Nieuwe ransomware zet harde schijf op slot

Een nieuwe ransomware voorkomt dat de gebruiker toegang krijgt tot de gehele harde schijf. De Petya-ransomware lijkt zich vooralsnog op bedrijven te richten. Het aantal-ransomware-infecties in de Benelux stijgt sterk, volgens statistieken.

De malware die claimt de hele harde schijf versleuteld te hebben, is Petya gedoopt, naar een term in de notificatie die gedupeerden krijgen. De meeste ransomwarevarianten versleutelen specifieke individuele bestanden. Het Duitse bedrijf G-Data beschrijft dat de ontdekte verspreiding zich vooralsnog op bedrijven richt en in ieder geval in Duitsland de ronde doet. Personeelsafdelingen krijgen e-mails met een Dropbox-link naar een portfolio. In plaats daarvan downloaden zij een uitvoerbaar bestand dat voor de besmetting zorgt.

Petya zorgt voor een bluescreen bij Windows en manipuleert het Master Boot Record. Na een reboot claimt het systeem chkdsk uit te voeren voor een foutcontrole, maar in feite zorgt dit proces ervoor dat de malware het systeem ontoegankelijk maakt. G-Data neemt overigens voorlopig aan dat Petya niet alle bestanden op de harde schijf versleutelt, maar de toegang onmogelijk gemaakt is. Een test door een Duitse site wees uit dat ook na reparatie van de Master Boot Record de harde schijf niet toegankelijk is.

Ransomware is sterk in opmars en dat geldt in het bijzonder voor de Benelux, claimt een ander beveiligingsbedrijf, Trend Micro. Het bedrijf becijferde dat in februari van dit jaar in de Benelux meer ransomware-infecties werden ontdekt dan in het gehele laatste halfjaar van 2015. Wereldwijd heeft het aantal in Nederland en België gedetecteerde ransomwaregevallen inmiddels een aandeel van 6 procent, waar dat normaal 1 à 2 procent zou zijn. Bovendien zou het merendeel inmiddels cryptoransomware zijn, waar in het verleden bijvoorbeeld gedreigd werd met valse politiewaarschuwingen.

Beveiligingsbedrijven raden aan regelmatig back-ups te maken, patches voor software zo snel mogelijk door te voeren en beveiligingssuites up-to-date te houden.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 25-03-2016 11:43429

25-03-2016 • 11:43

429 Linkedin

Lees meer

'Maker oorspronkelijke Petya-ransomware geeft privésleutel vrij' Nieuws van 6 juli 2017
Systemen van containerconcern Maersk zijn getroffen door ransomware Nieuws van 27 juni 2017
'Aantal ongerichte en gerichte aanvallen met ransomware neemt toe' Nieuws van 26 juni 2017
Nieuwe CryptXXX-ransomware is ook na kopen decryptiesleutel niet te verwijderen Nieuws van 25 mei 2016
'Ransomware is voor consumenten en bedrijven geen reden tot paniek' Nieuws van 10 mei 2016
Kaspersky: Nederland en België in top drie van doelwitten voor ransomware Nieuws van 6 mei 2016
Trend Micro waarschuwt voor nieuw soort pornoransomware voor Android Nieuws van 11 april 2016
Onderzoeker maakt tool voor ontsleutelen door Petya-ransomware getroffen pc's Nieuws van 11 april 2016
Experts: TeslaCrypt-ransomware nu onmogelijk te kraken Nieuws van 17 maart 2016
Officiële versie Mac-app Transmission bevatte ransomware Nieuws van 7 maart 2016
Ransomware Locky maakt slachtoffers in Duitsland en Nederland Nieuws van 19 februari 2016
Amerikaans ziekenhuis betaalt veertig bitcoin na ransomware-aanval Nieuws van 18 februari 2016
FBI-afdeling adviseert bedrijven regelmatig om ransomware-losgeld te betalen Nieuws van 23 oktober 2015
Twee Nederlanders opgepakt op verdenking verspreiding ransomware Nieuws van 17 september 2015
Ontwikkelaar brengt decryptie-toolkit uit voor diverse ransomware Nieuws van 23 mei 2015
Meer producten en artikelen
Netwerk en systeembeheer Ransomware

Reacties (429)

-Moderatie-faq
429
412
258
3
0
37
Wijzig sortering
smartsys
25 maart 2016 14:31
Wat mij verbaast is dat niemand het een probleem lijkt te vinden dat je SECURITY software, als Trend Micro, McAfee, Bitdefender of wat dan ook, dit ransomware gedrag totaal niet opmerkt en gewoon toelaat.

Ja er wordt via een link een uitvoerbaar bestand uitgevoerd, maar dit zou door je security software gewoon afgevangen moeten worden met een duidelijke grote waarschuwing dat een uitvoerbaar bestand van een potentieel onveilige locatie wordt uitgevoerd.
Niets van dat alles. Zelfs als zo'n bestand massaal bestanden gaat wijzigen blijft de "virus" scanner dit gewoon vrolijk toestaan.
Ik vraag me dus sterk af wat de toegevoegde waarde van deze producten nog is, als dit soort ellende er probleemloos doorheen gaat.
Blokker_1999
@smartsys25 maart 2016 17:39
Zelfs Windows geeft de gebruiker een waarschuwing wanneer een exe word geopend die niet vanaf de lokale schijf komt. Het is niet dat gebruikers vaak geen waarschuwing krijgen. Het is dat gebruikers deze nog al te vaak negeren.

In dit geval gebeurd het wijzigen van bestanden trouwens niet tijdens dat Windows draait maar tijdens de zogenaamde chkdsk tijdens het opstarten. Alles wat er dus moet gebeuren is een kleine aanpassing aan het bootprocess.

Vele virussen maken trouwens ook gebruik van andere exploits die in het OS aanwezig zijn om hun werking te verbergen en hogere rechten te krijgen waarmee ze taken kunnen uitvoeren die zonder toestemming nooit mogelijk zouden mogen zijn. En 1 van die verdedigingsmechanismen bestaat er vaak in om de antimalware software uit te schakelen.

Geen enkele malware scanner is trouwens 100% effectief. Er is altijd een marge waarin virussen gewoon worden doorgelaten alsook een periode tussen het uitkomen van een virus en het opnemen in de definities van een scanner.
Metro2002
@Blokker_199925 maart 2016 19:35
Het wordt genegeerd omdat je voor elke scheet en een knikker een vraag krijgt of je zeker weet dat.... Op den duur klikt men gewoon blind op ja. Het enige dat zou werken is om domweg bij elke adminstrative task om een wachtwoord te vragen zoals onder linux.

Ik irriteer me er zelf ook mateloos aan dat ik zelfs wanneer ik administrator bén nog telkens om toestemming voor van alles en nog wat gevraagd wordt. Dan heeft zo'n vraag gewoon geen enkele zin meer.
Anoniem: 463321
@Metro200226 maart 2016 01:35
Het wordt genegeerd omdat je voor elke scheet en een knikker een vraag krijgt of je zeker weet dat.... Op den duur klikt men gewoon blind op ja. Het enige dat zou werken is om domweg bij elke adminstrative task om een wachtwoord te vragen zoals onder linux.
Zodat men bij elke scheet en een knikker snel even het SU wachtwoord intypt....Net zo weinig effectief. Het gaat minder snel dan een klik maar geen reden om niet domweg het wachtwoord in te typen. Men wil namelijk een programma installeren en als daar een wachtwoord voor nodig is dan voeren we dat toch gewoon blind in?


Als Windows admin is het ook goed om nog een bevestiging te moeten geven. Ook admins moeten blijven opletten. En als jij jezelf een stoere admin vindt die zich ergert* aan al die vragen dan schakel je het toch uit.
CdE
@Metro200226 maart 2016 11:21
Ik moet zeggen dat ik weinig vragen krijg van Windows (10) tegenwoordig. Nu maak ik toch veel gebruik van mijn PC als programmeur/student informatica. Als je iets nieuws installeert, logisch lijkt me. Dat doe je nu ook niet bepaald dagelijks...
Het is zeker goed dat je die vraag als admin wel krijgt. Admin rechten zijn gevaarlijk en niet bepaald vaak nodig.
xoniq
@Blokker_199925 maart 2016 18:44
Vanuit je mail komt het toch ook van je lokale schijf? Dan wel in de AppData van de applicatie.
Balder©
@Blokker_19991 april 2016 11:52
Zie de volgende link.
Er wordt aan een persoon gevraagd om bijvoorbeeld macro editing in te schakelen op een heel raar uitziend document bestand.
Helaas denken mensen niet dat iemand iets slechts voorheeft en zetten het aan.
De code wordt dan uitgevoerd met admin rechten.
Aangezien er gewoon van een legaal programma voor het encrypten gebruik gemaakt wordt wordt deze niet opgemerkt. Elke dag komen er al honderden nieuwe van dit soort virussen binnen dus alleen die wat toegevoegd zijn aan de lijst worden geblokkeerd. Een kleine verandering in de md5 en woppa het begint weer van vooraf aan. Helaas doordat mensen betalen blijft het lucratief en zo blijf je dus hangen in een visuele cirkel.

Zie hier het voorbeeld van de macro editing cryptolocker Locky:.
http://arstechnica.com/se...ious-word-document-macro/
clueless12
@smartsys25 maart 2016 15:02
Inderdaad. Dat spul komt neem ik aan toch meestal via een website of e-mail binnen. Moet toch heel makkelijk zijn om de download locaties te blokkeren voor het uitvoeren van bestanden.

[Reactie gewijzigd door clueless12 op 25 maart 2016 15:08]

loki504
@clueless1225 maart 2016 19:13
Download locaties hebben ze snel gewijzigd. Maar vermoed dat ze wel meer zouden kunnen doen om het tegen te gaan.
Multispeed
@smartsys25 maart 2016 15:22
Precies... Ook wij zoeken buiten onze standaard beveiliging nog steeds naar iets wat echt een stukje preventie bied... Maar vooralsnog beperkt het zich tot goed geupdate virus scanners, spam filters en blokkeren wij hiernaast ook het zenden en ontvangen van .zip files
Dysmael
@Multispeed25 maart 2016 17:34
Fatsoenlijk ingerichte firewall die naast standaard antivirus ook een vorm van APT Blocker heeft. Ik heb de beste ervaring met Watchguard XTM i.c.m. APT Blocker.
Wat je ook kiest ( en zeker bij firewalls ) besef dat je het niet meer kan instellen en achteruitzaken. Je zal actief beheer moeten doen.
smartsys
@Multispeed29 maart 2016 11:52
Wij passen veelal Fortigates toe incl. IPS en Antivirus filter en de hele rambam.
Verder nog een virusscanner op de eindplek én ook nog op bijv. de fileservers.

Een Ransomware besmetting zou gewoon binnen enkele seconden afgevangen moeten worden.
De virusscanner op de werkplek zou gewoon het "gedrag" moeten toetsen bij de eindgebruiker. Simpelweg een melding als "De toepassing sjdyeoeydy op locatie C:\Users\Username\appdata\local\temp\ probeert verschillende bestanden op locatie K:\bedrijfsdata\blablabla\ te veranderen.
Dit gedrag is gelijkend met ransomware en kan dus in potentie data verlies tot gevolg hebben.
Op dit moment is de toepassing sjdyeoeydy gestopt.
Wilt u deze toepassing toestaan wijzigingen te blijven uitvoeren met mogelijk dataverlies tot gevolg of wilt u deze toepassing stoppen, blokkeren en registreren bij bladieblable antivirus. Indien u niet zeker bent van uw keuze neemt u contact op met uw systeembeheer of met de helpdesk van bladieblable antivirus software."

ZO moeilijk moet zoiets toch niet zijn. De definitie van een virus is dat het massaal "gezonde" cellen en in een computer dus bestanden aanvalt en zichzelf verspreid. Dat moet toch te zien zijn.

Uiteraard is het mogelijk met Applocker of AppGuard oplossingen systemen dicht te timmeren. Dit kan wel bij bedrijven waar 100+ werkplekken staan, maar bij omgevingen waar 10, 20 of 50 werkplekken staan zijn de kosten voor licenties, inrichting, beheer en onderhoud simpelweg te hoog.
Microsoft zou er goed aan doen om Applocker vanaf de Professional versie van Windows 10 toe te voegen en niet langer in de te dure Enterprise versie beschikbaar te maken.
Zodoende komt deze techniek voor een veel grotere groep bedrijven beschikbaar en worden de kosten beperkt tot inrichten, beheer en onderhoud.
DeTeraarist
@smartsys25 maart 2016 15:36
Een virus moet nu eenmaal verspreid worden eerdat er definities voor bestaan en met het grote internet gaat verspreiden heel snel. Dat is de grote zwakke schakel van virusscanners. Daarom ben je tegenwoordig beter af met een HIPS. Zo'n ding blokkeert onbekende processen en processen die toegang willen tot resources waar ze (nog) geen toestemming voor hebben. Ik draai liever alleen een HIPS dan een virusscanner. Allebei is nog iets beter, maar een beetje HIPS houdt virussen doorgaans ook tegen.
jeroen7s
@DeTeraarist25 maart 2016 18:55
het grote nadeel van een HIPS is echter het groot aantal False Positives, HIPS vragen vaak of dingen 'legit' zijn, waardoor het niet echt iets bruikbaar is voor gewone users, voor powerusers zeker interessant, maar voor iemand die niet weet waar hij mee bezig is is een HIPS volledig nutteloos
Gurd
@smartsys25 maart 2016 17:48
Inderdaad, en imho hoort in een goed beveiligde bedrijfsomgeving het uitvoeren van uitvoerbare bestanden sowieso beperkt te zijn tot de applicaties die een werknemer tot zijn beschikking heeft.
xoniq
@Gurd25 maart 2016 18:45
Of je zorgt voor kundig personeel waar je vertrouwd op hun kunnen en doen.
loki504
@xoniq25 maart 2016 19:17
Dit is uiteraard makkelijker gezegd dan gedaan. Genoeg bedrijven hebben honderden in dienst. Van mbo geschoold tot vwo. Of wil je je telefoniste ook 3000+ laten betalen en vwo geschoold neer zetten. En dan nog geeft het geen garantie dat het goed komt.
McGryphon
@loki50425 maart 2016 19:31
Met alleen VWO krijg je echt geen 3000+ betaald kan ik je uit ervaring vertellen.

Wel relevant is dat je nooit 100% op je personeelsbestand gaat kunnen vertrouwen bij zo iets, tenzij je zelf de enige werknemer bent is er altijd iemand die het voor je kan verstieren. Hoe kundig ze ook zijn, een keer op het verkeerde moment niet opletten en die kostbare bedrijfsbestanden zijn versleuteld.

Om nog maar niet te beginnen over hoe weinig het niveau middelbaar onderwijs over iemand zegt. Enkele van de grootste idioten die ik ken, en al de emotioneel instabielsten, hebben VWO/gymnasium afgerond. Daarentegen heb ik ook genoeg vrienden die het MBO nog niet eens hebben afgerond, maar hoewel ze niet per se erg intelligent zijn wel veel beter functioneren in elk opzicht van het leven door een goede dosis gezond verstand.

En op de universiteit heb ik genoeg medestudenten gehad die buiten hun vakgebied compleet incompetent zijn, waaronder op sociaal gebied. Heb ik het ook niet alleen over de gediagnostiseerde autisten.

[Reactie gewijzigd door McGryphon op 25 maart 2016 19:33]

Oyxl
@McGryphon25 maart 2016 22:25
Och, in mijn geval zit er ruim boven met slechts VWO. Het is de capaciteit van de persoon. Opleiding zegt geen fuck.
Anoniem: 194347
@McGryphon26 maart 2016 16:32
Nou maar hopen dat je MBO vrienden dit nooit lezen 8)7 8)7
McGryphon
@Anoniem: 19434726 maart 2016 16:59
Mijn MBO-vrienden zouden geen enkel probleem hebben met hoe ik ze hier karakteriseer. Fijn dat jij dat beter weet dan ik though.
AudiSub
@loki50425 maart 2016 20:31
Opleidingsniveau is heus geen garantie voor het voorkomen van klikken op dergelijke links. Het heeft meer te maken met (het ontbreken van) digitale opvoeding.
Paul
@xoniq25 maart 2016 20:17
Of je zorgt voor kundig personeel waar je vertrouwd op hun kunnen en doen.
Ik vertrouw ons personeel blind op het uitvoeren van hun werk: Dingen schoonmaken, dingen in elkaar zetten, de telefoon opnemen, facturen betalen, mensen helpen... Het zijn echter geen IT'ers of security specialists.
xoniq
@Paul25 maart 2016 20:24
Een linkje controleren in de mail door de muis eroverheen te hoveren hoef je geen IT'er voor te zijn.
Anoniem: 463321
@xoniq26 maart 2016 01:39
Het hoveren zal wel lukken. Dan moet er nog iets met de informatie gedaan worden die je dan te zien krijgt. Wat dat is zal eerst uitgelegd moeten worden aan iedereen.
Heb je dat uiteindelijk gedaan dan krijg je te maken met menselijk falen. Geheid dat linkjes in mail om wat voor reden dan ook niet gecontroleerd worden of dat de informatie die bij het hoveren verkeerd geïnterpreteerd wordt.
Het is niet zo makkelijk als jij schetst.
Shaedys
@xoniq26 maart 2016 20:10
Ik weet van een studievereniging die alleen bestaat uit ICT'ers, mensen die technische informatica studeren. Die had nog steeds laatst een cryptolocker virus op een deel van het netwerk omdat er iemand een zip file in een lege mail had geopened.

Er hoeft maar iemand 1 keer niet op te leten en het gebeurt al, en dat gaat gewoon gebeuren.
telenut
@smartsys25 maart 2016 16:19
DIe locaties en bestanden zijn telkens anders. En hoe groot of duidelijk de waarschuwing ook is. De gebruiker zal ze negeren...
Op zich zijn zo een virussen niet zo erg voor een bedrijf. Meneer klikte op een virus? Geen probleem, we herinstalleren uw PC wel even.
Maar al mijn vakantiefoto's staan op mijn desktop!
Spijtig....

En voila, weer een cleane snelle pc bij in het computerpark
sprankel
@smartsys25 maart 2016 19:02
Omdat de namen die je noemt niet perse de beste producten zijn?

test resultaten real world test 02/2016
McAfee 95,4% detectie, 5 false positives
TrendMicro 100% detectie maar 13! false positives (en is daarmee koploper)
Bitdefender 99,7% detectie, 0 false positives

De beste uit de test
Kaspersky 100% detectie, 0 false positives

Om ergens een idee te krijgen van wat algemeen als een slechte AV beschouwd word
AVG 99.2% detectie, 0 false positives

Als ik dan even kijk naar het laatste summery rapport valt al meteen op dat McAfee zijn toestemming niet gegeven heeft (McAfee komt algemeen niet denderend goed uit de testen). Kaspersky & Bitdefender staan samen op de top maar Trend Micro slaat de bal totaal verkeerd.

Kijk gerust zelf even op http://www.av-comparatives.org

[Reactie gewijzigd door sprankel op 25 maart 2016 19:03]

joeri1
@sprankel27 maart 2016 12:15
Ik ben voor mijn beroep bij mensen thuis geweest voor het opschonen en herstellen van hun PC en kan vertellen dat vrijwel alle AV-software ruk zijn. Adware, Ransomware en Cryptoware zijn hedendaags de meeste voorkomende Malware en die worden, blijkbaar, niet gedetecteerd dan wel tegengehouden. Sterker nog, betaalde AV-software wordt meegeleverd met een hoop extra crap die de PC alleen nog maar vertraagt dan beschermt.
sprankel
@joeri128 maart 2016 22:08
Alles wat af fabriek word meegeleverd is crap. Destijds was het Norton waar je speciale scripts voor nodig had om het er volledig af te krijgen. Tegenwoordig is het Mcafee advisor brol (is niet betalend, eerder een vorm van verdoken gedwongen irritante lokale reclame station) die overigens ook met flash meekomt .Die laat zich wel simpeler verwijderen dan Norton destijds. Zelfs Microsoft doet mee met Candy Crush die zich maar moeilijk laat verwijderen vanuit de image van Win 10. (staat nog op mijn to do lijstje, ondanks dat hij uit de image verwijderd zou moeten zijn staat hij er nog altijd op na deployment)

Persoonlijk betaal ik zelf al een paar jaar voor Kaspersky licenties voor iedereen die zou durven mij te vragen naar hun pc te kijken (je kent ze vast wel) en het was/is mijn beste investering ooit. Tot hier toe, hout vasthouden, geen enkele infectie meer gehad.

Maar er is een verschil tussen brol en malware.
Ook niet te vergeten, wanneer begint jan met de pet AV te downloaden? juist ja, als het al te laat is. En wanneer bellen ze de (betalende) expert? Als ze er niet meer uit geraken.
Plekuz
@smartsys25 maart 2016 21:08
Ik draai Bitdefender en die heeft ook een ransomware protectie die meteen begint te gillen als een programma bestanden wil wijzigen. Goed, dat levert de eerste keer dat je veilige programma's zoals Newsbin gebruikt ook wel een melding op, maar liever eentje teveel dan eentje te weinig.
dezwarteziel
@smartsys26 maart 2016 20:07
Les 1 internetveiligheid, eerst lezen, dan heel even nadenken, dan pas klikken. Maar zo leer je het ook, ervarend leren welteverstaan.

[Reactie gewijzigd door dezwarteziel op 26 maart 2016 20:08]

Mopperman
@smartsys11 april 2016 14:34
Via speciale algoritmes kan McAfee EPO, de zakelijke variant, dit tegenhouden. Hier in het bedrijf sindsdien nergens meer last van :)
Jan-E
25 maart 2016 14:56
Ik kreeg zojuist (13:30) ook zo'n mailtje binnen en heb even doorgeklikt (op een Windows machine...):

Dit is een screenshot van het mailtje:
https://phpdev.toolsforresearch.com/ransom.png
Bedriegelijk echt. Als je Zakelijk Internet van KPN afneemt is er niets verdachts aan te zien. De spamfilters van bhosted.nl en XS4All lieten hem gewoon door. Er zat ook geen bijlage bij.

Klik je op de link kpn.com/zakelijkefactuur, dan ga je naar een site die een zip-bestand (dus geen zip.exe) vanaf Dropbox downloadt (via een redirect). Keurig opgeslagen, laten scannen door MS Security Essentials, niets gevonden. Security Essentials kende de PDF.exe in het zip-bestand kennelijk nog (?) niet.

Toen laten scannen door virustotal. Pas op dat moment gaan er alarmbellen af:
https://www.virustotal.co...5c90/analysis/1458913188/

Ik kan mij voorstellen dat dit soort praktijken veel slachtoffers oplevert.

Edit: Avast, F-Secure, Kaspersky, Microsoft, Symantec en nog veel andere scanners zien er ook niets verdachts in, aldus Virustotal.

Edit, niet naar aanleiding van de reacties

Ik blijk er de afgelopen 24 uur nog 4 binnengekregen te hebben. Het begon gisteren om 16:17. In de week daarvoor was er geen, dus het is een nieuwe uitbraak.

Edit in antwoord op de reacties

De link leidde naar http://j119410.servers.jiffybox.net/www.kpn.com/private/ (rest geknipt)
De zip staat nog rustig op mijn Windows harde schijf, dus ik laat hem over een paar dagen nog wel eens scannen door Virustotal.

De mailservers, waarlangs die 5 mailtjes gingen melden wel een dmarc fail voor kpn.com, maar leveren toch gewoon af. De dmarc policy van kpn staat dat kennelijk toe. Belangrijkste headers:

Return-Path: <root@kitchendiet.fr>
(...)
Received: from mx02.bhosted.nl (94.124.121.12)
by server1.bhosted.nl with SMTP; 25 Mar 2016 13:27:25 +0100
X-Spam-ID: edb85eec-f284-11e5-84d4-001a4a633b02
X-Spam-Status: HTML_IMAGE_ONLY_32=0.001 HTML_MESSAGE=0.001
RCVD_IN_BRBL_LASTEXT=1.644 T_TVD_MIME_NO_HEADERS=0.01 URIBL_BLOCKED=0.001
X-RPD-Score: 50
X-Spam-Score: 1.7
Received: from kitchendiet.fr (unknown [79.98.96.86])
by mx02.bhosted.nl (Halon Mail Gateway) with ESMTP
for <xxxx@example.com>; Fri, 25 Mar 2016 13:27:24 +0100 (CET)
Received: by kitchendiet.fr (Postfix, from userid 0)
id 3B3F69BF29E; Fri, 25 Mar 2016 13:30:47 +0100 (CET)
To: xxxx@example.com
Subject: Uw factuur
X-PHP-Originating-Script: 0:send.php
From: "noreply@kpn.com" <noreply@kpn.com>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="==Multipart_Boundary_x5a47d96e3c248c8bce1fe67c18c8189cx"
Message-Id: <20160325123047.3B3F69BF29E@kitchendiet.fr>
Date: Fri, 25 Mar 2016 13:30:47 +0100 (CET)

Edit

De scanners hebben het bestand inmiddels opgepakt. De detectierate is van 13/57 opgelopen naar 30/57. Er zijn nu geen 'grote' scanners meer, die hem niet detecteren:
https://www.virustotal.co...5c90/analysis/1459086370/

[Reactie gewijzigd door Jan-E op 27 maart 2016 15:54]

westlym
@Jan-E25 maart 2016 16:54
niet normaal. en ik dacht dat kaspersky en bitdefender de besten waren...
Blokker_1999
@westlym25 maart 2016 17:41
En zij kunnen goed zijn, maar hoe oud is deze malware? Kan goed zijn als je over 24u de scan nogmaals uitvoert deze wel word opgemerkt.
Anoniem: 463321
@Blokker_199926 maart 2016 01:44
Kan zijn, feit blijft dat er dan toch op zijn minst een dag voorbij is gegaan waarbij deze malware niet gedetecteerd is. Dan zegt een goeie reputaie van een virus/malwarescanner ook niets meer.
Cartman!
@Anoniem: 46332126 maart 2016 10:27
Dat is toch niet gek? Als een virus nieuw is moet het toch echt eerst ergens misgaan voordat een partij die virusscanners maakt ervan op de hoogte is.
MPAnnihilator
@Jan-E25 maart 2016 21:20
Volgens mij heeft kpn.com zijn SPF record al niet in orde --> v=spf1 ?all

LOL , zo help je natuurlijk niet. Het SPF record is er wel maar klopt totaal niet. Er staan geen IP's , geen A of MX records vermeld die WEL mail mogen sturen met dat domein als FROM adres.

En mochten die er gestaan hebben , dan gaat ?all ook niet helpen natuurlijk. Het is ofwel SOFTFAIL --> ~all , ofwel HARDFAIL --> -all

SPF is geen heilige graal , maar het makkt je domein tenminste al minder aantrekkelijk voor spoofers...
Naar mijn mening zou SPF en DMARC , anno 2016 standaard verplicht moeten worden ! Als eerste stap tenminste...
AlexAuto
@MPAnnihilator26 maart 2016 07:21
Inmiddels wordt op mijn server dit e-mailpatroon geblokkeerd middels een header-filter, want bij SPF wordt als afzender een willekeurig e-mailadres gebruikt wat niet herleidt naar kpn.com. Dan werkt SPF ook niet meer.

Sinds een paar maanden is het eerder regel dan uitzondering dat ik spammers op basis van content-checks ( voornamelijk reguliere expressie op de header From: ) op de blacklist zet, want het e-mailadres is nu vaak dynamisch/willekeurig. Voor de (her)kenners: Helloservice, dating[].bid, superhost[]

Als zelfstandige hoster kan je bijna niet meer tegen dit soort dingen optreden omdat je altijd achter de feiten aanloopt. Hierdoor overweeg ik mijn spamfiltering (en misschien nog wel meer) uit te gaan besteden. Stel je eens voor dat een klant je aansprakelijk ervoor stelt... Ja, die klanten heb je en wil je er toch tegen beschermen.

E-mail is van 'iets om erbij te hebben' veranderd naar 'onmisbaar'. En zeg eens eerlijk: hosting draaien is niet echt spannend meer.
Anoniem: 114278
@Jan-E25 maart 2016 16:04
Ik neem zonder meer aan dat met het klikken op de link je dus niet bent uitgekomen op kpn.com/zakelijke factuur, de eigenschappen van een hyperlink kloppen met dat soort e-mailtjes immers nooit
MT08
@Jan-E25 maart 2016 17:18
Vanochtend klikte mijn vrouw dus op exact hetzelfde KPN mailtje omdat ze een "brief" van KPN Zakelijk verwachte... net op tijd zelf gestopt want anders waren we het haasje (althans ik, omdat ik het mag oplossen |:( )

Hier ook ESET & MS Security Essentials die het beide lachend doorlieten...
TehEnforce
@Jan-E25 maart 2016 17:35
Kan je de headers hier posten?

Als uit de headers blijkt dat dit klopt dan heb een van de partijen zen DKIM zaakjes niet in orde.
kamikazefish
@Jan-E26 maart 2016 10:01
Die had een collega van me geopend. Dus gelijk stroom uit de router getrokken en Windows opnieuw geïnstalleerd. Daarna backups terug gezet. Gelukkig was de backup niet ouder dan dagen geleden.
xoniq
@Jan-E25 maart 2016 18:48
Sowieso ben ik van mening dat veel medewerkers gewoon makkelijk over kunnen op een Linux distro waardoor je dit gelazer niet hebt.

Bij ons ook, veel Linux gebruikers (programmeurs) maar enkele medewerkers weigeren omdat ze Windows zijn gewend. Kom op, omarm alternatieve mogelijkheden als je niet perse Windows nodig hebt.
Steef435
@xoniq25 maart 2016 19:25
Ook op GNU/Linux kan men executables downloaden en uitvoeren. Een simpel scriptje dat alles waar de gebruiker recht toe heeft encrypt en de key naar een remote stuurt is zo geschreven.
xoniq
@Steef43525 maart 2016 20:18
Klopt, dat ga ik ook niet tegen, maar je hebt niet dit gelazer met die besmette PDFjes. Punt is dat Windows het grootste doelwit is, waardoor Linux gewoon een goed alternatief is tegenwoordig. Vooral in het bedrijfsleven kan het geen kwaad. Geen last van licenties voor Windows en mensen leren omgaan met open-source software en alternatieve mogelijkheden.
Vayra
@xoniq25 maart 2016 21:54
Natuurlijk is dit ook maar tijdelijk van aard. Als het bedrijfsleven daadwerkelijk en masse gaat Linuxen komt de ransomware daar naartoe..

Dan is er onderaan de streep gigantisch veel tijd, geld en energie verloren gegaan met netto dezelfde uirkomst

[Reactie gewijzigd door Vayra op 25 maart 2016 21:55]

xoniq
@Vayra25 maart 2016 23:33
Denk het niet. Als je selectief mensen gaat overzetten die met Linux voldoende uit de voeten kunnen, blijven er nog voldoende bedrijven die vanwege hun netwerk structuur (Active Directory, SSO) niet kunnen afwijken van Windows. Lost maar deels het probleem op, maar voor het ene bedrijf kan het een oplossing zijn. Zolang Windows veel geïntegreerd is in bedrijven (met name ziekenhuizen waar die data veel waard is) blijft Windows het target.
Anoniem: 463321
@xoniq26 maart 2016 01:47
Geen last van licenties voor Windows en mensen leren omgaan met open-source software en alternatieve mogelijkheden.
Dit zijn zaken die totaal niets te maken hebben met ransomeware.
Waarom moeten mensen trouwens om leren gaan met open source software? Dat is per definitie beter en veiliger? Als je dat denkt moet je even het bord voor je kop weghalen.
xoniq
@Anoniem: 46332126 maart 2016 11:02
Dat zeg ik niet. Maar daar is wel een ruim aanbod wat misschien goed zijn als alternatieven.
Stoney3K
@Steef43528 maart 2016 22:44
Ook op GNU/Linux kan men executables downloaden en uitvoeren. Een simpel scriptje dat alles waar de gebruiker recht toe heeft encrypt en de key naar een remote stuurt is zo geschreven.
Maar dan is ook alleen die gebruiker de dupe, niet het hele systeem lam gelegd.

Jammer, gebruikersgegevens kwijt, user deleten en opnieuw aanmaken, maar je systeem draait nog.
Xessive
@xoniq25 maart 2016 23:54
Dat is slechts een druppel op een gloeiende plaat.

Het merendeel zal blijven werken met Windows, of het nu zakelijk of privé is.

Zodra bijvoorbeeld Linux een marktaandeel heeft zoals MS nu heeft zal Linux een target worden.
Thc_Nbl
@Jan-E29 maart 2016 11:00
Het blijft gewoon die triest dat bedrijven als een KPN RaboBank ING etc.
GEEN SPF record gebruiken met -all
dan zou zoooooooveel van dit soort problemen schelen.

En dus doe ik met dit soort bedrijven, die hun zaken niet op orde hebben gewoon geen zaken meer.
Zorian
25 maart 2016 11:46
Ik moet ze 1 ding nageven, ze doen er wel steeds meer moeite voor en ze maken het steeds 'mooier'.
Neemt niet weg dat het kut is voor de mensen die getroffen zijn (en de systeembeheerders die het weer mogen oplossen).
Rafe
@Zorian25 maart 2016 11:51
Ransomware is sterk in opmars en dat geldt in het bijzonder voor de Benelux
Ik hoor dit ook van de supportafdeling van het bedrijf waar ik momenteel werk. Vanochtend alleen al is er een mailing de deur uit gegaan met een Factuur.pdf.exe voor zogenaamd een KPN internetverbinding die bij verschillende klanten is aangekomen. De mail zag er verder overtuigend uit en daar is natuurlijk op geklikt door een niet-technisch persoon...

Het is een variant van Kryptik trouwens. De Jotti scanner zag niets mis met het bestand, pas na infectie en een handmatig gestarte scan merkte Windows Defender iets op.

[Reactie gewijzigd door Rafe op 25 maart 2016 12:52]

Lednov
@Rafe25 maart 2016 12:02
Het is onzin om te stellen 'niet technisch' persoon. Je bent gewoon oer en oerdom als je alles maar openklikt. Er zijn speciale campagnes om ervoor te zorgen dat men niet alles klakkeloos opent en aanneemt. Al jaren is bekend dat men op deze manier virussen verspreid. Zeker sinds het ILOVEYOU virus en melissa (wat zo een beetje 15 jaar oud is ondertussen). En nóg opent men alles maar. Klikt het op zaken waar ze niet op moeten klikken.
Je hoeft echt niet te weten hoe een PC werkt, om dit te voorkomen.

Je ziet het ook op facebook, men liked en shared alles, als ze denken kans te maken op een XBOX of een iPhone. 99% is dikke dikke onzin, en toch wordt er nog steeds op geklikt.
Toevallig heb ik de ook de 'KPN factuur' gekregen. ten eerste heb ik geen KPN en ten tweede was het op een emailadres waarop KPN nooit zal emailen.

Beetje zelf nadenken? Ho maar!
CAPSLOCK2000
@Lednov25 maart 2016 15:15
Het is onzin om te stellen 'niet technisch' persoon. Je bent gewoon oer en oerdom als je alles maar openklikt. Er zijn speciale campagnes om ervoor te zorgen dat men niet alles klakkeloos opent en aanneemt.
<knip>
Beetje zelf nadenken? Ho maar!
Je maakt een paar denkfouten die veel mensen maken, vooral in de IT, waardoor het fishing probleem verkeerd wordt aangepakt.

Voor ons lijkt het soms alsof ze maar overal op klikken maar dat is niet waar. In meer dan 99.9% van de gevallen gaat het goed! De meeste mensen beseffen dat ze op moeten passen. Maar als je 100 fishing mails per dag krijgt dan is 99.9% niet goed genoeg, dan ben je nog steeds drie keer per maand de pineut.

Iedereen heeft wel eens een slechte dag, iedereen drukt wel eens op de verkeerde knop of doet per ongeluk een muisklikje te veel. Één zo'n klikje kan genoeg zijn.

Onderschat ook niet hoe goed of slecht mensen zijn in risico-analyse. Van de ene kant overzien ze de risico's van malware niet, van de andere kant weten ze wel dat hun baas kwaad wordt als het werk niet op tijd af is of als bestellingen van klanten niet worden verwerkt. Voor de meesten is het (gevoelsmatige) risico van een virus kleiner dan het risico van het missen van een belangrijke mail. Die beslissing is snel gemaakt.

Ten slotte wil ik nog even wijzen op dat er geen vuistregels zijn die altijd werken. Er wordt vaak gezegd "nooit ergens op klikken als je het niet vertrouwt" maar de meeste gebruikers vertrouwen het nooit. Als ze een popup krijgen dat er updates moeten worden geinstalleerd kunnen ze niet beoordelen of het "echt" is of niet. Vervolgens krijgen ze op hun donder omdat ze hun Windows niet gepatched is en ze nog antieke versies van Java en Flash hebben.

Vanuit dat oogpunt is er veel te zeggen voor een "repository" of "appstore" zoals dat inmiddels op de meeste OS'en gebruikelijk is. Gebruikers leren dan dat er precies één interface is om software te installeren of te updaten. Daarbij zijn de updates zelf niet executable. Klikken op een verkeerde link zou nooit een executable mogen starten, hooguit de appstore/software center. Daarmee ontwapen je de meeste "drive-by downloads", maak je het makkelijk om het systeem up-to-date te houden en neem je een bron van veel verwarring weg.
ASS-Ware
@CAPSLOCK200025 maart 2016 23:43
Als ze een popup krijgen dat er updates moeten worden geinstalleerd kunnen ze niet beoordelen of het "echt" is of niet. Vervolgens krijgen ze op hun donder omdat ze hun Windows niet gepatched is en ze nog antieke versies van Java en Flash hebben.
Een goede beheerder gebruikt tools die Windows updates of applicatieve updates forceert.
Met onder andere SCCM kun je dat prima onzichtbaar doen.
CAPSLOCK2000
@ASS-Ware26 maart 2016 12:41
Een goede beheerder gebruikt tools die Windows updates of applicatieve updates forceert.
Met onder andere SCCM kun je dat prima onzichtbaar doen.
In een grote organisatie kan dat, maar de meeste organisaties en gezinnen hebben helemaal geen systeembeheerder, laatstaan eentje met SCCM. De meeste comuters worden in meer of minder mate door hun gebruiker beheerd.
guysp
@Lednov25 maart 2016 12:21
Helaas negeren mensen alle waarschuwing op computers gewoon en klikken ze door zonder te lezen. Daardoor zijn deze vormen van malware zo effectief.
Excel bestandje met macros, gedownload vanaf het internet. Office blokkeert het mooi en geeft er een melding van, helaas klikt menig gebruiker gewoon even op het knopje om macro's te activeren zonder na te denken.

Zo lang users niet lezen zal dit een probleem blijven vormen.
Lednov
@guysp25 maart 2016 12:30
En dit is exact mijn punt! klakkeloos wordt er doorgeklikt zonder nadenken. Je krijgt een dikke waarschuwing in je gezicht en er wordt niets mee gedaan.
Uiteraard worden de emails steeds beter en wordt het mooier verpakt. Dat truukje kende de oude grieken al. Alleen de bescherming wordt ook steeds beter. Het is puur menselijk falen.
schekker
@Lednov25 maart 2016 13:16
Als het al menselijk falen is, dan niet van de gebruiker, maar van de mensen die de software hebben ontwikkeld.

Een gebruiker krijgt zoveel valse waarschuwingen dat hij gewoon geconditioneerd wordt om deze te negeren. En het is die conditionering die hier misbruikt wordt. Maar aangezien het voor professionele software ontwikkelaars klaarblijkelijk te moeilijk is om onderscheid te kunnen maken tussen echte bedreigingen en valse, waarschuwen ze uit luiheid maar tegen alles en is het plotseling de schuld van de leek dat hij dat onderscheid ook niet goed kan maken.

En verder hoef je maar 1 keer in de fout te gaan. Het maakt niet uit dat je 999 keer terecht een bestand niet opende, die duizendste keer dat je er toch intrapt ben je nat en wordt je hier op tweakers nog als een sukkel beschouwd ook.
MacIsCool
@schekker25 maart 2016 16:06
Hang op, klik weg, bel uw bank... of KPN of......
CAPSLOCK2000
@guysp25 maart 2016 15:50
Op internet krijgen ze ook van die pop-ups dat ze echt op het knopje moeten drukken want anders...
Daarvan zeggen wij dan dat ze er nooit op mogen klikken. De meeste mensen kunnen het verschil niet zien.
dennisfr
@Lednov25 maart 2016 12:27
Het succes van dit soort randomware toont wel aan dat echt niet alleen de 'oerdommen' zoals jij ze noemt, hier intrappen.

Als je op de Administratie afdeling werkt van een redelijk groot bedrijf werkt, verwerk je misschien wel tientallen facturen per dag Aangezien tegenwoordig zo ongeveer alles via mail met attachment wordt gefactureerd, kan ik me best indenken dat je een keer per ongeluk een verkeerd attachment opent.

Ik vraag me eerder af wat de schade is, en waarom je zou betalen: Het gemiddelde adminstratie software pakket, zal de data niet lokaal opslaan lijkt me. Dus wat ben je dan nog kwijt? Gewoon formateren en een reinstall (of beter nog: backup terugzetten) lijkt me.

[Reactie gewijzigd door dennisfr op 25 maart 2016 12:40]

Fiber
@dennisfr25 maart 2016 12:52
Het toont vooral aan dat er blijkbaar genoeg mensen zijn die over gaan tot betalen. Eigenlijk zou dat gewoon verboden moeten worden, net zoals bijvoorbeeld heling verboden is. Maar ik snap het wel, net als bij kidnapping, eigenlijk zou niemand moeten betalen, dan loont het niet meer, maar als het jezelf treft dan denk je opeens heel anders.
schekker
@Fiber25 maart 2016 13:29
De eerlijkheid gebiedt mij te zeggen dat ik in zo'n geval waarschijnlijk ook gewoon zou betalen. Het gevraagde 'losgeld' is over het algemeen goed op te brengen, en een back-up oplossing die mij ook hiertegen zou beschermen is vaak duurder en veel te veel gedoe.
smartsys
@dennisfr15 april 2016 18:50
Ik kan je, als beheerder bij een IT bedrijf, vertellen dat er best vaak heel veel kwijt is.

Ten eerste komt dit doordat veel bedrijven geen tijd en moeite nemen om hun data goed te beveiligen. De dame van de administratie kan vaak overal bij, simpelweg om de directie haar als een verlengstuk van hun zelf zien.
Verder hebben veel directieleden een soort machtssyndroom waarbij ze overal bij willen kunnen wat er mogelijk is. Dat ze 95% van deze data NOOIT bekijken of aanraken maakt daarbij niet uit.
Klikt iemand met deze permissies zo'n ransomware ding aan, dan is met een beetje pech de HELE fileserver of servers gekaapt.

Verder is backup iets wat bij veel bedrijven wordt gezien als iets overbodigs. Ik heb toch alles dubbel uitgevoerd. Redundante servers, redundante switchen, soms zelfs redundante storage met uitwijk oplossingen en de hele rambam, maar wat ze vergeten is dat er vaak continue synchrone replicatie plaatsvind. Oftewel iedere change staat eerst op de secundaire en daarna op de primaire storage.
In dat geval heb je toch echt je backup nodig en dan grijpt men naar een tape die iemand trouw iedere dag wisselt, maar dan blijkt dat die backup eigenlijk nooit gecontroleerd wordt en dus ook vaak niet is gelukt. Of men heeft een online backup oplossing gekocht van bijv. 25GB, terwijl men 24,6GB data heeft en is er dus geen ruimte meer voor retentie. Vervolgens wil men de backup terugzetten en blijkt deze al overschreven door een "besmette" versie.

Oftewel het zal je nog verbazen hoeveel data er door dit soort grapjes verloren kan gaan.

Mijn advies:
Maak een BIA (Business Impact Analyse) voor verschillende IT systemen.
Zorg dat een directie met informatie komt met wat acceptabel is voor maximale downtime (RTO) en hoeveel data maximaal verloren mag gaan (RPO).
Naar mijn mening kan een beheerder deze informatie NOOIT zelf invullen, omdat er risico's aan kleven die ALLEEN de ondernemer kan invullen.
Richt aan de hand van deze gegevens je omgeving EN de backup in. Mogelijk dat een directie een ontwerp afkeurt vanwege te hoge kosten, maar dit betekend dat zij hun RTO en RPO moeten aanpassen en dus meer risico's accepteren.
Controleer je backup en ook of de selecties wel kloppen.
Test de restore functionaliteit!
p.s. Maak je backups bij voorkeur naar een systeem waar eindgebruikers NIET bij kunnen en waar je als beheerder ook niet standaard bij kunt. Zodoende kan een ransomware "iets" niet ook je backup data kapen.
Zet als extra op je Windows fileservers in ieder geval VSS aan. Dat heeft veel van onze klanten het "leven" gered, nadat backups niet goed bleken te zijn.
Mic2000
@Lednov25 maart 2016 12:49
Klinkt als een gat in de markt om nieuwe trainingen voor te schrijven.

"Voor deze functie is een 'veilig op internet'-certificaat vereist".

Als dit een algemene regel gaat worden voor banen waar email en internet-gebruik van toepassing is kan het een hele hoop problemen voorkomen en geld besparen.

Voor veilig en verantwoord in het verkeer deelnemen moeten we een rijbewijs halen van gemiddeld €1200 tot €2000, lijkt mij niet normaal dan anders om iets soortgelijks te hebben voor internet en email waarin ook voldoende inhoudelijk materiaal voorbij komt met een hoge financiële en/of vertrouwelijke waarde.

[Reactie gewijzigd door Mic2000 op 25 maart 2016 14:41]

ninjazx9r98
@Mic200025 maart 2016 15:22
En met dank aan het rijbewijs wat we voor bepaalde vervoersmiddelen moeten halen is het verkeer 100% veilig en vallen er ook geen doden en gewonden meer te betreuren in het verkeer?
Met dank aan het rijbewijs rijdt men niet te hard, niet door rood en stapt ook nooit in met een slok op?
Mensen maken fouten en zullen die altijd blijven maken, een training gaat dat echt niet voorkomen.
Mic2000
@ninjazx9r9825 maart 2016 16:20
Laten we dan maar het rijbewijs afschaffen als je het zo zegt ;)
Lednov
@Mic200025 maart 2016 13:35
Het zou mij niet verbazen, nee. Al was het alleen maar omdat dan bedrijven een stok achter de deur hebben en kunnen zeggen "Je hebt de cursus gevolgd, hoe kan het dat je alsnog een bestand opent waar je van had kunnen weten dat het foute boel was".
doomer
@Mic200025 maart 2016 13:56
Klik niet hier certificaten
Stranger__NL
@Lednov25 maart 2016 12:21
De methoden worden steeds geraffineerder. De kans dat jij een normaal ogende mail krijgt, van een normaal ogende (bekende!) afzender, met een normaal ogend attachment wordt steeds groter. Als je specifiek een bedrijf target dan kom je er vrij snel door.

Het hoeft niet eens meer een EXE te zijn, maar een JPG, PNG of PDF kan ook al bron zijn van infectie.
catfish
@Rafe25 maart 2016 12:01
beetje vreemd
bij ons worden exe bijlages al jaren geblokkeerd (ook als ze in een zip bestand zitten)
lijkt mij toch wel standaard beveiliging
Rafe
@catfish25 maart 2016 12:51
Er wordt een of andere webmail van een CRM-omgeving gebruikt daar, ik verbaasde me er ook al over.

Edit: zie deze analyse van Jan-E, het was een link en dus geen attachment.

[Reactie gewijzigd door Rafe op 25 maart 2016 15:55]

Anoniem: 507050
@catfish25 maart 2016 12:55
Deze malware wordt dus blijkbaar verspreid via een mail met een link naar een dropbox.
Het exe-bestand zit niet in het mailtje en wordt dus ook niet geblokkeerd.
teek2
@Rafe25 maart 2016 12:42
Hoe kan het zijn dat iemand .exe betanden uit emails kan openen, in 2016?
MD1975
@teek225 maart 2016 14:18
Die zitten in ZIPjes.
dartbord
@MD197526 maart 2016 14:11
Daar hebben wij gelukkig symantec security for microsoft exchange voor op werk.
Zelfs als het in een .zip of .rar etc zit, haalt ie dat er alsnog uit.
arjan1995
@Rafe25 maart 2016 12:10
Deze kreeg een vriend van mij gisteren ook (maar dan met factuur.pdf.zip). Uiteraard heeft deze persoon hem netjes weggegooid, en heeft de malware zijn werk dus niet kunnen doen...
fantafriday
@Rafe25 maart 2016 12:34
Zie die .pdf.exe bestanden dagelijks afgevangen worden door onze spam filter gelukkig. Al staat die wel op de een na hoogste stand.
tabashi
@Rafe25 maart 2016 13:42
Bij ons kwamen er deze week mails binnen van fax@[onsdomeinnaam].984.be.
De meeste gebruikers geloofden dus dat het om een interne mail/fax ging, aangezien het "ons domeinnaam" was dat gebruikt werd voor het verzenden van de mails. Uit twijfel hebben er toch een paar gebruikers naar ons gebeld omdat de "fax" een zip-bestand was en ze het niet 100% vertrouwen. Gelukkig maar! We hebben nadien alles wat ons domeinnaam bevat + prefix/suffix geblokeerd op onze mailserver.
Jan-E
@Rafe25 maart 2016 15:28
Het is een variant van Kryptik trouwens. De Jotti scanner zag niets mis met het bestand, pas na infectie en een handmatig gestarte scan merkte Windows Defender iets op.
De Baidu scanner omschrijft hem inderdaad als Win32.Trojan.Kryptik.jm. Maar veel gerenommeerde scanner slaan er nog niet van op tilt.

Zie analyse in Jan-E in 'nieuws: Nieuwe ransomware zet harde schijf op slot'
YangWenli
@Rafe25 maart 2016 15:04
Dit snap ik niet. Ik heb thuis malwarebytes en bitdefender draaien en als ik die iedere dag update komt er weinig meer doorheen, natuurlijk kosten die producten geld maar je krijgt korting voor een volume license.
straat18
@Zorian25 maart 2016 11:48
Als deze de HD infecteert valt er niets meer op te lossen door de systeembeheerder.. buiten alleen wat geld te storten. 8)7
n3othebest
@straat1825 maart 2016 11:51
Backup terugzetten en/of data in cloud oplsaan en terugzetten.
NightFox89
@n3othebest25 maart 2016 11:58
Totdat blijkt dat je een crypto locker hebt die eerst een periode dormant aanwezig is. Staat die ook vrolijk in je backups.
Cergorach
@NightFox8925 maart 2016 12:25
#1 Één van de eerste dingen die je doet is de oorzaak van de infectie onderzoeken, zodat je die kan wegnemen.
#2 In dit geval gaat het om een .exe, eerste wat je doet is dan zoeken op .exe bestanden in de backup.

Data in de cloud opslaan is in veel gevallen niet gelijk aan een backup, dat is over het algemeen een aparte optie. Als die cloud bestanden synct of als je een directe mapping ernaartoe heb, dan vervangt de traditionele Cryptolocker die bestanden ook gewoon. Vaak heb je fileversioning en dan kan je een oude versie terugzetten, totdat er een cryptolocker dit doorheeft en tig versies van het zelfde bestand overschrijft en je door je fileversioning limiet heen komt en je het op die manier ook niet meer terug kan krijgen...

Je systeem up to date houden heeft in veel gevallen ook niet heel veel nut (natuurlijk wel doen!), want er zijn cryptolocker varianten geweest die MS pas 10 dagen na de eerste infectie herkende.
SBTweaker
@Cergorach25 maart 2016 12:54
je denkt toch niet dat ze hem als .exe op je schijf zetten?
Cergorach
@SBTweaker25 maart 2016 13:03
Lees eerst het bron artikel eens voordat je wat begint te roepen, andere cryptolockers doen het inderdaad anders, dit is puur een .exe.
SBTweaker
@Cergorach25 maart 2016 13:22
Jij reageert toch op "Waarom richt de ransomware zich vooral op bedrijven?
Daar zijn vaak backups in overvloede, bij consumenten vaak niet."? Daar gaat het over ransomware in het algemeen, niet specifiek de ransomware uit dit artikel.
Cergorach
@SBTweaker25 maart 2016 14:40
Ik reageer op de persoon die aangeeft dat een/deze cryptolocker in je backup een probleem is en de persoon die denkt dat bestanden in de cloud zetten zonder backup een goed idee is. Dat is het niet, niet als je als systeembeheerder logisch nadenkt.

Waarom cryptolockers zich richten op bedrijven ipv. consumenten is simpel, waarde van de data en geld. Als we dat nog moeten uitleggen...
SBTweaker
@Cergorach25 maart 2016 15:01
Nee je reageerde op "Totdat blijkt dat je een crypto locker hebt die eerst een periode dormant aanwezig is. Staat die ook vrolijk in je backups."

Hij heeft het over een dormant aanwezige cryptolocker, dat is een cryptolocker die wacht met zichzelf te activeren..

Waarom cryptolockers zich richten op bedrijven ipv. consumenten is simpel, waarde van de data en geld. Als we dat nog moeten uitleggen...

Wat heeft dat met mijn reacties te maken? waaruit maak je op dat ik dat niet begrijp?
phamoen
@NightFox8925 maart 2016 12:07
Dan is de truc toch om hem niet uit te voeren, maar wel je data te redden. Moet te doen zijn lijkt me..
dutchgio
@NightFox8925 maart 2016 12:38
Die back-ups moet je dan ook off-site bewaren, los van dat netwerk. Anders wordt ook dat meegenomen in de encryptie.
SuperDre
@n3othebest25 maart 2016 13:35
Dan wel hele oude backups, want de meeste nieuwere malwares draaien al enkele weken zonder dat je het in principe door hebt, tenzij je vanaf een schoon systeem een bestand probeert te openen op het besmette systeem.
straat18
@n3othebest25 maart 2016 11:54
Tuurlijk mensen.. maar ik ken bedrijven die geen backups hebben.. En daar is de Ransomware ook alleen maar voor gemaakt. |:(
Stoelpoot
@straat1825 maart 2016 11:59
Dan is die systeembeheerder IMO geen systeembeheerder.
Pelox
@Stoelpoot25 maart 2016 12:10
De meeste bedrijven zijn eenmanszaken of kleine mkb-bedrijven. Die zijn al blij dat ze normaal kunnen draaien in deze tijd en hebben echt geen geld voor een ict'er.

On topic: hoe zit het met kleine netwerken met een nas? Worden alle aangesloten systemen aangetast of enkel de pc waar het op binnenkomt?
MrManuel
@Pelox25 maart 2016 12:40
Alle toegankelijke schijven worden mee genomen.
Dus wanneer jij netwerk drives gekoppeld hebt naar je NAS wordt deze inderdaad ook meegenomen.
Pelox
@MrManuel25 maart 2016 12:54
Oke, duidelijk. En stel dat je aan je systeem een dropbox/KPN cloud backup of iets dergelijks hebt welke automatisch de bestanden in de cloud overschrijft? De pc's op het netwerk en de nas zullen dan of opnieuw geïnstalleerd dienen te worden of je moet betalen maar de data op de cloud kan je dan toch gewoon terugzetten naar een ouder bestand?

En dan nog een vraag. Stel dat je een key koopt. Hoe weet je zeker dat het bestand dan toch niet na een x-tijd weer actief wordt?

[Reactie gewijzigd door Pelox op 25 maart 2016 12:58]

MrManuel
@Pelox25 maart 2016 12:58
Uit ervaring spreek ik dat ook bijvoorbeeld dropbox en andere cloud diensten (mits automatische sync) ook mee worden genomen.

Echter is het bij deze cloud diensten wel vaak zo dat zij een history van de oude bestanden bijhouden (versie beheer) en zo kun je dus dan een oud bestand makkelijk herstellen.

Ik denk dat het voor deze variant even afwachten is hoe ze precies de lock uitvoeren.. dan vinden we wel een manier om dit kostenloos weer snel terug te krijgen.
Mavamaarten
@Pelox25 maart 2016 12:21
Nee, maar is het zo veel moeite om dan wekelijks of dagelijks een backup te nemen? Tuurlijk kost een IT'er veel geld en hebben kleine bedrijfjes er de middelen niet voor, maar je data kwijtgeraken kost nog veel meer geld. Dat zou iedereen moeten beseffen.
beantherio
@Mavamaarten25 maart 2016 13:04
Als je tijd zat hebt dan is het weinig moeite inderdaad. Maar er zijn anno 2016 weinig levensvatbare bedrijven waar een werknemer het niet constant druk heeft. Het optimaliseren of goed onderhouden van de eigen systemen is voor weinig bedrijven het hoofddoel. En al helemaal niet voor kleine bedrijven.
Anoniem: 463321
@Mavamaarten26 maart 2016 01:29
Dat zou iedereen inderdaad moeten beseffen maar de werkelijkheid laat een ander beeld zien. Een deel beseft het daadwerkelijk niet en een deel is simpelweg laconiek of voert backups niet op een goeie manier uit. Op beide punten kunnen verbeteringen doorgevoerd worden maar hoe dat te bewerkstelligen weet ik ook niet. Zeker de laconieken zijn lastig te overtuigen. Die gaan pas overstag nadat het mis is gegaan.
dacken
@Pelox25 maart 2016 12:26
Ik heb ransomware in MKB situaties meegemaakt en de oudere varianten scande ook de netwerk omgevingen (naast de computer) af om daar alle office bestanden te encrypten.

Gelukkig was ik zo 'slim' om hidden shares ($) te gebruiken voor de fileshares, want anders had ik die 150 euro zo betaald. De software bleek alleen naar openbare shares te scannen. Ik begrijp dat er nu ook varianten zijn die naar de mapped netwerk drives kijken.. dan was ik wel de sjaak geweest! :'(

Uiteraard heb ik back-ups, maar het geld dat ze vaak vragen is dan sterk het overwegen waard om de moeite niet te nemen. In dit geval was het gelukkig op te lossen met een re-install van het OS. Daarna heb ik een AD GPO gemaakt om executables alleen op te laten starten vanaf goedgekeurde locaties. Dus niet vanaf een profiel.

Dit nieuwe fenomeen is wel even wat heftiger...
MrManuel
@dacken25 maart 2016 12:47
Vaak is betalen ook nog goedkoper dan de uren die erin worden gestoken om het te verhelpen..
Stranger__NL
@Pelox25 maart 2016 12:23
Ja - de malware encrypt alles waar deze schrijfrechten heeft.
Jerie
@62911025 maart 2016 12:57
Nee iinnc. dat probleem ligt bij de systeembeheerder. Wanneer je root hebt op een Mac, kun je theoretisch gezien Time Machine ook benaderen en manipuleren.

Windows 7 heeft naast versioning ook een backup versie. Eigenlijk is het net zoiets als Time Machine, maar Time Machine heeft een iets mooiere UI.

Voor Linux heb je diverse oplossingen waarbij sommigen GPG gebruiken plus een cloud.

Hoe dan ook, bovenstaande zijn mogelijk offsite, maar nog niet offline / air gapped.
629110
@Jerie25 maart 2016 15:20
Wie heeft er nou thuis een systeembeheerder ?
ASS-Ware
@62911025 maart 2016 17:58
Wie heeft er nou thuis een systeembeheerder ?
Mijn vrouw :-)
dartbord
@ASS-Ware26 maart 2016 14:14
En mijn vriedin! :+
Homme
@Stoelpoot25 maart 2016 12:21
Of dan krijgt de systeembeheerder geen tijd / budget zoals bij ons het geval is...
Mezz0
@Paranoidnl25 maart 2016 12:41
ook al heb je backups dan ben je nog veel tijd kwijt aan het terugzetten. Daarnaast worden de meeste backups snachts gemaakt dus dan ben je alles kwijt tot de tijd dat de backup was gemaakt. Als je vorige versies aan heb staan wordt dat ook een aantal keren per dag uitgevoerd dus weer ben je de laatste wijzigingen kwijt.
Al met al ook al heb je antispam/antivirus etc etc het blijft lasting en het kost tijd/geld om het te fixen.
ASS-Ware
@Mezz025 maart 2016 17:57
Daarnaast worden de meeste backups snachts gemaakt dus dan ben je alles kwijt tot de tijd dat de backup was gemaakt.
Daar kies je dan wel zelf voor.
Het kan anders, Crashplan maakt elk kwartier een backup naar cloud, map, PC, wat je maar kiest.
Een kwartier aan werk kwijt zijn is in mijn geval acceptabel.
Anoniem: 463321
@ASS-Ware26 maart 2016 01:21
De rest van de punten die Mez0 noemt blijven dan toch gelden. Ik neem aan dat je niet elk uur een volledige backup draait dus die zal je toch nog terug moeten zeggen. En bij incrementele backups ook die allemaal nog. Kost ook veel tijd. In backups maken is men tegenwoordig wel bedreven maar in het terugzetten ervan stukken minder. Men verkijkt zich op wat er allemaal komt kijken bij een restore, heeft het nooit eens getest etc.
Bovendien moet je nog maar achter het moment komen waarop het daadwerkelijk mis is gegaan. Zet je een te nieuwe backup terug waarin de ransomware al opgesloten zit dan ben je binnenkort weer het haasje. Nu maar hopen dat je nog een 'schone' backup hebt...
ASS-Ware
@Anoniem: 46332126 maart 2016 01:26
De rest van de punten die Mez0 noemt blijven dan toch gelden. Ik neem aan dat je niet elk uur een volledige backup draait dus die zal je toch nog terug moeten zeggen. En bij incrementele backups ook die allemaal nog. Kost ook veel tijd. In backups maken is men tegenwoordig wel bedreven maar in het terugzetten ervan stukken minder. Men verkijkt zich op wat er allemaal komt kijken bij een restore, heeft het nooit eens getest etc.
Bovendien moet je nog maar achter het moment komen waarop het daadwerkelijk mis is gegaan. Zet je een te nieuwe backup terug waarin de ransomware al opgesloten zit dan ben je binnenkort weer het haasje. Nu maar hopen dat je nog een 'schone' backup hebt...
Ik noemde Crashplan als voorbeeld en ik kan je verzekeren dat het terugzetten niets meer is dan het kiezen van een datum/tijd en te klikken op Restore.
Daar komt echt heel weinig bij kijken.
Bor
@Paranoidnl25 maart 2016 14:40
als jij als bedrijf geen backups hebt verdien je het om door randsomware getroffen te worden.
Dat is nogal een vrij kortzichtige opmerking die niet helemaal getuigd van kennis van ransomware. Het is namelijk in de meeste gevallen niet zo dat ransomware direct alle bestanden encrypt en hiertoe de toegang ontzegt want dat zal je snel opmerken.

Meer geavanceerdere ransomware zorgt ervoor dat het een hele tijd actief kan zijn om zo zoveel mogelijk bestanden te encrypten. In de tussentijd zorgt het ervoor dat de betreffende bestanden wel toegankelijk houdt door on the fly te decrypten.

Pas op een bepaald moment wordt de malware pas echt kwaadaardig en schakelt in een enkel moment de toegang uit. In de tussentijd zijn de reeds gecodeerde bestanden ook alweer meegenomen in de backup. Je kunt een backup dan wel restoren maar dan blijf je met ontoegankelijke bestanden zitten (of oude versies van het bestand waardoor je ook mutaties / werk kwijt raakt).

Verder verdient niemand het om door ransomware getroffen te worden. Een erg kortzichtige en domme opmerking als je het mij vraagt.
comecme
@Bor25 maart 2016 21:33
Als de bestanden on the fly worden gedecrypt, dan krijgt de backup-software toch gewoon het schone bestand?
Bor
@comecme25 maart 2016 22:09
Nee want het bestand is daadwerkelijk encrypted. De leesactie in memory wordt gedecrypt. Het bestand zelf dus niet.
comecme
@Bor25 maart 2016 22:43
Dus als het bestand door msWord.exe wordt geopend wordt het in het geheugen gedecrypt.
Maar als backup.exe dat doet gebeurt er niets?
Anoniem: 463321
@comecme26 maart 2016 01:26
Als je met backup.exe je backup programma bedoelt, dan nee. Ook voor het backupprogramma worden de versleutelde bestanden ontsleuteld ten behoeve van het wegschrijven. Elke leesactie is nog mogelijk zolang de encryptiesleutel zijn werk kan doen. Ergens komt een moment dat die sleutel weggehaald wordt en dan kun je de versleutelde bestanden niet meer lezen. De bestanden in je backup, die een kopie zijn van de versleutelde bestanden op je schijf, dus ook niet meer.
hackerhater
@Anoniem: 46332126 maart 2016 16:13
Ligt eraan hoe je backup software werkt. Als ie de bestanden uit doet lezen zullen ze gewoon in orde zijn.
Thekilldevilhil
@Paranoidnl25 maart 2016 12:02
Niemand verdient het om door randsomware getroffen te worden.

-Een normaal persoon.

Serieus, dus iemand die nul verstand heeft van techniek verdient het dan maar om alles kwijt te raken? Lekker ben jij. Criminaliteit maar goed praten omdat iemand niet het maximale doet om zichzelf te beschermen. Het wel vrij stom dat ze geen backups hebben, maar niemand "verdient" het.
Lednov
@Thekilldevilhil25 maart 2016 12:05
zoals ik hieronder al betoog, je hoeft echt nul verstand te hebben van techniek om te weten dat je als je overal maar klakkeloos opklikt, je het voor een deel aan jezelf te danken hebt.
Zie het als je fiets niet op slot zetten bij het Centraal station, geheid dat ie weg is als je terugkomt.
Thekilldevilhil
@Lednov25 maart 2016 12:08
Dat is absoluut niet waar. Ik werk samen met een hele hoop mensen die werkelijk nul verstand hebben van PC's en techniek in het algemeen. Het is niet zo dat die mensen overal maar zomaar op klikken, als je dat denkt ben het contact met die mensen al verloren. Die mensen zien en weten werkelijk niet wat er mis is met het klikken op een .pdf.exe. Ze weten het verschil tussen een exe en een pdf al niet eens, hoe vaak je ze het ook uitlegt.

Je kunt een hoop mensen niet uitleggen wat een ontzettend goede nep mail onderscheid van een echte mail omdat ze het werkelijk niet snappen. En dat werkt dus ook andersom. Ik ben afgelopen maand door een buitenlandse firma gebeld waarom we na 5 aanmaningen nog steeds niet betaald hadden. Er bleek dat mensen de mails weg gegooid hadden omdat ze in het Engels waren... Ik kreeg die mensen niet uitgelegd dat een Engelse nep mail van een incasso niet wilt zeggen dat alle Engelse mails dus phishing zijn. Maar zelfs dat komt er niet in.

Er is gewoon een grens aan mensen. Als je dat weigert te zien en maar blijft doorduwen dat ze het moeten leren ben je naar jezelf toe ook tegen-productief bezig. Niet iedereen is tot alles in staat en dit is geen uitzondering. Er is een reden dat ze hier geen enkele bijlage mogen openen. Je moet soms jezelf daar ook tegen in bescherming nemen.

[Reactie gewijzigd door Thekilldevilhil op 25 maart 2016 12:14]

Anoniem: 718569
@Thekilldevilhil25 maart 2016 14:35
Ze weten het verschil tussen een exe en een pdf al niet eens, hoe vaak je ze het ook uitlegt.
Zonder de exacte omstandigheden te kennen van het voorbeeld waar je overduidelijk aan denkt -- Iets uitleggen en iets begrijpelijk maken zijn twee verschillende dingen.

Geloof mij, mijn schoonmoeder is een heel stuk meer digibeet dan de gemiddelde kantoormedewerker; ze is 74 en haar carriere was schoonmaken (meer dan 50 jaar lang). Ze is een schat maar, waar het technologie betreft bijzonder naief en onbekwaam. Toch begrijpt ze het wel als ik haar iets vertel over haar laptop.

Mijn punt is dit -- Als je iets niet goed uitgelegd kan krijgen hoeft het niet noodzakelijkerwijs aan degene te liggen aan wie je iets uit probeert te leggen.
Anoniem: 463321
@Anoniem: 71856926 maart 2016 01:16
Met dat laatste ben ik het eens. Feit is echter wel dat niet iedereen het goed uitgelegd krijgt. Velen gaan het om die reden alleen al niet snappen. Er is dus sowieso een groep mensen die nul verstand van zaken heeft.
Anoniem: 718569
@Anoniem: 46332126 maart 2016 04:58
Er is dus sowieso een groep mensen die nul verstand van zaken heeft.
Het is aan ons allen om daar wat aan te doen; zie bijvoorbeeld ook zaken als SOAs, gedragsnormen, etc, etc, etc. Kennis over dergelijke zaken komt je niet spontaan aanwaaien, doorgaans leer je die.
GG85
@Thekilldevilhil25 maart 2016 12:21
Daar ben ik het toch niet helemaal mee eens.
Volgens mij is het voornamelijk desinteressen van mensen die ervoor zorgt dat ze hoelang ze ook al een pc gebruiken ze nog steeds zaken niet 'snappen'.
Een beetje hetzelfde als ouderen die niet 'kunnen' pinnen. In mijn ogen een vorm van angs en/of desinteresse want alles staat in jip en janneke taal op het scherm dus 'moeilijk' is het niet.

Techniek wordt nu eenmaal steeds complexer en als je het wilt gebruiken moet je je er maar in verdiepen. Ik kan me dood ergeren aan mensen die alles (mobiel, pc, auto) maar voor granted nemen en dan klagen als het niet werkt zonder zich te verdiepen in de complexiteit van de materie.

Voor een auto heb je ook een rijbewijs nodig dus missien ook een informatica rijbewijs voor pc's en dergelijke
Anoniem: 463321
@GG8526 maart 2016 01:12
Voor een auto heb je een rijbewijs nodig maar als ie stuk is ga ik toch naar de garage want van de techniek heb ik nul verstand. Ik wil me er ook totaal niet in verdiepen ook. Net zomin als ik me wil verdiepen in de techniek van de koelkast, tv en cv-ketel.

Mensen kunnen niet alles leren, zelfs als ze zouden willen. Je zegt het zelf al: 'de complexiteit van de materie'. En dan moet iedereen het maar gaan snappen?
Al zou je wel alles gaan leren dan is dat geen garantie op het voorkomen fouten. Mensen die een rijbewijs hebben maken fouten. Zelfs de zogenaamde veelrijders gaan regelmatig de mist is. Ook in de IT-wereld zie je de meest bizarre dingen uitgevoerd door mensen met ruime kennis van zaken.
Een informatica-rijbewijs, voor zover al in te voeren, geeft dan ook totaal geen enkele garantie op het voorkomen van dit soort problemen.

Hoewel het niets met techniek te maken heeft kan ik tegen jou ook wel zeggen dat jij je meer in de Nederlandse taal moet verdiepen. Je beheerst het Nederlands vast erg goed maar je reactie bevat toch vele taalfouten. Is dat desinteresse?
SvenHe
@GG8525 maart 2016 13:01
Als jij denkt dat de zon om de aarde draait zal je niet begrijpen dat het feitelijk andersom is.

Je kan het er niet helemaal mee eens zijn, het is wel zo.

Verschillende mensen functioneren binnen een verschillend referentiekader.

Dat jij niet begrijpt dat er mensen zijn die dingen die jij begrijpt weer niet begrijpen is daar een goed voorbeeld van.

Maar als je dat weer niet begrijpt dan gaat dat aan je voorbij...

[Reactie gewijzigd door SvenHe op 25 maart 2016 13:02]

To_Tall
@Lednov25 maart 2016 12:33
Mijn ouders hebben Ziggo als TV en Internet dienst..
Die kregen toch echt een mailtje met.

Beste abonee,
Wij hebben voor u een nieuw factuur voor de maand maart.
.......
Wat denk je dan? je bent lid bij bedrijf X je krijgt al mail van bedrijf X ook facturen.

En je krijgt 2 dagen voor je normaal gesproken de factuur per mail krijg al de factuur binnen..
ASS-Ware
@To_Tall25 maart 2016 17:53
Mijn ouders hebben Ziggo als TV en Internet dienst..
Die kregen toch echt een mailtje met.

Beste abonee,
Wij hebben voor u een nieuw factuur voor de maand maart.
.......
Wat denk je dan? je bent lid bij bedrijf X je krijgt al mail van bedrijf X ook facturen.

En je krijgt 2 dagen voor je normaal gesproken de factuur per mail krijg al de factuur binnen..
Dan denk ik 2 dingen.
1. De faktuur wordt automatisch van mijn rekening gehaald (Ziggo in elk geval wel, bij mij).
of ...
2. Dan check ik het rekeningnummer op de factuur met het nummer waar ik normaal naar overmaak.

Geen probleem dus.

[Reactie gewijzigd door ASS-Ware op 25 maart 2016 17:54]

Sw333t
@ASS-Ware26 maart 2016 08:53
2. Dan check ik het rekeningnummer op de factuur met het nummer waar ik normaal naar overmaak.

Dan heb je dus die bijlage al geopend en ben je al de Sjaak.
helm71
@To_Tall27 maart 2016 17:42
Heel herkenbaar.. Op mijn werk gezien met KPN mails... Precies op het juiste tijdstip en met een bedrag dat te hoog is waardoor je snel klikt , maar weer niet hoog genoeg om zeker te weten dat het onzin is...
Als je maar genoeg gebruikers hebt gaat het wekelijks fout... Gewoon nooit betalen en alleen backups terug zetten..
Zakelijk geen backups hebben kan ik me erg lastig voorstellen.. Dan verdien je het nog steeds niet maar niet gebackupte data moet toch wel heel onbelangrijk zijn..
Anoniem: 463321
@Lednov26 maart 2016 01:00
en de factuur in een zipfile terwijl je normaal een PDF krijgt? opeens twee dagen eerder?
Lees de reactie van Thekilldevilhil nog eens een keer en dan goed. Niet iedereen snapt het verschil tussen een zip en een pdf en waarom de een slecht is en de ander goed.
En wat het verschijnen van de mails betreft, zelfs ik hou niet bij welke dag Ziggo zijn mails over facturen verstuurd. Alsof het opeens totaal te vertrouwen is als het op precies dezelfde dag als de maand ervoor is. Dat is dan weer naïviteit van jouw kant.
To_Tall
@Lednov29 maart 2016 23:31
Wie zegt dat het een ZIP file is??

Staat gewoon Factuur.pdf.exe..

Als jij geen affiniteit hebt met IT maar gewoon een mens die zijn PC niet alleen gebruikt om te tweaken of TweakTime hoog te houden :+ dan kan je zulke fouten sneller maken ja.. Je opent het bestand en hoppa besmet voor je het door hebt.. Er zijn nou eenmaal mensen die dat wel willen zien maar niet kunnen zien omdat ze het niet snappen.
arjan1995
@Paranoidnl25 maart 2016 12:08
Nee, niet iedereen is even handig hierin of heeft evenveel geld voor beveiligingsmaatregelen. Niemand "verdient" het om door zoiets te worden getroffen. Het is alleen wel waar dat mensen met minder ict-kennis eerder zoiets binnenhalen, en onze taak als ict-ers is om ervoor te zorgen dat dit zo min mogelijk gebeurt door mensen advies / voorlichting e.d. te geven.
straat18
@Paranoidnl25 maart 2016 12:02
Waarom spreek je als (jij) ? of bedoel je je als (men).

Maar toch gebeurd het. Vooral bij kleine bedrijven die geen geld willen uitgeven aan een goede infrastructuur.

- Meer dan een ICTér

[Reactie gewijzigd door straat18 op 25 maart 2016 12:03]

-ION-
@Paranoidnl25 maart 2016 16:29
als jij als bedrijf geen backups hebt verdien je het om door randsomware getroffen te worden.

-een ICT'er
Dat is hetzelfde als dat je zegt dat meisjes/vrouwen die een kort rokje dragen het verdienen om verkracht te worden.
Roko
@n3othebest25 maart 2016 15:36
Maak jij dan een backup van je werk desk/laptop?
n3othebest
@Roko29 maart 2016 10:36
Ik heb een backup van al mijn werk files ja.
Proxx
@straat1825 maart 2016 11:57
de gebruikelijke ransomware versleuteld je bestanden in windows.
deze versleuteld de hele hardschijf blijkbaar.
dus wat je als systeembeheerder moet doen
is windows opnieuw installeren en de backup terug zetten ;)
Stoney3K
@Proxx25 maart 2016 12:07
de gebruikelijke ransomware versleuteld je bestanden in windows.
deze versleuteld de hele hardschijf blijkbaar.
Niet helemaal, de hele HDD versleutelen zou namelijk veel te veel tijd kosten, een disk van een paar TB versleutelen neemt het groot deel van een dag in beslag. Rare virusscanner die in die periode de ransomware nog niet ontdekt heeft.

Ik denk dat het MBR versleuteld wordt samen met een aantal kenmerken van de filesystem-descriptors (zoals de MFT), daarom werkt het automatisch terugzetten van het MBR dus niet. Een handmatige data-recovery zou wel alle bestanden terug moeten kunnen halen, de data is immers niet aangeraakt.

Het wordt alleen vervelend als die cryptolocker zich in de firmware van de HDD nestelt:

https://www.youtube.com/watch?v=HitPEFU7EVY
Anoniem: 310408
@Stoney3K25 maart 2016 13:18
Niet helemaal, de hele HDD versleutelen zou namelijk veel te veel tijd kosten, een disk van een paar TB versleutelen neemt het groot deel van een dag in beslag.
Er zijn vele ransomware versies in omloop die dit in seconden doen door niet de hele files te versleutelen.
Stoney3K
@Anoniem: 31040825 maart 2016 13:22
[...]


Er zijn vele ransomware versies in omloop die dit in seconden doen door niet de hele files te versleutelen.
Tsja, en als je niet de hele file versleutelt (maar bijvoorbeeld alleen de header(s) gaat scramblen) dan is hetstellen van die bestanden natuurlijk ook niet bijzonder moeilijk. Je kan met patroonherkenning prima uitvissen of iets bijvoorbeeld een Word-document of een Excel-sheet is en dan de header van dat bestand repareren. Dan bereik je er als ransomware-bouwer dus niet bijzonder veel mee, behalve de overdreven domme gebruikers die écht niet beter weten.
Proxx
@Stoney3K25 maart 2016 14:00
Als je 25% van een bestand versleuteld (dus niet alleen de "headers") is het in de meeste gevallen gewoon onbruikbaar hoor :)
Stoney3K
@Proxx25 maart 2016 14:12
Als je 25% van een bestand versleuteld (dus niet alleen de "headers") is het in de meeste gevallen gewoon onbruikbaar hoor :)
Van een programma wel. Van een document ben je dan 25% van dat document kwijt. Als je de rest kan recoveren is dat nog altijd beter dan 100% van een bedrijfskritiek document kwijt zijn.
Proxx
@Stoney3K25 maart 2016 14:17
nee dat wil niet automatisch zeggen dat je 75% van het document kan herstellen.

waarschijnlijk is dat 75% van de data intact is alleen weet de computer niet meer wat hij er mee moet. dus je bent 100% van je data kwijt.

maar ik daag je uit.

zoek het belangrijkste docx,excel,pptx,pdf document op het bedrijfsnetwerk wat je kunt vinden.
Open het met een hexeditor en verander 25% van bitjes.
Success met openen ;)

[Reactie gewijzigd door Proxx op 25 maart 2016 14:20]

Stoney3K
@Proxx25 maart 2016 14:37
zoek het belangrijkste docx,excel,pptx,pdf document op het bedrijfsnetwerk wat je kunt vinden.
Open het met een hexeditor en verander 25% van bitjes.
Success met openen ;)
Dat een programma het niet zo maar kan openen wil niet zeggen dat je alles kwijt bent. De structuur van zo'n bestand herstellen en het beschadigde gedeelte opvullen met 'lege ruimte' die wel geldig is in die bestandsindeling is niet moeilijk als je bijvoorbeeld gebruik maakt van heuristics.

DOCX, XLSX en PPTX zijn bijvoorbeeld een variant op XML-bestanden, als je daar de eerste 25% uit knipt dan is de structuur daarvan redelijk eenvoudig te herstellen. Er zal wel na reparatie een kwart van de pagina's ontbreken maar dat is nog altijd beter dan het hele document kwijt zijn.
Proxx
@Stoney3K25 maart 2016 15:01
XML waar compressie op toegepast is.
dus als het een niet gecomprimeerd bestanden was had je gelijk.
de compressie zorgt er echter voor dat het geheel onleesbaar wordt.

nogmaals success!

[Reactie gewijzigd door Proxx op 25 maart 2016 15:03]

Proxx
@Stoney3K25 maart 2016 12:14
Ik denk dat zodra jij het CHKDSK sherm krijg je niet de voortgang van checkdisk ziet maar de voortgang van het versleutelen.

En je virus scanner is niet actief want je bent niet in windows opgestart. maar in windows PE of linux omgeving die lijkt op checkdisk,
Daarom zorgt het virus ook voor een bluescreen

(zodat je computer opnieuw moet starten en het voor de gebruiker niet vreemd is dat er "Checkdisk" gedraaid wordt)

zo begrijp ik het artikel tenminste

[Reactie gewijzigd door Proxx op 25 maart 2016 12:19]

Stoney3K
@Proxx25 maart 2016 12:21
Ik denk dat zodra jij het CHKDSK sherm krijg je niet de voortgang van checkdisk ziet maar de voortgang van het versleutelen.

En je virus scanner is niet actief want je bent niet in windows opgestart. maar in windows PE of linux omgeving die lijkt op checkdisk,
Daarom zorgt het virus ook voor een bluescreen.
En een virusscanner slaat geen alarm als een proces de bootsector wil overschrijven om die nep-CHKDSK te installeren?

Idem met een systeembestand zoals 'chkdsk.exe', daar moet je wel iets voor doen om dat te mogen overschrijven.
Proxx
@Stoney3K25 maart 2016 12:43
de hele HDD versleutelen zou namelijk veel te veel tijd kosten, een disk van een paar TB versleutelen neemt het groot deel van een dag in beslag. Rare virusscanner die in die periode de ransomware nog niet ontdekt heeft.
mijn reactie dat de virus scanner niet actief is tijdens het versleutelen (CHKDSK scherm) blijft nog steeds. afhankelijk van de virus scanner zal hij wel of geen bootsector aanpassingen detecteren/blokkeren.
dat is waar, maar dat is niet waar ik op reageerde.
Idem met een systeembestand zoals 'chkdsk.exe', daar moet je wel iets voor doen om dat te mogen overschrijven.
wie zegt dat chkdsk.exe overschreven wordt.

er wordt in de MBR gewoon verwezen naar een ander OS die op een willekeurig plek staat. als de computer crashed door de bluescreen die het virus zelf veroorzaakt. staart hij automatisch in een ander OS (chkdsk look a like). en voila,

zolang de gebruiker de NEP CHKDSK look a like niet onderbreekt zal het alle tijd hebben om bestanden te versleutelen.

[Reactie gewijzigd door Proxx op 25 maart 2016 12:44]

TJRef
@Proxx25 maart 2016 12:10
Volgens mij niet versleutelen. Maar onbruikbaar maken. Onleesbaar.
Carlos0_0
@straat1825 maart 2016 11:55
Als je als systeembeheerder geld gaat storten ben je niet slim bezig :P, gewoon F12 duwen en nieuwe installatie of een back-up terug gooien.
Cergorach
@Carlos0_025 maart 2016 12:30
gewoon F12 duwen en nieuwe installatie of een back-up terug gooien.
Wat ik begrijp uit het bron artikel, kan je dat vergeten, de hele HDD is ontoegankelijk, zelfs de MBR herstellen helpt niet. Klinkt bijna alsof ze wat met de firmware hebben zitten prutten. Dat is bijzonder pijnlijk bij fysieke servers, wellicht een goed idee om hier voortaan een VM laag tussen te gooien. Er zijn tegenwoordig Windows tablets waar je niet fysiek bij de SSD kan komen (kans is groot dat deze gesoldeerd is op het moederbord), dat worden hele dure geintjes...
hackerhater
@Cergorach25 maart 2016 13:08
Of simpelweg de partitie tabellen gesloopt
straat18
@Carlos0_025 maart 2016 11:56
Tuurlijk is dat niet slim.. maar wat als je die vertrouwelijke bestanden echt niet kan missen en het kop je dan je kop ?
Countess
@straat1825 maart 2016 12:03
dan hoort je dat de kop te kosten want dat soort bestanden MOET je een backup van hebben.
straat18
@Countess25 maart 2016 12:11
Je moet niet iedereen over een kam scheren en maar denken dat je maar backups moet hebben en dat ze het allemaal moeten weten.

Een ITér zoals velen hier weten dat we backups moeten hebben.
Iemand die in de Bouw werkt die is hier niet van op de hoogte is houdt zich daar niet mee bezig op de eerste plek. Ook al gebruikt hij een pc met klantenbestand erop.

Net zoals een ITër niet weet hoeveel cement met bij de zand moet doen voor een goede mortel te krijgen, Doe je het niet goed breekt de cement af en zakt je huis in.
link0007
@straat1825 maart 2016 12:26
En dat is precies de reden waarom een ITer niet het cement mixt.

Als de bestanden onmisbaar zijn en onvervangbaar, en het hele bedrijf in grote problemen komt als ze verdwijnen vanwege een virus... Wordt het dan niet tijd om een ITer te huren die weet hoe hij die bestanden veilig kan stellen?

En als die ITer zijn werk niet goed doet en de bestanden tóch verdwijnen, is dat dan niet zijn verantwoordelijkheid, gelijk het de verantwoordelijkheid is van de bouwvakker wanneer het cement niet goed gemengd is?
MrManuel
@link000725 maart 2016 12:45
No offence maar je houd altijd medewerkers/eindgebruikers die de bestanden op de verkeerde plaatsen opslaan en daardoor gegevens kwijt raken. ;)
Lonua
@Carlos0_025 maart 2016 11:56
Nog beter: Een standaard immage paraat hebben die je zo terug kan zetten. Data dien je een backup van te hebben.
Carlos0_0
@Lonua25 maart 2016 12:00
Data dien je inderdaad in bedrijf op een netwerkschijf te bewaren, is het lokale data ben je niet slim bezig(Indien je geen kopie er van heb op de dataschijf).
jpsch
@Carlos0_025 maart 2016 14:35
Vaak wordt moeilijk gedaan als je mailarchieven op een netwerkschijf wilt zetten. Advies van helpdesk => lokaal opslaan (zonder erbij te vertellen dat dat niet geback-upt werd). Mijn oplossing was af en toe een kopie te draaien op een USB stick.
WillC
@straat1825 maart 2016 12:21
Complete herinstallatie van de machine ;)

Maar te hopen dat je geen belangrijke bestanden hebt opgeslagen zonder back-up systeem. Die zijn verdwenen.

Periodieke backups op een externe schijf is dan ook niet meer weg te denken, zelfs niet meer bij thuisgebruikers.

Het is gewoon vreemd om te lezen dan zelfs na al deze safety campagnes dat men nog steeds niet even het zwevende linkje controleert of even verifieerd of dat het @kpn.nl niet @273691723.kpn.nl is of iets dergelijks. Daarnaast een link als bijlage is natuurlijk al bijzonder dat men niet kijkt of er niet een normale bijlage in de mail kan worden toegevoegd...

It aint Rocket Science people....
Twam
@WillC25 maart 2016 12:58
Het is gewoon vreemd om te lezen dan zelfs na al deze safety campagnes dat men nog steeds niet even het zwevende linkje controleert of even verifieerd of dat het @kpn.nl niet @273691723.kpn.nl is of iets dergelijks.
Wat dat betreft zou het wel schelen als bedrijven eindelijk eens collectief hun mailing demons wat beter zouden africhten, dat mails ook daadwerkelijk vanaf een standaard domein wordt verstuurd. De helft van de mailings die ik binnen krijg hebben nog altijd quasi random strings als verzendadres, ondanks herkenbare weergegeven naam.

Verder heb je natuurlijk helemaal gelijk, daar niet van.
BazerK
@straat1825 maart 2016 11:55
Ik praat nu even voor mezelf met een privé computer.
Image terugzetten van een dag terug? of kan dat niet in een netwerk.
CMD-Snake
@BazerK25 maart 2016 11:58
Als je elke dag een image maakt.

Bij grote bedrijven wordt er niets op de werkstations bewaard. Gebruikers moeten alles opslaan op het netwerk. De computer is slechts de toegang tot het netwerk. Als bij een groot bedrijf een PC onbruikbaar wordt kan die daarom meteen opnieuw geïnstalleerd worden. Er staat toch niets op.
straat18
@BazerK25 maart 2016 11:59
Image terug zetten ? Mag je proberen bij een schijf die niet toegankelijk meer is, En ook niet na een MBR fix :P
.oisyn
@straat1825 maart 2016 12:07
Tja, harddisks gaan ook weleens kapot. Daar zul je als bedrijf gewoon een fatsoenlijke IT infrastructuur voor moeten hebben.
ASS-Ware
@.oisyn25 maart 2016 18:03
Tja, harddisks gaan ook weleens kapot. Daar zul je als bedrijf gewoon een fatsoenlijke IT infrastructuur voor moeten hebben.
Daar zijn RAID oplossingen voor, dat heeft niets te maken met het terughalen/herstellen van data.
.oisyn
@ASS-Ware25 maart 2016 21:47
De hdd's in client machines (daar ging het over) zullen over het algemeen geen RAID zijn.
Stoney3K
@straat1825 maart 2016 12:08
Image terug zetten ? Mag je proberen bij een schijf die niet toegankelijk meer is, En ook niet na een MBR fix :P
Als je de disk block voor block overschrijft is er echt geen spoor van die ransomware over hoor.

Of denk je dat dat MBR op een magisch persistent stukje van je harde schijf verstopt staat?
straat18
@Stoney3K25 maart 2016 12:16
Lees nog eens terug a.u.b

Het zomaar terug zetten van een image kun je vergeten. Ik heb niets gezegd over hoe men wel de HD wel weer kan gebruiken. o.a formatteren.
Stoney3K
@straat1825 maart 2016 12:18
Lees nog eens terug a.u.b

Het zomaar terug zetten van een image kun je vergeten. Ik heb niets gezegd over hoe men wel de HD wel weer kan gebruiken. o.a formatteren.
Het block voor block overschrijven van de HDD is precies wat het terugzetten van een image doet. Een fatsoenlijk image-programma overschrijft daarmee ook het MBR.

Ransomware is niet de enige reden waardoor een MBR om zeep geholpen kan worden.
HADES2001
@straat1825 maart 2016 13:18
ik overschrijf bijna dagelijks encrypted HDD's met een image, niets bijzonders aan.
Encryptie zorgt er alleen voor dat je het niet kan lezen, overschrijven met een image is echter geen enkel probleem
dehardstyler
@straat1825 maart 2016 12:12
Formatteren en gaan! :)
BazerK
@straat1825 maart 2016 12:16
Met behulp van externe software (via usb/cd opgestart) is de HDD/SSD gewoon aan te wijzen om vervolgens de image (van de vorige dag) terug te zetten.
Kwestie van goed back-up management.
lordawesome
@straat1825 maart 2016 12:19
Het is maar software hoor. Na een format doet die harddisk het nog prima.
Rexus
@BazerK25 maart 2016 11:58
Starten in veilige modus is iets wat bij mij nog wel eens wil helpen, dan zoeken naar de starter van de ransomware.
Countess
@BazerK25 maart 2016 12:04
dat kan zelfs vaak remote over het netwerk zonder dat de gebruiker iets hoeft te doen.
My-life
@straat1825 maart 2016 11:52
De schijf formateren/vervangen en back-up terugzetten zullen de gebruikers toch vast niet zelf doen.
Alfa1970
@My-life25 maart 2016 12:08
Vervangen ja. Formatteren doet niets met de informatie op de schijf, het haalt één partitie tabel leeg, maar voor de rest staat alles er nog en is ook kinderachtig simpel te recoveren.
Zeer zeker omdat het hier gaat over een MBR infectie, en die wordt nu juist niet door een standaard Format vervangen.

Voorkomen van deze infectie is misschien moeilijk, maar je beschermen tegen de gevolgen ervan is mij MBR gebaseerde verhalen gelukkig wél heel makkelijk.
Je kan nog steeds via BIOS/EFI je MBR op readonly zetten. Zet je daarna ook je bios/efi op readonly dan kan deze malware iig je mbr niet overnemen en dus ook je disk niet onklaar maken. Bios/efi zou eigenlijk by default altijd readonly moeten zijn, mja, helaas dat jumpertje van 2 cent kost toch 2 cent.
Caelestis
@Alfa197025 maart 2016 13:09
Of je gebruikt een mobo met UEFI bios die secure boot ondersteunt met windows 8 of hoger en je bent immune voor dit soort MBR grappen.
hackerhater
@Caelestis25 maart 2016 13:48
Als dat secure boot maar uit kan (al is het maar voor 1 boot).
Ik had er behoorlijk last van toen ik de pc's vanaf een linux-cd wilde booten voor virusscans.
Caelestis
@hackerhater25 maart 2016 14:02
CSM inschakelen en probleem is opgelost voor tijdelijk USB bootsticks of live CD's.
Ik ben al wel 1 mobo tegen gekomen die geen CSM had maar dat was er een die uitkwam in het begin van UEFI tijdperk voordat iedereen ging klagen erover. Tegenwoordig kan elke UEFI werken zonder secure boot.
hackerhater
@Caelestis25 maart 2016 15:39
CSM zou niet nodig moeten zijn, zelfs onwenselijk als je een installatie-cd wilt laden.
Secure boot moet gewoon uit kunnen, al is het maar voor 1 boot zodat je de installatie-disk kan starten.
Caelestis
@hackerhater25 maart 2016 16:00
Als je CSM aanzet wordt het secureboot automatisch uitgezet. Het werkt niet samen. Als je secureboot will gebruiken moet je juist tijdens installatie secureboot aan hebben staan anders installeert windows gewoon op het ouderwetse methode met MBR.
Als je CSM permanent aan laat staan is dat jou keuze en niks anders als een vinkje omzetten maar dan kan je dus alsnog zo'n MBR hack krijgen.
hackerhater
@Caelestis26 maart 2016 10:02
Wie zegt dat ik het over Windows heb?
Linux kan prima met secure boot overweg, maar de installatie-cd moet natuurlijk wel eerst kunnen opstarten.
Caelestis
@hackerhater26 maart 2016 10:42
Dus vinkje aanzetten bij CSM. Het is toch niet zo moeilijk.... of loop je nou gewoon te zeiken om te kunnen zeiken?
hackerhater
@Caelestis26 maart 2016 10:44
Wellicht is het je niet duidelijk dat ik Linux gewoon evt naast Windows wil zetten en secure boot intact wil laten?

Dan moet het dus tijdelijk uit kunnen en niet permanent.
Caelestis
@hackerhater26 maart 2016 10:45
Als je het vinkje aan zet en 15 min later uit zet je heb tijdelijk secureboot uitgezet of wil je dat je UEFI zelf gaat bepalen wanneer het denkt dat je klaar bent?

[Reactie gewijzigd door Caelestis op 26 maart 2016 10:49]

Alfa1970
@Caelestis25 maart 2016 13:47
Secure boot werkt alleen als de compatibility support module uit staat.
En gezien die vrij configureerbaar is, is secure boot een wassen neus.
Caelestis
@Alfa197025 maart 2016 13:59
Lijkt me nogal logisch dat het csm uit staat als secure boot aan staat dus wat wil je eigenlijk precies zeggen?
Alfa1970
@Caelestis26 maart 2016 11:48
Dat secure boot niet de heilige graal is omdat csm aan te zetten is.
En als ik de setting aan kan zetten, dan kan malware dat ook waardoor secureboot niet goed functioneert.
En dat dit soort aanvallen dus ook werkt als je een moederbord met secureboot gebruikt, hence de noodzaak om ervoor te zorgen dat zowel bios als uefi een readonly modus heeft die alleen op een fysieke manier kan worden bediend zoals met een jumper.
Caelestis
@Alfa197026 maart 2016 12:03
Ok als malware toch op een of ander manier je UEFI in kan komen omdat je bijvoorbeeld een desktop tool geïnstalleerd heb die het UEFI in edit mode kan aanpassen (wat oer dom is overigens) en het schakelt CSM in wat moet het verder doen? Je GPT ombouwen naar MBR? Buiten het feit dat het vrijwel onmogelijk is om dit te doen maar als het toch lukt ben je gelijk de hele inhoud van je HDD kwijt en valt er niks te blackmailen.
Alfa1970
@Caelestis26 maart 2016 12:44
Dat er mensen zijn die dom zijn is een feit. Veel fabrikanten zijn ook dom. Vaak installeren die veel tools (en ook die) alvast vooraf zodat reparateurs dat niet achteraf hoeven te doen.

Waarom zou je de GPT ombouwen naar MBR?
Het enige verschil tussen de twee is de locatie van de software die wordt gestart als je de PC aanzet. In beide gevallen staat dat gewoon op je harddisk. Bij MBR is dat in de eerste 512 bytes van je hdd, bij GPT staat het in een los bestandje ergens in een folder.
Of dacht je dat je OS in het bios zat bij UEFI?
Caelestis
@Alfa197026 maart 2016 13:12
In geen enkel geval wordt een UEFI uitgeleverd in edit modus dat doe je zelf en de enige die dat eigenlijk doen zijn mensen die willen overclocken vanuit het desktop met een bijgeleverde app. En van dat al kleine club gebruikers is een nog kleiner aantal die nog vergeten edit modus uit te zetten in je UEFI nadat ze klaar zijn met overclocken.
Zo wordt je doelgroep wel HEEL erg klein voor alle moeite die je moet gaan doen om eerst een UEFI te hacken (CSM optie is niet beschikbaar in edit modus via het besturing systeem dus moet je dat zelf hacken).
Aangezien code injecteren in het GPT onmogelijk is met secureboot moet je het dus ombouwen naar MBR om het cryptolocker zijn werk te laten doen. Echter MBR gebruikt CHS adressering en GPT gebruikt LBA adressering. Het is wel mogelijk om CHS te converteren naar LBA maar niet andersom.
Dus het enige wat ze kunnen doen is een compleet nieuwe MBR aanleggen en poef daar gaat alle data.
Of dacht je dat ze naast de cryptolocker ook nog even een paar dagen forensische data recovery tools gaan gebruiken om een correcte MBR te bouwen dat alle data beschikbaar maakt en hoe wou je dat software draaien?
sspiff
@straat1825 maart 2016 11:52
Iets met backups...
TotallyJorden
@sspiff25 maart 2016 12:07
Reken voor de grap eens door hoeveel uurloon er desondanks verspild wordt door zo'n akelig virus
desalniettemin
@Zorian25 maart 2016 17:00
Klootzakken zijn het. Laten ze hun talenten toepassen om beveiliging van bedrijven en thuisgebruikers te helpen verbeteren. Doen ze tenminste iets nuttigs ipv hardwerkende bedrijven en thuisgebruikers te gijzelen. Ik zal iig nooit betalen, mocht het mij overkomen.
jmk
@desalniettemin25 maart 2016 19:19
Ik vind dat je hiermee heel goed het menselijke en sociaal-maatschappelijke aspect van ransomware omschrijft. De talenten zijn er. Nu nog de menselijke waardigheid dit ten goede te laten komen.
TLW077
@Zorian25 maart 2016 11:54
Als je eens wist hoeveel geld er in deze business omgaat..daar is een drugskartel nog niks bij! Er zijn ook diensten die je kunnen helpen om je zuurverdiende "geld" in goede banen te leiden bij de desbetreffende criminelen en je ransomware netjes te laten verwijderen. Je kunt zelfs nog proberen om te onderhandelen met deze mensen. Zoals ik al zei het is een hele business op zichzelf.
Hanzo
@Zorian25 maart 2016 11:56
Voor huis- / tuingebruik is wellicht een programma als Time Freeze of Shadow Defender een mogelijkheid deze shit voor te zijn zonder te ingrijpende veranderingen door te hoeven voeren op je computer.
desalniettemin
@Hanzo25 maart 2016 19:25
Of Malwarebytes Anti-Ransomware die nu in beta is.
Hanzo
@desalniettemin26 maart 2016 08:22
Ik zal er eens induiken! Bedankt voor de tip!!
webgangster
25 maart 2016 11:50
Waarom richt de ransomware zich vooral op bedrijven?
Daar zijn vaak backups in overvloede, bij consumenten vaak niet.
GWBoes
@webgangster25 maart 2016 11:53
Omdat bedrijven vaak belangrijke data hebben die ze niet willen missen.
Een consument gaat geen duizenden euro's aan bitcoins neerleggen om hun vakantiefoto's terug te krijgen.
Bosmonster
@GWBoes25 maart 2016 11:56
Die data staat als het goed is niet op clients.
629110
@Bosmonster25 maart 2016 12:31
Tot dat de virus alle netwerk schijven begint te crypten :)
Intrepidity
@62911025 maart 2016 12:57
Dan klopt er ook iets niet, als clients met het MBR van een netwerkschijf kunnen rommelen.
bakvis
@Intrepidity25 maart 2016 13:06
Hoeft ook geen mbr te zijn, zodra de data encrypt is kun je niks meer...
aadje93
@bakvis25 maart 2016 14:45
een bedrijf zorgt dan zijn "definitieve" backup locatie niet benaderbaar is door clients :+
loki504
@aadje9325 maart 2016 19:32
Er was niet zo lang geleden een ziekenhuis in de vs de sjaak. Kan mij best begrijpen dat die betalen. Ja ze hadden een backup. Maar vermoed niet dat de backup tot enkele minuten geleden was. Is een beetje knullig om mensen terug te laten komen omdat ze delen van hun medisch dossier missen. Back up is leuk. Maar zal meest van de vorige dag zijn. En voor genoeg bedrijven is het dan alsnog beter te betalen.
Yodocus
@Intrepidity25 maart 2016 15:31
Een drivemapping heeft geen mbr
idef1x
@62911025 maart 2016 14:15
Kwestie van regeliere read-only snapshots (btrfs/zfs/oid) maken zou ik zeggen?
CH4OS
@Bosmonster25 maart 2016 12:22
Cryptolockers nemen tegenwoordig ook netwerkshares mee.
himlims_
@CH4OS25 maart 2016 13:48
pakken gewoon alle paden waar ze rechten toe hebben
downtime
@Bosmonster25 maart 2016 12:32
Bij grote bedrijven niet. Bij de kleintjes wel. En MKB en ZZP'ers vormen samen toch een groot deel van de economie.
MrManuel
@Bosmonster25 maart 2016 12:48
Dat hoeft ook niet, de meeste cryptolockers nemen tegenwoordig alle gemapped network drives en shares mee.
ari
@Bosmonster25 maart 2016 13:00
Als het goed is niet en dan valt de schade mee. Heb je dit echter niet goed geregeld dan kun je ofwel betalen ofwel je gehele administratie kwijt zijn. Niet elke kleine winkel, timmermanszaak of zzp'er heeft de kennis om dit fatsoenlijk te regelen. En die kennis inhuren kost geld...
xoniq
@Bosmonster25 maart 2016 18:48
Als het goed is :+ ik zie bij mijn werk wel anders hoor.
flnhst
@Bosmonster25 maart 2016 12:19
Inderdaad, "als het goed is".
TLW077
@GWBoes25 maart 2016 12:19
Er zijn vele redenen dat bedrijven (vooral MKB) de dupe zijn van ransomware.
- Vaak niet bewust bezig zijn met Internet Security. Daardoor niet bewust, weinig beveiliging tegen hackers, makkelijker doelwit.
- Kans is groter dat er op een link wordt geklikt van een phishingmail. ( meer mensen, kans groter. ) Je hebt maar 1 klik nodig. Dit kan zijn vanuit mails met bijv bestandjes. Dit kan zijn sollicitatie mails met pdf bestanden als Cv , Een foto van een mooie dame, een link naar een website waarbij je een bestand download, en noem maar op.
- Gaat veel meer Data/geld in om dan consument.
- Werknemers betalen veel sneller een boete omdat ze niet willen dat hun privé data op straat komt..denk even aan het online zoeken naar porno of dingen die niet mogen op de werkvloer..Wat doe je liever tegen je baas zeggen dat je porno of andere dingen aan het bekijken was en die op je computer staan en dat je ransomware je computer gegijzeld heeft? Je baan kwijtraken of gewoon even betalen? Keuze is snel gemaakt toch?

[Reactie gewijzigd door TLW077 op 25 maart 2016 12:22]

TgR_KILLER
@webgangster25 maart 2016 11:58
Ik vermoed omdat bedrijven kritische bestanden hebben en sneller geneigd zijn een (hoog? aanname) bedrag te betalen. Niet alleen de bestanden, maar als je een bedrijf met 100 pc's infecteert en 100 mensen kunnen niet meer hun pc opstarten kost dat direct geld. Meeste particulieren betalen niet veel geld om wat gegevens terug te krijgen. En een paar dagen zonder PC is meestal ook geen probleem.

Particulieren backuppen ook steeds vaker in de cloud, (ik heb in ieder geval veel data ook op dropbox en zo ook op een andere pc staan als backup).
jozuf
@TgR_KILLER25 maart 2016 12:10
een backup met dropbox sync op je PC gaat je voor veel ransomware niet helpen. Het encrypt de bestanden in je dropbox folders en dropbox sync ziet dat er files veranderd zijn en upload ze doodleuk naar je dropbox.
Geen goede backup strategie dus tegen ransomware...
magnifor
@jozuf25 maart 2016 12:28
Bij Dropbox kan je 30 dagen je bestanden herstellen nadat deze verwijderd zijn. Ook kan je terug naar eerdere versies. Zou zeggen dat Dropbox een prima oplossing is hiervoor.
eborn
@magnifor25 maart 2016 13:24
Behalve als de ransomware pas na 30 dagen actief wordt, maar in de tussentijd al alles encrypt heeft. Als je Dropbox niet op een ander device hebt staan, merk je ook niet dat er continu files worden overschreven.
lappro
@eborn25 maart 2016 16:10
Dat lijkt me wel een hele moeilijke situatie om te realiseren. Want die bestanden moet echt geencrypt zijn want anders moet je alsnog een wijziging uploaden naar dropbox voordat die 30 dagen voorbij zijn. Dan moet in die 30 dagen zo met die geencrypte bestanden omgesprongen worden dat de gebruiker op geen enkele manier werkt dat er rare dingen gebeuren.

Hier komt een complexiteitsniveau bij kijken dat de gemiddelde crimineel toch wel overstapt naar de makkelijkere doelwitten die met veel minder moeite geld afgetroggeld kan worden. Van die makkelijkere doelwitten zijn er nog meer dan genoeg.
eborn
@lappro25 maart 2016 16:26
Volgens mij plaatsen een aantal (de meeste?) van die systemen een laag tussen jou en de fileafhandeling van het OS. Die laag zorgt voor transparante encryptie/decryptie, zolang de sleutel op de machine aanwezig is. Alle bestanden worden dus in de loop van die 30 dagen al zoveel mogelijk encrypt. Als je na 30 dagen die sleutel verwijderd, kun je niets meer.

Uiteraard valt dit al eerder op als je bestanden via een andere machine opent die niet infected is, of als je inderdaad Dropbox bestanden ziet wijzigen zonder dat jij zelf iets hebt gedaan.
2bad4u
@magnifor25 maart 2016 13:50
versie beheer werkt niet altijd aangezien ze tegenwoordig ook vaak het origineel encrypten dan deleten en de encrypte data uploaden. enigste optie dan is dropbox lief vragen om je deleted files terug te halen.
GekkePrutser
@2bad4u25 maart 2016 16:14
Dropbox bewaart oude versies van bestanden met dezelfde naam ook gewoon 30 dagen.
hackerhater
@jozuf25 maart 2016 12:32
Dropbox heeft een functie dat je via de site oude versies terug kan halen ;)
2bad4u
@hackerhater25 maart 2016 13:49
Dat klopt, maar niet elke cryptolocker is hetzelfde sommige versleutelen het bestand en laten het zo staan, andere versleutelen, verwijderen het origineel en vernoemen het naar een andere naam. dan is er geen versie beheer mogelijk en ben je alsnog alles kwijt.
hackerhater
@2bad4u25 maart 2016 13:52
Dan nog kan je aan de kant van Dropbox ed de verwijderde bestanden zien ;)
Versie-beheer gaat verder dan alleen de vorige versie van de huidige bestanden.
2bad4u
@hackerhater25 maart 2016 13:55
we hebben net een klant gehad die dit gebreurd was, die heeft persoonlijk met dropbox contact op moeten nemen om de data terug te laten halen ivm dat de bestanden ook niet meer in de prullenbak online waren te vinden. De aanvraag was alleen mogelijk als de andere manieren niet meer mogelijk waren, dat hebben we wel goed uitgezocht.
hackerhater
@2bad4u25 maart 2016 13:57
Dat zou kunnen, maar dan nog zijn de bestanden gewoon beschikbaar aan de kant van Dropbox. Dat je het niet via de GUI meer kan vinden is een 2e.

Maar goed, het beste is om een offline backup te hebben die niet automatisch gesynched wordt vanaf de pc.
2bad4u
@hackerhater25 maart 2016 14:03
Dat is dus was ik al zei, dropbox heeft wel een backup van een backup etc. maar die kun je alleen op aanvraag krijgen en niet zo makkelijk als je aanvankelijk zei.
BoringDay
@TgR_KILLER25 maart 2016 14:46
Ook al hebben bedrijven kritische bestanden aan dit soort praktijken moet je nooit toegeven.
Dan kan je beter een Plan B hebben mocht het je overkomen.

Als niemand eraan toegeeft levert het deze crimineeltjes ook niks op.
TgR_KILLER
@BoringDay25 maart 2016 15:42
Helaas kost het de crimineeltjes ook niks om een virus te maken en te verspreiden, dus met dat het ze (niks/weinig) oplevert, er is altijd wel een gek die wel betaald en dat levert al genoeg geld op.
CyBeR
@webgangster25 maart 2016 11:54
Waarom richt de ransomware zich vooral op bedrijven?
Daar zit het geld.
Daar zijn vaak backups in overvloede, bij consumenten vaak niet.
Dat zou je nog verbazen.
Iblies
@CyBeR25 maart 2016 12:21
In een bedrijf geld
Time is Money
Als je 10 werknemers hebt die niet functioneren en dat gaat minimaal een dag duren waarbij ook nog eens externe factoren om de hoek komen kijken,
dan is alleen het personeel een kostenpost van 8 uur * 50 euro * 10man; is €4000,- .

Als de eis €5000,- euro is, dan is de keus snel gemaakt.
En de bedragen die ik links en rechts zie langskomen zijn vaak bedragen die wel kunnen worden opgehoest. Het zijn zelden extreme bedragen.

Triest zijn de zelfstandige met een flinke portfolio zonder serieuze back-up of überhaupt serieuze it-structuur. Die kunnen en niet betalen en verliezen heel veel informatie.
DaemonAngel
@Iblies25 maart 2016 13:39
Je hebt gelijk maar het is nog veel kostelijker dan het plaatje dat je schetst.
Hier hou je alleen rekening met de personeelskost maar niet met economische schade (door bijvoorbeeld een tijd geen inkomsten te hebben uit diensten of goederen).
Er zijn genoeg situaties waar een dag vertraging door iets dergelijk oploopt in getallen met 5-6 cijfers.
Bedrijven gaan inderdaad veel sneller dit minimale bedrag ophoesten en als ik me niet vergis was dit ook het advies van de FBI een tijd geleden.

Ook is het vaak gemakkelijker om dit binnen te krijgen in het bedrijf. Heel veel mensen zitten daar op een verbonden netwerk en die mensen zijn vaak nog eens redelijk IT onhandig.

Een maat werkt voor een groot bedrijf en zij zijn recent gepakt met zoiets. Iemand had de gekende van het excel bestand met vraag voor macro's te draaien toestemming gegeven.
Het ding begon alles te versleutelen, ze hebben onmiddelijk alle electriciteit van hun toestellen gehaald en hun back-ups ontkoppelt.
Schade viel hierdoor al bij al nog mee.
Jordyz
@DaemonAngel25 maart 2016 14:06
Wat wordt er met deze persoon eigenlijk gedaan? Of weet je at niet?
Een verplichte IT cursus? Hij of zij zal toch ook wel een klote gevoel hebben.
DaemonAngel
@Jordyz25 maart 2016 14:15
Daar gebeurt niets mee gedaan hoor :p.
Je hebt geen idee hoeveel IT incompetente mensen er in grote bedrijven rondlopen.
Veel mensen zijn van de generatie voor ons en houden zelden rekening met dergelijke zaken.
Ik weet dat er bij ons een specifieke verplichte jaarlijkse training is over phising net omdat zoveel mensen hier blijven inlopen.
Wegens de aard van de firma hebben onze back-up servers wel een speciale opstelling waardoor er altijd 1 back-up beschermd is dus het heeft nog geen grote issues veroorzaakt.

Je ziet het ook met mensen die reply to all doen in een email thread waarmee ze dan een kleine 30 000 mensen bereiken. Die idiots ontslaan ze ook niet en jammer genoeg heeft dergelijk gedrag ook geen impact op hun beoordelingen (wat van mij wel zou mogen).
Laatste keer dat dit voorkwam heeft IT moeten ingrijpen omdat de mensen maar niet stopten met reply to all (op 2 uur tijd had ik 300 mails binnen alleen hiervan).
Jordyz
@DaemonAngel25 maart 2016 14:26
Dat er mensen in een organisatie werken die weinig verstand hebben van alle technische ontwikkelingen is te begrijpen. Mijn vader werkt voor z'n werk veel met de computer en als ik zie hoe dat soms gaat daar, bestanden met gevoelige informatie naar het privé adres zenden om thuis verder te werken terwijl ze ook kunnen inloggen vanuit een beveiligende omgeving..

Mensen die echt een ''gevaar'' zijn zouden wel een basis cursus mogen krijgen. Dan heb ik het voornamelijk over een interne cursus zoals hoe het systeem in elkaar zit, waar alles zit en dergelijke en dan ook het veilig gebruik van pc's.

Blijft vervelend als een persoon zoiets binnenhaalt, aannemen dat het niet expres gebeurd maar door ondeskundigheid..
lappro
@Jordyz25 maart 2016 16:16
Ik vrees dat 1 cursusje niet genoeg is. Als ik kijk naar hoe vaak ik iets moet herhalen bij de oudere generatie voordat ze het ook echt onthouden op IT gebied, dan denk ik dat een langdurig traject met periodieke trainingen de enige oplossing is.
Whatson
@Jordyz25 maart 2016 14:11
Die werkt voortaan met een typemachine
A Lurker
@Iblies25 maart 2016 13:19
Dan ga je ervanuit dat men vantevoren een gedegen risicoanalyse maakt, en alle risico's gaat afdekken. Dat gebeurt simpelweg niet (altijd). In de realiteit worden bij veel bedrijven voornamelijk de opendeuren-risico's afgedekt, en netwerkschijven bv allemaal wel redundant opgeslagen, maar hoeveel werknemers hebben niet werk van de afgelopen week of weken op hun lokale computer staan.

Achteraf is het altijd makkelijk praten "ja het was goedkoper geweest dan al het werk van de afgelopen week opnieuw doen", maar ook hier geldt zoals zo vaak; als het kalf verdronken is dempt men de put.

[Reactie gewijzigd door A Lurker op 25 maart 2016 13:20]

hackerhater
@CyBeR25 maart 2016 12:31
Lang leven prive SAAS-producten met goede backup-policy op de servers :Y)
Een besmette client is vervelend en zorgt ervoor dat die werknemer een paar uur niet kan werken. Meer impact heeft het niet.
mkools24
@hackerhater25 maart 2016 13:30
Lang leve Citrix Provisioning Services met read-only vdisken :P
Bor
@mkools2425 maart 2016 14:33
Lang leve Citrix Provisioning Services met read-only vdisken
Dat is totaal irrelevant. Doorgaans heb je geen data op een read only disk staan (PVS wordt over het algemeen gebruikt om bijvoorbeeld Citrix Xenapp machines te booten / provisionen). Het doel van ransomware zijn systemen met data zoals fileservers etc. Wanneer daar een hele disk encrypted raakt ben je veel verder van huis.
mkools24
@Bor25 maart 2016 14:47
Ja ok maar ik heb het over deze specifieke ransomware, die veroorzaakt een bsod past je MBR aan en runt zogenaamd een chkdsk. Als je een read-only disk hebt is dat allemaal niet meer mogelijk.

Wel natuurlijk op je fileserver bijv. maar dit soort meuk wordt doorgaans gestart vanaf Citrix servers en users hebben (hopelijk) geen admin rechten op fileservers en het lijkt me ook niet dat dit ding remote bluescreens kan veroorzaken en het mbr kan aanpassen van de fileserver.

Maar inderdaad de meeste ransomware encrypt je homedirectory en datashares dus daar helpt het helemaal niet tegen.
hackerhater
@mkools2425 maart 2016 13:39
Dat kan ook :)
Anoniem: 524929
@mkools2425 maart 2016 13:54
Nee, gebruikers hebben alsnog roaming of folder redirection in vrijwel alle gevallen.
arbraxas
@webgangster25 maart 2016 11:54
Bij de slager op de hoek niet hoor.
Grote bedrijven hebben het nog wel redelijk op orde, maar kleine bedrijven vaak niet.
De hoop is dan dat die bedrijven maar betalen omdat anders de schade nog veel groter of zelfs niet te overzien is.
TLW077
@arbraxas25 maart 2016 12:26
Juist en dit kan oplopen op de 10.000 euros om je data weer terug te krijgen per computer, onderzoek moet doen naar de hack ( forensisch etc. Niet te vergeten dat er de datalekken melkplicht hebt die tot een boete kan oplopen van 810.000 euro!

Het kan bedrijven letterlijk kapot maken..
Neocortex-re
@webgangster25 maart 2016 11:54
Een back up maken kan iedereen, terugzetten is een ander verhaal....

Ik denk dat het aantal gevallen waar back ups niet op orde blijken als het erop aan komt wel eens veel groter zou kunnen zijn dan we kunnen bedenken.
CMD-Snake
@webgangster25 maart 2016 11:56
Ligt eraan. Vooral kleine ondernemingen hebben geen denderde IT oplossingen, enerzijds door gebrek aan kennis en anderzijds door gebrek aan geld. Vaak wat losse computers in een workgroup, misschien met een NAS. En natuurlijk is iedereen administrator op zijn of haar computer. Anderen hebben een klein SBS domeintje. Vooral back-ups willen er nogal bij inschieten. De bedrijfsgegevens gijzelen werkt in dergelijke situaties heel goed, zeker als die lokaal op een computer bewaard worden. Je bent geruïneerd als bedrijf als je alles kwijt bent aan data. Voor ransomware is dit de ideale omgevingen om geld te verdienen.
thunder8
@webgangster25 maart 2016 11:56
Je wil niet weten hoeveel bedrijven er een slecht backup beleid op na houden. Vooral in het MKB is dit een kostenpost die vaak wordt overgeslagen. Grotere bedrijven hebben de toko vak redelijk dicht getimmerd, maar de bakker op de hoek niet. Die betalen dan graag om alle data weer terug te krijgen.
InsanelyHack
@webgangster25 maart 2016 11:59
Denk dat juist veel mensen hebben hun privé zaken beter gebackt dan sommige mensen die hun computer of laptop zakelijk gebruiken. Vooral de mobiele gebruikers die veel data lokaal hebben staan alsmede klant-gegevens. Dit is wel de minderheid maar een hele interessante doelgroep die veel over heeft voor de de-crypt.
TLer
@webgangster25 maart 2016 12:02
Omdat bedrijven ook de backup niet altijd op orde hebben, zeker de kleinere bedrijven niet. Daarnaast kost een dag niet kunnen werken heel veel geld. Wellicht meer dan het betalen van het losgeld.

Ik werk voor een duits bedrijf en er zijn bij ons ook twee afdelingen getroffen afgelopen maand. Ondanks dat ze alles hebben kunnen herstellen met backups is een afdeling de eerste keer 1,5 dag voor een groot deel uit de lucht geweest. De tweede keer was dat 6 uur bij de afdeling waar ik voor werk. De systemen zijn van elkaar gescheiden en sowieso zijn ze nooit bij de echte critische data gekomen.

Hoe dan ook, als je een paar duizend man niets kunnen doen kost dit hoe dan ook veel geld. Gelukkig was onze IT er derdelijk goed op voorbereid, maar een duur grapje blijft het wel.
jpsch
@TLer25 maart 2016 14:17
Bijzonder vind ik dat een hoop bedrijven een up-time van 99,5% ok vinden, maar zich schijnbaar niet beseffen dat dit een goede dag down is per jaar binnen de norm.
straat18
@webgangster25 maart 2016 12:05
Ze moeten het van beide hebben.. Thuisgebruikers die schrikken van de melding op het scherm en die het geld maar betalen.

En van kleine bedrijven die waardevolle bestanden hebben en inderdaad geen back-ups.
Balder©
@webgangster25 maart 2016 13:49
@webgangster
Hier een voorbeeld:
Kleine rekening 100 computers ontsleuteld aan 150 euro is sneller dan 100 computer laten herformatteren en herinstalleren en waarschijnlijk een dag werk kwijt te zijn met hele belangrijk patient informatie bijvoorbeeld. (kan namelijk over leven en dood gaan)
Zie hieronder een amerikaans ziekenhuis dat dus kiest om te betalen.
15000 euro.

nieuws: Amerikaans ziekenhuis betaalt veertig bitcoin na ransomware-aanval
GTX2GvO
@webgangster25 maart 2016 11:52
Omdat bedrijven over het algemeen meer geld hebben dan afzonderlijke consumenten.
Mizitras
@webgangster25 maart 2016 11:55
Bedrijfskritische data = meer gebackupped; maar indien onvoldoende, brengt deze véél meer cash in het laatje op.
Thuisgebruiker: enkele toestellen geïnfecteerd. Enkele x 100,-euro = enkele 100'den euro's.
Bedrijf: honderden toestellen geïnfecteerd in hun LAN: 100'den euro's

[Reactie gewijzigd door Mizitras op 25 maart 2016 11:56]

FreezeXJ
@webgangster25 maart 2016 11:54
Omdat die eerder geneigd zijn grote bedragen te betalen. Gewone users vloeken en schreeuwen wel, maar betalen zelden honderden bitcoins voor hun geliefde fotos. Bedrijven kunnen zoiets veel makkelijker opbrengen, en schrijven het gewoon af als onkosten. Als je weet wat een goeie systeembeheerder kost, dan heb je liever een fikse ransomware-aanval, financieel gezien :P
Johan9711
@WillC25 maart 2016 13:12
Ik zou het serieus overwegen. Als het gaat om duizend euro betalen tegenover tienduizend euro schade, wat zou jij dan doen?
WillC
@Yinchie25 maart 2016 12:32
Wow! Wat voor een kantoor werk jij dan? Hoop namelijk dan nooit zaken te doen met jullie als er alleen maar domme blondjes achter de PC zitten bij jullie..... XD
NightFox89
@Yinchie25 maart 2016 12:00
mensen achter een bureautje zijn vooral domme blondjes.
Schaam je zelf.
NimRod1337
@NightFox8925 maart 2016 12:22
Hij bedoelt *onbevangen niet-IT-ers.
Yinchie
@NimRod133725 maart 2016 18:45
Inderdaad :)
Iedere admin kent wel welke "stomme" vragen al die kantoor mensen kunnen vragen als ze iets niet begrijpen betreft hun (werk) computer.
Anoniem: 120539
25 maart 2016 13:34
Wat ik me oprecht afvraag is hoe bedrijven het betalen van de dwangsom boekingstechnisch verwerken.
Je betaalt een X bedrag aan een duistere partij ver weg, en krijgt daar niet echt een bonnetje van. Dit geld zal ook ergens verantwoord moeten worden; een accountant gaat het niet zomaar goed vinden dat je aangeeft duizenden euro's naar een crimineel over te hebben gemaakt.

Bovendien is dit ook nog eens fraude-gevoelig; wie zegt dat het hele geclaimde bedrag daadwerkelijk aan de criminelen is besteed?

Iemand enige ervaring met een dergelijk scenario?
Douweegbertje
@Anoniem: 12053925 maart 2016 15:12
Naar mijn mening wordt het gewoon een "bijzondere last". Net zo goed als je geld wordt gestolen (want dat is dit eigenlijk). Uiteindelijk doe je ook gewoon aangifte, betaal je eventueel het bedrag en boek je het zo weg.

Zolang je ook maar echt aangifte doet valt er vrij weinig van te zeggen.

Uiteindelijk valt het toch wel op als je enorme bedragen of hoeveelheden constant afboekt als gestolen / kwijt / dwangsom
cruysen
@Douweegbertje25 maart 2016 16:32
Ik zou zeggen ALTIJD aangifte doen! Zodoende kan de (Cyber-)politie ook een inschatting maken van deze zaken!

https://www.politie.nl/themas/ransomware.html

citaat: Wat moet ik doen als mijn computer besmet is?
Surf op een andere computer (of bijvoorbeeld een smartphone of tablet) naar de website https://fraudehelpdesk.nl

[Reactie gewijzigd door cruysen op 25 maart 2016 16:35]

labtech
@Anoniem: 12053925 maart 2016 15:22
een accountant gaat het niet zomaar goed vinden dat je aangeeft duizenden euro's naar een crimineel over te hebben gemaakt.
De accountant kan het niet goed vinden, maar dat is ook maar een veredelde boekhouder. Het is de belastingdienst waarover je zorgen moet maken. Zal die dit accepteren als zakelijke kosten en dus aftrekbaar van de winst. Als je het aannemelijk kan maken misschien wel, maar ik denk dat je dit het beste kan vergelijken met een overval. Het geld wat bij een overval gestolen wordt is niet aftrekbaar van de winst (althans zo was het in 2000 toen mij toenmalige werkgever overvallen werd).
FreezeXJ
@labtech25 maart 2016 16:52
Ik geloof dat beschermingsgeld, steekpenningen en omkoopsommen ook niet belastingaftrekbaar zijn... Van boetes weet ik het even niet ;)

Ik vind dit in dezelfde categorie vallen, en het zou me verbazen als de heren van de (ex)blauwe envelop je ermee weg lieten komen.
nexhil
@Anoniem: 12053925 maart 2016 14:08
Ja daar zeg je me wat.
Misschien zoveel mogelijk screenshots maken van alle acties die je doet en die in een dossier verwerken. En wat hier verderop ook besproken wordt: aangifte doen (van afpersing? Diefstal?) De BTW zul je wel niet terug kunnen vragen nee :D

[Reactie gewijzigd door nexhil op 25 maart 2016 16:50]

labtech
@nexhil25 maart 2016 15:23
Iets wat je niet betaalt kun je niet terugvorderen.
CAPSLOCK2000
@Anoniem: 12053925 maart 2016 15:54
Wat ik me oprecht afvraag is hoe bedrijven het betalen van de dwangsom boekingstechnisch verwerken.
Ik denk op dezelfde manier als een gestolen auto of een ingegooide ruit. Opeens is je eigendom weg en je moet betalen om het probleem op te lossen.
Bovendien is dit ook nog eens fraude-gevoelig; wie zegt dat het hele geclaimde bedrag daadwerkelijk aan de criminelen is besteed?
Technisch gezien is het geld dan nog steeds aan criminelen besteed. :)
Kaasje123
25 maart 2016 11:53
Beschermt Hitman Pro Alert ook tegen deze crypto locker? Die heb ik namelijk juist aangeschaft om ransomeware tegen te houden.
BitsThatByte.nl
@Kaasje12325 maart 2016 12:19
Nee, volgens de website houd het alleen VaultCrypt, CryptoWall3.0 en CTB Locker tegen.
pimjoosten
@BitsThatByte.nl25 maart 2016 13:10
Er staat iets heel anders, nl. "The signature-less operation of HitmanPro.Alert’s CryptoGuard technology universally prevents spontaneous encryption of data by cryptolockers". Dat betekent dat alle cryptolockers worden gedekt.. HitmanPro.Alert is behavioral based, d.w.z. dat zodra er iets van encryptie wordt waargenomen dit wordt gestopt. Verder: "Even when trusted files or processes are hijacked for unsolicited encryption—as observed in cryptolockers "VaultCrypt", "CryptoWall" and "CTB-Locker"—it is stopped and reverted by HitmanPro.Alert, without interaction from users or IT support personnel. " Dat VaultCrypt, CryptoWall3.0 en CTB Locker tussen - - staat betekent dat deze drie als voorbeeld zijn genoemd. Interessante info kun je in dit blogitem vinden.
HitmanPro.Alert is een zeer geavanceerd programma dat ik als eenpitter precies om de redenen genoemd in deze draad gebruik. Als je Wilders Security leest en de discussie (af en toe) een beetje volgt kom je veel te weten over de werking ervan. Kortom: ik vertrouw HitmanPro.Alert volkomen. Daarnaast klik ik (vooral) natuurlijk niet op iedere link of bestand en heb ik mijn computer altijd rondom gepatcht.

[Reactie gewijzigd door pimjoosten op 25 maart 2016 13:12]

CMD-Snake
@Kaasje12325 maart 2016 12:12
Deze cryptolocker gaat er vanuit momenteel dat jij een besmet bestand vrijwillig opent. Dus de beste bescherming ben je zelf nog. Kijk goed naar wat er gevraagd wordt en je moet eigenlijk geen links of bestanden openen uit een onbekende bron.

De truc met de KPN factuur is een oude. Bestands extensie .pdf.exe. Het is haast het Anna Kournikova virus weer waar je op .jpeg.vbs moest klikken. Windows verbergt standaard bekende bestands extensies. Indien je dit uitzet kan je vrij snel zien dat er iets niet klopt.

De beste bescherming uiteindelijk is een gezond verstand. Hier nog wat algemene tips:
  • Installeer een goed Internet Security pakket. (Bijvoorbeeld Kaspersky of F-Secure)
  • Zet Windows Update op de aanbevolen instellingen
  • Laat Windows Update ook andere software patchen indien mogelijk (is extra optie). Zo worden ook zaken als Silverlight en bijvoorbeeld Office van patches voorzien indien aanwezig.
  • Laat Adobe Reader en Flash zichzelf automatisch updaten (Bij Win 8 en 10 wordt Flash via Windows Update bijgewerkt).
  • Patch je Oracle Java indien je het hebt, nog beter verwijder het indien je het niet gebruikt.
  • Patch je browser, IE gaat via Windows Update. Mogelijk moet je bij Chrome en FF wat meer stappen nemen.
  • Heb zo min mogelijk plugins in je browser. Zeker de Java plugin moet je verwijderen indien aanwezig. Deze wordt heel vaak misbruikt.
  • Laat UAC in Windows aanstaan op de aanbevolen instelling. Dan draaien programma's met lagere rechten dan de gebruiker. Ook stopt dit bepaalde installaties.
  • Installeer eventueel EMET van Microsoft. Let op dat EMET 5.5 nog niet geschikt is voor Windows 10.
Installeer eventueel ook een Adblocker om zo kwaadaardige advertenties die malware serveren te blokkeren.
Anoniem: 647586
@CMD-Snake25 maart 2016 12:19
Even een aanvulling: verwijder flash ook maar gelijk (als je het niet nodig hebt natuurlijk).
Kaasje123
@CMD-Snake25 maart 2016 21:51
Bedankt allen voor een heldere uitleg. Ik ben overigens geen beginneling mochten jullie dat vermoeden hebben na het stellen van mijn vraag. Ben ook geen expert op het gebied gewoon een bovenmatig geïnteresseerd persoon in deze materie. Alles wat je beschrijft CMD-Snake is al van toepassing op mijn werk en verstandhouding met mijn Windows 10 PC's.

En zo heb ik ook offsite back-ups op encrypted harddisks op het werk, maak ik regelmatig backups op clouddiensten en zijn het gegevens die niemand zou mogen zien dan staan ze met 256bit serpent encryptie opgeslagen op de clouddiensten ect.

Ik wil echter nooit een virus oplopen ook al ben ik secuur met backups en voorzichtig met data. Beter voorkomen dan genezen blijft het advies. Echter omdat deze variant dus pas de boel encrypt na het veroorzaken van een BSOD en opnieuw opstarten vroeg ik me af op Hitman Pro 3 alert ook die BSOD kan voorkomen. Ik ga er van uit dat zodra de pc al opnieuw opstart Hitman Pro zijn werk al niet meer kan doen.
MZONDERL
@Kaasje12325 maart 2016 12:21
Nee, niet vanuit gaan dat deze je tegen alle varianten beschermd.
Gewoon geen onbekende files openen blijft het advies...
Ducksy88
25 maart 2016 12:10
Wat ik me afvraag....

Deze cryptolocker zorgt ervoor dat je C:\ niet meer benaderbaar is.

Is dat in corporate omgevingen eigenlijk juist helemaal niet zo erg? Ik vergelijk even bij mijn bedrijf en dan zijn er misschien een paar applicaties geïnstalleerd op C:\ maar bestanden en data ga je toch niet lokaal opslaan? Dat staat toch allemaal op een networkshare?!

Is een cryptolocker die C:L\ vast gooit niet juist veel vervelender voor particulieren?
muchu
@Ducksy8825 maart 2016 12:20
En wat als je meerder schijven in je PC hebt zitten (vb c:\ met enkel windows en software, en d:\ met data). Wordt dan enkel de schijf met het OS versleuteld?
Ducksy88
@muchu25 maart 2016 12:30
Quote uit G-DATA artikel:
As of this writing we assume that only the file access is blocked but the files themselves are not encrypted. Experts at the G DATA SecurityLabs are still analyzing this new type of ransomware.

Ik kon niet uit het artikel halen dat meerdere schijven gelockt worden, wellicht dat ze komende tijd meer details vrijgeven...

Goed om te lezen dat GDATA dit stukje tegen houdt; dat is wat ik draai :)

[Reactie gewijzigd door Ducksy88 op 25 maart 2016 12:30]

Johan9711
@Ducksy8825 maart 2016 12:18
Dat.
Als bij ons een C-schijf word geblocked, is het pech, maar niet meer dan dat. Enige wat we hoeven te doen is een clean install, en de software er weer op zetten. Bij veel bedrijven is het nog eenvoudiger, gewoon de image terugzetten.
Blokker_1999
@Ducksy8825 maart 2016 13:22
Daar kan je versteld van staan. Bij ons staat al onze eigen data zoveel mogelijk op lokale storage. Er zijn geen roaming profielen of roaming homes en de netwerk share waar we toegang toe hebben om zelf onze eigen bestanden op te zetten is veel te klein om dat te overwegen. Kleine bestanden zijn geen enkel probleem, maar zet er een groot bestand op en je krijgt snel de vraag of het echt nodig is daar de vrije ruimte beperkt is.
Devroet
25 maart 2016 11:52
Tja, nogmaals, open geen bestanden in je mail als je niet weet van wie of wat het is! Hier zou binnen grote bedrijven echt eens meer aandacht voor moeten komen. Er is altijd wel een oude gast die het allemaal niet snapt en toch die mail opent.
HADES2001
@Devroet25 maart 2016 12:48
wij houden in het bedrijf steek proefgewijs een test.
we sturen een mail in de rondte van een vage host met de melding dat ze een virusscan moeten draaien en op de link moeten klikken voor meer informatie.
iedereen die op de link klikt word automatisch aangemeld voor de cursus "Safe internet and mail on the workfloor"
je wil niet weten hoeveel gebruikers dit jaar weer de cursus mogen doen
Blokker_1999
@Devroet25 maart 2016 13:26
Vaak lijken ze wel van een vertrouwde bron te komen. Kwestie van een goede mail op te stellen en rond te sturen. Heb vorig jaar nog een collega geweten die het ook had zitten. En dat is echt wel iemand die vrij goed weet wat hij doet. Maar een samenloop van omstandigheden deed hem toch die mail openen waarna hij te laat realiseerde dat die attachment een geïnfecteerde zip file was.
kzin
@Devroet25 maart 2016 15:06
Een van de problemen is dat een afzender te faken is. Standaard vult je mailprogramma de naam + afzender in, maar een speciaal mail programma kan iedere naam + e-mail adres als afzender invullen. Je moet al kijken vanaf welk IP adres iets verzonden is (is volgens mij ook te faken) en bij welke mailserver het op het net is gezet.
Bedrijven versturen nog wel eens mail vanaf noreply@bedrijf.nl (met wel een normale naam als afzender), en gebruiken ook een andere mail server voor dit soort massa mailings dan hun eigen mailserver. Ik heb wel eens mail weggegooid die achteraf toch door een legitiem bedrijf was verstuurd, maar ik vond dat er teveel niet klopte.
Een link naar een DropBox bestand is natuurlijk wel verdacht. Een serieus bedrijf zal dit niet gebruiken, maar als ik je een bestand zou willen sturen zou het heel goed kunnen. Dan moet je wel weten of de mail van mij komt. Een mail die als afzender kzin@ziggo.nl heeft, maar gepost is op een russische mailserver kun je waarschijnlijk beter gelijk weggooien.
Sir_Hendro
25 maart 2016 11:49
Beetje stom om zo aan je geld te moeten komen. Ik hoop zeer dat wanneer de makers worden gevonden dat ze alle schade die ze hebben verricht mogen betalen.

[Reactie gewijzigd door Sir_Hendro op 25 maart 2016 12:01]

Iblies
@Sir_Hendro25 maart 2016 12:07
Op het criminele af, maar gezien de bedragen is er meer sprake van 'rationele' afwegingen.

Zelf vind ik het bijna fascinerend dat een dergelijk oude truc weer uit de doos tevoorschijn komt. In het verleden had je virussen die harde schijf formatteerde, waarbij je soms met bepaalde software nog kon recoveren,
en nu is het in een nieuw jasje gestoken en wordt er geld gevraagd.

En makers zitten hier niet altijd achter, vaak begint het als een grap/proof-of-concept en gaan er bepaalde personen er mee vandoor. De benodigde software kun je met een klein beetje zoekwerk downloaden en dan kun je aan de slag.

En je hebt niet altijd een idioot nodig die de software via de mail binnenhaalt. In fractie van een minuut gooi je het op een willekeurige pc en laat je het op later moment starten!
En het lijkt soms heel technisch maar een bestand op een gemeenschappelijke drive vervangen is zo gedaan.


Veel bedrijven moeten zich achter de oren krabben over hoe hun netwerk eigenlijk in mekaar zit, maar net zo belangrijk wie daar zorg voor draagt en wie er allemaal toegang tot heeft. Enigste manier om het snel en adequaat te stoppen. Het concept er achter is al decennia oud.
noes
@Iblies25 maart 2016 13:34
"Op het criminele af"... eh nee, dit is gewoon crimineel ;)
Atmosfeer
@Sir_Hendro25 maart 2016 12:32
Tsja, je weet ook niet waar het geld voor gebruikt wordt. Wellicht worden er wapens voor IS voor gefinancieerd.

Wat ik wil zeggen is dat het niet perse 3 vervelende gastjes wat proberen bij te verdienen om zo een leuke scooter te kunnen kopen. Het zijn grote criminele organisaties die waar deze manier van geld verdienen slechts een middel is voor een heel ander doel (wapens, drugssmokkel, mensenhandel, etc)
Sir_Hendro
@Atmosfeer25 maart 2016 13:09
Dat weet ik :)
Jordyz
@Sir_Hendro25 maart 2016 11:51
Inderdaad!

Tja, als je alle data op een harde schijf hebt staan is het vervelend maar zolang je een backup hebt zou ik geen geld aan ze geven. Koop ik liever een nieuwe schijf.
RangedNeedles
@Jordyz25 maart 2016 12:01
Waarom zou je een nieuwe harde schijf kopen? Je kan ze gewoon formatteren en opnieuw je besturingssysteem installeren. Niets aan de hand :)
Sir_Hendro
@Jordyz25 maart 2016 11:55
Ook die nieuwe hdd kost geld dus dat mag zeker door de dader worden vergoed worden.
TD-er
@Sir_Hendro25 maart 2016 12:01
Ook die nieuwe hdd kost geld dus dat mag zeker door de dader worden vergoed worden.
Het benadrukken van de noodzaak van een backup mag geen reden zijn om de kosten van de backup te verhalen.
Alle andere kosten (uren/werk/vervangen defecten die hierdoor veroorzaakt zijn) uiteraard wel.
HADES2001
@Sir_Hendro25 maart 2016 12:56
het feit dat je je hierbij aangeeft niet je data op 2 mediums te hebben zegt al voldoende. backups zijn belangrijk niet alleen voor (crypto)ransomware maar ook tegen defecten. als je HDD morgen kapot gaat ben je ook alles kwijt
Sir_Hendro
@HADES200125 maart 2016 13:07
Dat heb ik nooit gezegd dus ik weet niet waar je dat op basseerd. As a matter of facts heb ik wel backups over meerdere hdd's ;)
Jordyz
@Sir_Hendro25 maart 2016 11:56
Jazeker, heb je helemaal gelijk in.
The-Source
25 maart 2016 11:52
Eigenlijk vind ik de chkdsk 'optie' wel goed gevonden om het proces te voltooien. Neemt niet weg dat het natuurlijk rotzooi blijft maar executable downloaden en zomaar uitvoeren is en blijft vragen om problemen. Weet ook niet in hoeverre je in group policies kunt instellen dat er alleen maar signed executables van een bepaalde ontwikkelaar mag uitgevoerd worden :?
TD-er
@The-Source25 maart 2016 12:00
Waarschijnlijk is "chkdsk" een maskerade om een programma uit te voeren wat een password op de harde schijf zet.
Vooral laptop-hdd's hebben al jaren (10+??) een passwd mogelijkheid, die vrijwel niemand gebruikt.
Zou me niets verbazen als zoiets gebruikt is.
Anoniem: 740375
@TD-er25 maart 2016 14:13
Reuze interessant wat je daar zegt :Y ,Dus dan zou je met een evt bios / uefi flash en/of cmos batterij er uit halen voor een paar uur, er zijn ? Of de rom chip vervangen voor 1 met geflashte bios version. Niet alleen laptop hdd maar ook gewoon desktop en server hebben die toepassing in bios of uefi om wachtwoorden in te zetten.

Die kunnen dan zelfs vanaf een afstand ,via internet / netwerk ingevoerd worden,maar dat wisten jullie al.Ik zelf weet niet of dit tegenwoordig ook draadloos kan ,maar via RJ45 wel.

Slim van jouw en het zou kunnen werken, denk n.l ook zoiets , omdat in het achtergrond nieuws verteld word dat binnen 5 minuten het gebeurd is en je een rood scherm ziet.
No way dat je hele hdd dan al encrypted is.

Ik zag een paar jaar geleden dat er een mogelijkheid is om voor justitie /politie / fiod een hdd uit te lezen ,zonder eerst bios te door lopen.De harde schijf word dan fysiek open gemaakt en de disk in een speciale read machine gedaan . Dat gaat natuurlijk niet met ssd en flash.
(en heeft voor consumenten of bedrijven weinig nut ,alleen bij zware delicten doen ze dat)

Ik volg dit ,sinds vanmorgen ,in Duitse pers ,maar heb tot nu toe ,12.05 pm , nog geen bericht gehoord van waar ook daadwerkelijk ,na betaling ,een sleutel kwam om te decrypten .
Nu kan dit nog komen ? Ze zijn nu aan het uitzoeken waar de servers staan, wat vanwege het Tor netwerk ,nogal moeilijk blijkt? Ze zoeken over1 komsten op de ransomware en het tor netwerk ,het internet zelf om informatie te achterhalen ,als dus een Duitse cybercrime woordvoerster.

@TD-er ,weet niet off je duits kan lezen ,anders haal je het door een vertaler.
Deze ramsonware zet het password voor de harddisk op "frozen".
http://www.heise.de/forum...en/posting-25993397/show/

[Reactie gewijzigd door Anoniem: 740375 op 26 maart 2016 03:05]

TD-er
@Anoniem: 74037525 maart 2016 17:07
Het wachtwoord op de harde schijf zelf is er niet met een simpele reset af te halen.
Mogelijk wel met een wisseling van de electronica.
Maar er zitten nog wel meer mogelijkheden op moderne harde schijven.
Mogelijk dat er een soort van encryptie door de schijf controller zelf mogelijk is. Als de schijf zover gekregen kan worden dat die controller denkt dat alles versleuteld is met sleutel "X", dan ziet niet versleutelde data terug gelezen met die sleutel er ook uit als versleutelde data. En als je dat combineert met bepaalde sectoren herschrijven met sleutel "X", dan is het simpelweg wisselen van de printplaat ook geen optie, omdat die dan die sleutel niet kent en de platters dus niet wil lezen.

Maar goed, dat is speculatie, want ik weet niet hoe gebruikelijk het is dat encryptie door de drive-controller mogelijk is.
The-Source
@TD-er25 maart 2016 12:03
Dat 'chkdsk' niet de oorspronkelijk checkdisk tool is dat lijkt mij wel duidelijk. Denk zelf dat het niet een password maar eerder een soort truecrypt achtige encryptie tool is die uitgevoerd word.
TD-er
@The-Source25 maart 2016 12:19
De schijf zelf gaat op slot, maak ik op uit de nieuwspost.
Dus geen truecrypt.
Proxx
@TD-er25 maart 2016 14:08
Versleuteld is aardig op slot :)
alleen met de juiste Key (vertaling sleutel) kom je er nog in.

dat klinkt toch echt als iets wat op slot zit.

[Reactie gewijzigd door Proxx op 25 maart 2016 14:09]

Acid Vendetta
@TD-er25 maart 2016 16:24
Een ATA password is voor zover ik weet vrij makkelijk van een conventionele harde schijf te halen. Lijkt me sterk dat de key ergens op een voorafbepaalde sector staat.
geenidee
@The-Source25 maart 2016 12:05
Dit kun je wel doen met Applocker (alleen beschilkbaar in de Enterprise versies van Windows).
Maar om software goed te white listen kost wel veel tijd.
jpsch
@The-Source25 maart 2016 14:39
Chkdsk kon ik als gebruiker nooit uitvoeren, zelfs niet op een lokale usb stick.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee