Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 108 reacties

FBI Boston adviseert Amerikaanse bedrijven die slachtoffer zijn geworden van ransomware zoals Cryptolocker regelmatig om het gevraagde losgeld te betalen. Pogingen van de afdeling om de encryptie van de data te omzeilen zouden op niets zijn uitgelopen.

FBIJoseph Bonavolonta, van FBI Boston, maakte dit bekend tijdens de Cyber Security Summit 2015. "De makkelijkste oplossing is om gewoon het losgeld te betalen", geeft hij toe. In juni publiceerde de FBI een bericht waarin het stelde dat CryptoWall in de VS de meestvoorkomende ransomware is. Tussen april 2014 en juni 2015 ontving het bureau 992 klachten met betrekking tot CryptoWall, die samen goed waren voor een verlies van 18 miljoen dollar.

Destijds adviseerde de FBI slachtoffers van ransomware om contact op te nemen met het lokale FBI-kantoor. Tijdens de Cyber Security Summit herhaalde Bonavolonta dat advies, maar hij waarschuwt ook dat de kans aanwezig is dat de FBI niet in staat is om de gegijzelde data terug te halen.

Omdat ransomware zo succesvol is, zouden de makers minder geneigd zijn om enorme bedragen te vragen. Slachtoffers zijn waarschijnlijker makkelijk over te halen om een relatief klein bedrag neer te tellen. Volgens Bonavolonta zijn de criminelen ook 'betrouwbaar', gezien ze de toegang tot de bestanden ook daadwerkelijk teruggeven na betaling. Zijn uitlatingen staan haaks op de mening van de Nederlandse politie: die adviseert met klem om niet te betalen. "Volledige ontsleuteling vindt meestal niet plaats en door te betalen worden juist nieuwe aanvallen uitgelokt", aldus de politie over ransomware.

De FBI is nog altijd op zoek naar de Rus Evgeniy Mikhailovich Bogachev. Hij wordt gezien als het brein achter het Cryptolocker-botnet. Voor informatie die tot zijn arrestatie kan leiden looft het bureau 3 miljoen dollar uit.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (108)

"De makkelijkste oplossing is om gewoon het losgeld te betalen",
Ehm, is dat niet wat kort door de bocht? Het lijkt mij een stuk makkelijker om het besmette werkstation te isoleren, de encrypted data te verwijderen, en deze terug te halen uit de backup?

Lijkt me niet wenselijk om te gaan betalen, dan stimuleer je het ontwikkelen van dit soort troep alleen maar. Criminaliteit wordt op die manier nog lonend...
Vaak zijn er blijkbaar geen backups beschikbaar. Anders hoef je zoals je terecht zegt niet te betalen.
Als je geen backups hebt van bedrijfskritische data dan is er een groter probleem dan enkel de infectie ;)
Je moest eens weten hoeveel MKBers hun back-up niet op orde hebben. De meeste hebben het idee van "Dat gebeurd mij niet" of ze maken half bakken back-ups.

Het is inderdaad een zeer ernstige situatie.
200% akkoord met uw stelling. Cryptolocker en derivaten zijn momenteel één van de grootste actuele risico's voor een IT Infrastructuur.

[Reactie gewijzigd door FilipV. op 23 oktober 2015 16:54]

idd vaak staat het op een losse hdd of alleen maar op 1 site. En dat terwijl je met 2 synology NASsen redelijk goedkoop af kan zijn.
of je backup is van encrypted data, terug zetten helpt dan niet veel
Storagecraft valideerd een Back-up hierop. Echter een Back-up is niet genoeg. Wij doen backups onsite off site en offline backups van belangrijke data.
Is een goede beveiliging tegen ransomware aanvallen dan niet een badge op je site 'Wij hebben goede offline backups', net zoals een sticker op de voordeur dat er een alarmsysteem is tegen inbrekers?
Helaas is de verspreiding van cryptoware niet heel gericht dus je zult vroeg of laat een mailtje of malvertisement krijgen welke crypotware probeert te droppen. Het is aan willekeur overgelaten.
Of (in het MKB vaak) zijn er wel back-ups van de servers, alleen de meest recente/belangrijke data staat vaak gewoon op de desktop. En als je dan geen redirected folders hebt...
Sorry, maar als je een goede infra hebt, dan staat bedrijfs kritische data helemaal niet op je desktop. En zorg je er voor dat gebruikers vanuit huis of onderweg netjes VPNen of DirectAccess gebruiken. waar ze verder met hun bestanden kunne werken. Verder werken ze gewoon of vanaf een DMS systeem zoals SharePoint e.d. of vanuit shared folders.. Waarbij shared folders altijd een fallback hebben.. Zoals een snapshot functie die elk uur gemaakt wordt.. of bij een comit van een file. .

MKBers zijn voornamelijk slachtoffer gezien die geen duur systeem kunnen betalen of huren.. Of de kennis hebben om een goedkope variant te gebruiken... Die zullen dus wel goed ingelicht moeten worden door o.a. verzekeringen en/of KvK...

