke attachment blindelings gewoon openen.
TJRef
@ShellGhost20 maart 2015 18:48
Het geeft volgens mij ook wel aan dat de desbetreffende medewerker(s) waarschijnlijk niet alleen maar voor hun werk op die computers bezig zijn. Lijkt me stug dat er dergelijke emails in omloop zijn speciaal aansluitend op de communicatie van Rijkswaterstaat. Maar onmogelijk is het uiteraard ook niet.

Helaas zijn veel mensen dusdanig impulsief dat ze zich heel snel laten beetnemen door hun emoties als ze op zo'n link klikken. En weinig alert op de manieren waarop de makers van zo'n ransomware het aantrekkelijk maken.

Maar je kunt helaas niet verwachten dat iedereen zo goed nadenkt of in de gaten heeft wanneer je in de maling wordt genomen. Daar maken deze criminelen maar mooi gebruik van. Ook bij de overheid werken vast mensen met weinig affectie voor ICT (als dat niet al overduidelijk was ;) )
anboni
@TJRef20 maart 2015 18:52
Het geeft volgens mij ook wel aan dat de desbetreffende medewerker(s) waarschijnlijk niet alleen maar voor hun werk op die computers bezig zijn. Lijkt me stug dat er dergelijke emails in omloop zijn speciaal aansluitend op de communicatie van Rijkswaterstaat. Maar onmogelijk is het uiteraard ook niet.
Heel vaak zijn dit soort mailtjes vermomd als factuur, opdrachtbevestiging of fax. Dat kan dus allemaal heel goed als werkgerelateerd te interpreteren zijn. Pas geleden nog eentje langs zien komen die van Intrum Justitia af leek te komen. Reken maar dat zoiets geopend wordt, zeker als het bij een financiele afdeling terecht zou komen.
Perkele88
@anboni20 maart 2015 22:14
Yup, in mijn werk als systeembeheerder wat geoutsourced is door onze klanten merk ik steeds meer meldingen op van dit soort emails. En geloof me het is over het algemeen semi gericht aan de juiste personen in een organisatie.

Inmiddels ook een 2-tal infecties gehad bij klanten in de afgelopen weken. Kortom dit is niet alleen een probleem bij overheid en gemeenten.. Ze zijn lekker bezig en verdienen er flink geld mee. Maar bij een juiste Backup is een klant over het algemeen de volgende ochtend weer 100% online mits je de bron (infectie) gevonden en geïsoleerd hebt.

Het is lastig om systemen voor 100% dicht te timmeren dit verschilt gewoon per organisatie en wat de wensen en eisen van een klant zijn aan een systeem. Geloof me.. Dagelijks raad ik dingen ten strengste af.. Maar klant is koning en sommige mensen zijn zo koppig dat ze al het advies van "IT" links laten liggen.

En arbeids intensief voor IT is zo een virus niet. Bron zoeken, max half uur binnen een organisatie tot 50 man. Restore besmette netwerk schijf aanzetten van de dag ervoor of een Shadow copy eerder op de dag, half uur. Rest is alleen wachten en een nachtje slapen (afhankelijk van de hoeveelheid data). Veel werk gaat er meestal niet verloren voor de klant want meestal vind informatie verwerking in andere applicaties plaats.. In de praktijk zullen medewerkers van een organisatie van 50 man dus enkele tientallen documenten opnieuw moeten aanpassen en in het ergste geval opnieuw maken.
jpsch
@Perkele8821 maart 2015 01:01
Is zo'n ding binnen een dag zichtbaar dan? Kan toch beter de boel versleutelen en dan een week of 2 wachten met zichtbaar worden? Met een beetje geluk zijn de back-ups dan al overschreven.
ninjazx9r98
@jpsch21 maart 2015 08:54
Voor dat wachten is veel meer intelligentie nodig en ook meer rechten. Daarnaast is er ook nog de kans dat een en ander gedetecteerd wordt in de wachtperiode. Bij een fatsoenlijk ingerichte back-up omgeving is de de boel ook niet overschreven na een paar/aantal weken maar kun je afhankelijk van het gebruikte schema altijd terugvallen op week of maandtapes.
Cerberus_tm
@ninjazx9r9821 maart 2015 20:12
En wat als je als virus nou bestanden on the fly versleutelt en ontsleutelt wanneer een gebruiker het wil openen? Dan kan die gebruiker er gewoon mee werken en wordt het gewoon in het werkgeheugen geladen, maar wordt er nooit een ontsleutelde versie op de harde schijf opgeslagen. Zo kan het virus lang onopgemerkt blijven, en krijgt het back-upsysteem ongemerkt alleen maar crap binnen. Als je dat een maand of wat volhoudt, is het bedrijf een maand aan bestanden kwijt. Kan ook een jaar volgehouden worden...

De enige voorwaarde is dat het virus continu op de achtergrond moet kunnen draaien zonder opgemerkt te worden.
ninjazx9r98
@Cerberus_tm21 maart 2015 20:30
Om op de achtergrond te kunnen draaien zal het virus ook geinstalleerd moeten worden en bij iedere boot op de een of andere manier opnieuw gestart moeten worden. Tevens zal het in een bedrijfsomgeving alsnog snel door de mand (kunnen) vallen als documenten op shares ook versleuteld opgeslagen worden en dus door andere gebruikers niet meer te openen zijn. Theoretisch kan het ongetwijfeld maar het is wel heel veel gedoe als de huidige methode ook werkt.
Cerberus_tm
@ninjazx9r9821 maart 2015 20:33
Het moet inderdaad een tijdje draaien. Maar als het één keer onopgemerkt kan draaien, is het misschien niet zo moeilijk meer om bij elke boot weer te draaien? Op thuiscomputer hebben mensen meestal virussen al langer draaien voordat ze erachter komen.

Wat betreft gedeelde bestanden heb je gelijk, daar zou ik zo even geen "oplossing" voor kunnen bedenken...
ninjazx9r98
@Cerberus_tm21 maart 2015 20:39
Dat ligt er maar aan hoeveel rechten gebruikers hebben op hun systeem en hoe de policies in elkaar steken. Een willekeurig exe bestand éénmalig openen is een ander verhaal dan het mogelijk maken om deze bij iedere boot opnieuw te starten. Het moet overigens niet alleen een tijdje, het moet een tijdje onopgemerkt draaien wat inhoudt dat geen enkele virusscanner een update moet krijgen waarin een en ander toch ontdekt wordt ;)
Cerberus_tm
@ninjazx9r9822 maart 2015 03:33
Tja, maar als een programma eenmaal onbeperkt toegang heeft tot je systeem, dan kan het vast wel een policy zo veranderen dat het bij elke boot een programma opstart?

Als virusscanners nog steeds geen cryptolocker tegenhouden, ook al bestaan die programma's al jaren, dan kunnen ze vast een virus zoals dit maken dat virusscanners niet kennen. En je kunt na de eerste sessie van een paar maanden het virus door elkaar gooien zodat het niet meer lijkt op de eerste versie voor virusscanners...
Perkele88
@jpsch21 maart 2015 12:11
Zon virus pakt meteen alles in zijn bereik. In 99/100 omgevingen hebben mensen een mijn documenten (Home folder) die alleen voor hun toegankelijk is.. Dus even de homes doorzoeken, bellen met de gebruiker en isoleren. Zon virus verraad zichzelf dus over het algemeen. Een Backup draai je meestal minimaal 30 dagen lang. En sommige bedrijven kiezen er voor een maandelijkse Backup te draaien en deze vervolgens nog 2 jaar te bewaren.
jpsch
@Perkele8821 maart 2015 16:38
Denk dat die ransome ware toch omgebouwd gaan worden dat het pas na weken zichtbaar wordt. In een bedrijfsomgeving een maand werk kwijt zijn, is echt niet leuk.
Perkele88
@jpsch21 maart 2015 18:14
Die ransomeware past al je bestanden aan die bereikbaar zijn via het netwerk. Feitelijk worden al je word, excel, PDF etc aangepast en versleuteld. Dus je merkt direct dat je bestanden ontoegankelijk zijn.. Dus zo een virus kan niet onopgemerkt blijven als je het mij vraagt.

En als ze dat op wat voor manier toch lukt om een soort van mechanisme in te bouwen zie je dat van de 1 op de andere dag al je documenten in 1 dag zijn gewijzigd.. Dat valt ook direct op.
Cerberus_tm
@Perkele8821 maart 2015 20:08
Als het virus slim is, begint hij met het versleutelen van bestanden die je al een week niet aangeraakt hebt. Dat doet hij dan elke dag, een maand lang. Omdat recente bestanden nog wel werken, merken mensen het misschien niet, of kunnen ze het niet snel identificeren. Dan na een paar weken worden ook recente bestanden versleuteld en presenteert het virus zich met zijn eisen.

Als bedrijf is het dan echt geklooi, want je moet weten wanneer het virus precies welk bestand heeft versleuteld, en dan de juiste bestanden uit de juiste back-ups halen. Oudere bestanden moeten ui back-ups van meer dan een maand geleden gehaald worden, want in de nieuwere back-ups zijn de oudere bestanden verneukt. Nieuwere bestanden moeten uit nieuwere back-ups gehaald worden, want in oudere back-ups bestonden die bestanden nog niet.

Wat je ook kunt doen als cryptolocker is om, tijdens de verborgen periode, alle bestanden te verlseutelen, maar ad hoc wel telkens een bestand te ontsleutelen als een gebruiker het wil openen. Zo heeft hij niets door, maar blijven bestanden die hij niet aanraakt gewoon versleuteld.

Je kunt misschien ook bestanden meteen tijdens het opslaan al versleutelen. Een bestand dat een gebruiker wil gebruiken wordt dan razendsnel door het virus ontsleuteld en in het werkgeheugen geladen, en weer versleuteld als de gebruiker het opslaat. Zo staat er nooit een ontsleuteld bestand op de harde schijf, en kan een bestand nooit worden meegenomen door het back-up-systeem.

Op zo'n manier kun je heel lang onopgemerkt blijven, en na een maand heeft het back-upsysteem alleen maar crap in handen.
ninjazx9r98
@Cerberus_tm21 maart 2015 20:34
Heel lang onopgemerkt of je valt heel snel door de mand omdat een incremental backup ineens langer duurt en groter is dan gebruikelijk.
Cerberus_tm
@ninjazx9r9821 maart 2015 20:39
Dat is waar: als het back-upsysteem op dat soort dingen let, en het virus te snel alles wil versleutelen, heb je grote kans dat het ontdekt wordt.

Maar wat nou als het virus dit alleen doet bij bestanden die een gebruiker daadwerkelijk opent en probeert op te slaan? Elke keer wanneer een gebruiker een bestand opslaat wordt het versleuteld opgeslagen en het origineel dus gewist. Dat is dus een beperkt aantal bestanden per dag per gebruiker. Maar na een maand heb je zo wel alle bestanden die in die maand gebruikt zijn verneukt. Alleen oudere bestanden staan dan nog in de back-ups. De bestanden van de laatste maand zijn juist de meest essentiële bestanden, vermoedelijk, waar het bedrijf de meeste last van zal hebben...
anboni
@ShellGhost20 maart 2015 18:45
Ja, heel veel mensen zijn zich absoluut niet bewust van de risico's van e-mail bijlagen of linkjes in e-mails. Pas geleden bij ons op kantoor een phishing proef laten uitvoeren. Maar liefst 25% van alle medewerkers heeft doodleuk hun inloggegevens ingevuld op de phishing site (en dat aantal is nog niet eens gecorrigeerd voor het aantal mensen wat daadwerkelijk aanwezig was gedurende de tijd dat die site open stond, het werkelijke percentage ligt waarschijnlijk nog hoger)
Cerberus_tm
@anboni21 maart 2015 20:16
Dat is echt heel goed, zou je elke week moeten doen! Ook met factuur.pdf.exe en wat je nog meer kunt verzinnen. Maak er een wedstrijd van: iedereen begint met 100 punten, en elke keer dat iemand iets verkeerd doet gaat er een punt af. Eigenlijk is het motiverender om juist punten erbij te doen als iemand iets goed doet; maar is dat te meten?

Vergeet ook niet om mails te versturen vanaf administrator@bedrijf.nl, via zo'n site waar je alle adressen kunt spoofen: dat zal mensen leren dat iedereen extreem gemakkelijk een e-mailadres kan spoofen en dat je daar nooit op kunt vertrouwen.

[Reactie gewijzigd door Cerberus_tm op 21 maart 2015 20:18]

jpsch
@Cerberus_tm22 maart 2015 01:42
Elke week een test? Peter en de wolf creëren?
Cerberus_tm
@jpsch22 maart 2015 03:36
Nja, misschien dan toch een negatieve ervaring verbinden aan het openen van zo'n factuur.pdf.exe, zodat mensen het ook serieus vermijden als ze denken dat het van de IT-afdeling komt... de computer wordt voor tien minuten geblokkeerd of zoiets, en een reprimande van de baas.
jpsch
@Cerberus_tm22 maart 2015 12:29
Denk eerder dat de baas de exe opent.
Cerberus_tm
@jpsch22 maart 2015 15:42
Haha true, dan moet hij misschien een strafpunt...
anboni
@Cerberus_tm22 maart 2015 14:00
Naming and shaming moet je bij dit soort acties eigenlijk niet willen doen. Scores bijhouden al helemaal niet. Het gaat erom dat mensen zich bewust worden van de risico's. Bij die phishing test (heb ik door een externe partij laten uitvoeren) heb ik niet eens te horen gekregen wie er allemaal hun gegevens hebben achtergelaten, alleen tellingen. Ik weet het dus van een paar die zich kwamen melden (en die heb ik verder normaal te woord gestaan). Uiteindelijk is het effect dat mensen er iets alerter op zijn geworden, tegelijk kreeg ik afgelopen vrijdag alweer een sloot mailtjes van m'n virusscanner die een of andere trojan uit een mailbijlage had geblokkeerd :X
Cerberus_tm
@anboni22 maart 2015 15:46
Maar hoe wisten die mensen die zich kwamen melden dan dat ze erin geluisd waren? Dat werd ze verteld op die neppagina? Het is toch gemakkelijker om het snel weer te vergeten...
En het openen van exe-bestanden lijkt mij ook belangrijk om op te testen, naast neppagina's.
Jael_Jablabla
20 maart 2015 20:13
Beveiliging zit voor een deel in de apparatuur en voor een deel in de gebruiker. Met de bestbeveiligde computers ter wereld kun je niet voorkomen dat de computer van "de gemiddelde ambtenaar" besmet raakt. Bijvoorbeeld, als die ambtenaar ervoor kiest om zijn wachtwoorden op een geel memoblaadje te plakken op zijn scherm, dan heeft de bestbeveiligde computer weinig nut meer.

Dat is de mening van een techneut. Vertel deze mening aan een ambtenaar en je hebt gelijk bonje. Vertel deze mening aan de ambtenaren in Den Haag en je wordt vierkant uitgelachen. Immers, meer technologie = meer vooruitgang. Met meer technologie kun je alle computers beveiligen (volgens de ambtenaren in Den Haag).
HooksForFeet
@Jael_Jablabla21 maart 2015 08:14
Beveiliging zit voor een deel in de apparatuur en voor een deel in de gebruiker. Met de bestbeveiligde computers ter wereld kun je niet voorkomen dat de computer van "de gemiddelde ambtenaar" besmet raakt. Bijvoorbeeld, als die ambtenaar ervoor kiest om zijn wachtwoorden op een geel memoblaadje te plakken op zijn scherm, dan heeft de bestbeveiligde computer weinig nut meer.
Als hij het op dat gele blaadje heeft geschreven omdat het wachtwoord te sterk is om te onthouden dan heeft het misschien juist meer nut dan een wachtwoord dat die ambtenaar wel kan onthouden en dus niet op hoeft te schrijven. De kans dat iemand fysiek inbreekt en dat gele blaadje leest is immers vele malen kleiner dan de kans dat iemand op afstand inbreekt, dat gele blaadje helemaal niet kan lezen, en het van zwakke wachtwoorden moet hebben.
Jael_Jablabla
@HooksForFeet23 maart 2015 00:57
[...]Als hij het op dat gele blaadje heeft geschreven omdat het wachtwoord te sterk is om te onthouden dan heeft het misschien juist meer nut dan een wachtwoord dat die ambtenaar wel kan onthouden en dus niet op hoeft te schrijven. De kans dat iemand fysiek inbreekt en dat gele blaadje leest is immers vele malen kleiner dan de kans dat iemand op afstand inbreekt, dat gele blaadje helemaal niet kan lezen, en het van zwakke wachtwoorden moet hebben.
Okay, in dat specifieke geval heb jij inderdaad gelijk.
Dat betekent dat je de strekking van mijn verhaal niet begrijpt.
Het was niet mijn bedoeling om te zeggen "er is een zeer groot gevaar wanneer een ambtenaar een geel blaadje met zijn wachtwoord op het beeldscherm plakt". De strekking van mijn verhaal was meer zo van "Een leek die uit gewoonte bij het minste geringste voor gemak kiest vormt een beveiligingsgevaar." (Leek = iemand die geen weet heeft van beveiliging in de IT). Een voorbeeld daarvan is, zoals eerder gezegd, een leek die zijn wachtwoord op zijn scherm plakt. Een ander voorbeeld is een leek die als wachtwoord kiest "1234". Nog weer een ander voorbeeld is iemand die uit gemak zijn wachtwoorden doorstuurt naar al zijn e-mailadressen zodat hij ze niet kwijt kan raken. Etc etc etc. Dat zijn al 3 voorbeelden en zo kan ik nog wel even doorgaan. Daarom heb ik het alleen bij 1 voorbeeld gehouden, anders wordt het zo'n lang epistel. Als ik mijn laatste post helemaal wetenschappelijk correct had geschreven met oneindig aantal voorbeelden, dan was ik nu nog bezig met schrijven.
HoppyF
20 maart 2015 18:16
De vraag is hoe de malware de antivirus software heeft weten te omzeilen.
Gaat dat zo gemakkelijk?
Verder zal het een kwestie zijn van backups terugzetten.
Standaard image erop plus gebruikers software en instellingen.
Jism
@HoppyF20 maart 2015 18:24
Antivirus werkt op basis van een hash, kenmerk of andere manier van detectie. Als die malware met een nieuwe 'schil' is geschreven dan is de kans op detectie heel erg klein. Dat is namelijk de pest van bijv antivirus van microsoft, die alleen met kenmerken werkt ipv daadwerkelijk controleren wat software probeert te doen.

Ik snap niet dat de overheid niet investeert in een AA+ pakket zoals Trend micro. Kost wat aan licenties, maar de schade blijft enorm beperkt in dit soort gevallen, ook als iemand per ongeluk toch een attachment opent.

Wel typisch weer... overheid en ICT.
marcelvb
@Jism20 maart 2015 19:28
Grappig dat vertrouwen dat mensen hebben in virusscanners. Het zijn en blijven lapmiddelen.

Als alle bedrijven die virusscanners maken nu eens hun tijd zouden besteden aan het zoeken en fixen van fouten in de lekke software die het mogelijk maakt dat dit soort malware kan bestaan, dan waren we allemaal beter af.

Tegen gebruikers die random executables van internet runnen is natuurlijk niks te doen.
Luno
@marcelvb20 maart 2015 21:35
Nou Microsoft zou die optie om bekende bestandsextensies te verbergen moeten verwijderen. Zodat tenminste ziet dat factuur.pdf.exe een exe is en je niet denkt te zien dat het factuur.pdf is. .
ninjazx9r98
@Luno21 maart 2015 08:59
Voegt weinig tot niets toe aangezien de gemiddelde gebruiker geen flauw idee heeft wat een exe, pdf of wat dan ook is. Mensen kijken naar het icoontje en/of lezen de tekst en klikken. Het zijn echt geen tweakers die eerst gaan kijken wat voor bestand het nu daadwerkelijk is.
Perkele88
@marcelvb20 maart 2015 22:28
Precies, AV ontwikkelaars lopen achter de feiten aan.. Maar maak dat een gemiddelde kantoor gebruiker maar eens wijs. Die virussen worden pas gefilterd op basis van eerdere infecties. En zeer kleine aanpassingen zorgen er al voor dat infecties niet meer zichtbaar zijn voor de AV.
anboni
@Jism20 maart 2015 18:42
Ook "AA+" pakketten (whatever that may be) houden lang niet alles tegen. Zeker als malware net uit is, is de kans dat ze 'm herkennen niet altijd even groot. Voor goede bescherming heb je op verschillende plekken virusscanners nodig, een die inkomend internet verkeer scant, een die de werkplekken beschermt en een die netwerkshares beschermt. Bij voorkeur steeds van een andere leverancier.
Wel typisch weer... overheid en ICT.
Dat je het niet in het nieuws hoort, wil niet zeggen dat het ook niet gebeurt bij bedrijven natuurlijk. Ik weet absoluut zeker dat er ook zat bedrijven zijn die door dit soort dingen worden getroffen.
Jism
@anboni20 maart 2015 18:54
"In the latest malware detection test by AV-Comparatives, Trend Micro rated Advanced+, the highest rating."

Het is een tijdje door hotmail gebruikt zelfs, ik heb in geen jaren gezeik gehad op mijn computer of via email ofzo. Ik ga er vanuit eigen ervaring dan ook uit dat een PC met trend micro het veel beter doet dan bijv gratis antivirus software wat constant omzeild wordt of zelfs uitgeschakeld is.

@Soldaatje 2 posts hieronder, dat is nu het verschil tussen gratis en betaald. Gratis scant puur op kenmerken ipv wat een bestand daadwerkelijk doet bij uitvoeren. Weet je het kenmerk te wijzigen? Dan omzeil je zo het antivirus.

[Reactie gewijzigd door Jism op 20 maart 2015 18:56]

EdwinW
@Jism20 maart 2015 19:10
Ik snap niet dat de overheid niet investeert in een AA+ pakket zoals Trend micro. Kost wat aan licenties, maar de schade blijft enorm beperkt in dit soort gevallen, ook als iemand per ongeluk toch een attachment opent.
Er worden veelal meerdere niveaus van beveiliging toegepast met verschillende producten. Nadeel van malware is dat de signature dagelijks wijzigt waardoor de anti-virusproducten deze vernieuwde versies niet herkennen.
Wel typisch weer... overheid en ICT.
Dat je bij bedrijven niets hoort, wil niet zeggen dat ze gevrijwaard blijven van dergelijke ransomware. Vaak wordt uit een vorm van schaamte geen mededelingen naar buiten gedaan.
jayjay1990
@EdwinW20 maart 2015 19:33
Dat het voor bedrijven niet in het openbaar komt is logisch ook omdat het niet direct nieuws is als bedrijf X uit A last heeft van randsomware. Voor de grap moet je in dezehttp://www.reddit.com/r/sysadmin reddit even zoeken op cryptolocker. Voorbeelden genoeg van systeembeheerders die er last van hadden/hebben.
LopendeVogel
@Jism20 maart 2015 18:45
Sommige instanties van de overheid gebruikt Sophos (complete sets dus niet alleen antivirus)
Zie:
https://www.sophos.com/en-us.aspx en die zijn toch wel goed te noemen hoor, ik denk wel een stukje beter en uitgebreider dan Trend Micro ;)

[Reactie gewijzigd door LopendeVogel op 20 maart 2015 18:47]

Acidrain
@Jism20 maart 2015 19:30
Nadat ik afgelopen maandag nacht ruim 40000 document kon gaan restoren uit volume shadow copy (thank God for that option) kan ik je verzekeren dat Trend Micro verre van heilig is... Die heeft tot nu toe nog steeds niets kunnen vinden..
Perkele88
@Acidrain20 maart 2015 22:29
Same story here..
Rolfie
@Jism20 maart 2015 19:45
TrendMicro, Symantec, Mcafee allemaal AA+ merken, en toch detecteren ze niet alles.
Waarbij ze altijd achter alles aan lopen. Je kan nu helaas niet alles detecteren.
Dysmael
@Jism20 maart 2015 20:31
Trend Micro is een voorbeeld van slechte anti-virus software. Je opmerking over signature-detection is wel valide. Daarom moet je heden ten dage andere middelen inzetten die een hogere mate van heuristic scanning doen en kijken naar oplossingen zoals die van First Line waarbij code in een sandbox wordt uitgevoerd en geanalyseerd.

T.a.v. malware die via e-mail wordt verspreidt kan anti-spam zoals die van Cyren (voorheen Commtouch) ook helpen want die kunnen uitbraak van malware ook al in een vroeg stadium detecteren, al voordat traditionele anti-virus dit op zal vallen.

Mijn ervaring is dat je met traditionele anti-virus vrijwel altijd achter de feiten aanloopt.
Vele malen belangrijker en effectiever is een goed beleid, geen overbodige rechten en up-to-date software.
Soldaatje
@HoppyF20 maart 2015 18:25
Wikipedia:
Some new viruses, particularly ransomware, use polymorphic code to avoid detection by virus scanners. Jerome Segura, a security analyst with ParetoLogic, explained:[118]
“ It's something that they miss a lot of the time because this type of [ransomware virus] comes from sites that use a polymorphism, which means they basically randomize the file they send you and it gets by well-known antivirus products very easily. I've seen people firsthand getting infected, having all the pop-ups and yet they have antivirus software running and it's not detecting anything. It actually can be pretty hard to get rid of, as well, and you're never really sure if it's really gone. When we see something like that usually we advise to reinstall the operating system or reinstall backups.
https://en.wikipedia.org/...us_software#Effectiveness
NotLikeTheOther
@HoppyF20 maart 2015 19:14
Als je niet weet waar het gat zit kan je het niet dichten ;)
HetGezegde
@NotLikeTheOther20 maart 2015 19:24
Het "gat" zit m onder andere tussen de bureaustoel en het toetsenbord.
Mensen intern opleiden of een korte cursus geven kan ook geen kwaad.
stresstak
@HetGezegde20 maart 2015 20:52
Mensen intern opleiden of een korte cursus geven kan ook geen kwaad.
Dat is preventief en oke. Maar wat doen we met de dader ? De ambtenaar in kwestie degraderen, amputeren of executeren ?
HetGezegde
@stresstak20 maart 2015 23:02
degraderen, amputeren of executeren ?
Dat lijkt mij de juiste volgorde
Teijgetje
@HetGezegde21 maart 2015 12:37
Ik denk dat je na twee waarschuwingen vingerkootjes echt wel op gaat letten waarmee waarop je klikt. :+
caipirinha
@BitsThatByte.nl20 maart 2015 19:47
Nou dan ken jij de overheid dus niet, backups zijn over het algemeen erg goed geregeld en op meerdere fysieke plekken opgeslagen.
Waar het wel eens misgaat is de ingehuurde ICT, die zijn vaak slordig,, niet resultaatgericht en vertonen weinig betrokkenheid.
Daar komt dat overheid en ICT fabeltje vandaan.
freaq
20 maart 2015 18:10
hopen dat de IT klaar was voor dit soort dingen en een goede backup klaar heeft staan, betalen is natuurlijk geen optie, gezien er geen garantie is dat je de data terugkrijgt,
en je de mensen beloont en dus meer van dit soort dingen uit gaat lokken.

Lochem was een goed voorbeeld hopelijk volgt rijkswaterstaat.
Anoniem: 16328
20 maart 2015 18:15
Iemand heeft vast een .exe bestandje in zijn mail geopend. Lekker makkelijk en je hele netwerk is besmet. Dezelfde grap is uitgehaald bij de gemeente Den Haag: nieuws: Gemeente Den Haag getroffen door TorrentLocker-malware
immetjes
20 maart 2015 19:48
Op alle PC's op mijn werk draait RES manager op W7. Executables -anders dan de goed gekeurde- zijn niet te starten (ook putty niet dus :'( ).

Waarom draait Rijkswaterstaat niet zoiets?

Trojans die met VBA-scripts in XLSX attachments mee komen zijn wel een probleem trouwens.

[Reactie gewijzigd door immetjes op 20 maart 2015 19:52]

Zenomyscus
20 maart 2015 18:31
De gevolgen van dit soort besmettingen (file loss) kun je tegengaan wanneer je als instantie je belangrijke bestanden zou synchronizeren / automatisch backuppen, of zie ik dat verkeerd? Om makkelijk te zeggen een dienst als Dropbox, OneDrive of misschien wel Assembla zou de gevolgen ongedaan kunnen maken. Na al deze berichten ben ik er meer op gaan letten en vrees ik dat ik persoonlijk of op mijn werk ook getroffen kan worden en neem daarom graag voorzorgsmaatregelen. Ik ben steeds meer in een SVN gaat zetten minder belangrijke dingen op OneDrive. ik moet er niet aan denken om alles kwijt te raken. Kun je nagaan als je als overheid alles kwijt zou zijn. Maar ondertussen heeft er wel een besmetting plaatsgevonden, wat de laatste tijd vaak gebeurd. Hoe kan zoiets niet opgevat worden na al die tijd?
anboni
@Zenomyscus20 maart 2015 18:57
Ieder bedrijf wat zichzelf serieus neemt, maakt dagelijks backups van alle relevante bestanden. Daarnaast zijn er vaak nog systemen in gebruik als snapshotting, die periodiek alle bestanden 'vast zetten' zodat je een paar uur later in geval van nood terug kunt vallen op een vorige versie. Cloudoplossing zijn wellicht een modern alternatief, maar beveiligen tegen dit soort dingen is iets wat al sinds het begin van grootschalig computergebruik essentieel is en dus ook gebeurt.
Perkele88
@Zenomyscus20 maart 2015 22:22
Hier ga je wel de fout in.. Syncen is een wezenlijk verschil met backuppen. Als je een virus op je machine krijgt die alle bestanden gaat wijzigen dan denkt dropbox, onedrive of google drive oh veranderingen, hup syncen naar de cloud die changes. Wil je die changes ongedaan maken dan moet je dit (aanname) per file doen? Succes met een paar honderd bestanden. Tegen de tijd dat je die sync stop zet omdat je de infectie hebt opgemerkt ben je al te laat. Kortom, ook van "cloud" files moet je een Backup maken naar een locatie die niet zomaar toegankelijk is ..
Titan_Fox
20 maart 2015 18:29
Zou me niet verbazen als ze nog gebruik maken van Windows XP met een extra servicecontract voor updates ...
anboni
@Titan_Fox20 maart 2015 18:45
Onzin natuurlijk, windows 7 en 8 zijn net zo goed vatbaar voor dit soort malware.
stresstak
@anboni20 maart 2015 20:54
Onzin natuurlijk, windows 7 en 8 zijn net zo goed vatbaar voor dit soort malware.
Maar er zijn vele miljoenen uitgegeven om met xp te kunnen blijven werken dus dat voorbeeld is geldig voor onze overheden.
m_snel
20 maart 2015 18:36
Gewoon applocker aanzetten :)
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee