Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 188 reacties
Submitter: boschhd

Een trojan met de naam 'Locky' verspreidt zich sinds de afgelopen dagen via Word- en Excel-bestanden met een kwaadaardige macro. De bestanden worden verspreid via e-mail. Over het algemeen betreft het een melding van een openstaande rekening.

Na het openen van het geïnfecteerde bestand vraagt de malware de gebruiker om macro's in te schakelen. Over het algemeen staat het uitvoeren van macro's standaard uit. Als de macro's ingeschakeld zijn, begint de download van de ransomware. Daarna versleutelt Locky bestanden en verandert het bestandsnamen. Naast bestanden op de lokale computer, zoekt de ransomware ook naar bestanden op netwerkstations, ook als deze niet gekoppeld zijn. Om de sleutel te krijgen tot de versleutelde bestanden, worden mensen gesommeerd een halve bitcoin te betalen.

Op deze manier zijn al bestanden bij verschillende organisaties binnen hele netwerken versleuteld. Er heeft zich onder andere een infectie voorgedaan bij het Fraunhofer-Institut in Duitsland, waar ongeveer zestig pc's in het netwerk zijn platgelegd. Ook werd het West-Australische parlement platgelegd door de ransomware.

Het probleem met Locky zit volgens beveiligingsonderzoeker Kevin Beaumont niet alleen in het feit dat het vrij lang duurde voordat de meeste virusscanners de trojan detecteerden, maar ook dat het snel van signatuur verandert. Zo schrijft hij vrijdag op Twitter dat het mechanisme is veranderd. De .js-file wordt op dit moment nog door geen enkele virusscanner gedetecteerd.

De ransomware verscheen maandag, wat volgens Beaumont feitelijk de bètatest was. Locky is vertaald in veel verschillende talen, wat laat zien dat de aanval van te voren goed uitgedacht is. Tweaker fvdberg doet in een tweakblog uit de doeken welke registeraanpassingen de ransomware allemaal doet. Er zijn ook Nederlandse bedrijven al slachtoffer geworden, zo is te lezen op het aan de ransomware gewijde topic op GoT. Er zijn relatief veel infecties in Duitsland en Nederland.

lockyHet aantal Locky-infecties per uur op 17 februari

Moderatie-faq Wijzig weergave

Reacties (188)

Zowel persoonlijk en als eigenaar van een bedrijf vrees ik dat mij dit ooit zal overkomen, ook al ben ik redelijk security bewust. Gelukkig zijn de ransom bedragen betaalbaar, maar wie weet is dat in de toekomst anders of is er een groep die de bestanden niet versleuteld voor geld maar omdat het kan. Tevens weet ik gelukkig hoe Bitcoin werkt, maar ik kan me voorstellen dat een bitcoinbetaling voor andere mensen een flinke stap is.

Het erge is dat iedereen er slachtoffer van kan worden, ook als je zelf let op de veiligheid van je computer. Allereerst is het bijvoorbeeld niet verstandig andere mensen toe te laten op je systeem. Wanneer zij er niet op letten of een besmette USB drive in jouw computer steken ben je alsnog de sjaak. Van ouderen en kinderen kun je niet verwachten dat zij volledig bewust zijn van de gevaren, dus ook dat vormt een risico. En met dit soort ransomware worden de gevolgen alleen maar groter.

Ook klanten van ons maken regelmatig een fout, we krijgen vaak vragen over problemen omtrent virussen, malware en andere troep (als webontwikkelaars, want 'jullie werken toch met computers?'). Keer op keer wordt de deur open gezet door de mensen zelf. Vaak mailen ze de boel ook nog eens gewoon door met de melding: 'toen ik dit opende ging alles stuk, kun jij even kijken wat het is?' Uhh, nee sorry. Heel veel mensen hebben geen idee wat de gevaren zijn en klikken doodleuk op iedere link die ze zien. Ik ben niet zozeer bang dat ik zelf een fout maak, maar dat iemand anders een fout maakt waar ik de dupe van ben. Ditzelfde geldt ook voor privacy gerelateerde zaken. Jij kunt er nog zo goed mee omgaan, maar wanneer een ander voor jou de deur open zet is het te laat. Mensen blijven altijd de zwakste schakel en toch vinden mensen het raar dat ik niemand aan mijn spullen laat komen. 'Ik bekijk alleen even mijn mail, er gaat heus niks fout hoor, ik weet echt wel wat ik doe' - clueless persoon. Ik vind het jammer dat de meeste mensen het totaal niet interesseert en zij niet meegaan met deze tijd. Dat vormt niet alleen voor hun zelf, maar ook voor anderen een gevaar.
... Gelukkig zijn de ransom bedragen betaalbaar, maar wie weet is dat in de toekomst anders of is er een groep die de bestanden niet versleuteld voor geld maar omdat het kan. Tevens weet ik gelukkig hoe Bitcoin werkt, maar ik kan me voorstellen dat een bitcoinbetaling voor andere mensen een flinke stap is.
...
Ik maak me zorgen als ik dit lees. Met name omdat je eigenlijk al de keuze gemaakt lijkt te hebben dat je gaat betalen, mocht je dit overkomen. Mijn inziens moet er nooit voor een gijzeling (in dit geval die van je bestanden) betaalt worden! Dit zorgt er alleen maar voor dat het lucratief is en blijft om te gijzelen. Zeker in het geval van je bestanden kun je je er prima tegen wapenen.
Ik begrijp dat het vervelend is dat je een backup terug moet zetten, als je er ook met een paar honderd euro vanaf had kunnen zijn, maar je houdt wel de gijzelaars aan het werk en de misdaad in stand. Als er niet aan verdiend wordt, dan stopt dit namelijk vanzelf.
Volg daarom de tips op die hier en op het forum genoemd worden, zodat je z.s.m. weer up and running bent bij zo'n incident.
Je kunt dat principe hebben, maar als je complete infrastructuur plat ligt en je kunt voor een redelijk bedrag de boel weer in de benen helpen, dan kan ik mij de afweging wel voorstellen. Als de financiële schade zo groot wordt dat je in de problemen komt, dan worden principes snel losgelaten.

Jij gaat nog uit van een backup kunnen terugzetten, maar er zijn nog voldoende bedrijven waar dat niet goed geregeld is. Dan blijft er niet veel meer over dan te betalen...
Dan nog. Ik gooi liever een oudere backup terug en zorg dat backups dagelijks en fatsoenlijk draaien,dan dat ik direct de development van betere cryptolockers financier. (Zeker in een bedrijfsomgeving waarbij dit binnen er dag terug kan komen. 1 Iemand hoeft maar opnieuw "verkeerd" te klikken).
Ik snap dat er grenzen zijn aan dat principe. Als je de keuze kunt maken tussen bedrijf van >100 mensen failliet of een paar honderd euro betalen, dan wordt het steeds moeilijker. Maar dan nog, je werkt actief mee aan het in stand houden van dit business model. Ik vind dat die realisatie éérst moet komen en daarna mag je na gaan denken over de keuze die je maakt en dat vind ik het meest angstige van de quote die ik maakte.

Als persoon en bedrijf zul je zelf ook je best moeten doen om je daar tegen te wapenen en helaas wordt dit pas op veel plekken duidelijk als het te laat is. Ik vind dit dan ook een vorm van nalatigheid die je de mensen aan kunt rekenen en misschien zouden we daar ook wel aangifte tegen moeten (kunnen) doen.
Bespeur ik daar een hautaine houding?

Ik denk dat iedereen het wel interesseert, maar je kunt echt niet verwachten dat iedereen het begrijpt.
Een voorbeeld, als arts sta ik vaak versteld hoe slecht mensen begrijpen hoe het lichaam werkt. Het is zo simpel, logisch en vanzelfsprekend. Als je ziek wordt en ik leg je uit wat er aan de hand is, dan mag ik niet verwachten dat je precies begrijpt wat ik bedoel en wat er nu aan de hand is. Je vertrouwt erop dat ik je help en goede adviezen geef.

Dus, klanten maken geen fouten denk ik. Ze reageren logisch op datgene wat ze kennen. Dat is ook precies waar criminelen rekening mee houden.

[Reactie gewijzigd door honey op 21 februari 2016 15:38]

Bespeur ik daar een hautaine houding?
Nee, dat was zeker niet de bedoeling. Ik zie het meer als ergernis, omdat mensen maarzo met jouw systeem gaan knoeien zonder dat ze daar het probleem in zien. Net als wanneer mensen aan knopjes zitten van een draaitafel. Of even aan de knopjes draaien van een gestemde gitaar. Het lijkt zo onschuldig allemaal..

Verder heb ik geen zin om het 'ict-kneusje' te zijn die alles even oplost. En als het dan weer stuk gaat is het mijn schuld, want ik had het toch gefixed? Als iemand interesse heeft en iets wil leren sta ik daar altijd open voor. Maar helaas hoor ik vaak 'nee dat begrijp ik toch niet' of 'ik vind dit maar onzin', zij proberen het niet. En ik weet dat deze dingen voor mij belangrijk zijn en voor de ander misschien totaal niet, maar dan is het toch niet gek dat ik bang ben voor een fout van een ander? Want daar ging het mij om, niet omdat ik mij beter voel dan een ander, maar omdat ik bang ben dat ik grote gevolgen heb door een onschuldig foutje van een ander.
"Curiosity killed the cat"

Bestanden van onbekende afzenders openen omdat men nieuwsgierig is zal de grootste oorzaak zijn dat de PC van een gebruiker besmet raakt.
En ook daar kan je je tegen beveiligen. Gewoon alle bestanden standaard blokkeren. Als je echt een bestand moet doorsturen of ontvangen gebruik dan een professionele tool (eventueel cloud gebaseerd) die dat kan. Het probleem is dan vanzelf opgelost en je hebt tenminste weer controle wie en over wat er in je bedrijf digitaal binnen komt.

Daarbij een goede dagelijkse backup en je kan weer verder zonder dat je bitcoins moet betalen. Natuurlijk is dat een investering, maar zie het als een brandverzekering, die betaal je toch ook voor het brand?

Bon er zijn waarschijnlijk nog meerdere manieren om juist IT ondernemerschap af te dwingen van je gebruikers in je bedrijf.
Een back-up is iets wat een beetje slimme gebruiker altijd voorhanden heeft

Als die back-up extern is en niet aangesloten op het moment van de infectie dan kun je er iets mee zo niet dan zal deze helaas ook versleuteld zijn.
Dat klinkt leuk maar...

Bijvoorbeeld.

1. Ik ben meer geïnteresseerd in mijn gezondheid dan in de gezondheid van mijn Windows installatie.

Dat terwijl mijn interesses (bovengemiddeld) uitgaan naar software, techniek en gadgets.

2. De klant is koning, geen God.

3. Om er van uit te gaan dat een klant geen fout maakt omdat ze toch niet beter weten vind ik erg kort door de bocht. (Misschien wel hautain)

:)
Ik weet dat veel mensen zomaar elke link aanklikken, en dat zelfs als je daar bewust over nadenkt het een keer fout kan gaan. Maar toch ben ik niet bang voor mijn gegevens: alles wat belangrijk is staat op een externe schijf die nergens aan gekoppeld is (totdat ik de backup moet updaten). Dingen die regelmatig veranderen staan op dropbox. Als zo'n stuk ransomware mijn bestanden versleutelt installeer ik de computer opnieuw, zet mijn foto's terug van mijn externe schijf, en vraag aan dropbox de vorige versie op van de documenten.

Uiteraard heb ik mijn computer niet zo netjes opgeruimd als bovenstaand verhaaltje suggereert ;) Als er iets tussendoor is geglipt dan is dat jammer maar helaas. Maar ik heb dan ook geen eigen bedrijf, waarvoor ik belangrijke bestanden heb staan.
Mijn vrees bestaat voor een deel uit de vrees voor het verliezen van bestanden, maar voornamelijk uit meer dan dat. Ik herken me in de situatie die schetst: bestanden backuppen, bepaalde delen in cloud of SVN. Maar naast de bestanden die je daar mee mist is herinstalleren ook een slechte optie. Zelfs wanneer ik alle files voor 100% in een backup heb is herinstalleren voor mij nog steeds een ramp. Ik weet precies hoe het werkt, maar het is vreselijk veel werk. Allereerst ben ik werkzaam voor drie bedrijven, waaronder die van mijzelf. Voor deze bedrijven gebruik ik talloze programma's met ieder een tal van instellingen, plugins, toevoegingen of modificaties. En alles wat ik ontwikkel heb ik ook lokaal beschikbaar. Wanneer ik alles wil herinrichten zoals ik wil, dan mag ik daar flink wat tijd voor vrij maken.

Mijn systeem zit naar mijn mening potdicht. Maar ik durf hem geen seconde alleen te laten. Ook wanneer iemand 'even snel iets wil opzoeken' sta ik dat niet altijd toe. Simpelweg omdat ik vrees dat ondanks mijn voorzichtigheid iemand anders de boel weet te verprutsen. Ook op mijn prive computer ben ik erg voorzichtig, al heb ik geaccepteerd dat daar de kans groter is op onvoorzichtigheid van een ander. Het is mij vaak zat gebeurd dat ik na uitlenen van een telefoon / tablet / laptop de boel weer moest opschonen omdat er werkelijk vanalles mee gebeurd was. Van geinstalleerde Yahoo toolbars tot shady software omdat er een spelletje niet werkte.

Niet alleen door onkunde zijn anderen een gevaar, soms doen ze het bewust. Tijdens mijn studie werd allerlei ongein uitgehaald wanneer je even een paar seconde niet oplette. Want dat was grappig..

Tot slot zullen de meeste mensen niet eerst zelf op Google zoeken naar een oplossing. Het gevolg is dat ze de boel vaak laten zoals het is, of misschien nog erger: wel opzoek gaan naar een oplossing en dan vanalles uitvoeren zonder enig idee te hebben wat het doet. Maar wel klagen dat de pc zo traag is :+

[/ ergenis modus]
En als je nu een image maakt van de C-partitie nadat alles wat jij nodig hebt er op staat?
(bv Acronis TrueImage)

Als je daarnaast voor zorgt dat je data op je D-drive/partitie staat of op een server of NAS, Dan ben je zo klaar: image restoren, eventueel die paar programma's er nog op die hebt gëïnstalleerd/geüpdate na het nemen van de image.

'Data' is overigens relatief, de echt nbelangrijke data staat in N-voud op server(s), NAS etc.
Maar toch zijn er een paar zaken op de lokale PC die je ook niet kwijt wilt: bookmarks Firefox of Favorieten IE, sommige instellingen van programma's.
En verder wat downloads, foto's etc. Maar die redirect ik standaard al naar D:\ \


Je kunt het jezelf dus wel degelijk wat makkelijker maken dan een volledige reinstall, maar daar moet je eerst wat tijd voor investeren voor je daar profijt uit haalt.

[Reactie gewijzigd door tc-t op 19 februari 2016 17:59]

Kijk daar gaat het al mis met Windows. Een huistuinkeuken gebruiker wordt niet bij Windows aan het handje genomen voor een snelle en effective backup die ook nog eens simpel bekeken (historie) en teruggezet kan worden incl al je voorkeuren en instellingen en programma's. Waarbij je ook nog periodiek gewaarschuwd wordt dat het weer eens tijd is voor een backup (incrementeel, maar daar hoeft de gebruiker zich niet druk om te maken) Hallo time machine. Dat het bij bedrijven fout gaat met netwerkopslag is dubieus. Een backup zou daar sowieso aanwezig moeten zijn. Dropbox gebruiken zou ook al veel schelen. Die hebben het beter voor elkaar dan ms het ooit heeft gekregen. Simpel en gebruiksvriendelijk en daarbij ook simpel herstelbaar en deelbaar.

[Reactie gewijzigd door Rinzwind op 19 februari 2016 20:06]

Ooit gehoord van File History? Waarschijnlijk niet.
Misschien is het een idee om jezelf geen local admin te maken :)
Als je Dropbox map ook op je pc staat ben je ook de sjaak. Offline backups zijn leuk maar eens moet je weer online. Je zal op dat moment maar getroffen worden.
En als je Offline backups oud zijn omdat je niet vaak backupt dan verlies je toch nog flink wat gegevens als het mis gaat.
Bij dropbox kan je de vorige versie van bestanden opvragen, dat was de reden dat ik het erbij zette :)
Zorgen voor goede backups zie ik als de oplossing. Mocht ik over 5 minuten de melding krijgen dat de hele boel gelockt is word het gewoon format C en probleem oplgelost. Sowieso staan al mijn backups op externe schijven die alleen tijdens backuppen aangesloten worden. Mocht de infectie plaatsvinden tijdens een backup pak ik gewoon een andere backup.

Voor een bedrijf is het maken van goede backups misschien wat moelijker en duurder, maar toch zie ik dit als de enige echte oplossing. Betalen zie ik sowieso niet als oplossing, maar meer als laatste redding. Hoewel ik absoluut tegen betaling ben en het zelf ook nooit zal doen, kan ik mij voorstellen dat er mensen zijn die het wel doen als ze bestanden missen die meer geld opleveren dan wat de betaling aan de criminelen kost. Maarja, hoe meer mensen betalen hoe meer geld ze hebben om de volgende versie van deze malware te ontwikkelen.
Tja backups, iets dat thuisgebruikers bepaald niet doen. Laat staan op zo'n uitgebreide manier...
Zorgen voor goede backups zie ik als de oplossing. Mocht ik over 5 minuten de melding krijgen dat de hele boel gelockt is word het gewoon format C en probleem oplgelost. Sowieso staan al mijn backups op externe schijven die alleen tijdens backuppen aangesloten worden. Mocht de infectie plaatsvinden tijdens een backup pak ik gewoon een andere backup.
Je weet toch dat dit soort ransomware soms vele weken wacht tot all je backups geinfecteerd zijn he? En dat ze meteen toeslaan als je een drive aansluit.

Jouw backups zijn vrijwel zeker NIET het antwoord als ze op drives staan die je aansluit. Ik raad je sterk aan om je iets meer in te lezen in deze materie want je loopt gewoon een groot risico.
In de basis settings van een clean Office zijn externe macro's uit een document standaard uitgeschakeld, vanaf Office 2010 moet je zelfs aardig wat opties doorspitten om dit volledig in te schakelen (was vroeger alleen een 'uitvoeren?').

Zover ik nu op diverse office installaties heb getest, lijkt het er wel op dat je dus specifiek of toestemming moet geven, of de veiligheidsettings van Office moet verlagen om VBA/Macro's in een Word document uit te voeren. Maarja, ken de werkvloer.. je zet dat ding vrij snel op laag om maar van dat gezeur af te zijn 'mijn excel sheet doet niets!'.

Maar je hebt gelijk, zwakste schakel blijft de mens, maar ironisch dezelfde mensen die zo hard voorstander zijn van bitcoin, wat juist in deze zaak precies het probleem is dat ze hier nagenoeg ongestoord mee verder kunnen gaan.
Wat een onzin om Bitcoin hierbij als probleem te benoemen. Alsof je de auto de schuld geeft, omdat deze bij een bankoverval gebruikt wordt als vluchtmiddel. Dan maar de auto's, of in dit geval Bitcoin, verbieden. Dan is het logischer Office/Microsoft als medeplichtige aan te wijzen.

Belangrijkste probleem is hier gewoon dat je niet weet van wie een email afkomt. Als je dit oplost, dan los je gelijk een hele andere berg aan problemen op.
En verder zijn er, zeker voor de zakelijke markt, genoeg oplossingen, dat zelfs bij een dergelijke infectie je niet al je bestanden kwijt bent.

[Reactie gewijzigd door friend op 19 februari 2016 19:52]

Helemaal mee eens. Nu moet je het losgeld in bitocoins betalen, bij het old school politievirus moest het in Hema kadobonnen. We hadden de Hema kunnen sluiten, maar daar zit het probleem niet denk ik.

Het probleem zit ook niet in onvoldoende technische oplossingen. Die zijn er ook zat en je kunt de oplossing automatiseren. Probleem is de psychologie van de mens. We zijn heel goed in het negeren van bepaalde risico's en zijn niet rationeel. Wanneer investeer je geld om iets wat zou kunnen gebeuren te voorkomen? Waarom wel geld uitgeven aan een huisdierenverzekering, loterij en reisverzekering en niet aan een goede virusscanner en firewall?

Kan iemand daar een goed beslissingsondersteunend programma met een goede rationele statische basis voor schrijven? Want wij mensen falen op dit punt nogal namelijk.
er is op dit moment geen virus scanner die hem tegen houd hoor.. geen enkel
en dat is meestal aan de hand met de succesvolle malware / ransomware shit. ze grijpen zo snel om hen heen, dat de antivirus bedrijven gewoon niet snel genoeg kunnen reageren.

mag je jezelf gaan af vragen hoe dat komt> kom je weer op de mens terecht die daadwerkelijk gewoon de bijlage opened en de marco functie ook maar voor het gemak aanzet>

remedie ? maak je werknemers bewust van het gevaar!
accepteer nooit facturen opgemaakt in excel of word, etc
Wat een onzin om Bitcoin hierbij als probleem te benoemen.
Maar dan moet je ook uitleggen waarom het 'losgeld' niet betaald kan worden via een bankoverschrijving of PayPal, waarom alleen BC in aanmerking komen. BC maakt dit soort dingen mogelijk en is op die manier direct betrokken bij dit soort dingen. Ik zie me nog niet met een zak met Euro's op een schemerig perron voor een meeting met de crimineel,,,,

Meteen in een stuip springen als BC op deze manier in het nieuws komt is geen juiste reactie en doet de waarheid geen goed.
Bitcoin biedt een manier om laagdrempelig, met lage kosten, zonder een centrale partij betalingen te doen. Dat dit in criminele, en bv. ook terroristische, omgevingen handig is is evident. Dat is op zichzelf echter geen valide reden Bitcoin te verbieden of beperken, aangezien het ook voor nog veel meer andere positieve/legale doelen bruikbaar is. Zo heeft cash voor lokaal gebruik dezelfde problematiek en dat gaan we ook niet verbieden (al is het ¤ 500 biljet nu waarschijnlijk wel aan de beurt, maar ook hier is de afweging legaal-illegaal gebruik meegenomen en sloeg de weegschaal over naar voornamelijk illegaal, dat is voor Bitcoin niet het geval).
Dus richt je op het oplossen van de oorzaak (internet/email/beveiliging), dan ben je pas toekomstgericht bezig.
Gelukkig zijn de ransom bedragen betaalbaar, maar wie weet is dat in de toekomst anders of is er een groep die de bestanden niet versleuteld voor geld maar omdat het kan.
Dit is gewoon geen factor, ik snap niet dat je dat benoemd.
Hier heb je backups tegen.
Ransom zou je uit plat, dom principe al niet moeten willen betalen.
Als je HDD's aan gort gaan kan je ook niet ergens even 50 euro tegenaan gooien om je probleem op te lossen, je bent je data dan gewoon kwijt, daar moet je je tegen wapenen.
Op het moment dat je dat gedaan hebt kan je zo'n ransomware ook gewoon de vinger geven.

[Reactie gewijzigd door Alpha Bootis op 19 februari 2016 16:05]

Gelukkig zijn de ransom bedragen betaalbaar
Het is wat je betaalbaar noemt..
Ik vind het wat raar dat je vreest dat het jou ooit zal overkomen en dat je blij bent dat criminelen betaalbaar zijn.. Je hebt toch back-ups? Als eigenaar van een bedrijf? Dan moet je toch helemaal niets vrezen? Ik heb al meerdere cryptolockers op servers gehad bij klanten, en steeds data kunnen recupereren ofwel uit 'previous versions' van die ochtend ofwel uit een back-up van de nacht ervoor, nooit zijn ze data verloren.

Ik wens het niemand toe, want privé zijn er zeer weinig mensen die back-ups nemen, maar zo'n artikels zoals deze moedig ik wel aan, zodat het de mensen aanzet om een deftige back-up strategie op te zetten.
Wat mij eigenlijk compleet ontgaat is het feit dat bitcoin betalingen op de een of andere manier getraceerd moeten kunnen worden:

Maak over naar A.

Iemand die A checkt?

Info wordt geapprecieerd.
.... heel verhaal ....
Dit soort zaken zijn gewoonweg goed te ondervangen zonder al te veel schade. Alleen moet je het als bedrijf ook willen. Te vaak zie ik mensen toegang hebben tot alle data, administrators met een domein admin account op een pc werken et cetera. Allemaal risico's. Er zijn hele eenvoudige maatregelen tegenwoordig om nagenoeg geen data kwijt te raken door dit soort ransomware.

Geef gebruikers alleen maar toegang tot data waar ze volgens hun functie toegang tot hebben. Een programmeur hoeft echt geen schrijf/lees rechten op de folder van de P&O en/of andere afdeling.
  • Laat beheerders alleen maar werken met een "normaal" account, dus geen Admin account, want dat is nergens voor nodig en alleen maar een risico.
  • Laat beheerders niet Internetten en mail gebruiken op servers met Admin rechten, driver kan ook via normaal account gedownload worden en dan op een share gezet worden. Het is iets meer werk, maar zo veel veiliger.
  • Gebruik een goede AV oplossing. Het liefst van twee fabrikanten. Werkstations fabrikant A, servers en services fabrikant B.
  • Gebruik een proxy server met malware beveiliging voor Internetten, maak desnoods gebruik van bekende blacklists en blokkeer actief op advertenties.
  • Maak gebruik van "Previous Files" met een interval van bijvoorbeeld 2 uur op CIFS shares. Maximaal 2 uur data kwijt bij een calamiteit.
  • Houd backup off-line, dus maak backup naar media welke nooit zonder menselijk handelen benaderbaar is, bijvoorbeeld tape of on-line backup welke niet als drive of share benaderbaar is.
Wanneer je je als bedrijf gewoon aan deze paar regeltjes houdt dan kan het niet mis gaan, en gaat er wat mis, dan ben je 2 uurtjes data kwijt van beperkte omvang.
Voor als je aan de slag wilt met je hosts/firewall:

Download locations are:

mondero.ru/system/logs/56y4g45gh45h
tcpos.com.vn/system/logs/56y4g45gh45h
www.bag-online.com/system/logs/56y4g45gh45h

The malware phones home to:

46.4.239.76/main.php
94.242.57.45/main.php
wblejsfob.pw/main.php
kqlxtqptsmys.in/main.php
cgavqeodnop.it/main.php
pvwinlrmwvccuo.eu/main.php
dltvwp.it/main.php
uxvvm.us/main.php

The active C2s (some may be sinkholes) appear to be:

46.4.239.76 (Dmitry Melnik, Ukraine / Myidealhost.com aka Hetzner, Germany)
94.242.57.45 (vstoike.com / Fishnet Communications, Russia)
185.46.11.239 (Agava Ltd, Russia)
69.195.129.70 (Joes Datacenter, US)

Analysis those C2 locations give a recommended blocklist of:
46.4.239.64/27
94.242.57.45
185.46.11.239
69.195.129.70


Volgens:
http://blog.dynamoo.com/2...-rechnung-nr-2016131.html

[Reactie gewijzigd door Kalief op 19 februari 2016 15:25]

Die servers zijn natuurlijk ook allemaal weer getorred/gelinkt/gehacked. En dat waarschijnlijk via iemand die zijn wifi netwerk open had staan. Ik denk dat het moeilijk wordt om de daders via deze weg te vinden. Bovendien zal t wel weer snel van ip's veranderen. Desalniettemin kan je ze aan je firewall toevoegen idd.

[Reactie gewijzigd door BarendB op 19 februari 2016 15:28]

Het is sowieso dweilen met de kraan open maar als je ze momentair kan tegenhouden hebben AV partijen de tijd hun definities bij te werken...
Wij hadden zo'n e-mail deze ochtend ook ontvangen bij ons op kantoor. Afkomstig van een Duits bedrijf genaamd "MTC GbmH".

Nu is het gemakkelijk om te zeggen "oh die ken ik niet dus dat smijt ik weg" en "hoe dom kun je zijn om zoiets te openen".

Maar we hebben letterlijk duizenden bedrijven waar we mee werken en we kennen ze heus niet allemaal bij naam. Om de paar dagen krijgen we wel een herinnering van een factuur die is blijven liggen. Facturen in excel vorm zijn dagelijkse kost. En onze spam-filter is erg strikt, dus om de paar uur moeten we wel een of andere niet-spam mail uit de "ongewenste e-mail" vissen.

Onze beveiliging is waterdicht, virusscanners, firewalls, VMs, filters en de ganse bataklam, alle mensen zijn hoogopgeleid en gewaarschuwd voor dit soort e-mails enz. Macro's staan inderdaad uit maar dit is wel iets wat we nodig hebben dus iedereen kan deze inschakelen indien nodig.

En toch ... Deze bijlage was geopend geweest als het niet aan één klein detail had gelegen: het feit dat het excel-bestand zonder enige uitleg werd gestuurd maakte de secretaresse achterdochtig.

Vervolgens heb ik het geopend in een dichtgetimmerde VM en inderdaad ... hij probeerde iets binnen te trekken eenmaal geopend in Excel.

Als er iets van uitleg in die mail had gestaan, "dear Sir, please find attached our invoice as discussed last week, best regards, ###" bij voorbeeld, hadden we prijs gehad.

Je kunt gemakkelijk zeggen dat er strenge veiligheidsvoorschriften nodig zijn, iedereen achterdochtig moet zijn en gebruikers niet meer dan een minimum aan rechten moeten hebben, maar uiteindelijk moet elk bedrijf wel kunnen functioneren. Een failliet bedrijf heeft niet veel aan goede ICT.

Ik begrijp dus best dat in sommige firma's of overheidsbedrijven zoiets wel word geopend, in een moment van onoplettendheid. Innige deelneming aan de getroffenen en ik hoop dat jullie goede backups hebben.

[Reactie gewijzigd door zipje_en_zopje op 19 februari 2016 16:44]

Word document kan je nooit als rekening zien. Dus dat soort mails gelijk weg knikkeren of gewoon antwoorden dat je een invoice alleen als PDF wilt.

Geen enkel valide bedrijf stuurt rekeningen of andere documenten in Word formaat. Doen ze dat wel, dan niet openen en altijd vragen om een PDF.
Dus... Je krijgt een "rekening" van iemand die je niet kent en/of waarvan je geen rekening verwacht in de vorm van een Office bestand (niet eens een PDF), dat je vervolgens ook nog vraagt om je macro's in te schakelen. En dan vind je het gek dat je geïnfecteerd wordt?
jij en ik als tweaker wel... Mijn ouders bijvoorbeeld daarintegen....
Je moet, in het algemeen, wel heeeel simpel zijn om een rekening te ontvangen/krijgen van een bedrijf waar je nog nooit zaken mee hebt gedaan met een omschrijving/nummer wat je de afgelopen dagen niet eerder voorbij hebt zien komen en dan meerdere malen moedwillig doorklikken.

Waarom zeg ik dat? Heb mensen gezien die al 10 jaar bij hetzelfde bedrijf werken en al 10 jaar een Vodafone-abonnement hebben. En dan krijgen ze een phishing-mail vanuit, zeg ff KPN, en gaan dan daadwerkelijk zitten wachten of de attachment nog eens wordt geopend terwijl het rode scherm van een vorige crypto-variant allang op beeld staat.

De logica ontgaat me; als je al 10 jaar een Mercedes rijdt en er ligt een envelop op jouw deurmat met een rekening van Batavus of van Nissan, ga je dan ook blind de aangehechte acceptgiro invullen inclusief de alarmcode van je Mercedes? En dan wachten tot je Mercedes "gekidnapt" wordt?
Aan de andere kant wil je ook niet dat een deurwaarder je voordeur forceert omdat er een openstaande rekening aan de verkeerde klant gekoppeld is.
Als je een brief van een deurwaarder krijgt kijk je ook wat erin staat, ook al verwacht je geen brief van een deurwaarder.
Vooral de generatie tussen 20 en 45 is direct achterdochtig wanneer je zo'n bericht via mail krijgt. Ouderen realiseren zich dat vaak nog niet.
Bij twijfel bel ik altijd desbetreffende instantie of mail ze en vraag om bevestiging. Indien ze interesse hebben stuur ik de phissing mail met eventuele bijlage of website door voor nader onderzoek. Dit heb ik onder andere gedaan bij Rabobank, ING, ABN-Amro, PayPal, Microsoft, Marktplaats. Dit initiatief wordt vaak met open armen ontvangen.

Na contact met desbetreffende bedrijf of bedrijven licht ik mijn directe omgeving in om verdere eventuele schade tegen te gaan. Ik help een hoop mensen boven de 40 jaar en deze zijn niet allemaal computer minded. Bij hun moet een computer het gewoon doen als ze op de aan/uit-knop drukken en ze moeten klikken op hun bekende desktop icoontjes.

[Reactie gewijzigd door aliberto op 19 februari 2016 15:40]

Het is niet zo dat er bij een schuld meteen een deurwaarder komt en al helemaal niet zo dat deze meteen je voordeur forceert.

Eerst moet de vorderende partij je een rekening sturen. De rekening moet rechtmatig zijn.
Als je na eventuele herinneringen niet voldoet, kan een incassobureau ingeschakeld worden. Die kan geen beslag leggen en ook niet een deur forceren.

Uiteindelijk komt een deurwaarder, maar die zal ook eerst een vonnis moeten krijgen van een rechter. Een deurwaarder zal ook eerst de nodige communicatie voeren.

Kijk hier voor meer info: https://www.rijksoverheid...assobureau-of-deurwaarder
Voordat de deurwaarder beslag kan leggen, legt hij de zaak voor aan de kantonrechter. U krijgt via de deurwaarder een dagvaarding om voor de kantonrechter te verschijnen. Hierin staat wat de eis van de schuldeiser is en wanneer u voor de rechter moet verschijnen. Als u het oneens bent met eis in de dagvaarding, kunt u zich verweren. Hoe dit werkt, staat in de dagvaarding.
Als je via email een rekening krijgt van een bedrijf dat voor jou onbekend is, kun je die het beste gewoon negeren. Zeker geen bijlages openen.

Toevoeging: Als het bedrijf of de instantie wel bekend is, controleer dan eens het afzender-adres. Als dit niet overeenkomt met wat je verwacht, kun je de mail het beste ook gewoon negeren. Heb je twijfel, neem dan contact op door zelf de website van het bedrijf of de instantie te bezoeken via je browser. Gebruik hiervoor nooit een link uit de mail!

[Reactie gewijzigd door Synthiman op 19 februari 2016 16:46]

De deurwaarder was slechts een voorbeeld. Als een rekening onterecht op jouw naam staat, wil je dat ook weten. Daarnaast krijg je soms een factuur van het moederbedrijf van het bedrijf waar jij iets hebt besteld.
Het is gewoon gemakkelijk gezegd dat je facturen van een onbekend bedrijf niet moet openen. Zeker als het om oudere mensen gaat.
Zou het niet mooi zijn als boekhoud software hier een rol in ging spelen...
met een anti spook factuur module. Alle bedrijven die nog een vordering hebben op jou met naam en bedrag op te vragen gesorteerd op bedrag.
En.... hier moet de overheid actief in worden, het moet mogelijk worden om van een bedrijf de factuur in één of ander veilig formaat te ontvangen en anders de factuur te weigeren. Oftewel te kunnen eisen dat de factuur een... (ik zou zelf voor pdf gaan denk ik) is.
Een brief van een deurwaarder krijg je netjes aangetekend per post. Tot die tijd hoef je je nergens zorgen over te maken.
Die brief maak je toch ook open? Ook als je denkt dat die onterecht is. Je wil toch weten wat er aan de hand is.
Ja maar aanmaningen per e-mail niet. Moet wel heel wat aan de hand zijn om een aanmaning te ontvangen, althans daar ga ik van uit.
Ik denk dat je een groot deel van de mensheid overschat.

Een hoop mensen zijn zeer goed gelovig, vinden internet en email al spannend en vreemd genoeg en snappen niet dat een email wel eens vervalst kant zijn omdat ze zelf geen benul hebben van hoe het nu werkelijk werkt.

"Als de afzender klopt, dan kan er toch niets mis zijn?" Ook al hebben ze nooit zaken gedaan met het betreffende bedrijf, ze willen toch weten wat er in de factuur staat als ze gaat bellen om te melden dat het niet klopt dat ze een factuur hebben ontvangen...

Ze snappen niet hoe het werkt maar moeten er wel mee om gaan, dan maken ze fouten.
Tja, dat klopt misschien. Maar ga eens kijken bij de webwinkels waar je via Ideal aan betaald.

Dat zijn ook niet altijd duidelijke bedrijven.Het wordt door deze tussenbedrijven niet altijd beter en duidelijker.

Aan de andere kant ik betaal niks wat ik niet verwacht. Komt er iets onverwachts ga ik eerst zoeken of de tegenrekening wel een eerlijke rekening is.

Dit doe ik zelf bij bv boetes of belasting aanslagen om te voorkomen dat ik deze foutief betaal.
Klopt, zo ging het bij ons deze week dus ook mis.
'Imagine the intelligence of an average person.. half the population is dumber than that'
Hier in het bedrijf kwam de "factuur" uit naam van een partner, je vergist je hoe geraffineerd deze aanval is
Inderdaad, met wat automatische social engineering kan dit heel goed. Spit mail door of gebruik database van gehackte webshops m je spam wat persoonlijker te maken.
Je ziet het toch wat te simpel vrees ik. Ik ondersteun verschillende boekhoudkantoren en fiduciaires, die krijgen continue facturen van verschillende klanten/bedrijven die ze dan moeten inboeken, als ze bij elke mail de IT dienst / klant moeten bellen, dan gaan ze niet veel werk meer over hebben..

Wel heb ik hun aangeleerd om geen .zip bestanden te openen als bijlage en ook geen word/excel bestanden. Facturen komen via PDF!
PDF's zijn ook niet heilig. Zorg dat je ze in een soort van veilige modus leest. Hangt af van welke reader je gebruikt.
Precies dit, het grote probleem is, mensen denken niet na.
En dat is niet alleen hiermee het geval, maar met veel meer zaken.

[Reactie gewijzigd door Alexander_v_H op 19 februari 2016 15:39]

Er zijn zat bedrijven waar miljoenen mensen zaken mee doen/hebben gedaan. Je verwacht dat het CJIB geen acceptgiro per mail stuurt, maar dat is niet het eerste waar je aan denkt als je daar mail van krijgt. Belastingdienst? GasWaterElectra rekening? Als de mail maar vaag genoeg is ga er vanzelf mensen in de bijlage kijken waar het over gaat.
-foutje

[Reactie gewijzigd door Toth70 op 19 februari 2016 15:17]

Nee, je gaat de acceptgiro niet invullen. Maar de brief openen en eens lezen wat er in staat....ofwel het word-bestand openen. En als je dan niet weet wat het runnen van een macro inhoudt hang je al.
Tsja, normaal geef ik je helemaal gelijk.
Maar de laatste tijd valt het mij wel op dat ik soms toch even moeite hebt met het terug vinden van mijn aankopen.
Een regel op mijn bankafschrift van de Xenos is makkelijk zat. Maar Hollandsnieuwe besteed zijn incasso's uit aan Adyen zo te zien.
En ik heb toch al 2x in december moeten nakijken in de mail wat ik op een bepaald tijdstip besteld had om 'm te matchen aan het afschrift. De naam van jouw bv hoeft namelijk totaal niet te matchen met de winkel naam of de naam op het busje van de slotenmaker maar staat wel op het afschrift. Dus kan jij geholpen zijn door Ed en Willem's Klusteam maar een rekening krijgen van Bever B.V. Als je weet dat er nog een rekening aankomt zou ik denk ik ook wel iets openmaken.
Digitaal natuurlijk nooit, maar daar ben je dan Tweaker voor :)
Van de andere kant verlopen allerlei betalingen via de meest vreemde bedrijven. Mijn telrek wordt geincasseerd door Ayden en niet HollandsNieuwe, er worden afspraken gemaakt door een of ander bedrijf dat zegt namens Stedin contact op te nemen, en dat blijkt dan te kloppen, PostNL heeft bij een vorige malware-run een bericht uitgedaan dat er malware uitging, en de links in dat bericht gingen NIET naar PostNL, maar naar een of andere obscure nieuwsbrief-clicktracking-url. |:(

Legitieme mails triggeren haast net zo vaak 'LET OP: dit bericht kan een scam zijn'-meldingen in mijn mail als niet-legitieme mails. :/
in de meeste gevallen stuur ik [via ideal betaling] altijd deze afrekening door naar mijn speciaal email adres [alleen voor facturen, betalingen end.] met een te herkennen onderwerp. Dan kan ik later terug vinden waarvoor ik dit bedrag heb overgemaakt. Dit kan je makkelijk doen bij bv de ING app. En ben ik dit vergeten kan ik mij aanmelden bij de ING en alsnog de boeking als pdf aan mijn email adres doorsturen. Nu alleen nog een agenda die dit ziet en mij laat weten wanneer de garantie verloopt...
Geheel eens, doch er is één zwakke plek. Bij bedrijven is niet altijd duidelijk wat de relaties zijn. Papieren spookrekeningen sturen is ook scherming en inslag bij sommige bedrijven.

Maar het is ook de ongezonde nieuwsgierigheid van de mens. "Hé, waarom krijg ik een rekening van KPN. Ik heb toch geen KPN?" _/-\o_
jij en ik als tweaker wel... Mijn ouders bijvoorbeeld daarintegen....
Onze inkomende administratie afdeling .....
Die krijgen per dag 100'en mails met attachment, alle vormen, pdf, excel, word, opendoc tot aan 50MB tiff scans :|
Die moeten allemaal geopend worden om te bepalen WAT ermee gedaan moet worden.
De fout is zo gemaakt om de macro te accepteren, helaas ....
[...]


Onze inkomende administratie afdeling .....
Die krijgen per dag 100'en mails met attachment, alle vormen, pdf, excel, word, opendoc tot aan 50MB tiff scans :|
Die moeten allemaal geopend worden om te bepalen WAT ermee gedaan moet worden.
De fout is zo gemaakt om de macro te accepteren, helaas ....
Dan vraag ik me toch af waarom macro's aan moeten staan om facturen te kunnen bekijken. Nergens voor nodig en je haalt je wel een hoop ellende op de hals.
Omdat het niet alleen facturen zijn, maar de hele verwerking.
Dus klantgegevens van nieuwe, oude en evt vertrekkende klanten.

En omdat het 'moeder'bedrijf ineens "klantvriendelijkheid" wil uitstralen, moet ineens al het binnenkomende maar aangepast worden aan de afzender.
Je mag tegenwoordig niets meer in de weg leggen om maar niet "onvriendelijk" te lijken.

* FreshMaker moest de vermelding van dit risico aan 4 personen melden voor er ook maar nagedacht ging worden.
( mijn laatste melding was dan ook voorzien van de disclaimer dat het vrijdag was, en er tot maandag genoeg tijd is om iets op te lopen )

Zag op de camerabeelden wel wat "actie" in de serverkamer, dus vermoed dat er een extra backup getrokken is ;) )
Ik deed laatst zaken mete en juridisch kantoor en om die reden werd alles wat niet PDF of text was werd gewoon geweigerd door de email filters. Ik moest mijn gescande JPEG dus ook herzenden :+

Beetje extreem paardemiddel, maar wellicht is dat de oplossing voor bepaalde bedrijven?

Een meer algemene oplossing is verder de mensen die de binnenkomende email ontvangen, afschermen van andere afdelingen. Of door hun netwerk rechten te verminderen, geen admin rechten op PC, etc.

Maar ja het blijft soms achter de feiten aan lopen.
Mijn klanten helaas ook. Al meerdere gehad met dit zeer vervelende virus. Vooral omdat het niet alleen text en spreadsheet bestanden versleuteld maar ook programma bestanden waardoor bedrijfskritische programma's er ook mee ophouden.
maar ook programma bestanden waardoor bedrijfskritische programma's er ook mee ophouden.
?? Vanochtend las ik dit topic: Howto: .locky ransomware dat ook wordt aangehaald in het artikel hierboven.
Daar staat in dat je programmas veilig zijn, een tweaker stelde zelfs voor om zijn bestanden in Program Files te zetten. (Niet verder gelezen dan sinds 10 uur vanochtend, dus er kunnen extra posts zijn gekomen.)
exes misschien niet maar er zijn extensies zoals .hmv en custom databasefiles die specifiek zijn voor de applicaties die ze draaien die doodleuk ook worden geëncrypt waardoor de applicaties niet meer werken.
Ik denk dat je de kennis van de gemiddelde computergebruiker gigantisch overschat.
Ten eerste dat je de afzender niet kent, moet dat een aanwijzing zijn voor oplichting? Krijg op papier ook wel eens een rekening van een onbekend bedrijf welke toch blijkt te kloppen.
Ten tweede werd veel mensen dat PDF überhaupt bestaat, voor hun is een email een email, ongeacht welk bestandstype er bijgesloten is. Daarnaast heb ik toevallig daadwerkelijk een valide email gekregen met een .Doc als rekening, het komt voor.
Als laatste zullen macros voor heel veel mensen totaal.onbekend zijn. Het is slechts de zoveelste vraag die de computer mij stelt, ik wil gewoon die rekening zien..
Dat jij, ik en hopelijk iedereen op Tweakers op zijn minst rudimentaire kennis hebben, maakt niet dat dat geldt voor de totale populatie.
Het gaat vooral om de combinatie van die dingen. Ik heb ook wel eens een rekening gekregen van een bedrijf in de vorm van een xls. Bijzonder onprofessioneel, maar soit. Maar ik wist wel dat ik zaken had gedaan met dat bedrijf.
Dan nog blijft het uitkijken met macro's. Voor hetzelfde geld is dat onprofessionele bedrijf op meer vlakken niet professioneel en hebben ze last van wat besmettingen hier en daar.
Het is net als bijlagen van familie en vrienden niet zomaar klakkeloos openen.
Lekker simpel gedacht weer. Wat dacht je van een bedrijfsaccountant waar honderden rekeningen binnen komen van allemaal verschillende bedrijven. De accountant ziet een lege excel/word en gaat er van uit dat de data alleen te voorschijn komt wanneer de macro's geaccepteerd worden. Dit is er van uit gaande dat de accountant het bericht daadwerkelijk leest, het merendeel zal gewoon die vervelende popup weg klikken zodra die in beeld komt.

Door zo'n aanval op bedrijven te richten haal je het probleem van "onbekend berdijf" weg en focus je je op de doelgroep die waarschijnlijk in de buidel zal tasten om zijn data terug te krijgen. De enige barrière die je nog hebt is dat de macro's geaccepteerd moeten worden.

Als ik kijk naar de computer kennis van de gemiddelde accountant in mijn omgeving denk ik dat deze ransomware een hoop slachtoffers gaat maken in het bedrijfsleven.
Ik denk dat je het verkeerd ziet.
Deze randsomware gaat een hoop bedrijven bewust maken van de waarde van een goede controle en beveiliging. (en Backups)
Het één sluit het ander niet uit.
Je staat er soms versteld van wat sommige mensen allemaal maar klikken en zich dan afvragen hoe het kan dat zulke dingen gebeuren.
Nou is het ook zo dat de andere kant steeds beter wordt. Als ik een mailtje krijg van de SNS gooi ik hem weg. Van mijn eigen bank weet ik dat ze niet mailen.
Maar als redelijk doorgewinterde tweaker trapte ik toch bijna in een mail dat er iets met mijn iCloud aan de hand was. Het was gestuurd naar een e-mailadres die ik puur alleen voor iOS gebruik en nooit ergens anders heb genoemd, dus begrijp nu nog niet hoe ze eraan gekomen zijn.
Als de mail niet in het Frans opgeteld was, kon ik er best wel eens ingetrapt zijn.
ik kijk altijd eerst naar de headers van de mail, alvorens ik deze open (dit kan in de door mij gebruikte mailclient K-9, weet niet of dat voor andere mail clients een optie is) .

Dit heeft meestal tot gevolg dat heel duidelijk te zien dat afzender niet is wie zegt dat hij is met als gevolg mail naar het ronde archief.


edit:typo's

[Reactie gewijzigd door Deakers op 19 februari 2016 16:12]

Vertrouw ik ook niet helemaal meer. Ze worden steeds beter en netter en kunnen dat vast ook al of binnenkort manipuleren.
Het laatste vangnet wat ik bij twijfel altijd toepas is een zin kopieëren en ff door een zoekmachine gooien. De mail die ik beschreef viel daardoor al dubbel door de mand.
Dat werkt pas goed als je niet een van de eersten bent die een dergelijke mail ontvangt. Ben je dat wel en is er niets te vinden dan hang je alsnog. Eigenlijk zou je mail een paar dagen in quarantaine moeten voor je ze leest.
Headers zouden verplicht standaard zichtbaar moeten zijn, danwel een grote/opvallende knop waarmee je de headers in kunt zien. In alle mailclients/webmailsites.
Ctrl + U in Thunderbird. Doe ik enkele keren per week.
Vandaag nog met een mail van een bank in Hong Kong; ik had een erfenis tegoed van 16 miljoen. :D
Nou daar hoef je geen headers voor in te zien. Als je daar in stinkt verdien je het en dan bedoel ik niet die 16 miljoen.
Je kan het in jouw geval ook omdraaien, wanneer je Cloud niet meer goed werkt zou het mailtje evt toch wel eens echt kunnen zijn geweest........

Anyways, een onderliggend probleem is ook een nogal sterke stijging van criminaliteit die vooral ouderen voor hun kiezen krijgen en dan vnl uit andere delen van de wereld.

Iedere oplichtende Nigeriaan (nationale hobby daar) kan zonder problemen bij Markt Oplichtings Plaats reageren op advertenties. Veel mensen zullen .ondanks dat ze in het achterhoofd wel weten dat het via Internet mogelijk is. nooit goed beseffen dat diegene die interesse heeft in jouw dure aanbod zich helemaal niet in Nederland bevind.

Daar komen dan nog eens de wel uit Nederland komende Oplichtings bendes bij die sinds 2008 ook zo ongeveer vrij spel hebben en samen voor 2,5 miljard oplichten per jaar. Tja en 2,5 miljard per jaar over 17 miljoen Nederlanders is ieder jaar gemiddeld 150 euro per Nederlander, jaar in jaar uit, prioriteit OM & Politie blijft 0,0.
[Discussie] Oplichting, gevolgen en aanpak
Een reactie kan ik niet plussen, maar zo denk ik ook en is wel het verstandigst. Nooit ergens op reageren. Als het echt niet goed is stopt de iCloud of pinpas vanzelf en kan je via de officiële lijnen zelf contact opnemen.
Dit!

Mijn eigen bank, heeft dit zelfs standaard in het signature staan. Elke email die men zend, staat ook online, hetgeen ze ook elke keer in de email zetten.

Verder wordt de laatste keer dat ik ingelogd was in de email vermeld. Dan wordt fraude wel heel moeilijk.

Maar ja, een keer onoplettend zijn en je bent soms de klos ook al was je daarvoor 1000x zorgvuldig.
Het is echt verschrikkelijk hoe sommige mensen alles maar klakkeloos openen. Op de een of andere manier zijn mensen op de afdeling financieel nog wel het naïefst van allemaal... ongelooflijk. En als je de boel dicht timmert krijg je de wind van voren want dan kunnen ze 'niet normaal werken'.
Bij veel bedrijven staat macro security vaak heel laag, vaak gewoon op run alles maar zonder vragen om gezever van gebruikers te voorkomen of om te voorkomen dat bepaalde documenten niet werken (is mijn ervaring tenminste). Je hoeft dan alleen nog maar de bijlage te openen en je bent al de sigaar.

Ik vind deze trouwens veel gevaarlijker dan een vage website bezoeken of een executable starten. De kans is een stuk groter dat een gebruiker hierin trapt, misschien jij niet als privépersoon maar bedrijven krijgen zo vaak rekeningen van andere bedrijven/personen die ze niet kennen dus als je zoiets krijgt is het wel plausibel dat men het gaat openen. Rekeningen die in PDF worden vestuurd is trouwens ook niet standaard ofzo hoor.

Het feit dat dit virus ook nog eens fileshares gaat doorlopen maakt het allemaal nog linker dan het al was en doordat het een macro is zal het ook niet door bijv. een applocker policy worden tegengehouden.

Edit: correctie, Applocker blokkeert wel degelijk .js scripts:

https://technet.microsoft...255&MSPPError=-2147217396

Ik kan trouwens ieder bedrijf aanraden applocker te activeren, scheelt een hoop van dit soort gezeik. Het is toch bizar dat gebruikers in de meeste omgevingen nog steeds zomaar iedere executable of script uit kunnen voeren.

[Reactie gewijzigd door mkools24 op 19 februari 2016 15:00]

Zover denken jij en ik Door ja...maar het gros van de mensen klikt automatisch Door zonder te lezen wat er staat.

Zelfde slag mensen als die zonder blikken of blozen elke acceptgiro betalen die ze binnen krijgen...zoals mijn buurman...brief voor mij was in zijn bus terecht gekomen en pas nadat hij de rekening betaald had, kreeg hij in de gaten dat mijn naam op die brief stond......ongelooflijk zulk soort mensen.
je hebt je buurman toch wel bedankt he voor het betalen? :P
tuurlijk :) en hij vroeg of ik het dan even naar hem wilde overmaken. LOL

aangezien het een verschrikkelijk eikel is heb ik gezegd nee, je gaat je geld maar terug halen bij hun en ik betaal gewoon naar hun :P
kijk zo hou je je buren relatie tenminste op peil :+
Als privé persoon trap je er misschien niet zo snel in maar ik kan mij voorstellen dat de administratieve medewerker van een KMO genoeg kleine facturen binnen krijgt vanwaar hij of zij de bron niet kent. Combineer dat met een slechte IT kennis binnen vele KMO's en je hebt een mooi doelwit als malwaremaker. Zeker omdat er wellicht wel belangrijke documenten versleuteld zullen geraken en het gevraagde bedrag niet schrikbarend hoog ligt denk ik dat er veel bedrijfjes wel zullen betalen om de continuïteit niet in het gedrang te brengen.
Mensen zijn nieuwsgierig en willen weten wat er gestuurd is. Een melding dat om iets goed te kunnen zien je macro's moet inschakelen.. ok, inschakelen.
Vergelijk het met het installeren van reguliere software, zodra je de schermpjes met uela voorbij ziet komen ramt de overgrote meerderheid ook op "yes".
Tijdens het installeren gaat waarschijnlijk je av/firewall paar keer miepen.. het zal wel.. doorgaan! Miept het te vaak: vertrouw de hele applicatie.
Klinkt als de laatste keer dat ik mijn OS onderuit gehaald heb. Niet te vertrouwen software en toch overal op yes drukken, AV uitschakelen en FW toegang geven want die liepen te miepen en halverwege de setup BSOD'de mijn windows naar een failend repeterend bootscherm.
jij hebt duidelijk geen idee waar gebruikers allemaal toe in staat zijn... Al eens bij een ietwat oudere persoon geweest die weinig kaas gegeten heeft van ICT, hoeveel toolbars die in z'n browser heeft, juist ja!
De meeste mensen zijn misschien eerder nieuwsgierig en willen uitzoeken waarom ze die rekening ontvangen hebben.
Het zou mij ook niks verbazen dat als je een rekening van KPN krijgt via z'n mail dat z'n persoon KPN belt en vraagt om uitleg.
aard van het beestje vrees ik
'the world needs stupid people to make smart people stand out'

er zullen altijd mensen zijn die dit soort bende openen en dan zich vervolgens gaan afvragen:

'goh had ik een transactie gedaan naar dit apenlandje waar ik nog nooit zaken mee heb gedaan'

of

'goh handeld de KLPD nu vanuit (insert random eastern block country) om zijn boetes voor te hard rijden uit te betalen.. en ook nog via office?

nee maar serieus.. er zullen altijd mensen blijven bestaan die beter niet achter een pc kunnen gaan zitten die op internet is aangesloten. enkel en alleen om het feit dat ze niet opletten terwijl ze tv kijken (email van uw bank, die om uw rekening gegevens vraagt? KLIK WEG! BEL UW BANK!)
Ja, ik klik die melding toch weg? Maar vervolgens helpt mijn bank me niet om mijn foto's weer terug te halen. En ik heb gedaan wat ze zeiden! Stomme bank!
lol you get my point dude... don't be a retard.
Voor de mensen die het zich nog afvragen, jup, dit is gewoon georganiseerde criminaliteit. Het heeft niets meer te maken met de hacker die op zijn zolderkamertje een beetje irritant zit te doen.

Het meeste vervelende van ransomware is dat het zo lastig aan te pakken is: Servernamen wijzigen snel, infectiemethode verandert snel (ik heb zelfs gezien dat hackers in Californie mensen gewoon opbellen en door een proces heen loodsen!), code wijzigt snel -- het is letterlijk een race tussen anti-virus bedrijven en mensen die hier geld aan verdienen. Zolang het geld blijft opleveren (omdat mensen betalen, omdat ze hun data niet kwijt willen zijn) kunnen ze investeren in nieuwe manieren om ellende te veroorzaken.
Er gaat ergens geld heen en dat is te traceren.
Niet echt.. er is een reden dat ze bitcoins gebruiken en geen gewone rekening.
Alleen zijn bitcoins relatief makkelijk te volgen gezien alle transacties online en openbaar staan, en zodra je het wilt omzetten naar echt geld val je te traceren. De moeilijkheids graad zit hem in dat je onbeperkt wallets kunt aanmaken en geen NAW gegevens o.i.d. hoeft te koppelen.
En dat alles op een grote hoop terecht komt als je het overmaakt naar een exchange.
De moeilijkheids graad zit hem in dat je onbeperkt wallets kunt aanmaken en geen NAW gegevens o.i.d. hoeft te koppelen.
Dus je kan de transacties zien maar niet de persoon. Snap je dan niet dat dat precies is wat criminelen willen?
Dat wordt inderdaad geprobeerd...

Geld wordt meestal betaald via bitcoins. Vervolgens gaat het door allerlei verschillende witwaskanalen voordat het bij iemand terecht komt. Een bekende techniek is het eerst over heel veel transacties te splitsen en via complexe wegen weer samen te voegen. Een andere truuk is om iets waardevasts te kopen van het geld, wat dan vervolgens weer (elders) verkocht wordt. Soms in meerdere landen, via meerdere valuta, etc...

Het is echt niet makkelijk te traceren. O.a. de FBI probeert het al tijden.

Note: voor de mensen die wijzen naar de relatie met bitcoins -- dit is op zich niet direct het probleem. Bitcoins hebben een chain, die je kan gebruiken om transacties te herleiden.

[Reactie gewijzigd door atlaste op 19 februari 2016 15:23]

Note: voor de mensen die wijzen naar de relatie met bitcoins -- dit is op zich niet direct het probleem. Bitcoins hebben een chain, die je kan gebruiken om transacties te herleiden.
Dat is altijd zo'n nonargument. Hier is mijn Bitfinex deposit adres: https://blockchain.info/a...JGWTdmhKGCBGX417FmUWKkxgZ

Veel plezier met uitzoeken wat er met mijn bitcoins is gebeurd.

Nou is Bitfinex een redelijk grote. Hoewel in Hong Kong gevestigd doen ze veel om te voldoen aan anti-witwas wetgeving, dus wellicht voldoen ze aan verzoeken om transactiegegevens op de beurs zelf. Er zijn echter tal van exchanges die wat meer onder de radar opereren in belastingvrije staatjes die maling hebben aan dat soort regels.
Op zich is dat allemaal niet anders voor normale bankrekeningnummers hoor...
Op zich is dat allemaal niet anders voor normale bankrekeningnummers hoor...
Daarvan weet de bank van wie het is en kan de politie komen aanbellen als je het losgeld naar je rekening laat overmaken. Dit soort criminaliteit kan alleen bestaan als er een betaalmethode is die makkelijk is en waarbij het traceren van de ontvanger vrijwel onmogelijk is.
Was dat nou niet het mooie aan Bitcoins, dat ze niet te traceren zijn?
Bitcoin transacties zijn juist ultiem traceable, iedereen kan de blockchain downloaden. Je moet alleen achterhalen welk adres van wie is, maar je hebt een goed startpunt (nl. het adres waar de transacties heen gaan). Maar, zoals .oisyn opmerkt, via een paar shady tussenhandeleren zal dat wel lastig te maken zijn.

[Reactie gewijzigd door Wilke op 19 februari 2016 15:34]

neen, er wordt gebruik gemaakt van heel veel tussenrekeningen, belastingsparadijsen, en dan droogt het spoor langzaam maar zeker op. Een techniek die al sinds de jaren 80 door de maffia enz wordt gebruikt trouwens.
Het (fiat) geld gaat naar een bitcoin handelaar of een exchange. De bitcoins gaan vervolgens naar een willekeurig adres, dat uiteindelijk ook weer naar een wat meer shady exchange gaat waarna het spoor vervolgens zoek is omdat die exchange geen logs heeft.
En dus moet het betalen verboden worden. Dan zijn inderdaad nu een paar mensen en bedrijven de zak. Maar daarna is het wel afgelopen.
tja, maar wat doe je dan met ziekenhuizen?

http://www.theguardian.co...esbyterian-medical-center

@ATS,

dus klinisch onderzoek de vuilbak in? Het zijn vooral de patiënten die daar "pech" mee hebben. Soms ben ik verbaasd van wat mensen aangeven als zijnde een "oplossing"

[Reactie gewijzigd door white modder op 19 februari 2016 16:27]

Juist voor instellingen en bedrijven zou dat moeten gelden. Dat ziekenhuis heeft dus pech. Net zoals ze bij een brand zonder behoorlijke backups pech hebben. En ja, dat kan erg pijnlijk worden hier en daar. En vast ook niet eerlijk voelen.
Maar daarna is het wel afgelopen.
Helaas is dat iets te rooskleurig. Wanneer er relatief minder betalingen binnenkomen (want dat is het, minder betalingen maar niet helemaal geen meer omdat de wetgeving zo is) worden de cryptolockers alleen maar op grotere schaal uitgerold.

Men rijd nu ook al te hard met het risico van een hoge boete, alleen maar omdat ze dan een minuutje eerder thuis zijn. Je gehele data lijkt me voor de meeste mensen belangrijker dan dat minuutje eerder thuis komen. Ik gok dat de meeste liever de wet in dat geval overtreden en hun data terug hebben dan dat ze braaf niets doen.
Inderdaad de beste oplossing, maar zie dat maar vol te houden.
Zelfs de Amerikaanse overheid betaalde uiteindelijk de Iraniers terwijl dat volgens eigen regels niet mocht (Irangate).
gaat het hier om een inherent lek in .docx bestanden, of om een lek in de Office-Suite van Windows (voor Windows)?
Het is voorzover ik weet geen bug, maar een documented feature. Namelijk: macro's en Visual Basic.

[Reactie gewijzigd door Egocentrix1 op 19 februari 2016 15:15]

maar 'Visual Basic' impliceert dus dat het om Windows software-oplossingen gaat die de feature ondersteunen van .docx?
Niet specifiek .docx, VBA/Macro's zijn al jaren onderdeel van Office, maar geen idee hoe dit doortrekt naar OpenOffice of Mac versies. In de basis ook niet bijzonder interessant, ze pakken de grootste doelgroep vooralsnog, Office op Windows.
ah, sweet. Dat was m'n voornaamste concern. Thanks!
Nee, je kunt binnen een Office-document (meestal Excel) een VB script gebruiken om dingen voor elkaar te krijgen die je met de standaard functies niet kunt doen. Ik gebruik bijvoorbeeld een simpel VB scriptje waardoor ik in Outlook een hele rits mailtjes kan selecteren en dan in één keer alle bijlages van alle mailtjes kan opslaan. Maar in principe kun je daar ook van alles in doen dat niets met Excel of Outlook te maken heeft – zoals hier dus gebeurt. Daarom staat die functionaliteit standaard ook uit.
Docx bestanden kunnen geen macro's bevatten. Daarvoor heb je de extensie DocM.
Het lek zit in de onkunde en nieuwsgierigheid van de mens.
Ook bekend als PEBCAK.
Hier eerst gedownload, gescand, was "ok", en toen geopend met -wordpad-.
Hoop rommel. Daarna meteen alle exemplaren gedelete / naar de spam folder.
gaat het hier om een inherent lek in .docx bestanden, of om een lek in de Office-Suite van Windows (voor Windows)?
Ligt het aan Office als een gebruiker zelf de Macro security uitzet omdat een vreemd mailtje daarom vraagt?
ik krijg sind vandaag ook deze binnen maar dan met een zip bestand.

Sehr geehrte Damen und Herren,

bitte korrigieren Sie auch bei der Rechnung im Anhang den Adressaten:

LFW Ludwigsluster Fleisch- und Wurstspezialitäten
GmbH & Co.KG

Vielen Dank!
Zojuist ook deze gehad, deze was met bijgesloten zip. Gelukkig vallen alle zip, rar enz in Quarantaine zodat ik als beheerder controle heb.
Oei, ik koop best veel via Amazon.de, en de externe verkopers sturen vaak ook een factuur na. Ik moet dus best opletten want soms kijk ik ook niet hoor :)
Die mail hebben we ook binnen gekregen.
Onze PC noob vertrouwde het niet en gedelete dus.
Tweaker fvdberg doet in een tweakblog uit de doeken welke registeraanpassingen de ransomware allemaal doet.
Registeraanpassingen. Werkt dit alleen op Windows?
Hoe kan een macro een registry aanpassing doen zonder elevated permissions?
Maar op jouw vraag, tuurlijk Windows, grootste trefkans.
Hoe kan een macro een registry aanpassing doen zonder elevated permissions?
Hoe kan een macro in de achtergrond (js) executables downloaden en runnen die vervolgens stilzwijgend registry aanpassingen maken die het vervolgens mogelijk maken stilzwijgend files te encrypten en deleten?

Dat vraag ik mij dan weer af... Zijn macro's dingen die standaard (na inschakelen) buiten hun sandbox (excel e.d.) dingen mogen doen op het hele OS?! Of zijn hier exploits voor nodig?

[Reactie gewijzigd door GeoBeo op 19 februari 2016 16:48]

Macro's in excel zijn heel krachtig je kan er bijna alles mee.
Mijn gok is een linux achtergrond. Macros komen in de buurt van bash script swelke in de achtergrond ongezien zijn ding kan doen.
Had eerder deze week ook de desbetreffende mail in de inbox. Hostingprovider liet deze gewoon door maar Gmail weigerde deze mail op te halen in verband met een virus.
Sinds wanneer is je Hosting Provider de aangewezen organisatie om Jouw Mail te controleren op virussen??? Staat dat in je Contract?

Dat je provider het niet doet, en Gmail om een of andere reden wel, soit.

Je bent en blijft zelf verantwoordelijk voor het controleren van al je Mail.
Als ik dat zelf aan of uit kan zetten dan zijn zij inderdaad de aangewezen partij om mijn mail te controleren.
Dat mag je denken, maar je blijft Privé / Bedrijf, zelf verantwoordelijk.
Ik rep helemaal nergens over wie waar verantwoordelijk is. :)
Is er al een decrypt tool aanwezig? Zoals die van kaspersky niet al te lang geleden? Of wordt er überhaupt nog moeite in gestoken door AV/security bedrijven?

Heb nog een handje vol systemen hier staan waarvan de bestanden niet gedecrypt kunnen worden.
Dat zal helemaal liggen aan welke ransomware dat er gebruikt is. Als je op BleepingComputer kijkt zijn er diverse tools te vinden voor oa HydraCrypt/UmbreCrypt, LeChiffre, TeslaCrypt 2.0 en ouder, Randamant enz.
Ik ga eens kijken bedankt!

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True