[Reactie gewijzigd door To_Tall op 25 oktober 2015 00:14]

Sorry, maar als je een goede infra hebt, dan staat bedrijfs kritische data helemaal niet op je desktop.
Absoluut mee eens, maar in de praktijk is het vaak anders. Soms vanwege kennis gebrek bij de (heel kleine +- 3-4 uitvoerende) MSP's. Soms omdat de klant niet wil (betalen). En andere legio redenen.
Enige wat je kunt doen is kennis bijspijkeren of huren, en de klant overtuigen.
Of de data van de backup is ook al ge-encrypt.
Klopt, maar 't is minder fijn als blijkt dat het device en vooral de user op dat device schrijf rechten heeft tot meerdere FileShares. Dan is de impact tigmaal groter dan louter de backup van dat device. Vorig jaar meegemaakt. "Euhm ja kan je even x aantal Tb restoren... ." Want persoon x met niet nader genoemde functie heeft per abuis die attachment geopend waarvan we net hadden doorgestuurd dat je daar ZEKER NIET op mocht clicken en bij voorkeur de bewuste email moest deleten. De collega's die de mailserver beheren hadden nog niet de kans gehad om de bewuste geinfecteerde mails te verwijderen.

Voor iemand begint ja maar je moet je AV en etc... onderhouden. Dit was een zero-day infectie.

Tot op de dag van vandaag likt men nog de wonden van dat incident.
Daarom is een backup ook niet de enige oplossing. In mijn eigen situatie met een ZFS NAS heb ik offsite backups, onsite backups én snapshots van al mijn belangrijke data. Alle drie zijn readonly. Het voordeel van ZFS is dat een filesystem readonly kan zijn terwijl ZFS zelf de data op blocklevel niveau wel kan veranderen. Daar heeft een virus echter niks aan, want die ziet op de clients alleen een share met schrijfrechten zonder te weten wat het bronsysteem draait. De enige bestanden die een virus in mijn geval kán encrypten zijn de live bestanden. Alles in mijn backups of in mijn snapshots zijn veilig. Of een virus moet rootrechten zien te krijgen tot mijn NAS.

[Reactie gewijzigd door CurlyMo op 23 oktober 2015 20:23]

Dat is idd een goede aanpak. Daarnaast is het ook belangrijk om user side de zaken grondiger aan te pakken. Het mag eigenlijk voor een gewone user niet mogelijk zijn dat dergelijke applicatie zichzelf automatisch installeert en start.

Daarnaast zijn er nu ook producten die dergelijke encryptie patronen kunnen detecteren en zodoende ook tijdig ingrijpen. Maar daar hangt dan weer een prijskaartje aan vast.

[Reactie gewijzigd door FilipV. op 23 oktober 2015 16:54]

Het probleem is dat zolang een user ìets mag uitvoeren en schrijfrechten op en dergelijk netwerkpath heeft, dit al mogelijk is. Geen adminrechten voor nodig, helaas. En helemaal dichttimmeren is veelal geen optie als er nog iets van productiviteit over moet blijven (functieafhankelijk, maar niet zeldzaam ;) )
sterker nog.. als jij gewoon dom weg een word doc, PDF of JPeG files opent kan je machine al geïnfecteerd raken. Zonder dat je EXE rechten heb op unkown files..

ZO is bij ons ooit volledige Shares leeg geraakt.. Gelukkig snapshot terug kunnen zetten nadat de betreffende machine uit het netwerk was..
Macro's zijn nare, nare dingen :+ En het rottige is inderdaad dat als een user macro's nodig heeft, er vzviw niet echt een reëel haalbare methode is om bepaalde macros wel of niet te vertrouwen (interne vs externe documenten e.d.) aangezien de informatie daartoe gewoon ontbreekt. Inderdaad een vervelend zwak puntje.

Nu kun je gelukkig wel instellen dat er iedere keer gevraagd dient te worden of een macro uitgevoerd mag worden, maar dan zit je weer met de gebruiker als de zwakste schakel.
Een paar TB is toch ook niets. Storage kost helemaal niets en een paar honderd TB kun je anders ook wel in de cloud opslaan met de benodigde encryptie.
Zoek voor de gein eens op "Cloud data egress cost". Doe even een rekensommetje voor 100TB. Maak ook even een bandbreedte/tijd berekening voor die 100TB.

Bij Azure kost het teruglezen van de eerste 100TB ongeveer ¤0.07 per GB (Bron: https://azure.microsoft.c...g/details/data-transfers/) . Die 100TB van jou kost dan ~7000 Euro om terug te lezen. Het duurt ook even voor je die 100TB data over het lijntje terug hebt, en met een beetje pech ben je een dag werk kwijt. Dus dan wordt het een stuk aantrekkelijker om 5000 Euro randsom te betalen.
De offsite backup is dan ook voor brand en braad e.d. Voor dit soort gevallen heb je de on-site backup. Als je het goed heb geregeld niet meer dan het terugrollen naar de laatste niet aangetaste snapshot.

En als je over die data hoeveelheden of meer spreekt, dan zet je er een ZFS backup systeem naast met een infiniband verbinding. Paar uur later ben je weer online.

[Reactie gewijzigd door Omega Supreme op 23 oktober 2015 17:21]

Om je te wapen tegen ransomware kan je ook zeer goed snapshot technologie inzetten. Op een beetje redelijk Storage systeem maak je gewoon ieder half uur een snapshot. Dan is het productie verlies goed te overzien.
Indien dit nog te veel is kan je ook vaker snapshots maken.

Restore van vele TB's binnen een zeer korte tijd.
Wel rekening houden met de impact van de snapshots op de performance.

Ransomware is net als ieder security issue, je moet een "voor", "tijdens" en "er na" strategie hebben. Iedere fase vereist een andere aanpak en bijbehorende tools.
Wat ik me afvraag he, ik maak regelmatig backups naar mn NAS. (gaat gewoon over thuisgebruik) Maar volgens mij ben ik dan nog niet beschermd tegen een dergelijke aanval. Om de backups te maken moet ik rechten hebben om te kunnen schrijven op mijn NAS. Vervolgens kan de Ransomware ook mijn backups versleutelen right? Is dit dan echt enkel af te vangen door backups te maken op een extern device en dat fysiek te unpluggen?
Een NAS gebaseerd op ZFS beschermt je zeer goed tegen dergelijke aanvallen:
https://www.ixsystems.com/whats-new/defeating-cryptolocker/
Shite, en dat terwijl ik tot vorige week aan het twijfelen of ik een ZFS nas ging bouwen of dat ik mn huidige Synology uit ging breiden. Ik had net besloten dat ik dit weekend uitbreiding ging kopen voor mijn 1511+. Dit is wel weer een nieuwe overweging waard.
Als je de bestanden bewaard op je synology, dan kan je op de synology snapshots maken.
Als de synology een snapshot maakt, dan kan een gebruiker deze wel lezen, maar niet modificeren. Een virus kan er dan ook niets mee.
By synology echter wel goed de updates bijhouden. Er zijn oudere versies van het synology besturingssysteem die extreem vatbaar zijn voor cryptolockers. (dan moet de synology wel aan het internet hangen)
Of doe je backup met rsync op de volgende manier: Incrementeel en met snapshots:

http://www.mikerubel.org/computers/rsync_snapshots/
Je bent inderdaad nog niet beschermd tegen zo'n aanval, je backup worden ook versleuteld. Sowieso zou je eigenlijk een backup op een andere locatie moeten hebben.
Oplossing:
Maak op je NAS een extra gebruiker aan (NAS_backup oid). Geef die een goed wachtwoord, en geef die als enige schrijfrechten op je backup-share. Dan in je back-up programma aangeven dat er andere inloggegevens (meestal credentials genoemd) gebruikt moeten worden, en geef de gebruikersnaam (incl. domein, dus NAS\NAS_backup op) en wachtwoord op.

Dit is volgens mij een redelijk veilig methode, tenzij iemand hier wat op tegen heeft(?).
Snapshot (op ZFS) is wat anders dan een backup, deze worden nooit overschreven en kan je altijd weer naar teruggrijpen naar vorige snapshots. Het maken van een snapshot kost ook geen seconde, maakt niet uit hoe groot de dataset is. Nieuwe wijzigingen wordt als nieuwe versie weggeschreven, waarbij alle data ten tijde van het snapshot onaangetast blijft. Door een goed snapshot regime kan je teruggrijpen naar vorige versies van bestanden van eerder die dag, week, maand of langer geleden. Is dus niet alleen handig tegen ransomware.
Zoek voor de gein eens op "Cloud data egress cost". Doe even een rekensommetje voor 100TB. Maak ook even een bandbreedte/tijd berekening voor die 100TB.

Bij Azure kost het teruglezen van de eerste 100TB ongeveer ¤0.07 per GB (Bron: https://azure.microsoft.c...g/details/data-transfers/) . Die 100TB van jou kost dan ~7000 Euro om terug te lezen. Het duurt ook even voor je die 100TB data over het lijntje terug hebt, en met een beetje pech ben je een dag werk kwijt. Dus dan wordt het een stuk aantrekkelijker om 5000 Euro randsom te betalen.
Als je het ransom betaalt heb je altijd het risico dat de ransomware gewoon "Lekker puh!" zegt, je gegevens *niet* decrypt en je je geld gewoon kwijt bent.
Dat doen ze niet, om de doodsimpele reden dat dat funest zou zijn voor hun 'business model'. Als ze jouw data niet unlocken dan zal iedereen die dat hoort de volgende keer de keuze maken om toch die dure backup terug te halen in plaats van te betalen.

In de praktijk zijn de afpersers op dit vlak erg betrouwbaar gebleken.
Niet iedere sector mag zomaar om het even welk soort data in de cloud duwen... . ;)

En niet ieder bedrijf heeft een brandspanking new storage oplossing draaien die zomaar even de FileServer op een uurtje restored.

[Reactie gewijzigd door FilipV. op 23 oktober 2015 16:31]

Dat klinkt heel eenvoudig maar is een stuk moeilijker dan je denkt in vele bedrijven. Bij ons moeten we documenten die we belangrijk genoeg achten zelf, handmatig, op een fileserver zetten. Al de rest word niet gebackupped. Ik vloek daar op, zou ook veel liever zien dat op elke PC standaard je 'documents' folder naar het netwerk gaat.

Het word zelfs erger. Heel onze site (waar toch enkele honderden mensen op een PC werken) moet het doen met een gedeelde folder met een quota van 250GB. Wat een verbetering is van de 180GB die we tot enkele maanden terug tot onze beschikking hadden (en die al jaren bomvol stond vaak met oude, irrelevante meuk).
Ja disk ruimte is duur.. Al beweren mensen anders hier...

voor elke MB heb je er 3 nodig..
je data wordt dan verspreid over meerder schijven.. Das redelijk veilig bij het uitvallen van een schijf.. of meerdere...

Dan moet je daar ook nog back-ups van maken.. Dus voor 1 MB opslag kan je zo 5 tot zelfs 10 MB nodig hebben... ga maar na met Gb of zelfs TBtjes :+
Niet alles mag zomaar de cloud in, daar is wetgeving voor. Een datacenter zal de benodigde ISO normeringen moeten hebben.
Incident? Dat lijkt mij een behoorlijk probleem ;)

[Reactie gewijzigd door dezwarteziel op 23 oktober 2015 18:08]

Als het 1 keer voorkomt is het een incident. Als het heel vaak voorkomt een probleem.
Probleem ? Er zijn geen problemen alleen maar uitdagingen ;)
Klopt ik heb zoiets ook al gezien bij een afdeling gebruikers, en je krijgt er pas lucht van, nadat ze al een paar dagen die files niet hebben kunnen openen.
Antivirus is helaas tegenwoordig bijna nutteloos want dit soort malware welke grote schade aan kan richten wordt meestal te laat herkend door de AV. Het beschermt alleen tegen laaghangend fruit. Oké het is nog steeds niet aan te raden om zonder AV te werken in een bedrijfsomgeving, maar het beschermt dus niet tot amper tegen cryptoware. En helaas zijn er nog genoeg "experts" die denken dat een AV-product ze zal beschermen en dat daarom geen extra maatregelen nodig zijn.
Dat eerste lijkt me sowieso de beste oplossing ja. Echter denk ik dat je enorm schrikt hoeveel bedrijven de back-up niet in orde hebben.

Dan is betalen of je data kwijt de enige oplossing.

[Reactie gewijzigd door garriej op 23 oktober 2015 16:34]

Wat op zich zorgelijk is.

En zo moeilijk is het niet, als particulier backup ik mijn PCs naar een FreeNAS server. Deze FreeNAS server maakt maandelijks, wekelijks en iedere 2 uur een snapshot. Daarnaast wordt de wekelijkse snapshot gebackupt naar een Synology NAS. Ik ben mijn bestanden pas kwijt als ze van drie besturingssystemen de beveiliging weten te omzeilen.

En dat is voor mijn privé data! Als ik dat kan, kan een bedrijf het ook.
Probleem bij veel bedrijven (en consumenten idem) is dat het eerst een keer fout moet gaan voor het een prioriteit en budget krijgt.

Voor een IT bedrijf is dit makkelijk, maar Harrie de champignon kweker vind dat niet zo interessant.
Dat is waar, is mij ook overkomen met een harddisk crash.

Ik heb een aantal fotos nu niet meer digitaal. Gelukkig liet ik ze toen nog afdrukken. Ik bewaar die goed en heb ze zo goed mogelijk ingescanned. Heeft me toen wel geld voor een goede scanner gekost.
Ik had vroeger een doos met foto's die door waterschade verloren is gegaan. Het beste is om de gegevens on en off site redundant op te slaan i.c.m de cloud. Zoveel foto's heb je waarschijnlijk ook niet, want dan is inscannen een hels karwij.
Op de schijf stonden ca 100 fotos waar ik geen backup van had. Als het om al mijn fotos ging hadden we het over duizenden. Daarom heb ik nu ook zo'n uitgebreide backup opgezet! Buiten dat ik de meesten niet meer afdruk en dus niet kan scannen, wil je die klus niet doen als het al kon ;-)
En hoe wordt het backup overgedragen naar de server? Kans bestaat ook dat hij de NAS pakt, en deze ook encrypt.
De Backup van mijn lokale docuemtnen naar de server gaat via rsync/SSH, er is geen drive gemount! Van dit backup volume worden ook snapshots gemaakt.
Daarnaast heb ik ook nog een map op de FreeNAS op een drive letter gemount. Hier staan geen belangrijke bestanden op en deze wordt dus alleen maar gesnapshot en naar de Synology gebackuped. (en staat 'slechts' op twee locaties.

De snapshot zorgen ervoor dat zelfs als de bestanden op de NAS onopgemerkt overschreven worden, de unencrypted bestanden er nog zijn.

Tenslotte wordt de FreeNAS server met rsync incrementeel gebackupped naar de Synology.

De kans dat de encrypty al mijn backups treft is nihil (tenzij iemand besluit mij specifiek te targetten en daar de resources voor heeft)
Tuurlijk is dat zorgelijk. Als je jaren aan data/offertes/afspraken/bedrijfprocessen kwijt bent, dan kun je de tent wel sluiten. Een back-up is daarom enorm belangrijk. En een bedrijf zonder goede back-up loopt gewoon keihard achter de feiten aan, er is dan ook helemaal geen excuus voor.

Persoonlijk heb ik eigenlijk niet echt een back-up, echt belangrijke bestanden heb ik dan ook niet privé. Vakantie foto's(etc.) staan dan wel op drie locaties(Laptop, PC en een Externe harddisk). Maar verder heb ik niet bestanden dat ik denk "die moet ik echt in de back-up hebben".
Bestanden staan op een NAS, met raid 6, dus zelfs 2 schijven naar de klote werkt het nog.
parallel backup naar de cloud, bij MS eenvoudig boven de 1 TB zonder meerprijs.
Ouder server met wat hdd's die continue een backup maken van de NAS, waarbij gewiste bestanden op de NAS niet op de backup server gewist worden, idem met gewijzigde bestanden, op de back-upserver blijven de oude versies ook staan.

Bij een backup moet je natuurlijk van meerdere locaties uitgaan.
Bij een brand kan alles in het gebouw vernietigd worden, dus cloud offsite is een goede oplossing naar lokaal op 2 aparte computers / nas en computer.
Offsite is inderdaad belangrijk. Op dit moment heb ik de belangrijkste data ook in de cloud staan, omdat de synology wegens omstandigheden even niet offsite staat.

- internet connectie problemen :(
Of iemand als Alan Turing inhuren.
Mooie film wat hij gedaan heeft met de Enigma; The Imitation Game.
Zelfs Alan Turing zou je niet kunnen helpen om AES-256 te kraken.

De reden dat de Enigma gekraakt kon worden was een combinatie van het werk dat de Poolse geheime dienst al vóór de oorlog had gedaan (de commerciële versie van Enigma kraken; de militaire Enigma was een verbetering van dat apparaat), ontwerpfouten in de crypto (voornamelijk de reflector) en het gebruik van véél betere apparatuur (kort door de bocht: brute-forcen met "de eerste computer") dan waar de ontwerpers rekening mee hadden gehouden (brute-forcen met pen-en-papier).

Er is in de academische wereld heel veel onderzoek gedaan naar AES en hoewel er af en toe wel vorderingen worden gemaakt, zijn er (bij mijn beste weten) nog geen grote problemen gevonden en ook geen "voorlopers" volledig gekraakt. Hoe het zit met quantum computers weet ik niet precies 1), maar dat lijkt de enige manier om nog een "gigantische sprong in efficiëntie" te maken (en dat schiet tot op heden ook van geen kanten op).

1) Quantum computers zijn absurd snel bij het oplossen van zeer specifieke problemen, maar niet vooruit te branden bij het overgrote deel van de problemen. Persoonlijk heb ik geen idee in welke categorie "AES kraken" valt.

==========================================

Oh, en mocht iemand het "geniale idee" willen delen dat alle encryptie een backdoor moet bevatten, om dit soort problemen op te kunnen lossen: denk eraan dat ransomware al illegaal is; de criminelen daarachter zullen er vast niet voor terugschrikken om illegale (backdoor-vrije) encryptie te gebruiken.
En als de backdoor continue overal gebruikt wordt, dan kan het nooit lang duren voordat die uitlekt... en dat zou past echt een probleem zijn!
Als je de backup van alles hebt is dat veruit de beste oplossing ja. Echter zou ik ook gewoon betalen als bedrijf wanneer daar informatie opstaat die op 1 of andere manier niet op de backup staat (moet eigenlijk niet kunnen). Echter zou je dit dus maar 1 keer moeten overkomen, en dan meteen de juiste maatregelen nemen.

Als particulier zou ik alleen betalen als het gaat om foto's die nergens anders staan maar wel veel herinneringen hebben, of documenten van waarde. Gedownloade muziek en videos etc kan me gestolen worden.

De FBI raadt dit puur uit praktische overwegingen aan, natuurlijk houden ze zo niet op. Maar het is wel de oplossing voor je probleem. De Politie Nederland raadt hetzelfde aan als wat er na diefstal gebeurt/ de dader heeft niks, maar ook jij hebt vaak je spullen niet terug.
Daarnaast zit je nog met de economische waarde. Elke dag dat je niet bij je gegevens kunt, kost een bedrijf geld.

Elke dag dat eraan gewerkt wordt om te herstellen, kost geld EN wordt niet besteed aan andere zaken. Boven zal wat losgeld over bits en bytes staat waarschijnlijk niet echt hoog op de ranking aangezien er niemand daadwerkelijk schade ondervindt, het is 'maar' geld.

Dus zowel de schade van het bedrijf EN de kosten van het onderzoek moeten opwegen tegen het losgeld. Doordat ze kleine bedragen vragen, is dat waarschijnlijk niet het geval.
Denk ook niet dat je belangrijke fotos op de computer zou moeten houden, maar beter lekker veilig op een USB offline.
Wordt? De enige reden dat er zo veel criminaliteit is, is juist omdat het loont. Dat wil niet zeggen dat dit een wenselijke situatie is, maar wel de realiteit.
Inderdaad eigenlijk betekent dit dat bedrijven hun backups niet op orde hebben voor dit soort situaties. Anders zouden ze die kunnen terug zetten.
Een beveiligingsplan hier tegen zijn bijvoorbeeld tape drives omdat die meestal na gebruik los komen te staan van de hardware en dus ook niet encrypted worden.
Daarnaast zou bij een virusscanner ook de grote hoeveelheid schijfactiviteit van zo'n cryptolocker op moeten vallen.
In een ideale wereld is alles netjes gebackupped, helaas is dat vaak niet het geval. Als dan je kritieke bestanden geencrypt zijn, dan is betalen de enige oplossing.

Ik neem ook aan dat ze het op die manier bedoelen, want anders heeft het inderdaad weinig zin.
Ehm, is dat niet wat kort door de bocht? Het lijkt mij een stuk makkelijker om het besmette werkstation te isoleren, de encrypted data te verwijderen, en deze terug te halen uit de backup?
Terughalen uit de backup is te kort door de bocht. Want een backup is alleen geschikt als deze nog relevante informatie bevat. Stel dat de malware al lang actief is kan het zijn dat je niets meer aan je backup hebt omdat de informatie daarop verouderd of ook encrypted is.
Advies van Veaam:

1. Call the FBI and they will try to assist.
2. Roll back to GOOD, CLEAN, VERIFIED BACKUPS.
3. Pay the ransom!

Soms is de backup ook al besmet dan schiet enkel optie 3 over.
[...]
Lijkt me niet wenselijk om te gaan betalen, dan stimuleer je het ontwikkelen van dit soort troep alleen maar. Criminaliteit wordt op die manier nog lonend...
Juist. Dan kan de FBI over een tijdje zeggen "zie je nou wel waarom we al zo lang zeuren om backdoors in te bouwen?" -- En daarna willen bedrijven niets liever dan backdoors inbouwen zodat de FBI kan "helpen" om de boel veiliger te maken.
Criminaliteit is al lonend.
Kort door de bocht. Wat als het nou 100 werkplekken zijn? En 1x 10k betalen goedkoper is dan 100 man die een dag niet kunnen werken?
Werkplekken zijn niet relevant, daar staat als het goed is geen data op (die staat immers op netwerkshares), dus die ga je niet laten decrypten (zeker niet als je er ook nog voor moet betalen). Die spoel je, na isolatie, opnieuw in met een deploymenttool (denk aan WDS/MDT of iets soortgelijks), en binnen een uur is men weer up and running met een clean machine.

Het gaat om de data die encrypted wordt, op de netwerkshare. Bij een beetje serieuze infectie begin je niet zo gek veel met 10k hoor, dan moet je eerder aan een veelvoud daarvan denken. Tenzij je maar een paar besmette bestanden hebt, maar in de praktijk gaat het bij een Crypolocker-infectie al snel om vele tienduizenden, zoniet honderdduizenden, bestanden...

[Reactie gewijzigd door wildhagen op 23 oktober 2015 17:44]

Je hebt backup en je hebt backup(s).
Als een bedrijf al een backup maakt dan zijn het meestal geautomatiseerde processen die 's nachts lopen te pompen. Meestal is men al te laat als het is ontdekt en dan is de backup al overschreven door geencrypte bestanden.
Dit zal waarschijnlijk voor 999 van de 1000 bedrijven gelden die backups maken.

Als een bedrijf al meerdere backups maakt: dag-, week-, maand backups dan zijn het nog steeds meestal geautomatiseerde processen. En is het dus nog steeds de vraag wanneer men het ontdekt.
Dit zijn meestal grotere bedrijven die dergelijke backups maken en dan is bv een week/maand backup terugzetten al een grotere kostenpost dan gewoon betalen.

Dus "effe" een back-up terugzetten is ook kort door de bocht,
Gelukkig hebben we tegenwoordig hypervisors clustering en snapshots.
Bedoelen ze niet dat geld makkelijker te traceren is en daarom dus de advies om te betalen?

[Reactie gewijzigd door SinisterGlitch op 23 oktober 2015 16:23]

Bedoelen ze niet dat geld makkelijker te traceren is en daarom dus de advies om te betalen?
Je moet met bitcoins betalen, die zijn nu net echt niet te traceren.
Bitcoin(transactie)s zijn juist te traceren, daar is de blockchain voor. Je kan ze wel wit proberen te wassen via exchanges, maar dat is niet anders dan voor giraal geld.
Bedoelen ze niet dat geld makkelijker te traceren is en daarom dus de advies om te betalen?
Makkelijker te traceren? Aangezien 95+ procent van de Cryptolocker-varianten betaling in Bitcoins vereist, en die lastig tot niet traceerbaar zijn, wordt het juist knap lastig om aan 'follow the money' te doen.

De auteurs van die cryptolocker hebben zich aardig goed ingedekt tegen opsporing ;)
Nou gezien ze op zoek zijn naar een rus succes om die binnen te halen.
Als het gedaan word door IS leden in het midden oosten, succes om die even te bezoeken.
Ik zag niet dat alleen bitcoins als transactie verplicht was. Als "follow the money" niet de endgame is, wat dan wel? Of het is juist de FBI die de aanvallen uitvoert om buiten de wet informatie te winnen. Hun advies helpt dan wel mee :P

[Reactie gewijzigd door SinisterGlitch op 25 oktober 2015 18:46]

Ik heb nog geen ervaring met ransomware, maar blijft die niet gewoon aanwezig op je systeem of je nou betaalt of niet?
Ja, maar als het goed is isoleer je een besmet werkstation wel eerst, en richt je hem opnieuw in (een besmette machine is immers sowieso niet meer te vertrouwen).

Pas daarna ga je dus de restore-procedures in gang zetten. Of betalen, kennelijk.

En als je pech hebt, is er meer dan één werkstation besmet, of zijn er meer dan één variant actief (met elk natuurlijk een eigen versleuteling), en kan je dus tweemaal, driemaal, viermaal of nog meer malen gaan betalen...

Er zijn ook gevallen/Cryptolocker-varianten bekend waarin betaald is, vervolgens werden daarmee een aantall bestanden netjes decrypted, maar dat decrypten stopte dan na een x aantal bestanden. Tot er wéér betaald werd voor de rest. Mooie cashcow voor de auteur op die manier ;)

[Reactie gewijzigd door wildhagen op 23 oktober 2015 16:33]

Ik een bedrijfsomgeving is een versleutelde pc niet zo'n probleem, daar hoort geen data op te staan, de netwerkschijven daarentegen wel. :)
Ik een bedrijfsomgeving is een versleutelde pc niet zo'n probleem, daar hoort geen data op te staan, de netwerkschijven daarentegen wel. :)
Eh ja... maar Cryptolocker pakt alle bestanden op alle verbonden netwerkshares waar de ingeloggede rechten recht op heeft.

Als een tweede gerbuiker (met andere rechten), een andere variant van Cryptolocker te pakken heeft, heb je dus wel een scenario dat je mogelijk 2x moet gaan betalen.

En als een gebruiker administrator-rechten heeft (wat niet hoort natuurlijk, maar je komt het nog erg vaak tegen) heb je helemaal een feest te pakken... dan zijn zo ongeveer alle bestanden wel encrypted.

[Reactie gewijzigd door wildhagen op 23 oktober 2015 16:57]

Ow ja zo had ik het nog niet bekeken dat bestanden vanaf verschillende geinfecteerde pc's meerdere keren versleuteld kunnen worden. Mocht je dan betalen en sleutels krijgen wordt het nog een heel werk de bestanden in de juiste volgorde te ontsleutelen. Dat is niet te doen en dan is een backup toch de enige oplossing, ook gezien de tijd. Wellicht dat je nog wat werk van die dag kan redden als je iets als volume shadow copy gebruikt.
Al met al blijft het een vervelend stukje malware die ransomware dat je haast in moet gaan stellen welke applicaties wijzigingen op netwerklokaties aan mogen aanbrengen.
encryptie is een windows eigen proces. Daar heb je (voor je eigen bestanden) geen admin rechten voor nodig.

2 mogelijkheden:
- backup
- zorgen dat een "applicatie" proces bepaalde taken niet kan uitvoeren middels rules. (hitman is hier vrij goed in)
- start gebruiker awereness sessies dat ze niet zomaar op alles horen te klikken

maak niet de fout door te denken dat een virusscanner de cryptolocker/ransomware onderschept. Hij is polymorphic en wijzigt daardoor steeds; weinig kans dan je virusscanners hem onderscheppen
In een bedrijfsomgeving worden ook laptops gebruikt en je hebt niet onder alle omstandigheden toegang tot het netwerk. Er zal dus altijd data op de local disks staan. De gebruiker hoort dat dan weliswaar te syncen zodra er weer een netwerkverbinding is maar dat gebeurt niet altijd.
keywords: Risicoanalyse, Afweging van kosten en baten, Prikkels.
Als je waardevolle data beheert dan moet je maar een degelijke back-up oplossing opzetten.
Het blijkt nu wel dat morele vingertjes wijzen naar hackers niet helpt, de versleutelde data niet te ontcijferen is, cryptocurrencies niet meer weg te denken of weg te reguleren te zijn en dat het geen kunst is om zero-day ransomware te ontwikkelen.
Het klinkt misschien hard, maar wellicht is dit eindelijk een stevige prikkel voor bedrijven en individuen om eindelijk een keer hun data goed te back-uppen.
Nee helpen doet het niet. Dat is hetzelfde als je fiets niet op slot zetten en dan klagen dat ie gejat wordt.
Ja, het is belachelijk dat ie gejat wordt en jammer dat er van dat soort eikels rondlopen.
Ja, je bent zelf ook achterlijk; want intussen weet je hoe de wereld in elkaar steekt en is een slot van een paar tientjes al voldoende om je kostbare bezit te beschermen van diefstal. (Helaas niet vandalisme.)

In dit geval idem dito.
Je weet dat je gehacked kan worden als de boel niet goed beveiligd is (en als dat wel zo is: dan nog kan het :')) en dat je altijd back-ups moet hebben van zeer belangrijke data.
Ja, het is belachelijk dat er blackhats zijn die de boel komen mollen.
Ja, je bent zelf ook achterlijk: want intussen weet je hoe de wereld in elkaar steekt en had een goede back-up je kunnen redden. ;)

En zo is 't cirkeltje weer rond.
Het is gewoon deels eigen schuld als je er niets aan doet om jezelf te beschermen. Dat klinkt gek want "ja maar 't is toch die hacker die dit doet!!! Die zit fout!!!"; maar als je *weet* dat het kan gebeuren en je trekt geen grote muur op met offsite back-ups: dan mag je ook ff in de spiegel kijken als het om super belangrijke data gaat.
Kan een Cryptolocker eigenlijk uit een VM breken?
Als er een lek in de hypervisor zit die door de cryptoware benut wordt wel ja.
Stel er zit bijvoorbeeld een dik lek in VMWare tools (wat het bijvoorbeeld mogelijk maakt om copy/paste vanuit de virtuele machine naar je normale OS te regelen), dan zou dat al een aanvalsvector kunnen zijn.

Nu is mij geen lek bekend daarin en heb ik daar ook nog nooit van gehoord, maar het is dan ook een "stel dat" ;) Tevens moet je ook knettergek zijn om vanuit een geïnfecteerde machine spulletjes te copy/pasten, maarja: dan moet je natuurlijk weten of ie überhaupt geïnfecteerd is.
Het is best een interessante vector die je noemt, want stel een cryptoware detecteert dat ie in een VM zit en blijft vervolgens dormant; maar past zichzelf wel aan zodra je iets wilt kopieren/plakken: dan hebde gij een probleem.

Maar over het algemeen, dus zonder interactie op deze wijze, zou het niet moeten kunnen, zolang je je hypervisor netjes up-to-date houdt. Er kan natuurlijk altijd een 0day zitten in die virtualisatie software die je gebruikt, dus in theorie is alles mogelijk. In de praktijk... Ik heb het nog niet gezien, en er wordt door de meeste vendors zoals VMWare uitermate goed aan security gedacht.

[Reactie gewijzigd door WhatsappHack op 23 oktober 2015 16:59]

Er was er pas nog een met de floppy driver in ESXi. Het komt voor maar wordt vooral onder de mat gemoffeld.

Moraal v/h verhaal is toch dat juist geimplementeerde encryptie zelfs door de FBI niet te breken is, hoera hoera.

[Reactie gewijzigd door analog_ op 23 oktober 2015 18:04]

Hoezo moet er een lek in zitten? als de guest dmv NAT of bridge aan de host gekoppeld is dan is er een verbinding en dus een weg naar buiten.
Ja, maar dat is niet zomaar een weg naar binnen bij de host...
Zover ik weet niet, tenzij je natuurlijk netwerk shares hebt ingesteld in je VM, dan kan het zich via die weg verspreiden.
Het is natuurlijk wel goedkoper dan een onderzoek starten (vaak dan) als bedrijf ben je weer sneller online los van het stimuleren van de criminelen.

Een onderzoek starten en een crisis-team van Microsoft laten komen kan je al snel in de papieren lopen voor een MKB of groot bedrijf.
Dat stimuleert de internet criminelen alleen maar meer om door te gaan met het ontwikkelen van ransomware.
Waardoor gebruikers hogere veiligheideisen gaan stellen. En dat stimuleert software developers om betere code te schrijven die niet vol lekken zit.

Nu moet ik wel zeggen dat wij programmeurs momenteel echt wel belachelijk slecht bezig zijn wat dat betreft. Ik krijg geregeld hartkloppingen wanneer ik code van de zoveelste zelfverklaarde genie in gitlab of gerrit voor review te zien krijg. Van bufferoverflows tot plaintext passwords die over http vliegen tot SQL injection alsof het niets is tot fallback authenticatie methoden die alle rechten aan 'guest' users geven tot hardcoded passwords en private encryptiekeys in router firmware die je met het unix commandootje strings uit .so en ELF binaries kan halen tot double frees tot stack corruption (maar tja, dat is dan maar zo. Het crasht niet 100% van de tijd dus het is goed genoeg). Ik zwijg nog maar over de timing (security) bugs omdat de meeste programmeurs werkelijk al hun multithreaded programmeren volledig verkeerd aanpakken.

Echt bijna iedere programmeur is zeer, zeer slecht bezig. De enige die nog een beetje respect verdienen zijn diegene die het doorhebben en weten, en actief meehelpen om de fouten te laten vinden en ze naast herstellen er meteen een nieuwe unit test bijschrijven en/of nieuwe guidelines in de teamwiki erbij schrijven om dat soort fouten in de toekomst te vermijden. Al de rest, en dat is 95% van de software developers, zijn werkelijk bizar slecht bezig.
Wat heeft compliance in software ontwikkeling te maken met Ransomware?

Je gooit leuk met woorden en termen maar secure software ontwikkeling heeft te maken met security awareness maar echt niets met Ransomware.

off topic: voor de situaties die beschrijft zijn fortify/code review en pen-testen uitgevonden.
Follow the money? Ik realiseer me dat ze wellicht in een vaag land zitten, maar elke keer maar betalen lost ook niets op.
Wie hier meer over wil weten , in de vorm van een goede audio podcast.
Moet eens luisteren naar aflevering "Darkode" van radiolab. Daarin wordt een verhaal
verteld van iemand die hier slachtoffer van was.

offtopic : Deze groep "Radiolab" maakt echt fantastische podcasts
Dit probleem heeft mijn bedrijf ook gehad. Bijna 25000 bestanden geencrypt. Gelukkig maken wij elk uur een backup. Ook snel gevonden op welke pc het virus stond. Deze van het netwerk gegooid, alle geencrypte data verwijdert en de originele bestanden uit een backup terug gezet.
We waren dus max een uur werk kwijt. Alleen het terug zetten van alle bestanden heeft een redelijke tijd gekost.
Dus de moraal van het verhaal: Je kunt een Ransomware virus niet makkelijk tegen gaan maar met een goede backup kom je ver.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True