Experts: TeslaCrypt-ransomware nu onmogelijk te kraken

Versie 3.0.1 van TeslaCrypt is volgens beveiligingsonderzoekers zo goed als onmogelijk om te kraken. Eerdere versies van de ransomware hadden kwetsbaarheden, waardoor decryptiesoftware gemaakt kon worden om getroffen systemen te redden.

Decryptietools zoals TeslaCrack, Tesladecrypt en TeslaDecoder hebben geen effect op systemen die zijn geïnfecteerd met de nieuwste versie van de TeslaCrypt-ransomware, schrijft het Talos-beveiligingsteam van Cisco. Door een kwetsbaarheid in de manier waarop de encryptiesleutel werd opgeslagen in vorige versies van de ransomware konden decryptie-kits gemaakt worden.

Tot dusver is er geen methode bekend waarmee systemen die besmet zijn met de nieuwe TeslaCrypt-ransomware ontsleuteld kunnen worden. Op het blog van Talos beschrijft het onderzoeksteam tot in detail het verbeterde encryptie-algoritme waar TeslaCrypt 3.0.1 gebruik van maakt.

Bestanden op systemen die getroffen zijn, worden door de ransomware voorzien van encryptie en de enige mogelijkheid om dat ongedaan te maken is het terugzetten van een back-up of het betalen van het losgeld, stellen de onderzoekers. De Talos-onderzoekers zien ransomware als de pest van het internet. TeslaCrypt zou in de top vijf staan van de meest voorkomende ransomware.

Het encryptieproces van TeslaCrypt

Reacties (319)

319

315

177

Wijzig sortering

loreedijk 17 maart 2016 08:04

Watchguard Firebox met APT ondersteuning als next Gen firewall gebruiken. Deep packet inspection inschakelen, Alles door de firebox laten scannen, adblocker inschakelen op de firebox, Eset endpoint security met HIPS ingeschakeld
Zorg dat je altijd alles (windows updates & versies) en alle software java en andere software up-to-date hebt.
EXTREEM kritisch zijn in waar je naartoe gaat, en welke e-mails met bijlages je opened.

en natuurlijk wat Basset ook al zegt:
Backup, backup, backup en nog eens backup Backup, backup, backup en nog eens backup Backup, backup, backup en nog eens backup

Dat is hoe wij het op dit moment buiten de deur houden
(knocking on wood)

Johan9711 @loreedijk • 17 maart 2016 08:13

Read only backup dan wel

ApexAlpha @Johan9711 • 17 maart 2016 08:34

Mhhh, mijn normale sync met een externe HDD zou dit niet voorkomen inderdaad. Dan zou hij gewoon de encrypted bestanden syncen.

EDIT: Ik weet dat een Sync geen échte back up is. Maar mijn Sync software heeft versioning. Dus mochten de encrypte bestanden worden gesyncd kan ik de rest nog altijd terug halen.

[Reactie gewijzigd door ApexAlpha op 23 juli 2024 21:21]

Skywalker27 @ApexAlpha • 17 maart 2016 09:43

Een sync met een HDD is GEEN backup. Je hebt immers geen retentie je kan geen dagen terug enz. Een sync beschermd je ook niet tegen domme fouten bestand weg geknikkerd dan knikkerd de sync hem ook van de disk af enz. enz.

hackerhater @Skywalker27 • 17 maart 2016 09:51

Ligt eraan hoe de synch werkt. Genoeg backup software die meerdere versies van de bestanden op slaat.

sygys @hackerhater • 17 maart 2016 12:58

Ja inderdaad. als je 1 keer per dag savonds een backup/sync doet dan kun je bij een foutje of bij het krijgen van deze ransomeware op de server de backup stop zetten zodat geen bestanden worden overgezet. En de oude versie weer terug halen.

We krijgen steeds vaker emails met zip bestanden waarbij de mail afzender zich voordoet als een factuur van bijvoorbeeld KPN. Ze worden steeds vindingrijker en steeds moeilijker te onderscheiden van echte legitieme emails.

Kunnen virusscanners niets doen aan deze vorm van ransomeware.

Het is trouwens niet aan te raden om de ransome te betalen. De kans dat je daadwerkelijk je bestanden terug krijgt is nihil.

Aial0n @sygys • 17 maart 2016 13:40

Ik heb juist gehoord dat je vrijwel altijd je bestanden terug krijgt. Voor de criminelen is het eenvoudig en als het eenmaal bekend is dat je je bestanden niet terugkrijgt, krijgen ze nooit meer een cent.

mohf @Aial0n • 17 maart 2016 14:00

Hoe meer mensen geloven dat zij hun data echt kwijt raken, hoe minder vaak mensen gaan betalen, en dus minder winst criminelen maken.
Omgekeerd, als iedereen gelooft dat je je bestanden terugkrijgt bij betaling, dan zullen mensen relatief vaker betalen. En dus meer winst voor de criminelen.
Het is dus in iedereen's belang als "andere mensen" de criminelen niet betalen.

[Reactie gewijzigd door mohf op 23 juli 2024 21:21]

Verwijderd @mohf • 17 maart 2016 15:08

Je laatste zin heeft totaal niets met de rest van je verhaal te maken. Dat deel komt er op neer dat criminelen de bestanden wel vrij zullen geven als je betaald omdat ze anders zichzelf in de vingers snijden.
Dit staat helemaal los van of mensen nu wel of niet bereid zijn te betalen.

Verwijderd @mohf • 18 maart 2016 07:56

Maar wat als je zeer belangrijk werk kwijt dreigt te raken? Iets waar je al maanden hard aan bezig bent geweest? Dan kan ik mij zeer goed voorstellen dat je de verleiding niet kan weerstaan om het losgeld gewoon te betalen. Dat is nou precies de emotie waar hackers op inwerken en die ransomware aan de gang zal houden.

Zelf knikker ik email bij de geringste twijfel weg. Een enkele keer betreft dat een legitieme email en als de afzender moppert dan meld ik doodleuk dat ze dan maar een bericht moeten sturen waarbij vaststaat dat zij de afzender zijn. Een simpele email is dat domweg niet. Niet mijn probleem.

mohf @Verwijderd • 18 maart 2016 11:27

Ja, als je erg belangrijke data op je besmette pc hebt, dan is de kans veel groter dat je betaald, maar de regel blijft gelden. Immers, als je zonder twijfel 100% zeker weet dat je je data nooit zal terugkrijgen, waarom zou je dan de criminelen betalen?

Persoonlijk heb ik alles op Dropbox & Google Drive staan en heb dus altijd van alles een backup. Ook heb ik nog nooit malware / spyware / ransomware gehad, ondanks dat ik geen elke vorm van beveiligingssoftware heb draaien (ik haat ze). Als je zo'n besmette virus gaat openen van KPN met een zip bestandje, en vervolgens de EXE file daarin openen dan ben je gewoon dom bezig. Maar helaas, als 0.01% van de miljoen mensen dat doet, dan heb je het al over 100 man.

[Reactie gewijzigd door mohf op 23 juli 2024 21:21]

Verwijderd @mohf • 18 maart 2016 21:19

Omdat je dat nooit 100% zeker weet en omdat een sprankje hoop ongetwijfeld mensen tot betalen zal bewegen. Een 1% succes rate lijkt mij voldoende motivatie voor een hacker om ermee door te gaan. Zelfs 0,1% mits het losgeld hoog genoeg is.

sygys @Aial0n • 18 maart 2016 21:23

Wildkamp is laatst aangevallen door ransomeware ze hebben betaald maar hebben geen enkele key terug gekregen. Het is dus niet altijd feest. en met de bedragen die ze vragen kun je het risico vaak niet lopen.

Verwijderd @sygys • 18 maart 2016 00:58

Dat zou wel redelijk dom zijn van de makers want dan betaald toch niemand. Beter is om een backup te hebben uiteraard maar als je die niet hebt en je moet je data terug hebben is het bij mijn weten gewoon veilig om te betalen.

exyll @ApexAlpha • 17 maart 2016 10:05

Een sync is IMHO geen backup, een backup mag alleen data *toevoegen* incrementeel dus en geen data overschrijven.

ejabberd @exyll • 17 maart 2016 10:45

Correct, al mag de backuptool natuurlijk backups ouder dan een ingestelde datum wel verwijderen.

2green @ejabberd • 17 maart 2016 15:11

Inderdaad, incrementele backups zijn wel fijn, maar zou mede i.v.m. ransomware niet instellen dat oudere backups verwijderd worden.

Zo kan het zijn dat een deel van je bestanden encrypt, beschadigd of iets anders is, terwijl je dit pas na moment X ontdekt.

Mijn oplossing hiervoor is incrementele backups middels rsync(wat op bijna iedere nas aanwezig is), waar ik perioden van ieder jaar altijd bewaar, maandelijkse updates een jaar en mijn regelmatige reguliere backups een maand. Had hiervoor altijd twee externa schijven, maar sinds het overlijden van een familielid heb ik er een derde harde schrijf bij om helemaal zeker te zijn dat niets kwijt raakt.

TIP: Je kunt rsync zo gebruiken dat hij van iedere incrementele backup alleen de gewijzigde bestanden overneem en toch de volledige bestandsstructuur terug kan zetten. Daarnaast is het met wat extra scripting mogelijk om zelfs geen kopieeen te maken van verplaatste en hernoemde bestanden, hier staat een geniale beschrijving van op internet als je hierop zoekt (je komt bijna altijd uit bij de bedenker hiervan).

[Reactie gewijzigd door 2green op 23 juli 2024 21:21]

tc-t @2green • 17 maart 2016 18:10

TIP: Je kunt rsync zo gebruiken.. <knip> ..., hier staat een geniale beschrijving van op internet als je hierop zoekt (je komt bijna altijd uit bij de bedenker hiervan).

Heb je hierover iets meer info of zelfs een URL? Ik heb al heel wat onderzoek naar rsync gedaan, misschien heb ik hem wel al eens tegengekomen, misschien niet.

Ik wil zelf graag wel dat het resultaat van mijn rsync operatie een exacte kopie van het origineel is, waarbij ik 1-op-1 alles zou moeten kunnen terugzetten in 1 beweging (met 1 kopieeropdracht)

Dat beschermt me natuurlijk niet tegen dit soort Crypto-rommel als ik het niet snel genoeg opmerk.

Ik ben voorlopig wat ideëen aan het verzamelen, een soort inventarisatie van de mogelijkheden zeg maar.

Momenteel gebeurt er een rsync van (een directorystructuur van) server1 naar server2 waarbij die directorystructuur op server2 dan identiek is aan die op server1. Morgen wordt die bijgwerkt en zal die identiek aan de situatie op server1 morgen.

Waar ik aan zit te denken is om op server2 dan eerst een "volledige kopie" te maken met hardlinks (of dus: er worden geen files gkopieerd) en daarna de rsync te laten uitvoeren vanaf server1.
Een alternatief zou kunnen zijn om een van de archive opties van rsync zelf te gebruiken - ik moet nog kijken wat het slimste is.

In principe zou dat de historie moeten bewaren en als we er vanuitgaan dat de directorystructuur in principe nu schoon is EN dat die server2 niet door het netwerk te benaderen is maar enkel door server1 dan zouden we relatief safe moeten zitten wat dat betreft?

-- update

uiteraard heb ik daarnaast ook nog de nodige offline backups (USB disks etc) maar daar heb ik niet genoeg historie op

-- update 2

Als ik dan die rsync ook nog vrij gedetailleerde rapporten zou kunnen laten mailen (hoeveel files / hoeveel bytes gekopieerd) dan zou verdachte activiteit me toch moeten opvallen.
In dat geval kan ik ervanuit gaan dat mijn laatste backup misschien waardeloos is, maar kan ik terugvallen op de voorlaatste, en op mijn offline backups?

[Reactie gewijzigd door tc-t op 23 juli 2024 21:21]

2green @tc-t • 17 maart 2016 22:17

Ja hoor, zoek morgen de links even voor je op.

Link 1 dat ik je stuur legt uit:
Als je gebruik maakt van een rsync server (dus niet benaderbaar als fileserver), dan worden gewijzigde bestanden alleen incrementeel toegevoegd aan je bestaande backup. Dus eventuele encrypte(malware) bestanden komen gewoon naar de niet encrypte bestanden te staan en kunnen geen kwaad. Dan kun je altijd weer terug naar iedere backup moment in het verleden, dus net voor dat de malware zijn ding deed.

Met link twee dat ik stuur wordt uitgelegd:
hoe je rsyn kan gebruiken om van verplaatste of hernoemde bestanden die verder niet gewijzigd zijn GEEN nieuwe kopieen te krijgen (dit neemt onnodige ruimte in op je backup schijf of schrijven)

Als laatste gebruik ook een externe schijf om af en toe een backup op te plaatsen, zodat je een zegenoemde ofline backup hebt. Omdat mijn zus overleden is en ik de foto's erg belangrijk vindt heb ik twee van zulke schijven waarvan altijd eentje bij mijn ouders liggen, dus zelfs brand vernietigd mijn info niet.

Stuur je morgen de links, mocht ik het vergeten reageer dan even na morgen op deze reactie.

kidde @tc-t • 17 maart 2016 23:03

rdiff-backup is denk ik niet wat '2green' hierboven bedoelt, maar doet volgens mij wel al het meeste van wat u beschrijft.
http://www.nongnu.org/rdiff-backup/

Je krijgt vziw per datum een map met daar alleen de wijzigingen in (omgekeerd dan want reverse incremental), als die in een keer heel groot is, is er veel veranderd en mogelijk gerotzooit. Mijn backup stond op een ro-gemounte partitie die bij iedere backup eerst handmatig met root pw geremount werd met rw en daarna gelijk teruggezet. En omdat het een externe HD was daarna fysiek ontkoppeld, dat maakt het weer lastiger voor malware om de backup te vernaggelen.

ed: Had het nog niet gelezen, maar gelijk aan wat ejabberd hieronder al een halve dag eerder zei.

[Reactie gewijzigd door kidde op 23 juli 2024 21:21]

ejabberd @kidde • 18 maart 2016 10:51

rdiff-backup is inderdaad heel gebruiksvriendelijk en maakt gebruik van de rsync-bibliotheken. Voor het e-mailen van rapporten kan tc-t gebruik maken van de output van de bijhorende tool rdiff-backup-statistics. Uit de manpage:

rdiff-backup-statistics reads the matching statistics files in a backup repository made by rdiff-backup and prints some summary statistics to the screen. It does not alter the repository in any way.

The required argument is the pathname of the root of an rdiff-backup repository. For instance, if you ran "rdiff-backup in out", you could later run "rdiff-backup-statistics out".

The output has two parts. The first is simply an average of the all matching session_statistics files. The meaning of these fields is explained in the FAQ included in the package, and also at http://rdiff-backup.nongnu.org/FAQ.html#statistics.

The second section lists some particularly significant files (including directories). These files are either contain a lot of data, take up increment space, or contain a lot of changed files. All the files that are above the minimum ratio (default 5%) will be listed.

If a file or directory is listed, its contributions are subtracted from its parent. That is why the percentage listed after a directory can be larger than the percentage of its parent. Without this, the root directory would always be the largest, and the output would be boring.

Als er dan plots veel activiteit is in bv "mijn foto's" en je hebt niet onlangs veel vakantiefoto's bijgevoegd, dan zou het kunnen dat je snel een foto van je middelvinger moet maken om op te sturen naar de randsomwarecrimineel

guapper @ApexAlpha • 17 maart 2016 11:40

Na encrypten krijgen de bestanden een andere bestandsextensie, dus die zullen de bestanden in de backup niet overschrijven.

Het gevaar is echter dat de crypto-ware je hele backup disk versleuteld lijkt mij.
Crypto-ware doet zijn werk niet alleen op lokale schijven, maar ook op netwerkschijven en USB drives die in Windows van een drive letter zijn voorzien.

sygys @guapper • 17 maart 2016 13:07

Ik heb er geen ervaring mee maar kan een ransomeware ook overslaan op andere PC´s in het netwerk of bijvoorbeeld een server?

We hebben hier op ons bedrijf namelijk een server staan (kleintje) en deze heeft gedeelde mappen die inderdaad op alle clients worden weergegeven met drive letter.

Dit betekend dus dat de hele server kan worden versleuteld.

Is dit op een makkelijke manier te voorkomen? Het lastige is dat de mappen op de server noodzakelijk open moeten staan voor ons calculatie programma. dus simpelweg de clients niet meer de rechten geven en bij iedere handeling een wachtwoord te laten invoeren is geen optie.

Marcks @sygys • 17 maart 2016 14:07

Bij mijn weten is het niet gangbaar dat ransomware andere machines in het netwerk infecteert, maar veel ransomware valt inderdaad ook netwerkshares aan, soms zelfs wanneer deze niet gemapt zijn. Als je de schrijfrechten nodig hebt, is daar niet gemakkelijk iets aan te doen. Specifieke malware kun je soms met truukjes onschadelijk maken zoals het blokkeren van bepaalde bestandsnamen, maar je blijft dan kwetsbaar voor de variant die volgende week opduikt.

Ikzelf heb gekozen voor een systeem met netwerkshares waarop alle backups worden bewaard. Gebruikers kunnen daar wel hun data naartoe schuiven, maar de NTFS permissions voorkomen dat ze (zonder wachtwoord) bestaande data kunnen verwijderen of overschrijven.

Ransomware houd je hier weliswaar niet mee buiten de deur, maar mocht je er het slachtoffer van worden, dan blijven je backups in ieder geval buiten schot.

sygys @Marcks • 18 maart 2016 21:21

Hoe zit het eigenlijk met schijven die beveiligd zijn met bitlocker van windows kan ransomeware daar bij?

2green @sygys • 17 maart 2016 15:14

De server is niet als veilig te beschouwen, dus zou inderdaad zoals Marcks aangeeft een goede backup strategie gebruiken.

p.s. mijn strategie staat in de post hierboven beschreven, deze is vrij gebruikelijk voor belangrijke data en hoef je maar eenmalig in te stellen en gaat dan automatisch.

Rob_03 @ApexAlpha • 17 maart 2016 09:19

Ik kijk het ook nog eens extra na.

Maar goed het zal voor de "makers" ook niet heel veel moeite zijn om het programma te laten wachten met het encrypten tot dat er een backup gemaakt is.

GeoBeo @ApexAlpha • 17 maart 2016 09:52

Als het goed is heeft je Sync ook versioning. Dus als bestanden vervangen worden door een encrypted bestand, moeten die vervangen bestanden nog steeds ergens staan.

Ik gebruik Syncthing en daar kun je tot een flink aantal "versies" van bestanden opslaan voor er echt iets voor altijd kwijt is...

Volgens mij helpt dit zelfs als de hele sync folder encrypted wordt, dan denkt de sync dat de folder verwijderd is en gaat hij hem vrolijk opnieuw plaatsen (zolang de andere computer niet besmet is).

bbob

Netwerk en systeembeheer

@ApexAlpha • 17 maart 2016 10:16

Je kan backup naar extern doen waarbij als een bestand gewijzigd is het orginele bestand behouden blijft, dit kan je instellen tot een x aantal versie.
Is trouwens ook handig als je een bestand per ongeluk veranderd, je kan dan eerdere versies gewoon terughalen

ejabberd @ApexAlpha • 17 maart 2016 10:43

Ik gebruik usbmount zodat bij het aankoppelen van een harde schijf een scriptje gestart wordt dat kijkt of er een map "rdiff-backup" is en in dat geval rdiff-backup start. Automatisch unmounten doe ik wel niet omdat ik altijd zelf wil kijken of de backup is gelukt.

Aikon @Johan9711 • 17 maart 2016 09:30

Offline bedoel je. Read only is zo moeilijk naar te backuppen

Verwijderd @Aikon • 17 maart 2016 09:54

De term die hiervoor gebruikt wordt is WORM. Dit staat voor Write Once Read Many. Zo kun je online backups maken en in principe nooit meer verwijderen. Het risico is natuurlijk wel dat als je met een grondige hacker te maken hebt dat hij wellicht ook toegang tot het backupsysteem zelf kan krijgen en alsnog backups kan wissen. Door een WORM backup te maken bij een externe partij zul je daar niet zo snel last van hebben.

Zelf maak ik echter naast offsite ook nog offline backups. Twee externe harde schijven op kantoor waarvan er altijd maximaal één is aangesloten. Bovendien zit er altijd een week tussen het wisselen. Mocht je dus gehackt worden en alle data wordt grondig verwijderd, dan heb je nog altijd een koude harde schijf met jouw data van maximaal een week oud. Uiteraard encrypted en een backup van de encryptiesleutel op papier in de kluis.

Aikon @Verwijderd • 17 maart 2016 10:10

WORM slaat specifiek op hardware, niet op een softwarematige oplossing. Ook een hacker zal dus nooit data kunnen verwijderen van een WORM-systeem (tenzij daar uiteraard bugs in zitten die dit toelaten).

Persoonlijk ben ik nooit een WORM-systeem tegengekomen, naast CD/DVD. Wel zaken als one-way-sync met oneindige versies, wat een beetje een poor-mans-WORM is. Een beetje backup oplossing heeft sowieso offline én offsite backups inderdaad.

Verwijderd @Aikon • 17 maart 2016 11:38

Offline bedoel je. Read only is zo moeilijk naar te backuppen

offline is ook zo moeilijk om naar te back-uppen.

beerendlauwers @Johan9711 • 17 maart 2016 14:22

Ik ga binnenkort Amazon Cloud Drive + Arq opstellen zodat al m'n data ernaar wordt gebackupt en enkel ik er aan kan.

YangWenli @Johan9711 • 17 maart 2016 14:25

Ik heb een ouderwetse offline back-up. Gelukkig is TeslaCrypt nog niet airborne!

Verwijderd @YangWenli • 17 maart 2016 15:05

Eens moet je online om nieuwe backups te maken.

Rafe @loreedijk • 17 maart 2016 08:13

Ik mis nog eigenlijk browser-plugins click to play instellen. De Java plug-in installeer ik thuis niet eens omdat ik het nergens meer nodig heb. Kleinere attack surface

EMET schijnt ook te helpen, maar daar moet ik me nog eens in verdiepen.

jopelepoop @Rafe • 17 maart 2016 08:50

EMET helpt hier niet tegen.

Daar zijn wij vorige week mee aan het testen geweest, net als met TrendMicro en Malwarebytes. Uiteindelijk was Microsoft Essentials de eerste die begon te mekkeren op het test systeem.

NSG @jopelepoop • 17 maart 2016 09:01

Hitman Pro ook getest? Zij beweren cryptoware tegen te kunnen houden.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@NSG • 17 maart 2016 09:52

Er zijn meerdere producten die beweren cryptoware te kunnen tegenhouden. Zo heeft Bitdefender 2016 ook anti ransomeware bescherming. In de praktijk zal dit wellicht helpen maar er niet voor zorgen dat alle huidige en toekomstige ransomware gestopt gaat worden. Het zijn nuttige hulpmiddelen en ik denk dat je ze ook zo moet benaderen. Nuttig maar niet 100% foolproof.

walkstyle @NSG • 17 maart 2016 10:13

Bedoel je Hitman Pro zelf of http://www.surfright.nl/nl/alert ?

jopelepoop @NSG • 17 maart 2016 10:23

Hitman Pro niet geprobeerd, wel nog een paar andere pakketten.

We onderschepte een .zip (zogenaamd een factuur). Deze ransomware was net; out in the open en zodoende werd deze dus niet herkend.

Voor diegene die vertrouwen op vorige versies, deze worden verwijdert door het bewuste etterbakje, sowieso onder Windows.

Dus backups en offside bewaren is echt belangrijk!

nextware @jopelepoop • 17 maart 2016 09:33

Bij een aantal klanten heb ik ook een TrendMicro installatie draaien. Deze detecteerde in eerste instantie ook de Cryptoware trojans niet. Echter blijkt dat je in de TrendMicro server installatie (indien aanwezig) de volgende optie hiervoor kunt aanzetten:

Security Settings -> Desktops (default) -> Behavior Monitoring -> Ransomware Protection: dan hier de betreffende vinkjes aanzetten

Deze setting hebben we daarna ook getest en nu werd de ZIP-file met daarin de trojan wel ontdekt en verwijderd door de TrendMicro client installatie.

Ter info: betreft hier wel een TrendMicro Business Security Advanced installatie.

jopelepoop @nextware • 17 maart 2016 10:18

Thanks!

Overigens herkende Trend e.e.a. wel nadat we voorbeelden hadden opgestuurd aan hen en er de volgende dag een update volgde.

jeroen7s @nextware • 17 maart 2016 16:29

vreemd, je zou toch verwachten dat de beveiliging tegen zo'n serieuze bedreiging standaard aan zou moeten staan.

Rafe @jopelepoop • 17 maart 2016 15:30

Niet tegen het encrypten, ik hoop op het voorkomen van besmetting dmv 0-days door het extra vangnet dat de mitigations van EMET toevoegen.

kimborntobewild @Rafe • 17 maart 2016 09:54

Is Click To Play ook in te stellen in Opera 12?
(Dus niet Chropera oftewel Opera 15 en hoger.)

Rafe @kimborntobewild • 17 maart 2016 10:25

Met even Googlen had je het zo kunnen vinden

Go to Opera ‘Preferences’ (‘Opera’ -> ‘Settings’ -> ‘Preferences’ or press press Ctrl + F12 on your keyboard).
In ‘Preferences’, go to ‘Advanced’ -> ‘Content’ and check the box for ‘Enable plug-ins only on demand’.

kimborntobewild @Rafe • 17 maart 2016 12:06

Dank!

Titan_Fox @loreedijk • 17 maart 2016 08:45

Mijn belangrijke gegevens staan versleuteld in de cloud. Zoveel is dat sowieso niet. Mocht mijn systeem geïnfecteerd worden door ransomware - wat niet heel waarschijnlijk is omdat ik Linux draai - wordt het zooitje gewoon geformatteerd en binnen een half uur opnieuw geïnstalleerd en geconfigureerd. Ik zal nooit een rooie cent betalen aan dat soort afpersers.

Verwijderd @Titan_Fox • 17 maart 2016 08:56

Dat is erg fijn voor jou, maar denk eens aan professionals, freelancers e.d. die met grafische bestanden werken die continu veranderen? Dan hebben we het over honderdtallen gigabytes en bestanden die per stuk over 1GB kunnen zijn. Dat wordt een erg dure grap, en dan constant syncen na een change duurt erg lang, tenzij je op een zakelijke verbinding zit of een monster van een connectie thuis hebt (en de host die snelheden ook aanhoudt)

Titan_Fox @Verwijderd • 17 maart 2016 09:07

Dat wordt een erg dure grap, en dan constant syncen na een change duurt erg lang

Daar heb je natuurlijk wel gelijk in, maar al je bestanden opnieuw aanmaken is ook duur en kost vooral heel veel tijd. Het enige wat je kunt doen is voldoende voorzorgsmaatregelen nemen om de kans op infectie te minimaliseren.

Je kunt je ook afvragen of het systeem waar de grafische bestanden mee worden gemaakt perse online moet zijn. Een verbinding met het lokale netwerk zou toch eigenlijk voldoende moeten zijn. Ook kun je er voor kiezen om Linux te installeren en je Windows-applicaties in een virtuele (eventueel offline-) omgeving te draaien. Dan kun je je bestanden met een bepaalde interval naar het host-systeem wegschrijven.

Ook vraag ik me af hoe groot het risico is dat het systeem van een professional gekaapt wordt door ransomware. Misschien als je zelfstandige bent, maar binnen een bedrijfsstructuur zijn normaliter toch voldoende voorzorgsmaatregelen getroffen om de clients veilig te houden.

[Reactie gewijzigd door Titan_Fox op 23 juli 2024 21:21]

Neko Koneko @Titan_Fox • 17 maart 2016 09:38

[...]

Daar heb je natuurlijk wel gelijk in, maar al je bestanden opnieuw aanmaken is ook duur en kost vooral heel veel tijd. Het enige wat je kunt doen is voldoende voorzorgsmaatregelen nemen om de kans op infectie te minimaliseren.

Je kunt je ook afvragen of het systeem waar de grafische bestanden mee worden gemaakt perse online moet zijn. Een verbinding met het lokale netwerk zou toch eigenlijk voldoende moeten zijn. Ook kun je er voor kiezen om Linux te installeren en je Windows-applicaties in een virtuele (eventueel offline-) omgeving te draaien. Dan kun je je bestanden met een bepaalde interval naar het host-systeem wegschrijven.

Ook vraag ik me af hoe groot het risico is dat het systeem van een professional gekaapt wordt door ransomware. Misschien als je zelfstandige bent, maar binnen een bedrijfsstructuur zijn normaliter toch voldoende voorzorgsmaatregelen getroffen om de clients veilig te houden.

Linux is niet de heilige graal voor alle problemen in deze wereld, hoe graag je het ook zou willen

En ik werkte tot voor kort bij een groot ICT bedrijf waarvan een van de klanten minstens 1x per week een cryptovirus over zijn netwerk kreeg. Hoe professioneel mensen ook kunnen zijn in hun vakgebied, uiteindelijk is een designer op IT gebied vaak ook gewoon een eindgebruiker en daarmee de zwakste schakel.

i-chat @Titan_Fox • 17 maart 2016 10:09

Je kunt je ook afvragen of het systeem waar de grafische bestanden mee worden gemaakt perse online moet zijn. Een verbinding met het lokale netwerk zou toch eigenlijk voldoende moeten zijn. Ook kun je er voor kiezen om Linux te installeren en je Windows-applicaties in een virtuele (eventueel offline-) omgeving te draaien. Dan kun je je bestanden met een bepaalde interval naar het host-systeem wegschrijven.

hoewel linux het met betrekking tot veiligheid anders aanpakt dan windows, werken crypto-ransomwares zo goed omdat ze alleen met data omgaan waar jij ook mee omgaat.
dat betekend in linux termen dat die in userspace kan blijven.

daarmee gaat ook direct je vraag omver van, wel of niet online zijn van je fileserver, cryptoware valt namelijk niet / tot zelden de software op servers aan, maar in plaats daarvan gewoon de gebruikers, op het moment dat jij met je desktop of laptop toegang hebt tot die bestanden, en ze nodig hebt om je werk te doen, worden die bestanden geld en tijd waard, dus kun je ze als computer-crimineel gijzelen.

kortom wat je ook doet, wie je ook bent, als er ook maar 1 zwakvsysteem is (al is het de pc in de kantine), met schrijfrechten op je server, dan is je data kapuf! weg! foetsie.

mterwoord @Verwijderd • 17 maart 2016 09:04

Niet helemaal: Crashplan bijvoorbeeld biedt backup met erg intelligente software. Zo zijn er waarschijnlijk tal van providers. Iig Crashplan zorgt ervoor dat vorige versies worden bewaard, en dat alleen gewijzigde delen van bestanden worden geupload.

hans235 @mterwoord • 17 maart 2016 09:35

Mijn ervaring met crashplan is dat het restoren van data echt een eeuwigheid duurt. Ze bieden dan wel de mogelijkheid om een medium met data (fysiek) op te sturen om dit sneller te laten verlopen maar uiteraard tegen extra betaling.

Yuri_MB @hans235 • 17 maart 2016 16:12

Je hoeft niet naar een centrale repository te backuppen. Je kunt ook gewoon onder vrienden zowel server als client spelen. Als jij een beetje kieskeurig backupt heb je -- uitgaande van 99.9% ruimte = vakantiefoto's -- vaak aan ~ 200 GB zat. Dus een extra harde schijf kost je een paar tientjes bij je maat.

mterwoord @hans235 • 29 maart 2016 10:19

Mee eens, maar ik wilde de volgende punten maken:

1: Zolang je geen afgeschermde backup oplossing hebt (en niet een online opslag functie zonder "Vorige versie" mogelijkheid) loop je nog steeds het risico op ransomware

2: Backup software kan tegenwoordig erg efficient zijn.

Daarnaast (@Yuri_MB), wil ik backuppen naar andere eigen schijven ook gaan inzetten voor disaster recovery situaties.

Wat betreft backup is het m.i. wel zo: liever traag kunnen restoren maar zekerheid, dan snel (lokale nas of usb) met het risico om alsnog slachtoffer te worden van ransomware.

fverhoef @Verwijderd • 17 maart 2016 09:24

Je kan ook syncen met een lokale storage server. Lijkt me zo ie zo handig om als professional ervoor te zorgen dat je altijd een backup hebt van bestanden (dus niet sporadisch of periodiek, maar continu). Zoals dat je bij software een version control systeem gebruikt, zoals git of subversion.

Ransonware is maar 1 van de manieren hoe je jouw harde schijf content kwijt kan raken. Diefstal of een kapotte harde schijf zijn zo 2 andere manieren. Dus je kan er maar beter voor zorgen dat er nooit iets op je computer staat dat je niet zomaar kan verwijderen.

exyll @Verwijderd • 17 maart 2016 10:08

Voordeel is dat ransonware er ook lang over doet om dit te versleutelen.

R-J_W @exyll • 18 maart 2016 19:30

Meen in een eerder artikel gelezen te hebben dat de daar besproken randsomware maar een klein deel van de bestanden versleuteld. Hierdoor gaat het encrypten/decrypten erg snel en heb je meestal niet door dat het gebeurd.

SuperDre @Titan_Fox • 17 maart 2016 13:40

Klopt precies wat je zegt, je belangrijke gegevens staan versleuteld in de cloud, maar dan wel versleuteld met de sleutel van de ransomware, tenzij je dus daar gegevens hebt neergezet voordat je systeem besmet was, maar vergis je niet, meeste ransomware laat je dus rustig een tijd lang doorwerken door zelf telkens de files te decrypten wanneer jij ze nodig hebt (systeembestanden etc zullen ze vaak met rust laten)..

jeroen7s @SuperDre • 17 maart 2016 15:10

de meeste cloud storage oplossingen hebben echter een optie om vorige versie te herstellen, bij deze is de kans groot dat je gewoon kan teruggaan naar een vorige versie die niet encrypted is. tenzij de ransom-ware de files wijzigt, synct met cloud, opnieuw wijzigt en dit blijft herhalen voor een bepaalde periode(zolang de cloud vorige versies bijhoud).
de kans is dus zeer groot dat belangrijke documenten in de cloud opslaan voldoende bescherming is tegen ransom-ware.

edit: spelling

[Reactie gewijzigd door jeroen7s op 23 juli 2024 21:21]

Verwijderd @Titan_Fox • 18 maart 2016 02:19

wordt het zooitje gewoon geformatteerd en binnen een half uur opnieuw geïnstalleerd en geconfigureerd.

Kan je net zo goed nog een stapje verder gaan; Linux draaien vanaf onbeschrijfbaar medium. Denk hierbij aan bijvoorbeeld Tails op een DVD pleuren.

Hoef je het niet eens opnieuw te installeren op het momen dat je merkt dat er iets mis gaat. Gewoon opnieuw opstarten, of, als je voor een Debian/Ubuntu based distro kiest: kill -9 -1 in een terminal. Killed je hele userspace en pleurt je terug naar login. Kansen zijn erg klein dat de malware met root toegang draaide.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 21:21]

Dasprive @loreedijk • 17 maart 2016 09:32

En om het dan helemaal af te maken uiteraard ook op alle endpoint root certs plaatsen zodat je al het verkeer kunt decrypteren anders heb je nog geen zicht op gmail/hotmail etc attachments, downloads van facebook en noem maar op, alles wat via HTTPS loopt.

Als je dit zo implementeert binnen een bedrijf, even een reality check voor de IT afdeling:
Zorg dat je dit ook mogelijk hebt gemaakt in de IT policy, arbeidsreglement of soortgelijk. Dit soort implementaties zijn uiteraard zeer goed voor security, maar kunnen zonder de nodige omkadering adhv de juiste policies en communicatie naar het personeel (mogelijk zelfs vakbond / ondernemingsraad!) tot grote problemen leiden.

Tenslotte ben je AL het verkeer aan het sniffen en zijn daar bepaalde privacyimplicaties aan verbonden, ookal gebeurt het in wezen volkomen automatisch.
(want afhankelijk van de plugins en firewall heb je ook inzage in alle info)

[Reactie gewijzigd door Dasprive op 23 juli 2024 21:21]

dbram @Dasprive • 17 maart 2016 09:52

Endpoint Root certs is goed, maar zorg er dan ook maar voor dat je firewall die je ssl, HTTPS communicatie opnieuw versleutelt een degelijke check doet op de website en de certificaten waar de gebruikers naartoe surfen.
Al genoeg gevallen gezien waar, door opnieuw te tekenen met eigen root certificate de browser denkt dat een website Super betrouwbaar is en waarbij de website in kwestie een immitatie van de echte bleek te zijn. of zelfs self signedcertificates als betrouwbaar ging beschouwen

[Reactie gewijzigd door dbram op 23 juli 2024 21:21]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@Dasprive • 17 maart 2016 09:58

En om het dan helemaal af te maken uiteraard ook op alle endpoint root certs plaatsen zodat je al het verkeer kunt decrypteren anders heb je nog geen zicht op gmail/hotmail etc attachments, downloads van facebook en noem maar op, alles wat via HTTPS loopt.

Waarmee je het hele idee van HTTPS onderuithaalt en je jezelf weer openstelt voor andere gevaren en problemen op het gebied van privacy, authenticatie en andere zaken en vooral op aanvallen op de beveiligingssoftware zelf. Zie hier een interessant artikel (als voorbeeld); virusscanners ondermijnen veiligheid versleutelde berichten

aadje93 @loreedijk • 17 maart 2016 14:04

Hoe wil je een backup doorvoeren naar een locatie die niet schrijfbaar is? Hoogstens een sync systeem waarbij er via cron jobs "intern" dingen doorgeschoven worden op de backup server is een mogelijkheid, maar dat is te omslachtig voor de gewone consument.

Backups maken naar "de nas" of externe hdd zullen ook gewoon encrypted kunnen worden gezien die gewoon als network share gebruikt worden.

*aadje93 heeft zelf zijn backup server is goed toegesproken, en kwam tot de conclusie dat de "permanente" locatie ook schrijfbaar was door non-sudo-user, dat werd dus even heel snel gefixt*

loreedijk @aadje93 • 17 maart 2016 15:46

Voor de "gewone" consument is een watchguard oplossing ook veel te duur.
Voor de "gewone" consument is maar 1 advies, en dat is verspreid je data over meerdere "gratis" online diensten.

Mijn apple foto's gaan naar dropbox, icloud, en onedrive
Evenals documenten zelfde verhaal naar 2 of meer online diensten

Als de "gewone" consument niet een "slim" neefje, nichtje, kennis heeft die dit voor hem of haar instelt, dan is het internet eigelijk gewoon elke dag een soort van rusisch roulette. Helaas maar wel de werkelijkheid.

maar ik denk dat dat een heel ander verhaal is

"Wat kan de "gewone" consument doen om zich optimaal te beschermen tegen cryptolockers."

Verwijderd @loreedijk • 18 maart 2016 02:23

"Wat kan de "gewone" consument doen om zich optimaal te beschermen tegen cryptolockers."

- Niet zomaar alles klikken.
- Niet zomaar alles downloaden.
- Niet zomaar alles opstarten.

TL;DR -- Beetje common sense is toegankelijk voor de gewone consument en vereist echt 0,0 technische kennis. Enkel wat algemene informatie over wat wel en niet mogelijk is met PCs, wat wel en niet veilig is.

Impuls @loreedijk • 17 maart 2016 15:39

Loreedijk,

Keep knocking on that wood zou ik zeggen...want wij draaien bovenstaande setup draaien en ik was blij met mijn backup. $_/-\o_$

Zelf de exe van het virus kunnen isoleren en laten scannen door virustotal en doorgestuurd naar onze antivirus leverancier en Watchguard....ze herkenden het patroon (nog) niet.

Als je bij de eerste zit heb je gewoon brute pech.

loreedijk @Impuls • 17 maart 2016 15:55

Impuls,

en ik was blij met mijn backup. $_/-\o_$

gelukkig had je een backup ja.

en natuurlijk wat Basset ook al zegt:
Backup, backup, backup en nog eens backup Backup, backup, backup en nog eens backup Backup, backup, backup en nog eens backup

WatchGuard maakt gebruik van Lastline voor het scannen van attachments. Maar tot op heden is het nog steeds zo dat wanneer er van de desbetreffende file geen bekende "hash" is zullen deze nog steeds doorgelaten worden.

Ik heb wel gehoord dat dit in de volgende release van WatchGuard system manager dit gaat veranderen, men gaat dan attachements eerst scannen alvorens ze door te laten.

Voor e-mail is dit perfect, voor web browsing zie ik dan wel weer een "uitdaging"

"Please wait while we scan this site" 10 minuten later kunnen we de site in zijn geheel met alle plaatjes misschien een keer bekijken

GORby @loreedijk • 17 maart 2016 17:29

Wat ik van een goede backup zou verwachten, is dat die
- niet schrijfbaar is vanop de client PC via netwerk share
- vorige versies bijhoudt
- bij voorkeur ander OS heeft dan de client PC's
- niet voor risicohoudende zaken gebruikt wordt
- bij voorkeur extern staat
- een melding geeft bij afwijkend gedrag (bijvoorbeeld veel meer gewijzigde bestanden van bepaalde types dan normaal).

Met Crashplan backup kom je op dat vlak al een heel eind als je wil, alleen dat laatste puntje zit daar voor zover ik weet niet in.
Iemand die iets kent dat dat laatste voor zijn rekening neemt?

beerendlauwers @loreedijk • 17 maart 2016 14:30

Toevallig een goede tutorial for een home-model fireboxt te configureren?

cool0 @loreedijk • 17 maart 2016 19:48

Watchguard apt? Wij zijn silver partner van watchguard maar die apt heeft ons niet kunnen overtuigen waar onze eigen oplossing/ platform alles tegen hield liep het dwars door de watchguard heen. En wij zijn ESET platinum reseller en deze laat ook te veel cryptos door.

Maar backups inderdaad meest belangrijke!!!

loreedijk @cool0 • 18 maart 2016 15:06

Welk "eigen" oplossing maken jullie dan gebruik van? ik ben daar wel heel erg benieuwd naar.
Wij zijn ook Gold Partner van WatchGuard, maar daarmee verklaar ik het product niet heilig, maar ik ben er wel een groot voorstander van. Wij hebben best goede ervaringen hiermee.
Des al niet te min, sta ik zeker wel open voor andere sugesties.

Ik ben heel benieuwd naar jullie oplossing.

cool0 @loreedijk • 18 maart 2016 18:37

Wij hebben een eigen oplossing gemaakt door gebruik te maken van VirusTotal en Metadefender door software zo te schrijven dat elke mail attachment gecheckt wordt tegen 55+ av producten is de kans van doorlaten vrijwel 0.

loreedijk @cool0 • 18 maart 2016 22:52

Vergeef mijn sceptimisme, maar dat is nu juist heel het probleem geen enkele av scant sommige ransomware en crypto lockers. Omdat ze allemaal signature based zijn.
Dus ik geloof niet dat jou zelf gemaakte oplossing dit veel beter doet. Dan geloof ik meer in een oplossing die lastline gebruikt maar wel de attachments tijdelijk opzij zet, en pas wanneer de "clean" gegeven is deze doorzet naar de mailserver

cool0 @loreedijk • 19 maart 2016 10:15

Toch is in de laatste 2 maanden naar onze klanten 0 door gegaan door gebruik van ons platform en heeft lastline er zoveel doorgelaten. Dan niet eens de bug meenemen die er in de watchguard firewall zat waardoor de pop3 scan met apt niet werkte daar moesten wij met testen zelf achter komen zeer slecht. Maar een tip doe het volgende maak een honeypot aan, alle mail die je daarop krijgt met virussen stuur het naar virus Total en naar je account achter de watchguard. Je zal verbaast zijn dat er altijd wel 1 av product is dat de file pakt terwijl lastline dat niet doet. Lastline is ook maar 1 sandbox een geadvanceerde maar het is er maar 1.

RogerWilco2 @loreedijk • 17 maart 2016 21:47

Ik gebruik vooral TimeMachine.
M'n Telefoon en desktop syncen met mijn laptop, en die wordt op twee locaties (werk en thuis) automatisch ge-backupped naar NAS RAID storage.
Op mijn desktop staan een aantal dingen die niet ge-synced worden, maar waarvan het ook niet erg is als ze kwijt raken. (Vooral Steam games e.d.).
Ook mijn oude Mac Pro en laptop syncen met TimeMachine, wanneer ik ze nog gebruik.
Daarnaast heb ik nog backups op DVD en USB disk van dingen die ik echt belangrijk vind, maar die werk ik maar 1-2 keer per jaar bij. Videos en Fotos vooral.

blaatenator @loreedijk • 17 maart 2016 22:22

We gebruiken nu ook nog Watchguard, twee XTM-330's, maar ben niet echt onder de indruk van het spul (zeker voor wat je ervoor betaald). Voor alle extra's mag je abonnementen afsluiten wat leuk is voor Watchguard maar jaarlijks flinke kosten meebrengt. Proberen igen oplossingen aan te sluiten op het ding is een verloren zaak (dynamische blocklists, vrij eenvoudig te doen met iptables icm ipset en een match set regel, werkt voor geen meter. Uberhaupt een grote lijst inladen in Fireware is een drama.). Heb nog wat gespeelt met Dymension, maar dat is meer leuke plaatjes voor management ophoesten dan wat anders.

Volgende wordt een pfSense appliance of iets vergelijkbaars waar wel aan het grotere geheel gedacht wordt.

En ik betwijfel erg of heel de 'APT' hyping echt wat toevoegt. De anti virus industrie heeft een behoorlijke tijd mooi kunnen cashen met termen als dynamic heuristics bla bla, en de IPS/ IDS industrie denkt dat nu ook te kunnen doen (APT, Threat intel, etc), maar ik denk (of hoop eigenlijk) dat mensen die beter zouden moeten weten eindelijk eens een keer door de marketing praat heen gaan prikken.

Backups, updates, logging, beperkte rechten (extern afgedwongen) EN iemand die kennis van zaken heeft en de tijd krijgt zijn volgens mij de elementen die werken (en Microsoft Windows buiten trappen zal ook flink helpen

[Reactie gewijzigd door blaatenator op 23 juli 2024 21:21]

LordPan @loreedijk • 18 maart 2016 09:15

Watchguard filtert maar op een heel kleine set van SNORT rules ipv tegen de full database met mogelijke exploits, dat is de reden waarom we niet voor die firewall kiezen momenteel.

Maar het kan niet genoeg gezegd worden: backups! (en ook offline backups, niet enkel offsite)

Ghostface9000 @loreedijk • 18 maart 2016 13:21

Locky is bij ons door apt blocker geraakt een tijdje geleden helemaal in het begin...

Jerie

@loreedijk • 21 maart 2016 18:16

Qubes. Ben je gamer? 1 gamer PC en 1 (PC/laptop/...) voor echte werk. Op werk is gamen niet nodig, dus dan is Qubes perfect.

Nog een tip: zo weinig mogelijk software installeren. KISS.

Backups moet je altijd al maken, en overigens ook off-site houden.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

17 maart 2016 09:16

Het was natuurlijk alleen een kwestie van tijd voordat er versies kwamen waarbij de eerdere zwakheden zijn aangepakt. Op dit moment zijn de encrypted files van veel ransomware nog aan de extensie te herkennen maar ook dat zal binnenkort wel anders zijn. Wat je nu ziet is dat bijvoorbeeld veel bedrijven file screening regels op fileservers aanmaken om bekende extenties te blokkeren. Hier is makkelijk omheen te werken door de extentie intact te laten en bijvoorbeeld een header aan een bestand toe te voegen.

De ontwikkeling van malware gaat ontzettend snel en er worden steeds meer geavanceerdere exploits gebruikt. Het valt mij bijvoorbeeld hier op de frontpage en op het forum steeds vaker op hoeveel mensen de huidige stand van zaken rond malware onderschatten. Een erg groot deel denkt zelfs zonder extra maatregelen af te kunnen omdat ze zelf wel weten waar ze wel of niet op moeten klikken en welke bronnen betrouwbaar zijn en welke niet. Dit is echter al tijden niet meer zo (als het ooit al zo was). Advertentienetwerken worden gehacked en serveren malware, hardware komt soms met preinstalled malware uit de fabriek en exploits worden steeds geavanceerder en gevaarlijker. Ondertussen neemt de afhankelijkheid van internet en automatisering in het algemeen nog steeds in hard tempo toe.

Dat ransomware een enorme toevlucht neemt is niet verwonderlijk; er valt hier veel geld te verdienen op een relatief eenvoudige manier. Beschermende maatregelen zijn er in de meeste gevallen niet of nauwelijks en veel virusscanners detecteren de nieuwste varianten niet of veel te laat. Natuurlijk zijn er producten als HitmanPro.Alert en anti ransomware maatregelen in virusscanners als Bitdefender maar hoe lang is dat nog afdoende tegen de nieuwe generatie?

Anonymoussaurus @Bor • 18 maart 2016 16:37

Daarom heb ik bijvoorbeeld ALLEEN Tweakers en imgur ge-whitelist. Buiten dat, heb ik imgur alleen ge-whitelist om van bepaalde functies gebruik te maken. Tweakers voor de inkomsten. Ik klik dan ook nooit op advertenties, en volgens mij kan je alleen maar geïnfecteerd worden door er op te klikken. Elk bestand dat ik download, gooi ik door Virustotal heen.

Buiten dat gaat er wel een tijd komen dat de cryptolocker, eerst alle anti-malware of anti-virus programma's opspoort en blokkeert, en dan alles encrypt. Dan ben je al weer machteloos.

aadv 17 maart 2016 18:31

Even een heel andere vraag.
Als je door deze ellende geïnfecteerd bent, zie je dan het desastreuze resultaat meteen, of zit er nog een bepaalde tijd tussen infectie en versleuteling?
Ik vraag dat omdat ik werk met Google Drive en daarna - drive map synchroniseren met owncloudmap - vervolgens met de hand owncloiud opstarten die daarna dus synchroniseert met mijn eigen webserver.
Als de infectie dus meteen intreedt, dan heb ik een nietgeinfecteerde versie van mijn bestanden op mijn eigen webserver.
Of denk ik verkeerd?

R4gnax @aadv • 17 maart 2016 19:49

Even een heel andere vraag.
Als je door deze ellende geïnfecteerd bent, zie je dan het desastreuze resultaat meteen, of zit er nog een bepaalde tijd tussen infectie en versleuteling?
Ik vraag dat omdat ik werk met Google Drive en daarna - drive map synchroniseren met owncloudmap - vervolgens met de hand owncloiud opstarten die daarna dus synchroniseert met mijn eigen webserver.
Als de infectie dus meteen intreedt, dan heb ik een nietgeinfecteerde versie van mijn bestanden op mijn eigen webserver.
Of denk ik verkeerd?

Nieuwere cryptoware varianten installeren een soort van filter-driver voor file access. Bestanden die feitelijk al lang en breed encrypted op jouw systeem staan kunnen op die manier nog 'normaal' door gebruikers benaderd worden. Alleen ietsje langzamer, maar dat gaat niemand in de praktijk echt merken.

Dit blijft zo een paar maandjes lang staan, totdat al je backups ook verontreinigd zijn. Daarna loopt de klok af, wordt de decryptiesleutel van je systeem gewist, en krijg je de ransom note gepresenteerd. Je files zijn op dat moment al lang en breed het haasje; incl. backups.

Als je backups maakt, doe het dan niet via standaard OS file APIs. Maak gebruik van een programma dat bestanden via de normale file APIs opent en dan via een stuk eigen code over het netwerk naar een ander, goed dichtgetimmerd, systeem verstuurt.

Dat geeft je de grootste kans geen vuile files mee over te kopiëren, want de filter driver krijgt dan niet de kans om de files encrypted en wel over te zetten met een normale copy operatie.

[Reactie gewijzigd door R4gnax op 23 juli 2024 21:21]

Z-Dragon @R4gnax • 17 maart 2016 22:20

Welke API's bedoel je precies (behoren alle file-API's niet uiteindelijk toe aan het OS?) en heb je voorbeelden van geschikte en ongeschikte programma's?

R4gnax @Z-Dragon • 17 maart 2016 23:02

Welke API's bedoel je precies (behoren alle file-API's niet uiteindelijk toe aan het OS?) en heb je voorbeelden van geschikte en ongeschikte programma's?

De meeste file APIs lopen via de onderdelen van Windows die met zo'n type filter driver gecompromiteerd kunnen worden, ja. Je kunt er wel buiten om, maar dan moet je via een heel laag niveau gaan. Raw disk access met een eigen file system, zo wat. Dus dat ga je niet doen.

Wat je wel kunt doen is bijv. via FTP of SSH software de files overzetten. Zolang je maar geen standaard file I/O doet via bijv. networked shares heb je een substantieel lager risico dat zo'n malware filter driver er tussen zit en het copy commando uitvoert door het encrypted bestand direct byte-voor-byte over te zetten.

Zo'n malware filter driver zou daarentegen het bestand decrypted aan user-mode software moeten laten zien, zodat de gebruiker geen argwaan zou hebben. En tenzij de malware bekend is met bepaalde FTP of SSH software, zal deze gewoon die software ook de decrypted data geven om over te sturen.

Maar goed; dat is ook allemaal maar theorycrafting. Voor hetzelfde geldt dat de crypto-malware waar je door getroffen wordt, hier weer op andere wijze een stokje voor steekt.

[Reactie gewijzigd door R4gnax op 23 juli 2024 21:21]

aadv @R4gnax • 17 maart 2016 21:42

Dank je R4gnax.
Volkomen duidelijk.

sahel @R4gnax • 18 maart 2016 14:54

Zou het mogelijk zijn dat een backupsysteem deze decryptiesleutel al heeft gebackupt?

AeoN909 17 maart 2016 07:52

Even voor mijn informatie, wat is nou de beste manier om je hier tegen te beschermen?

Edit; dank voor alle antwoorden.

[Reactie gewijzigd door AeoN909 op 23 juli 2024 21:21]

Joolee @AeoN909 • 17 maart 2016 07:55

Backups op plaatsen waar de ransomware geen schrijfrechten heeft of überhaupt niet bij kan.

pietje63 @Joolee • 17 maart 2016 08:37

Het is een kwestie van tijd totdat de ransomware schrijfrechten heeft op alle plaatsen waar de backup dat ook heeft (en ook eventuele systemen met versiebeheer kunnen verstoren). Ik vind het zelf een lastige om je tegen te wapenen (los van het voor de hand liggende buiten de deur houden van virussen):
- offline backups zijn het veiligst, maar het minst praktisch en daardoor bestaat het risico dat je dit niet bijhoudt
- online backups kunnen evengoed worden bereikt tegen de ransomware

Ik heb het nu zelf als volgt ingericht
- sync + timemachine backup naar Synology
- 1x per week interne backup op synology (naar andere folder, niet toegankelijk met de accounts die op mijn computers staat)
- de interne backup wordt gesynct met onedrive
- daarnaast een externe hdd die standaard in een brandwerende kist ligt (ca. 1x/mnd)

Het voordeel van de interne backup op de synology is dat als ik ontdekt een virus oid te hebben ik deze direct backup uit kan zetten (in de praktijk heb ik daar dus 1 tot 7 dagen voor) zonder dat de "backup van de sync" wordt aangetast. Mocht dat al gebeurd zijn, dan is de backup naar onedrive nog een vertragende factor (beperkte uploadsnelheid) en als noodmiddel nog de externe hdd.

[Reactie gewijzigd door pietje63 op 23 juli 2024 21:21]

casparvl @pietje63 • 17 maart 2016 09:45

Herkenbaar. Ik heb niet zoveel backups als jij, maar:

- een Cloudstation sync met mijn Synology zorgt voor een zoveel mogelijk 'up-to-date' backup in het geval van dataverlies door oorzaken ánders dan ransomware (HDD crashes etc)
- 1x per maand een sync naar een externe HDD, die ik vervolgens uitwissel met mijn ouders die hetzelfde doen. Zo heb ik dus altijd een 1 en/of 2 maanden oude backup in geval van dataverlies door ransomware of brand.

Wat ik mij afvraag: encrypten duurt lang, lijkt mij dus ook een CPU-intensieve taak. Met een CPU monitoring tool zou 't dan op moeten vallen als er constant (ten minste) één core volop gebruikt wordt toch? Of gaat dit encrypten op een dedicated stukje van de CPU en wordt dat helemaal niet door zo'n CPU monitoring tool gezien?

Verwijderd @casparvl • 17 maart 2016 11:24

Encrypten duurt helemaal niet lang meer, dat kan gewoon real time on the fly.

Het tijdsverschil tussen een bestand normaal wegschrijven, of encrypted, is vrijwel onmeetbaar.

AES kan al erg snel (en steeds vaker hardware accelerated), en dan heb je nog alternatieven als Salsa20, ChaCha, Poly1305, die nog maar een paar cycles per byte kosten.

casparvl @Verwijderd • 17 maart 2016 11:28

Ehm, ja, dat weet ik, maar hier gaat het natuurlijk over ransomware die je hele HDD gaat encrypten. I.e. honderden gigabytes aan data die er al op staat. Dat zal toch echt wel even duren. Mijn vraag was dus meer, als de encryptie hardware accelerated is, zie je er dan nog iets van in termen van resource gebruik (bijv. in je Windows taakbeheer als je je CPU usage bekijkt)?

Ik heb altjid een resource monitor in beeld staan in m'n desktopomgeving, en als ik daar zie dat mn CPU overactief is, ga ik echt wel even kijken waarom. Ik ben dus benieuwd of ik daarmee ook de encryptie door ransomware in een vroeg stadium zou kunnen 'zien'.

Verwijderd @casparvl • 17 maart 2016 11:41

Ik vraag me af of die malware je hele HDD gaat encrypten? Ik gok dat 95% van de data op een gemiddelde harddisk noch interessant noch uniek is, en makkelijk te reconstrueren (zoals software, grote media bestanden, het OS zelf, enz).

Juist eigen bestanden zoals documenten, projecten, source codes, configuratiebestanden, repositories, wat relatief vaak weinig plaats op je harddisk inneemt, is de meest waardevolle data die je niet wilt verliezen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@Verwijderd • 17 maart 2016 15:29

Dat hangt van de malware af maar stel jezelf de volgende vraag; hoe efficient is het encrypten van alle bestanden? Je zult dan al heel snel applicaties raken die daar problemen mee krijgen. Je wilt juist dat jouw malware een tijd onopgemerkt zijn werk kan gaan om daarna zijn kwaadaardige plan in een zeer korte tijd te volbrengen. Zo encrypt men doorgaans bepaalde extenties en decrypt deze tot een bepaald moment "on the fly". Op moment X decrypt de malware niets meer tot er betaald is.

aadje93 @Verwijderd • 17 maart 2016 14:07

kan hier volledig in mee gaan, freenas server die thuis hangt (goed quad core xeon/128GB ramm, 24x4TB) is dan niet te vergelijken met een "normale" consumenten NAS, maar het zelfs bij veel "random" read/write amper merkbaar dat er encryptie aanstaat welke door de freenas server gedaan word, je kunt ook client side encryptie toepassen waardoor je nas er niets van merkt.

Verwijderd @casparvl • 17 maart 2016 11:04

Als je PC alles gaat zitten versleutelen merkt je dat absoluut... maar een trage PC is voor de meeste mensen helaas geen reden om een onderzoek in te stellen, buiten wat zuchten en kreunen over hoe traag de PC is gaat men gewoon verder waar men mee bezig is totaal voorbijgaand aan het feit dat die traagheid wellicht een reden heeft.
Dat krijg je er ook niet uit... zo werken mensen gewoon en daar maakt zo'n ransomware dankbaar gebruik van.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 21:21]

Rannasha @pietje63 • 17 maart 2016 09:20

Het is een kwestie van tijd totdat de ransomware schrijfrechten heeft op alle plaatsen waar de backup dat ook heeft (en ook eventuele systemen met versiebeheer kunnen verstoren).

Knappe ransomware die schrijfrechten kan verkrijgen op mijn ZFS snapshots, die per definitie read-only zijn.

Eerlijk gezegd denk ik dat op dat gebied ransomware zich niet veel gaat ontwikkelen. Het is juist zo effectief omdat het weinig tot geen exploits of andere trucs gebruikt om rechten te verkrijgen die het niet zou moeten hebben. Dergelijke trucs triggeren vaak heurestische scanners in anti-malware software. De ransomware pakt enkel de bestanden waar de ingelogde gebruiker toegang tot heeft. En dat is vrijwel altijd meer dan genoeg om flinke schade aan te richten.

[Reactie gewijzigd door Rannasha op 23 juli 2024 21:21]

CurlyMo @Rannasha • 17 maart 2016 10:08

En op mijn ZFS externe backup schijf die ook op filesystem niveau op readonly staat. Alleen ZFS zelf kan er naar schrijven via een send/receive.

aadje93 @CurlyMo • 17 maart 2016 14:09

correctie, de user die de backup doet kan naar de schijf schrijven

. Dat is een fout die veel mensen maken, root kan nog gewoon de schrijf taken doen, krijgt iemand root shell toegang tot je systeem dan ben je alsnog het haasje, ondanks je batterij certificaten en key files

CurlyMo @aadje93 • 17 maart 2016 14:35

root kan inderdaad de readonly op de externe backup schijf weer uitzetten, maar zodra er een cryptoware opstaat die root toegang tot mijn NAS (met alle voorzorgmaatregelen) weet te krijgen moeten we volgens mij weer in een grot gaan leven

ATS @pietje63 • 17 maart 2016 09:35

Het kan vrij eenvoudig: je laat je backup niet maken door een of andere sync naar een andere beschrijfbare plek, maar via een programma naar een service die op je NAS of zoiets draait en die dus niet als file system in je systeem te zien is. Ik zie niet hoe ransomware toch die backup zelf moet gaan encrypten? Natuurlijk komen er wel encrypted files in de backup, maar dat is een kwestie van terug in de geschiedenis gaan.

Verwijderd @ATS • 17 maart 2016 11:17

De vraag blijft hoe ver terug in de geschiedenis kun jij gaan? Als je al 2 maanden lang encrypted bestanden aan het back-uppen bent, kun jij dan terug tot verder in het verleden?

ATS @Verwijderd • 17 maart 2016 11:23

Vrij ver ja, al wordt de granuliteit wel minder met het verstrijken van de tijd.

Ik gebruik dit: https://support.code42.co...p_versions.png?revision=1

RogerWilco2 @Verwijderd • 17 maart 2016 21:57

TimeMachine. Geen enkel probleem. Mijn backups gaan terug tot 2007.

Van zaken daarvoor heb ik meestal ook nog backups, vaak op long life DVD.
Bij mijn oudste backups is het meer de vraag of ik het bestandsformaat nog kan lezen.

PostHEX @pietje63 • 17 maart 2016 10:19

Als iemand een systeem zou schrijven & bouwen dat aan een netwerk is gekoppeld (of eventueel direct via USB), en na het maken van een geplande backup, zich fysiek van het netwerk loskoppelt, totdat de volgende moet worden gemaakt. Vervolgens tijdens het zijn afgesloten van het netwerk, gaat een tweede systeem (dat nooit in aanraking komt met het netwerk) aan de slag dat een backup van de backup maakt.

tc-t @PostHEX • 17 maart 2016 14:37

Mijn NAS (zelfgebouwd, Linux based) wordt door mijn backupscript afgesloten (shut down) nadat de backup klaar is, en wordt weer opgestart (Wake-on-LAN) zodra de volgende backup begint.

Mijn 2e NAS kan ook die 1e NAS wakker maken en zelf een backup starten van NAS1 naar NAS2.
Die 2e zit op een volledig gescheiden netwerk waar ik met mijn PCs niet bij kan.
(NAS1 heeft 2 netwerkkaarten)

Verwijderd @pietje63 • 17 maart 2016 11:00

Het is een kwestie van tijd totdat de ransomware schrijfrechten heeft op alle plaatsen waar de backup dat ook heeft

Dat ligt m.i. geheel aan de inrichting...
Een goede backup map is voor de user niet "zomaar" te benaderen of in ieder geval te beschrijven. Dit kan je behalen door bijvoorbeeld door alleen een backup user toegang te geven tot die map welke door het backup proces gebruikt wordt om backups naartoe te schrijven.
Knappe ransomware als je daar even doorheen prikt...

Een fatsoenlijk ontworpen backup applicatie neemt maatregelen tegen invloed van buitenaf... doe je het zelf met rsync o.i.d. zal je zelf even aan de slag moeten maar als je dingen als rsync snapt weet je ook wel hoe je rsync als een bepaalde user kan laten draaien en hoe je een map kan richthameren qua rechten.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 21:21]

tc-t @Verwijderd • 17 maart 2016 14:42

Klopt, daar zijn voordelen te halen.

Nadeel is dan weer dat ik mijn backup server zo heb ingericht dat ik net moeite heb gedaan om ook de user permissions te bewaren (acl, setfacl, wat rsync switches geloof ik)

Anderzijds, niemand van de users kan zomaar bij die NAS, enkel via NFS kun je verbinding maken, en dat is beveiligd tot de andere Linux servers.

Het is altijd een compromis zoeken tussen veiligheid en gebruikersgemak (of admin-gemak in dit geval voor het terugzetten en herstellen van de situatie)

DefaultError @pietje63 • 17 maart 2016 10:24

De standaard routine is;
Maandag, dinsdag, woensdag, donderdag en vrijdag een backup draaien en dit kan volledig automatisch.
Hiervan kun je wekelijks, tweewekelijks of maandelijks en hangt af van de waarde, handmatig een externe kopie maken, HD of tape, op verschillende schijven/tapes die je mee naar huis kunt nemen of in een kluis kunt leggen.

De veiligheid zit hierbij in de buffer, en die kan oplopen tot meer dan een maand.

klaasraak @pietje63 • 17 maart 2016 19:42

Het is ook maar net hoeveel data je wil backuppen.. ik heb vooral foto's en een stel word documenten (paar kleine filmpjes) die ik echt niet kwijt wil raken. Nu heb ik gewoon 3 x 64 gb usb3.0 in de kast liggen... heb ik een document wat ik echt wil bewaren dan zet ik het er op, misschien doe ik eens in het half jaar alle foto's en documenten er bij.. wat ik verder kwijt kan raken is minimaal.

Ben je met grotere projecten bezig die meer ruimte vereisen en bv ook voor je werk belangrijk zijn dan is het ook niet verkeerd om wat geld uit te geven aan bv 3 externe ssd's van 1 tb of iets dergelijks... naast de standaard online backup.

Atomsk @pietje63 • 17 maart 2016 20:12

Het is een kwestie van tijd totdat de ransomware schrijfrechten heeft op alle plaatsen waar de backup dat ook heeft (en ook eventuele systemen met versiebeheer kunnen verstoren). Ik vind het zelf een lastige om je tegen te wapenen (los van het voor de hand liggende buiten de deur houden van virussen):

Ja, maar het is ook een kwestie van criminelen die graag geld zien en die gaan uiteraard geen 4 maanden wachten, om er maar zeker van te zijn dat ze alles versleuteld hebben. In de praktijk zul je dus snel genoeg merken wanneer er ransom ware geïnstalleerd is, gewoon omdat dit schermbreed vermeld wordt bij het opstarten. Een NAS of externe harde schijf kan dan ook al versleuteld zijn, dus je moet uiteindelijk wel af en toe handmatig backuppen naar een medium dat niet continu is verbonden met je pc.

SuperDre @Joolee • 17 maart 2016 13:34

Heeft dus weinig nut bij de meeste nieuwe ransomware.... je maakt namelijk dus backups van encrypted bestanden (ransomware toont zn kop niet meteen, vaak pas weken/maanden later)..

Fermion @AeoN909 • 17 maart 2016 08:05

goeie vraag, bestaat er software die encryptie schrijf acties kan ontdekken en tegenhouden?

MMaster23 @Fermion • 17 maart 2016 08:38

malwarebytes heeft sinds kort een anti-cryptoware scanner om infectie tegen te gaan. Tevens zie ik steeds meer mensen hun NAS beveiligen met scripts die kijken naar de readme files die cryptoware regelmatig wegschrijven.

Een cryptoware heeft veel tijd nodig om de bestanden te encrypten en doet hij doodleuk op de achtergrond. Echter, om te voorkomen dat mensen het proces afschieten voordat ze de ransom note kunnen wegschrijven, schrijven ze deze vaak als eerste. Zodoende kan de server kant de connectie / share afsluiten het moment dat zo'n ransomware note gevonden wordt.

Beetje omslachtig maar het kan een tweaker wel hoofdpijn voorkomen. Niet voor huis/tuin/keuken computers natuurlijk.

edit: Derp .. ja encrypten dus.

[Reactie gewijzigd door MMaster23 op 23 juli 2024 21:21]

Menesis @MMaster23 • 17 maart 2016 09:04

decrypt = encrypt. verder nuttig tip idd!

kimborntobewild @MMaster23 • 17 maart 2016 09:23

Blijft een kwestie van kat/muis. Volgende variant schrijft gewoon nog geen note, of op een plek waar malwarebytes er niet bij kan.
De oplossing moet gezocht worden in:
-Veel meer opsporingscapaciteit bij politie/jusitie / samenwerking met buitenland
-Hogere straffen
-Verplicht (vanuit de overheid) overal Open Source (firmware, OS, applicatie: alles) zodat iedereen in de code kan kijken, zodat men verplicht is netjes te programmeren (anders val je uiteindelijk door de mand); en waardoor men niet backdoors, easter-eggs, phone-homers, of gewoon malware in kan bouwen zonder dat de hele wereld 't kan zien. Door 't netjes programmeren zullen er minder security-bugs in zitten.
Natuurlijk gaat dit de komende jaren niet gebeuren; maar dat is wat er nodig is.

veltnet @kimborntobewild • 17 maart 2016 09:33

politie, opsporingscapaciteit en open source gaan er niet voor zorgen dat dit probleem minder wordt. Zeker omdat deze ellende vaak uit het buitenland komt.

De enige oplossing is/zijn backups.

kimborntobewild @veltnet • 17 maart 2016 12:25

politie, opsporingscapaciteit en open source gaan er niet voor zorgen dat dit probleem minder wordt. Zeker omdat deze ellende vaak uit het buitenland komt.

Waar heb ik gezegd dat ik alleen uitbreiding van opsporing e.d. bedoel in het binnenland?
Open Source is een voorwaarde, geen zekerheid voor goede software / een veilig Operating System.

De enige oplossing is/zijn backups.

Ik betwist zeker niet dat backups altijd nodig zijn, maar in dit geval is dat symptoonbestrijding i.p.v. preventie van het ransom-probleem. Preventie is natuurlijk beter.
Het is wel preventie van voorgoed-dataverlies-als-je-origineel-aangetast-is, natuurlijk.

YangWenli @veltnet • 17 maart 2016 14:38

De meeste mensen betalen uiteindelijk gewoon. Het bedrag dat de criminelen vragen is altijd vrij redelijk.

Een hele middag bij de politie wachten om een aangifte te doen kost eigenlijk al meer meer geld.

kimborntobewild @YangWenli • 29 maart 2016 14:07

De meeste mensen betalen uiteindelijk gewoon. Het bedrag dat de criminelen vragen is altijd vrij redelijk.

Redelijk? Al vragen ze 0,0000000000001 cent; het blijft een zware misdaad.

MMaster23 @kimborntobewild • 17 maart 2016 10:49

Geen enkel stukje (opensource) software gaat je voorkomen dat mensen domme dingen doen met hun computer en daardoor onbewust cryptoware loslaten. Legale acties / straffen gaat echt 0 verschil maken omdat merendeels van het geld per direct richting een oost-blok / aziatisch land gaat waar niemand ze kan pakken.

Cryptoware zal altijd inherent een ransom note schrijven, anders is er geen mogelijkheid om geld te innen bij de gebruiker. Dan heb je een destructief virus gemaakt en geen ransomware/cryptoware. Het doel was het bouwen van een illusie dat men hun data terug kan krijgen door te betalen.

Een deel van cryptoware geeft uberhaupt nooit meer een sleutel, ongeacht of je betaalt. Double sucker.

kimborntobewild @MMaster23 • 17 maart 2016 12:10

Geen enkel stukje (opensource) software gaat je voorkomen dat mensen domme dingen doen met hun computer en daardoor onbewust cryptoware loslaten.

Nee, dat heb ik ook niet gezegd. Maar het is wel één van de voorwaarden voor goede software (/Operating System). Met dus minder lekken, malware, phone-home shit, etc.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 21:21]

xFeverr @kimborntobewild • 17 maart 2016 10:51

Tante miep gaat dus echt niet in deze code kunnen kijken hoor, en juist die wil schattigkattenfilmpje.exe openen die ze zojuist via de mail heeft binnengekregen... Probleem is daarmee verre van opgelost.

kimborntobewild @xFeverr • 17 maart 2016 12:13

Als je een goed Operating System of mailprogramma hebt, dan zie je direct dat het om een programma gaat en niet om een filmpje. De meeste mensen snappen nog wel dat een programma veel meer gevaren met zich meebrengt dan een filmpje. Alleen doet bijv. MS er veel aan om voor de gebruikers de verschillen te verhullen (zoals standaard je extensie verbergen, om maar een voorbeeld te noemen).

Tante miep gaat dus echt niet in deze code kunnen kijken hoor

Nee, maar anderen wel (zoals je mailprogramma of Operating System, die zomaar zonder blikken of blozen een programma als filmpje presenteert). Da's nu juist de kracht van Open Source: iedereen ter wereld kan de code checken op fouten. Je wordt gewoon altijd gepakt als je er iets onplezants in doet.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 21:21]

Infor40 @Fermion • 17 maart 2016 08:22

Er bestaan av-pakketten met ransomware protection. Dat zit o.a. in Bitdefender, maar staat standaard uit. Ik krijg keurig een melding telkens als software dingen wil doen met mijn bestanden. Je maakt een whitelist en vervolgens krijg je zelden nog meldingen. Ik ben wel benieuwd of 'experts' iets kunnen zeggen over hoe robuust/goed dit is...

RRV @Infor40 • 17 maart 2016 08:30

Als je de commerciële tak van het bedrijf mag geloven, biedt het volledige bescherming. Updates stromen binnen van zodra er nieuwigheden bekend zijn.

Maar natuurlijk, het gaat hier om wat de commerciële tak zegt...

Verwijderd @Fermion • 17 maart 2016 11:15

Er is niets bijzonders aan een 'encryptie schrijfactie'. Het zijn gewoon schrijfacties naar disk, er worden bytes naar een bestand geschreven, en je kunt nooit onderscheiden of dat toevallig encrypted content representeert of iets anders.

Step @AeoN909 • 17 maart 2016 07:54

Offsite backup maken.

wildhagen

Ransomware
Beveiliging en antivirus

@Step • 17 maart 2016 07:55

Dat is geen methode om besmetting te voorkomen, hooguit om de gevolgen van een besmetting te beperken

matroosoft @wildhagen • 17 maart 2016 08:03

Maar wel iets wat ik kan aanraden. Het schijnt dat de bestanden in je OneDrive/DropBox/Drive mappen ook gewoon encrypt worden, dus een cloud back-up gaat je niet helpen mocht het toch fout gaan. Uiteraard is voorkomen beter dan genezen, maar een offsite back-up is altijd goed om te doen.

Lanithro @matroosoft • 17 maart 2016 08:28

Als jij ze niet koppelt als netwerkschijf/map zal de ransomware ook niet op dropbox terecht komen.

Rafe @matroosoft • 17 maart 2016 08:16

Dropbox biedt een undo-functionaliteit, de concurrentie waarschijnlijk ook wel.

royb3 @Rafe • 17 maart 2016 08:23

Maar dan geef je de verantwoordelijkheid weg

Maffie500 @Rafe • 17 maart 2016 09:40

Onedrive heeft alleen versiebeheer voor office bestanden.

matroosoft @Rafe • 17 maart 2016 08:23

DropBox biedt in de gratis variant maar 2GB opslag, dan is het bewaren van kopieën nog wel te doen. Ik ga er niet vanuit dat datzelfde geldt voor de 37GB die ik op OneDrive heb staan. Mogelijk is het wel zo, maar het lijkt me beter daar niet vanuit te gaan. Daarom zou ik gewoon een offsite backup te maken. Een grote harde schijf kost tegenwoordig bijna niks meer en als je niet teveel bestanden hebt kun je er backups van meerdere personen op zetten.

[Reactie gewijzigd door matroosoft op 23 juli 2024 21:21]

Rafe @matroosoft • 17 maart 2016 08:29

Bij Dropbox telt een reservekopie niet mee voor je opslaglimiet. Neemt niet weg dat een extra back-up geen kwaad kan

[Reactie gewijzigd door Rafe op 23 juli 2024 21:21]

Ceejay @matroosoft • 17 maart 2016 10:25

Zou die bij mijn NAS kunnen? Daar gooi ik mijn backupjes op

matroosoft @Ceejay • 17 maart 2016 10:42

Als je NAS continu verbonden is, ga er dan maar vanuit dat er ransomware is die daar bij kan.

bamboe @matroosoft • 17 maart 2016 08:13

Zal een partitie die je niet actief zet ook werken?

matroosoft @bamboe • 17 maart 2016 08:15

Dat zal waarschijnlijk afhankelijk zijn van hoe geavanceerd de ransomware is, ik zou het risico niet nemen in ieder geval.

Vale vista @matroosoft • 17 maart 2016 09:23

Beter maak je gewoon een git repo op een externe disk die ge-encrypt is met een sleutel die enkel in je eigen software ingebakken is. Dus je eigen software om er bij te kunnen. Door de sleutel te hardcoden in de binary is het praktisch onmogelijk voor de ransomware deze te bemachtigen. Of kan je een ge-encrypte drive re-encryptern?

Mss n ander idee is zoals de oude xbox dat deed. ik weet nog wel dat de oude eerste generatie xboxen een hardware key hadden waarmee ze het filesystem en de hdd zelf unlockten, dit kon evt. ook in runtime mits je van n andere disk bootte. Je kon zo'n disk niet meer formatteren oid. Heb dit ooit toegepast om een grotere hdd zo'n box te zetten. Kunnen ze niet zoiets toepassen?

MaestroMaus

@matroosoft • 17 maart 2016 08:20

Met een Gratis- of Pro Dropbox heb je 30 dagen aan versie historie. Je kan de niet versleutelde bestanden gewoon downloaden zoals ze voor het laatst waren voor ze versleuteld werden. Dropbox business klanten hebben zelfs oneindige file history.

Als je zelf een Cloudstation server runt van Synology dan heb je ook versiebeheer. Standaard bewaard hij geloof ik 31 versies. Daarmee kan je dus hetzelfde doen.

Ik kan niet meepraten over de andere partijen die je noemt; maar ik gok dat die hetzelfde kunnen.

Dit soort oplossingen kunnen dus wel goed gebruikt worden als cloud backup hiervoor.

[Reactie gewijzigd door MaestroMaus op 23 juli 2024 21:21]

RangedNeedles @matroosoft • 17 maart 2016 08:28

Maar je kan bij OneDrive/Dropbox en anderen toch 'teruggaan' naar eerdere versies van bestanden, niet? Dan zou je die bestanden toch al kunnen recupereren

JAVE @wildhagen • 17 maart 2016 08:05

Het is wel een methode om jezelf te beschermen tegen deze rotzooi.
Een offline backup voorkomt dan wel geen besmetting, maar voorkomt wel dat je alles kwijt bent.

Overigens is het ook een bescherming tegen disk failure en andere ellende.

wildhagen

Ransomware
Beveiliging en antivirus

@JAVE • 17 maart 2016 08:11

Het is wel een methode om jezelf te beschermen tegen deze rotzooi.
Een offline backup voorkomt dan wel geen besmetting, maar voorkomt wel dat je alles kwijt bent.

Ja, maar dat is geen bescherming tegen malware, hooguit tegen dataverlies (door welke reden dan ook).

En documenten/bestanden die je dan nog niet gebackupped hebt (backuppen gebeurt immers periodiek (bijv 1x per dag), niet continue, over het algemeen dan) ben je dan alsnog kwijt, daar helpt een offsite-backup in het geheel niet bij.

SuperDre @Step • 17 maart 2016 13:32

alleen jammer dus dat de meeste ransomware je eerst een paar weken lang rustig laat werken maar ondertussen wel al je bestanden al encrypted zijn, dus je maakt dan backups van bestanden die al encrypted zijn..

sympa @AeoN909 • 17 maart 2016 08:22

Anoniem betalen afschaffen. Hoeft misschien niet wereldwijd, als maar duidelijk is dat er niet betaald gaat worden.
Geen geld, geen criminaliteit.

Mede mogelijk gemaakt door bitcoin.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@sympa • 17 maart 2016 08:36

Hoewel ik het niet met je eens ben wat betreft het afschaffen van zaken als bitcoins etc stip je wel een belangrijk punt aan.

Dit soort malware bestaat alleen omdat mensen betalen. Als je betaalt help je indirect mee bij de instandhouding en verdere verspreiding van dit soort malware. Het feit dat erg veel mensen betalen is de enige reden dat er ransomware is en dat we dit in explosieve vorm zien toenemen. Overigens is betalen ook nog lang niet altijd een garantie dat je je bestanden ook daadwerkelijk terugkrijgt.

Nakebod

@Bor • 17 maart 2016 08:48

Tja, niet betalen klinkt altijd als een leuk advies. In theorie. In de praktijk echter...
Jij en ik kennen vast meer dan genoeg mensen die gewoon geen enkele vorm van backup hebben.

- Ja mevrouw, jammer van al uw foto's van uw kinderen/overleden familie/etc. Die zie je nooit meer terug tenzij je betaald. Maar niet betalen hé, want dan winnen de criminelen!

Je weet zelf ook wel dat die mensen toch overgaan tot betalen.
_{En daarna nog steeds niets doen met backups, maar dat terzijde.}

Verwijderd @Nakebod • 17 maart 2016 11:10

Ik vraag me af of die mensen ook 5000 euro aan een datarecovery bedrijf zouden betalen als hun HDD stuk gaat... netto is dat namelijk exact hetzelfde.

ATS @Nakebod • 17 maart 2016 09:41

En daarom moet betalen aan afpersers niet alleen afgeraden, maar botweg verboden worden met forse boetes erop, tenzij je het in overleg met de opsporingsautoriteiten doet die het moneytrail willen gebruiken om de daders te pakken. Ja, het lijkt alsof je van slachtoffers opnieuw slachtoffers maakt, maar in feite bescherm je iedereen er mee.

En wat mij betreft gaat het om alle vormen van afpersing, inclusief ontvoeringen. Voornaamste nadeel wat ik zie is dat de aangiftebereidheid zou kunnen dalen.

Jeroen73 @ATS • 17 maart 2016 11:16

Boetes vanwege betalingen aan die niet te traceren afperser? Hoe wil jij gaan bewijzen dan dat er betaald is? Ik ga met sympa mee in de gedachte dat het anoniem betalingsverkeer het probleem in stand houdt.

Verwijderd @Jeroen73 • 17 maart 2016 13:41

Ben ik helemaal mee eens. Privacy is de reden dat er zoveel criminaliteit is. Gelijk afschaffen!

Iedereen zal verplicht een camera in zijn huis moeten plaatsten. Alleen zo kan je de veiligheid verhogen en spoor je makkelijk de developers op!

(Sarcasme)

Jeroen73 @Verwijderd • 17 maart 2016 14:30

Ik heb het nergens over de reden van criminaliteit... Een camera in jouw huis zal toch ook niet het probleem van de ransomware oplossen?

Wanneer een misdadiger niet op heterdaad betrapt wordt is het "follow the money" principe een prima methode om te bepalen wie er het meest gebaat is bij de misdaad en wie derhalve gestraft moet worden, maar dat is nu onmogelijk.

IK zie geen andere manieren om de daders op te pakken, jij wel?

Verwijderd @Jeroen73 • 17 maart 2016 17:36

Het is of privacy of "veiligheid"

Als jij vind dat iedereen cameras in zen huis moet hebben is de kans kleiner dat ze daar criminele dingen in doen. Maar dan haal je ieders privacy weg ook die van jou.

Netzoals met Bitcoin verbieden en vervangen met het oh zo goeie creditcard systeem.

Pietervs @sympa • 17 maart 2016 08:26

volstrekte onzin. Bitcoin is slechts een middel, als die er niet zou zijn zouden criminelen wel andere betalingsvormen verzinnen.

Jeroen73 @Pietervs • 17 maart 2016 11:33

een anoniem, ontraceerbaar, wereldwijd systeem is natuurlijk stukken praktischer voor de nigeriaanse scammer, de russische hacker en de cubaanse sigaar dan om een koffertje met briefpapier of een halve kilo goud door de douane heen te krijgen...

Pietervs @Jeroen73 • 17 maart 2016 13:04

Natuurlijk, maar om nu te beweren dat bitcoins fraude (mede) mogelijk maken is gewoon te kort door de bocht: criminelen vinden altijd manieren om aan hun (beter gezegd: jouw/mijn/ons) geld te komen...

Verwijderd @sympa • 17 maart 2016 11:14

Anoniem betalen afschaffen.

Hoe had je dat precies willen doen

Anonieme betalingsmethoden zijn er nu eenmaal, en van niemands goedkeuring of medewerking afhankelijk. Niemand is bij machte om dat af te schaffen of uit te bannen.

Als dat mogelijk was, dan was de oplossing natuurlijk nog veel makkelijker: gewoon malware zelf afschaffen.

PixelPhobiac @sympa • 17 maart 2016 12:37

3 Componenten die ransomware mogelijk maken: Veiligheid van computers, encryptiesoftware en digitale betaalkanalen. Encryptiesoftware en digitale betaalkanalen zijn twee technologiën die neutraal en erg belangrijk zijn in de steeds verder digitaliserende samenleving. Niet afschaffen dus!
Veiligheid van computers, daar is waar werk aan de winkel is.

digdas @sympa • 17 maart 2016 08:58

Daar hebben de criminelen ook al iets op bedacht: Money Mules.

sympa @digdas • 17 maart 2016 19:39

Dat is wel zo, maar het is uiteindelijk toch te traceren. En de fraude wordt toch afgeremd.
Ik vraag me oprecht af hoe nuttig het is om (op afstand) anoniem te kunnen btalen in verhouding tot het misbruik dat erdoor mogelijk wordt gemaakt.
Losgeld overdragen aan een persoon door het achterlaten van een koffertje (zoals in de film) is veel riskanter voor de afperser. Bovendien heb je daar het voordeel dat de gemiddelde transactie anoniem is, maar iemand die wordt afgeperst het minder anoniem kan maken door nummers te noteren of een zender in het koffertje te stoppen.

Wat bitcoin misschien nodig heeft is een middel waardoor degene die betaalt de anonimiteit op kan hebben, zonder dat de ontvanger dat kan merken. Dat zou de voordelen goeddeels in stand houden (bij het kopen van legale waren aan een onbekende koper) maar misbruik een halt kunnen toeroepen.

Nevie @AeoN909 • 17 maart 2016 07:55

Zorgen dat alles up to date is, goede beveiliging en backups maken als je Windows hebt. Of overstappen naar een ander besturingssysteem dat er minder last van heeft.

xFeverr @Nevie • 17 maart 2016 11:02

ALTIJD zorgen voor backups! Niet alleen op Windows, maar op alles.

ReTechNL @AeoN909 • 17 maart 2016 08:21

Zorgen dat je altijd gepatcht bent en uptodate bent met updates van Adobe Reader/Shockwave/Flash, Java, Silverlight, etc. Zorg ervoor dat je regelmatig backupt. ik maak bijv. iedere nacht een backup.
Tevens komen de laatste tijd veel van dit soort virussen binnen via banners en reclame objecten (advertenties). Wil je deze blokkeren dan zijn daar Ad Blockers voor zelf draai ik de volgende 3 binnen Firefox (uBlock/Ghostery/Disconnect/HTTPS Everywhere)
Op mijn desktop draai ik Secunia PSI om 3th party update bij te houden.
Ik draai gewoon Windows 10 met buildin virus scanner en Malwarebytes Antimalware Pro en heb hier nog nooit problemen gehad. maar voor de zekerheid worden al mijn documenten gebackupt vanaf mijn NAS naar een geencrypte externe locatie en heb ik geen persoonlijke documenten op mijn PC staan.

HellStorm666 @ReTechNL • 17 maart 2016 09:10

Of nog beter, zorgen dat je Flash en Silverlight helemaal niet hebt.

Verwijderd @AeoN909 • 17 maart 2016 08:04

Virus scanner + een goede firewall. Ik heb het even snel doorgelezen en de private key staat dus op de c&c server. Ik ben geen ransomware maker en heb dus geen idee hoe ze hiermee omgaan wanneer de desktop in de eerste plaats al geen verbinding kan maken met de c&c server. Zoals anderen al zeiden, backups.

Alterlai @Verwijderd • 17 maart 2016 08:53

Ik geloof dat de key lokaal wordt opgelsagen en opnieuw wordt verzonden zodra de pc verbinding kan maken met de server.

Verwijderd @Alterlai • 17 maart 2016 10:41

Als dit zo is dan kun je toch gewoon met een goede firewall zorgen dat de applicatie geen verbinding kan maken met die server. Als de private key vooraf op de desktop staat dan zou het niet zo moeilijk zijn voor Cryptoguard of andere programma's om te speuren naar deze key

Alterlai @Verwijderd • 17 maart 2016 10:44

Zoals Bor al zei, daar kom jij waarschijnlijk niet bij. Bovendien weerhoud dat het virus er niet van om jouw bestanden te encrypten. Dus praktisch gezien maakt het geen verschil.

Verwijderd @Alterlai • 17 maart 2016 14:17

Toch moet ergens de public + private key worden opgeslagen dan wel niet in het geheugen. Een ander programma met administrator rechten zou hier dan ook wel bij moeten kunnen komen. Of wil je een public en private key ook gaan encrypten, en de vraag is met wat ?

Alterlai @Verwijderd • 23 maart 2016 12:06

Mocht iemand nog geinteresseerd zijn in deze vraag, dan heb ik hier het antwoord voor je.

Op het moment dat je PC geinfecteerd wordt, stuurt je PC een request naar de C&C server.
De SERVER genereerd vervolgens een private en public RSA key.
De server verstuurd de RSA key naar jouw PC (dus niet de private key).
De malware begint met het encrypten van je bestanden en maakt voor elk bestand een unieke AES keyset aan die vervogels geëncrypt wordt met de public RSA key. Hierdoor is het niet mogelijk om de private key te onderscheppen door bijv packet inspection etc.
Op deze manier is de private key voor informatie die wordt verstuurd ovet het netwerk nooit in handen van iemand anders dan de kwaadwillende.

Verwijderd @Alterlai • 23 maart 2016 14:06

Dat is toch precies wat ik zeg

Alterlai @Verwijderd • 23 maart 2016 22:32

"Of wil je een public en private key ook gaan encrypten, en de vraag is met wat ?"
Daar geef ik nu dus antwoord op

Verwijderd @Alterlai • 23 maart 2016 23:26

En kijk dan ook eens naar een eerder geplaatste reactie.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@Verwijderd • 17 maart 2016 15:39

Als dit zo is dan kun je toch gewoon met een goede firewall zorgen dat de applicatie geen verbinding kan maken met die server.

En dan? Ga je in dat geval uit van de goedheid van de malware maker en denk je dat er niet geencrypt zal worden als er geen keypair gestuurd kan worden? De benodigde informatie wordt doorgaans niet door een malware "programma" verstuurd maar via onopvallende kanalen (door bijvoorbeeld mee te liften met andere legitieme applicaties). Dat is heel erg lastig tegen te houden zonder diepgaande kennis van de betreffende malware en zware maatregelen als deep packet inspection en soortgelijke technieken.

Verwijderd @Bor • 17 maart 2016 17:41

Je zou wel kunnen proberen de sleutel kunnen onderscheppen via de NSA manier.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@Verwijderd • 17 maart 2016 09:21

Natuurlijk staat de private key op een plaats waar jij niet bijkomt. Immers, is die key nodig om bestanden weer te decrypten. Die key wordt goed beschermt om er zo meer zeker van te zijn dat jij als slachtoffer gaat betalen.

Verwijderd @Bor • 17 maart 2016 10:43

Als de client geen verbinding kan maken met de c&c server om de public key op te halen dan wordt het een beetje lastig om bestanden te gaan encrypten. Misschien had ik het een beetje anders moeten formuleren.

wildhagen

Ransomware
Beveiliging en antivirus

@AeoN909 • 17 maart 2016 07:54

Uptodate virusscanner gebruiken (en die goed instellen op wat hij scanned!), niet zomaar willekeurige executables openen, en je systeem uptodate houden qua patches (niet alleen OS, maar ook andere software!) is eigenlijk het enige wat je kan doen hiervoor.

En dan nog kan je het oplopen. Maar het is iig een goed startpunt.

CriticalHit_NL @wildhagen • 17 maart 2016 15:31

Denk niet dat je echt veilig bent voor ransomware met een AV, want de nieuwe varianten schieten als paddenstoelen uit de grond, maar het is beter dan niks, zie het als airbags en gordels.

Grootste risico zit nu in het laden van websites met je browser waar die troep mee naar binnen komt, zoals met advertenties/javascript & lekken in plugins.
En tja natuurlijk het downloaden van een bestand met een payload, kan ook voorkomen bij gehackte legitieme sites, zie transmission als een voorbeeld, dan kunnen alsnog niet-up-to-date software lekken lokaal worden geëxploiteerd.

Dingen die ik in de browser zou doen:

Plugins uitzetten tenzij nodig op een bepaalde pagina. (of zoveel mogelijk verwijderen)
Plugins op click to play.
Javascript uitzetten tenzij het onmogelijk wordt in gebruik. (per website whitelist)
Advertenties blokkeren.

[Reactie gewijzigd door CriticalHit_NL op 23 juli 2024 21:21]

tc-t @CriticalHit_NL • 17 maart 2016 15:46

En laat je gebruikers geen .doc of .xls bijlagen openen in mails van onbekende afzenders, of uit mails die er enigszins verdacht uit zien.

Verwijderd @tc-t • 17 maart 2016 17:44

Mail headers controleren is ook erg handig.

Voorbeeld:
"Is de mail verstuurd via mail1.datbedrijf.nl of mail946.spoofmail.com?)

sympa @Verwijderd • 17 maart 2016 19:42

Inderdaad. Al is er malware die de mail stuurt vanaf de besmette PC zelf met het adresboek van die gebruiker zelf.

En tegenwoordig ook malware die inhaakt op een conversatie die al in de mailbox staat, met een 'oh ja hier is het attachment en het password is "xkcd123"' - de encryptie om scanners te omzeilen, en inhaken op een conversatie om de aandacht van de ontvanger te omzeilen.

Veel plezier met schuld geven aan de gebruiker.

BenGenaaid @sympa • 17 maart 2016 20:48

Niet in alle gevallen handig en of toepasbaar maar Deep Freeze van Faronics is een optie, besmetting gevonden? Herstarten en probleem weg, ook je werk weg vanaf de vorige herstart...

Alle files die je wilt bewaren (je werk) weg schrijven naar een usb station en verifiëren na het schrijven op leesbaarheid en infecties

ransomware gevonden? Herstart en ransomware is weer weg

Ook handig om je kroost ongestoord met je computer te laten rommelen, die kleine

denkt je te pakken te nemen met format c...? Herstart en probleem weg

edit:
Ander alternatief: "Cryptoprevent" malware prevention
(duckduckgo is your friend)

[Reactie gewijzigd door BenGenaaid op 23 juli 2024 21:21]

dehardstyler @AeoN909 • 17 maart 2016 07:58

Om te beginnen zou ik een back-up op bijvoorbeeld een NAS of externe HDD maken. Als je de externe HDD gaat gebruiken, dan het liefst ontkoppelen na het back-uppen. Tegenwoordig zijn sommige ransomwares instaat om back-ups ook mee te encrypten en soms zelfs een complete NAS. Om die reden zou ik ook zeker adviseren om ook nog een off-site back-up op te slaan ergens.

Verder raad ik je aan om van schimmige websites weg te blijven en een up-to-date anti-virus scanner te gebruiken. Verder zou je daarnaast nog MalwareBytes kunnen gebruiken, ben er zelf erg tevreden mee!

Ook is de Anti-Exploit applicatie van MalwareBytes aan te raden!

Ook is gister hier op Tweakers ook weer gebleken waarom een Ad-Blocker zo belangrijk is. ( nieuws: Malvertising treft bezoekers grote nieuwssites )

dataindataout @AeoN909 • 17 maart 2016 07:56

Backups, en als je je dropboxfolder of dergelijke gemount hebt ook nog zorgen voor een andere backup.

gjmi @dataindataout • 17 maart 2016 08:03

Altijd een back-up op iets wat niet altijd aan de computer hangt (behalve tijdens het maken van de back op natuurlijk)
En dat in tweevoud. Bijvoorbeeld 2 externe harde schijven waar je afwisselend een back-up op maakt.

cloud storage en een NAS aan het netwerk zijn niet veilig als die gemount zijn.

loki504 @gjmi • 17 maart 2016 08:13

.en wat als je je NAS alleen verbinding laat maken op het moment dat hij moet gaan backuppen? Kan hij er dan alsnog bij? Of zit je "veilig".

wildhagen

Ransomware
Beveiliging en antivirus

@loki504 • 17 maart 2016 08:15

.en wat als je je NAS alleen verbinding laat maken op het moment dat hij moet gaan backuppen? Kan hij er dan alsnog bij? Of zit je "veilig".

Dan komt de malware er nog steeds bij, zodra de verbinding op de computer aanwezig is, zal de ransomware hem alsnog te pakken nemen.

loki504 @wildhagen • 17 maart 2016 08:22

Ja oke. Maar mag hopen dat je dat wel merkt toch? Momenteel is het hoofd pc>Nas>offsite backup. Waarbij er 7 verschillende zijn met max 7 dagen oud. De pc kan niet direct bij de back-up site. En de nas kan alleen tussen 00.00 en 03:00 bij de backup. (maar dan staat de pc niet aan) mag hopen dat je dan veilig zit toch? Of moet ik alsnog met externe hdd's backups gaan maken?

wildhagen

Ransomware
Beveiliging en antivirus

@loki504 • 17 maart 2016 08:28

Ja oke. Maar mag hopen dat je dat wel merkt toch?

Tuurlijk merk je het, als je bestanden encrypt zijn kom je er snel genoeg achter als je ze wil openen...

Trust me, veel ransomware werkt zo enorm bloedsnel (genoeg gezien op het werk), op het moment dat je het merkt, ben je al way, WAY te laat om er nog iets aan te doen...

Of moet ik alsnog met externe hdd's backups gaan maken?

Absoluut een externe (offsite) backup maken idd. Dat is enige garantie dat de malware er niet bij kan.

loki504 @wildhagen • 17 maart 2016 08:35

Oke tijd om een externe HDD te kopen

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@loki504 • 17 maart 2016 15:35

Waar je ook weinig aan hebt gezien de ransomware doorgaans lange tijd onopvallend actief is voor het openen van bestanden onmogelijk wordt. Wanneer jij die externe harddisk met het systeem verbind heeft de malware daar ook toegang toe.

Verwijderd @Bor • 17 maart 2016 17:47

Tja wat kan je er dan wel aan doen. Enige oplossing lijkt mij:

PC -> Backup 1 -na 7dagen-> Backup 2 etc.

Gaat wel enorm veel kosten dan en extreem sloom voor je een recente backup helemaal doorgepusht heb.

SuperDre @loki504 • 17 maart 2016 13:36

7 verschillende met max 7 dagen oud..... pech dus tenzij jij de ransomware eerder zelf detecteert, meeste ransomware laat je enkele weken 'ongestoord' werken, maar inmiddels zijn wel al je bestanden al encrypted, en die ben je dus aan het backuppen...... enige hoe je daar dan achter komt is als je op een andere pc die schoon is probeert bestanden uit je backup te trekken maar dan ineens dus garbage hebt..

Tribits @SuperDre • 17 maart 2016 19:21

Een beetje degelijk backup schema houdt daar ook rekening mee, simpelweg door te garanderen dat een deel van de backups nooit overschreven wordt. Je maakt bijvoorbeeld eens per dag een backup die na een week overschreven, eens per week een backup die na een maand overschreven wordt en eens per jaar een backup die nooit overschreven wordt. Dit alles offline en bij voorkeur offsite (hoewel dat meer een beveiliging tegen brand en dergelijke is). Als je het dataverlies na verloop van tijd pas opmerkt zal je altijd een (klein) deel van je data kwijt zijn, namelijk de bestanden die gewijzigd zijn tussen de laatste ongecrypte backup en het moment van detectie. De kans dat het mogelijk wordt om gewoon je verlies te nemen en de ransom ware maker niet te hoeven betalen wordt echter een stuk groter.

Overigens hoort is online offsite wat mij betreft niet voldoende. Er zijn al voorbeelden geweest van hackers die niet alleen de servers zelf leeg gooiden maar ook de offsite backup verwijderden. Het is (in ieder geval op dit moment) een ander soort aanval, maar als een dergelijk soort aanval plaatsvindt heb je dus ook geen backups meer. Theoretisch kan niemand bij je backups, maar zolang je backups online staat is het nooit uit te sluiten dat ze op de een of andere manier ook verwijderd worden. De airgap doet het vaak goed in artikelen waar het geen plaats heeft, maar in dit geval hoort het wat mij betreft tot best practice.

tc-t @wildhagen • 17 maart 2016 15:48

Tenzij je de NAS de data van de PC laat halen ipv andersom?

Dan kopieer je zelf wel alle reeds geïnfecteerde bestanden, maar je besmette PC gaat alleszins niet op je NAS beginnen schrijven.

wildhagen

Ransomware
Beveiliging en antivirus

@tc-t • 17 maart 2016 15:52

Als de PC (en dus de malware die erop draait) bij de NAS kan en er schrijfrechten heeft, zal hij de bestanden dus nog steeds te grazen nemen.

Als hij geen schrijfrechten heeft, dan niet. Maar dan wordt het maken van een backup een beetje onmogelijk natuurlijk.

tc-t @wildhagen • 17 maart 2016 16:17

Ik weet niet ... ik dacht aan zo'n scenario: een fileserver met shares (windows shares op een windows server of samba shares op een linux server) en daarnaast een NAS (of noem het backup server) die naar de fileserver connecteert en daar de files gaat ophalen.
Het initiatief 'backup' gaat dan wel uit van de backup server en niet van de fileserver.

sympa @gjmi • 17 maart 2016 19:47

Je moet een opslagapparaat hebben waar wijzigingen niet mogelijk zijn. Iets met read-only snapshots. En die snapshots moeten niet te verwijderen zijn via een netwerkinterface.

Bij iets als een fotoverzameling kost dat geen extra ruimte; die plaatjes staan daar maar en veranderen nooit. Als het snapshot plotseling erg groot is dan is er dus iets aan de hand. Mooi als het apparaat dan alarm gaat slaan met een fysieke indicatie (vreemd gedrag gedetecteerd, piepertje en duidelijk display "heeft u al uw bestanden gewijzigd vandaag").

En dan maar hopen dat de malware-schrijver geen vulnerability ontdekt en ook de backups delete. Gaat ook vast gebeuren.

Daarom loont het om ook de geldstroom af te snijden.

ATS @AeoN909 • 17 maart 2016 07:57

Backups. En wel file-level en geen block-level, en uiteraard niet benaderbaar om te beschrijven.

miekol @AeoN909 • 17 maart 2016 08:07

http://www.surfright.nl/nl/cryptoguard

birdofpray @AeoN909 • 17 maart 2016 08:20

Malwarebytes heeft een Beta-progje: downloads: Malwarebytes Anti-Ransomware 0.9.4.299 bèta . Ik heb het getest, maar mijn systeem werd er instabiel van helaas.

Verwijderd @OrangeTux • 17 maart 2016 11:11

Ja dat hebben we laatst kunnen zien, hoeveel bescherming dat biedt

hijlko.roosjen 17 maart 2016 08:24

Is het niet zo dat vnl gebruikersbestanden met bekende extenties worden "aangepakt" door die encryptie? zoals .doc(x), .xls(x), .txt, etc.?
Ik heb op mijn werk (waar wel backups worden gemaakt) een aantal applicaties in MS Access gemaakt. Die zijn zodanig gemaakt dat als die op een dag voor het eerst wordt gestart, er ook een "kopie van de vorige werkdag" van de applicatie en van de backend wordt gemaakt waarbij ik in de kopie de punt tussen de databasenaam en de extentie vervang door een underscore (applicatie.accdb en data.accdb kopieer ik dus naar applicatie_vorige_werkdag_accdb en data_vorige_werkdag_accdb).
Scheelt weer een klein stukje zodat ik niet op het terugzetten van een backup hoef te wachten. Dan ben ik hooguit de data die de afgelopen werkdag is ingevoerd kwijt als de applicatie is getroffen voordat de kopie van de afgelopen werkdag is gemaakt.
Degene die dit soort malware ontwikkelt/verspreid mogen ze van mij overigens aan de hoogste boom ophangen.

ATS @hijlko.roosjen • 17 maart 2016 08:35

Dit soort malware werkt vaak als een soort driver. Zolang hij nog bezig is met encrypten zijn alle bestanden gewoon nog toegankelijk voor je programma's. Pas als hij klaar is gooit hij zijn key weg en ga jij merken dat je geïnfecteerd bent. Daar kunnen dagen tussen zitten. Dan zijn die backup bestanden van je ook al lang aan de beurt geweest, omdat het .accdb bestand zelf al lang getroffen is.

Vandaar dat ik ook file-level backups aanraadt: zolang de file nog leesbaar is (direct of via die malware driver) heb je nog een bruikbare backup. Als je op block-level gaat backuppen, dan blijkt je backup al lang encrypted data te bevatten.

Orthodroom @hijlko.roosjen • 17 maart 2016 08:38

Volgens mij begint het met de meest voorkomende bestanden, maar pakt het ook later andere bestanden

basset 17 maart 2016 07:51

Backup, backup, backup en nog eens backup

Cilph @basset • 17 maart 2016 07:54

In dit geval: read-only externe backups.

Verwijderd @Cilph • 17 maart 2016 08:02

En dan hebben ze een manier om het met elevated rights te draaien en hang je nog.
Dus een backup die nergens aan hangt maar gewoon ergens in de kluis ligt of zo.
Het is een investering, maar kan veel leed besparen.

Epicbewbs @Verwijderd • 17 maart 2016 08:08

Of zorgen dat je een backup hebt met versies, dan kan je terug naar versie X van voor de ransomware

wildhagen

Ransomware
Beveiliging en antivirus

@Epicbewbs • 17 maart 2016 08:24

Of zorgen dat je een backup hebt met versies, dan kan je terug naar versie X van voor de ransomware

Dat helpt ook niet bij alle malware, sommige malware neemt ook die data op de korrel.

Het is wel een handige feature, en tegen veel dataverlies kan het je zeker beschermen, maar ik zou er zeker niet op vertrouwen als enige maatregel, er zijn aanvullende beschermingen nodig voor een goede beveiliging.

Dtsonline @wildhagen • 17 maart 2016 10:49

En daarbij, wanneer weet je nu dat je besmet bent geraakt? Want je kan wel back-ups maken, maar als deze tool al weken of misschien wel maanden op de achtergrond actief is, mag je wel een paar flinke berg aan opslag hébben voor je back-ups. Stel dat je vandaag geen toegang meer hebt tot je bestanden, kan het best zijn dat al weken of maanden je back-ups ook besmet zijn. Ik wens dit niemand toe, maar je kan misschien wel fluiten naar je bestanden.

begintmeta @wildhagen • 17 maart 2016 10:22

Uiteraard mag bij continuous data protection niets schrijftoegang hebben tot oude gegevens

[Reactie gewijzigd door begintmeta op 23 juli 2024 21:21]

Dtsonline @begintmeta • 17 maart 2016 13:55

Uiteraard mag bij continuous data protection niets schrijftoegang hebben tot oude gegevens

Maar als deze rommel al weken op je systeem staan en dus al weken je data encrypten, dan maakt je al weken een back-up van data die al gekaapt is. Dan moet je weken aan back-ups door spitten tot het moment dat je nog niet gekaapt bent. In de weken kan jijzelf heel veel data hebben aangemaakt en hebben opgeslagen, waar jijzelf niet meer bij kan. Dan ben je echt niet blij, want geen 1 back-up programma kijkt of je data geëncrypt is.

davekok @Cilph • 17 maart 2016 08:01

Tjonge ik gebruik al een tijdje syncthing voor backuppen. Maar dit gaat toch vereisen dat ik ook snapshots ga maken.

kwikstaart @Cilph • 17 maart 2016 09:32

Dat kan dus zijn een backup op bluray, met een controle op een andere pc zodat je zeker weet dat de backup niet versleuteld is. Alternatief zijn diensten zoals Crashplan, die onbeperkte online backup bieden, met versies. Dus als er versleuteld wordt, dan wordt daar een backup van gemaakt, maar een onversleutelde backup hoort beschikbaar te zijn.

KeesAlderlieste @basset • 17 maart 2016 09:16

Als je een windows server hebt met voldoende schijfruimte: maak elk uur een shadowcopy! Mocht de boel ge-encrypt worden dan pleur je die files gewoon wel en kopieer je de dan ontbrekende files terug vanuit de laatste (schone) shadowcopy.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@KeesAlderlieste • 17 maart 2016 09:34

Was het maar zo eenvoudig. Voor geavanceerde malware is het niet moeilijk om ook de shadow copies mee te nemen of corrupt te maken. Al dit soort maatregelen zijn wellicht leuk tegen bepaalde varianten maar de ontwikkelingen in malware land staan niet stil. De enige echt betrouwbare maatregel zijn backups waar je via elektronische weg niet bij kunt komen (dus echt fysiek gescheiden).

WienerBlut @Bor • 17 maart 2016 09:48

Inderdaad, ook die shadow copies zijn gewoon files in een hidden folder.

KeesAlderlieste @WienerBlut • 17 maart 2016 10:03

Nee, shadowcopy werkt op blocklevel van de volumes en maakt daar snapshots. Dus het is net iets anders dan een hidden folder

KeesAlderlieste @Bor • 17 maart 2016 10:02

Uiteraard, zeg ook niet dat 't een vervangen van je backup is, maar een extra recovery optie. Bij veel varianten (ctb locker, locky etc) werkt shadowcopy restore prima en heb je heel snel de boel weer op orde.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@KeesAlderlieste • 17 maart 2016 10:04

Daar focus je je vooral op de huidige generatie van veel voorkomende ransomware. Ik kies liever voor een meer betrouwbare en toekomstgerichte oplossing. Het is relatief eenvoudig om de shadow copies te verwijderen, corrupt te maken of ook te encrypten.

Demo @Bor • 17 maart 2016 10:10

Zorg dat de user die de data op de schijf/share schrijft, geen rechten heeft op de Shadow Copy data. Maar goed, wie werkt er thuis nou onder een restricted account...

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@Demo • 17 maart 2016 10:35

Ook dat heeft niet altijd zin gezien malware vaak via Privilege escalation toegang tracht te verkrijgen.

Arumes @Demo • 17 maart 2016 22:42

De meeste Linux-gebruikers. Of ze hun backup ook van hun gebruikersaccount afschermen is een ander verhaal.

SuperDre @basset • 17 maart 2016 13:31

Juist ja, alleen de meeste nieuwe ransomware laat je rustig een paar weken lang werken en gaat dan ineens blokkeren, maar ondertussen is alles in je backup inmiddels dan ook encrypted...
Voor het geval je het niet wist, de meeste ransomware zit al langer op je systeem en ondertussen encrypt die al je bestanden, maar wanneer jij die weer opvraagt decrypt die die voor jou waardoor het lijkt alsof alles in orde is.. Ondertussen zit jij dus backups te maken van files die al encrypted zijn, dus enige wat je dan nog kunt doen is backups terugzetten van weken al dan niet maanden geleden..
Wil je je hier tegen beveiligen en zo snel mogelijk van op de hoogte gebracht worden, zul je dus een soort van testbestand moeten hebben waarbij je externe backupsysteem deze telkens controleert of die het bestand nog kan lezen..

basset @SuperDre • 18 maart 2016 07:53

Dat is precies de reden, dat je je juist moet gaan focussen op detectie en herstel en niet voornamelijk op preventie.

Je kunt een hoop doen om erger te voorkomen, maar dat kun je nooit uitsluiten, dus dan moet je zorgen, dat je er A. Zo snel mogelijk achter komt en B. Dat je terug kunt gaan in de backup, maar daarvoor moet je wel weten wanneer de ellende begonnen is.

In een bedrijf is dat doorgaans 1 gebruiker die veel schrijfacties gedaan heeft in een relatief korte tijd.

Vooral voor een bedrijf kun je een hoop ellende besparen door rechten in te perken. Helaas brengt dat vaak weer een enorme druk op de IT afdeling met zich mee, maar goed, herstellen is vervelender.

VSS kan volgens mij door de juiste ransomware buitenspel gezet worden. In een bedrijf, kun je vaak op een ander niveau snapshots maken, buiten het OS om. Ik denk dat dat de beste weg is.

Helaas zit dat tuig ook niet stil in de ontwikkelingen

PV-NL 17 maart 2016 08:07

Wordt het pas actief nadat je opnieuw hebt opgestart, of wordt het meteen actief?

wildhagen

Ransomware
Beveiliging en antivirus

@PV-NL • 17 maart 2016 08:10

De meeste malware wordt direct actief zodra het uitgevoerd wordt (op welke manier dan ook), niet pas na een reboot. Enkele uitzonderingen daargelaten dan.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@PV-NL • 17 maart 2016 09:24

De meeste malware wacht een reboot echt niet af voor het actief wordt maar doet wel zijn best om een reboot te overleven en om zo onopvallend mogelijk te werk te gaan. Immers (in het geval van ransomware) is het interessanter om veel bestanden te encrypten dan om maar een paar te doen alvorens het de gebruiker gaat opvallen. De kans op betaling is vele malen groter wanneer er een groot aantal bestanden zijn getroffen.

anargeek @PV-NL • 17 maart 2016 11:33

Wordt het pas actief nadat je opnieuw hebt opgestart, of wordt het meteen actief?

Vorige versies van TeslaCrypt deden wel een reboot waarna de encryptie-sleutels verwijderd werden (elke map met versleutelde bestanden bevatte een bestand met de gebruikte encryptiesleutel). Dan was je dus wel al besmet en de sjaak. Door een bug in TeslaCrypt 2 werden sleutels niet goed verwijderd, waardoor de malware heel simpel uitgeschakeld kon worden. TeslaCrypt 3 loste deze bug op.

[Reactie gewijzigd door anargeek op 23 juli 2024 21:21]

shredder 17 maart 2016 08:13

Tijd dat de security diensten gericht achter deze malloten aangaat ipv de hele bevolking in de gaten te houden.

Kun je backup/sync software niet zo instellen dat als er heel veel bestanden gewijzigd zijn, er alarmbelletjes afgaan?

unglaublich @shredder • 17 maart 2016 08:41

Ja, tijd dat ze gewoon de schakelaar 'volg criminelen' aanzetten in plaats van 'volg iedereen'. Natuurlijk ligt het subtieler.

Het lijkt me echter geen groot probleem deze mensen te vinden omdat er uiteindelijk gewoon een bedrag van X naar Y gaat. Of het nu via bitcoins in the middle is of niet, er is een pad waar t geld naar toe gaat.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@unglaublich • 17 maart 2016 09:32

Het is vaak niet zo simpel als "follow the money". Er wordt veelvuldig gebruik gemaakt van min of meer anonieme verzendmethoden om het geld uiteindelijk bij de crimineel te krijgen. Bitcoins, money mules, gehackte servers in het buitenland (bij voorkeur ergens waar controle en handhaving niet zo heel erg betrouwbaar is), verregaande encryptie en ga maar door.

Als het zoals jij stelt "echter geen groot probleem deze mensen te vinden" was waren de bekende botnet admins en cryptoware makers allemaal al opgepakt. In de praktijk is het juist heel erg lastig deze mensen te vinden. Een scriptkiddie die ergens een tool download of koopt maar niet goed weet was hij / zij doet is wellicht snel te pakken maar de echt goede crackers weten zichzelf heel erg goed relatief onvindbaar te maken.

84hannes @shredder • 17 maart 2016 08:47

Ja, in de volgende wetswijziging mogen ze wel opnemen dat allen mensen waarvan uiteindelijk blijkt dat ze crimineel gerdag vertonen, preventief in de gaten gehouden mogen worden.

Rutix 17 maart 2016 07:53

De ontwikkelaars van TeslaCrypt zijn ook niet dom natuurlijk die zien ook dat hun ransomware kan worden gekraakt en kwetsbaarheden heeft en die patch ze ook. Ik heb het zelf gelukkig nog nooit gehad (en anders heb ik gelukkig backups) maar ik denk dat veel mensen toch het losgeld betalen.

PPie @Rutix • 17 maart 2016 11:08

en die patch ze ook

En waarschijnlijk helaas sneller en beter dan de normale software die we gebruiken...

s.flake 17 maart 2016 10:51

Dus beste waarborg is offline back-ups.
Maar we weten allemaal dat daar de klad in komt.

Mijn vraag aan jullie.

Beschermt mijn NAS met BTRFS (Maar had ook ZFS kunnen zijn) , met frequente snapshots en COW mij ook? Dus als cryptoware mijn on-line gemounte schijven gaat versleutelen, blijft er dan niet een snapshot bestaan, die is als het goed is toch niet overschrijfbaar. Waarschijnlijk zal de NAS in no time vastlopen bij gebrek aan ruimte en wordt het nog een hele klus deze op te starten en roll-backs te kunnen maken, maar is niet alles verloren en is alles redelijk up to date.

Cloud storage zou dus ook versleuteld raken (Dropbox en consorten) , maar die hebben toch ook een versie beheer?

Timecapsule ? volgens mij besschrijfbaar door "root" proces, niet door userland in OSX ??

Ben bang dat dit de nieuwe realiteit is en we zeer frequent deze problematiek zullen zien tot we ons hier tegen kunnen wapenen. (mogelijk dus dmv COW filesystems?)

kaaas @s.flake • 17 maart 2016 11:32

Ja snapshots beveiligen hiertegen. Mits de snapshots niet te wijzigen vanaf je pc (wat als het goed is niet kan)

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (319)

Sorteer op:

Weergave: