Kaspersky: Nederland en België in top drie van doelwitten voor ransomware

Beveiligingsbedrijf Kaspersky stelt in een kwartaalonderzoek naar internetdreigingen dat Nederland en België in de top drie staan van landen waarvan gebruikers het doelwit zijn van aanvallen met ransomware. Italië staat op nummer een.

In Nederland is volgens het rapport 1,8 procent van alle Kaspersky-gebruikers doelwit geworden van ransomware, die bestanden versleutelt en daarna om 'losgeld' vraagt. Landen met minder dat 10.000 gebruikers van Kaspersky-producten zijn weggelaten uit het overzicht. Voor België geldt een percentage van 1,58 procent en koploper Italië telt ongeveer 3 procent van alle gebruikers die doelwit waren. Op de vierde plek staat Luxemburg en ook landen als Bulgarije, Rwanda en Japan komen voor in de top tien.

De meest voorkomende ransomware-types zijn volgens Kaspersky TeslaCrypt en CBT-Locker. Deze werden gemeld door respectievelijk 58 en 23,5 procent van gebruikers die doelwit waren van dergelijke malware. Op de derde plek staat Cryptowall en de malware Locky bevindt zich op de zevende plaats. Wereldwijd is het aantal aanvallen door ransomware met dertig procent toegenomen ten opzichte van het vorige kwartaal. Ook blijkt uit het rapport dat Nederland op nummer 1 staat als land waar zich 'webresources' voor internetaanvallen bevinden, met bijna een kwart van alle aanvallen. De VS staat op nummer twee, Kaspersky geeft geen verklaring voor deze bevindingen. Voorbeelden van webresources zijn volgens Kaspersky pagina's met redirects naar exploits of command and control-servers voor malware.

Het recentste Microsoft Security Intelligence-rapport bevestigt dat de meeste ransomware doelwitten in Italië treft. De bedreigingscategorie van ransomware is echter betrekkelijk klein vergeleken met andere categorieën. Zo komen 'browser modifiers' en trojaanse paarden beide in 7 procent van alle bedreigingsmeldingen voor en heeft ransomware slechts een aandeel van 0,3 procent. Het Microsoft-rapport signaleert ook een grote stijging in het aantal infecties door malware. Dit wordt gemeten door een methode met de naam 'computers cleaned per mille' of ccm, dat wil zeggen opgeschoonde computers per duizend pc's die Microsofts MSRT draaien en deze gegevens delen met het bedrijf.

De statistieken tonen dat er in het derde kwartaal van 2015 in Nederland 3,6 computers van de duizend opgeschoond waren. In het daaropvolgende kwartaal waren dat er 15,3. Wereldwijd waren dit er eerst 6,1 en vervolgens 16,9. De grote stijging is volgens Microsoft te verklaren door de malware Diplugem, die de browser aanpast en advertenties toont tijdens het gebruik. Deze malware werd in oktober 2015 aan de MSRT toegevoegd, waardoor de detectie omhoogschoot en al bestaande versies van de malware werden verwijderd. Microsoft verwacht dat de wereldwijde infectieaantallen zullen afnemen zodra alle bestaande Diplugem-infecties zijn opgeschoond.

kaspersky web resources Verdeling van 'web attack sources' volgens Kaspersky

Door Sander van Voorst

Nieuwsredacteur

Feedback • 06-05-2016 12:15 57

06-05-2016 • 12:15

57

Lees meer

Politiediensten pakken verdachten op achter verspreiding ransomware in Europa
Politiediensten pakken verdachten op achter verspreiding ransomware in Europa Nieuws van 20 december 2017
Ransomware-aanval zorgde voor tijdelijk gratis ov in San Francisco
Ransomware-aanval zorgde voor tijdelijk gratis ov in San Francisco Nieuws van 28 november 2016
Onderzoekers tonen ransomware voor slimme thermostaat
Onderzoekers tonen ransomware voor slimme thermostaat Nieuws van 8 augustus 2016
Concurrenten van Chimera-ransomware publiceren 3500 decryptiesleutels
Concurrenten van Chimera-ransomware publiceren 3500 decryptiesleutels Nieuws van 27 juli 2016
Europol start samenwerking met politie en beveiligingsbedrijven tegen ransomware
Europol start samenwerking met politie en beveiligingsbedrijven tegen ransomware Nieuws van 25 juli 2016
PowerWare-ransomware doet zich voor als Locky-variant
PowerWare-ransomware doet zich voor als Locky-variant Nieuws van 22 juli 2016
Beveiligingsbedrijf beoordeelt ransomware op 'klantvriendelijkheid'
Beveiligingsbedrijf beoordeelt ransomware op 'klantvriendelijkheid' .Geek van 18 juli 2016
Fox-IT waarschuwt voor grote hoeveelheid phishing-e-mails met LinkedIn-gegevens
Fox-IT waarschuwt voor grote hoeveelheid phishing-e-mails met LinkedIn-gegevens Nieuws van 7 juni 2016
Nieuwe CryptXXX-ransomware is ook na kopen decryptiesleutel niet te verwijderen
Nieuwe CryptXXX-ransomware is ook na kopen decryptiesleutel niet te verwijderen Nieuws van 25 mei 2016
Criminelen geven universele sleutel voor TeslaCrypt-ransomware vrij
Criminelen geven universele sleutel voor TeslaCrypt-ransomware vrij Nieuws van 19 mei 2016
'Ransomware is voor consumenten en bedrijven geen reden tot paniek'
'Ransomware is voor consumenten en bedrijven geen reden tot paniek' Nieuws van 10 mei 2016
Trend Micro waarschuwt voor nieuw soort pornoransomware voor Android
Trend Micro waarschuwt voor nieuw soort pornoransomware voor Android Nieuws van 11 april 2016
Onderzoeker maakt tool voor ontsleutelen door Petya-ransomware getroffen pc's
Onderzoeker maakt tool voor ontsleutelen door Petya-ransomware getroffen pc's Nieuws van 11 april 2016
Kwetsbaarheid in Flash werd gebruikt voor verspreiden ransomware
Kwetsbaarheid in Flash werd gebruikt voor verspreiden ransomware Nieuws van 8 april 2016
Politie: makkelijke verkrijgbaarheid 'cybercrime as a service' is zorgwekkend
Politie: makkelijke verkrijgbaarheid 'cybercrime as a service' is zorgwekkend Nieuws van 6 april 2016
Nieuwe ransomware zet harde schijf op slot
Nieuwe ransomware zet harde schijf op slot Nieuws van 25 maart 2016
Experts: TeslaCrypt-ransomware nu onmogelijk te kraken
Experts: TeslaCrypt-ransomware nu onmogelijk te kraken Nieuws van 17 maart 2016
Malvertising treft bezoekers grote nieuwssites
Malvertising treft bezoekers grote nieuwssites Nieuws van 16 maart 2016
Officiële versie Mac-app Transmission bevatte ransomware
Officiële versie Mac-app Transmission bevatte ransomware Nieuws van 7 maart 2016
Ransomware Locky maakt slachtoffers in Duitsland en Nederland
Ransomware Locky maakt slachtoffers in Duitsland en Nederland Nieuws van 19 februari 2016
Amerikaans ziekenhuis betaalt veertig bitcoin na ransomware-aanval
Amerikaans ziekenhuis betaalt veertig bitcoin na ransomware-aanval Nieuws van 18 februari 2016
FBI-afdeling adviseert bedrijven regelmatig om ransomware-losgeld te betalen
FBI-afdeling adviseert bedrijven regelmatig om ransomware-losgeld te betalen Nieuws van 23 oktober 2015
Meer producten en artikelen
Netwerk en systeembeheer Kaspersky Lab Ransomware

Reacties (57)

-Moderatie-faq
57
55
25
0
0
6
Wijzig sortering
Lednov 6 mei 2016 12:26
"Kaspersky noemt geen verklaring voor deze bevindingen."

Da's toch juist waar het omdraait? Hoe kan dat 'we' boven aanstaan? Men is hier te onbewust van risico's? Hogere dekkingsgraad van het Internet, betere infrastructuur zorgt voor meer infecties? En daaraan gerelateerd, zorgt voor meer command servers.
deacs @Lednov6 mei 2016 12:30
Hier ben ik ook benieuwd naar. Voornamelijk waarom er zo'n groot verschil is met bijvoorbeeld Duitsland die ook goede infrastructuur en een hoge dekkingsgraad heeft.
Anoniem: 310408 @deacs6 mei 2016 12:38
Hier ben ik ook benieuwd naar. Voornamelijk waarom er zo'n groot verschil is met bijvoorbeeld Duitsland die ook goede infrastructuur en een hoge dekkingsgraad heeft.
In mijn ervaring zijn Duitse en Franse ISP actiever in het opvangen van dit sort zaken. Ik zie dezelfde ransom mails wel binnenkomen op de twee Nederlandse ISP en zie dat ze in Duitsland en Frankrijk op de mailservers opgevangen zijn.

Er is wat te zeggen voor een ISP die je mails scant.
hsb85 @Anoniem: 3104086 mei 2016 12:58
maar hoeveel mensen gebruiken nu daadwerkelijk het mailadres van hun ISP? Ik in ieder geval niet. Komt gewoon binnen op mijn eigen mailserver, die toevallig overigens wel in Frankrijk staat..

edit; ik bedoelde overigens niet dat veel mensen een eigen mailserver hebben. Ik denk daarentegen wel dat veel meer mensen een gmail/outlook/yahoo adres gebruiken dan hun eigen ISP adres.

Al gebruikt mijn pa ook zijn xs4all account nog voornamelijk. Heb hem daarom ook maar een nieuw adres gegeven dat eindigt op onze achternaam :) nu moet hij hem alleen nog gaan gebruiken.. |:(

[Reactie gewijzigd door hsb85 op 22 juli 2024 23:24]

Anoniem: 463321 @hsb856 mei 2016 13:47
Veel meer mensen die het wel doen dan niet.
Wat denk je dat de verhouding zal zijn tussen mensen met of zonder een eigen mailserver of een eigen domein? Zet je IT-bril eens af en besef je dat de meerderheid geen tweaker is, laat staan enig verstand van computers heeft.
VVV-007 @Anoniem: 4633216 mei 2016 14:19
Helemaal mee eens. Een eigen domain/mail server zullen weinig mensen doen. Wel neemt het aantal toe wat een 'gratis' email adres gebruikt wat provider onafhankelijk is (gmail, outlook, enz.) Sommige providers leveren zelfs geen eens een email service (en verwijzen naar de online opties).
HoppyF @Anoniem: 4633216 mei 2016 21:44
Je hoeft toch geen verstand te hebben om een eigen domein en mailserver te gebruiken?
Ik heb geen verstand van auto's maar kan wel van een auto gebruik maken. Zo moet je het zien.
loki504 @hsb856 mei 2016 13:43
Ik denk dat meer mensen gebruik maken van hun ISP email adres dan dat er mensen zijn die hun eigen e-mail server hebben draaien.

[Reactie gewijzigd door loki504 op 22 juli 2024 23:24]

Luminai @hsb856 mei 2016 17:26
Je ISP hoeft niet alleen hun eigen mail addressen te scannen. Wij hebben alle meerdere keren melding gehad van KPN dat er wat was getecteerd op ons netwerk. Wij draaien eigen Exchage servers. Ze scannen het (voor ons) binnenkomende verkeer en waarschuwen als ze wat vinden.
batjes @hsb856 mei 2016 15:45
Ik kom nog te vaak mensen tegen met hetnet, planet, @home, versatel oid email adressen.
jqv @Anoniem: 3104086 mei 2016 12:57
Alsof malware alleen binnenkomt via de mail?
pietjuhhh1990 @jqv6 mei 2016 13:04
Verwacht dat de hoeveelheid illegaal downloaden hier ook zeker een rol speelt. Dat gebeurd in Nederland verhoudingsgewijs namelijk heel veel.
old_spice @pietjuhhh19906 mei 2016 23:23
Dat zijn dan ook vaak mensen die zich bij Netflix horen te houden en TV on demand. Illegaal downloaden kan prima zonder virussen zolang je bron maar betrouwbaar is. Mensen die dit niet snappen downloaden lukraak maar overal torrents en worden dan het slachtoffer van hun eigen onkunde.
pietjuhhh1990 @old_spice8 mei 2016 13:21
Klopt inderdaad, vervolgens Windows de schuld geven, ondanks het waarschuwingsscherm dat je software uit onbekende bron niet zou moeten installeren.
old_spice @pietjuhhh19908 mei 2016 15:15
Tja, dat is natuurlijk de keerzijde van Windows. Het is vrij open en je kan er veel meer mee dan bijvoorbeeld een Mac, maar dat betekent ook dat mensen zonder verstand van zaken van alles verkeerd kunnen doen. Je weet wel, van die mensen die overal op OK drukken en dan een systeem draaien met meer adware dan Megabytes.
loki504 @jqv6 mei 2016 13:14
Nee niet alleen. Maar het is wel de makkelijkste manier van verspreiden. verkeersdoden vallen ook niet alleen met auto's en motors. Maar haal die 2 weg. En je verkeersdoden aantal daalt aanzienlijk.
old_spice @jqv6 mei 2016 23:25
Met name de KPN mailtjes die erg authentiek leken hebben veel mensen te grazen genomen. Alles zag er correct uit, zelfs het zip bestand dat je kon downloaden wat zogenaamd je factuur was maar eigenlijk een ransomware virus. Uitpakken en de PDF openen et voila, hij begint de boel te encrypten. Ik denk dat de meeste slachtoffers echt via de mailtjes gepakt zijn. Ze werden namelijk bij de vleet verstuurd.
itcouldbeanyone @jqv8 mei 2016 20:07
Nee heb het een keer geregen door een onschuldige zoekactie op google.
Link stond hoog bovenaan de pagina. Toen ik klikte was het raak.
Dacht dat google altijd hun links nacheckte.
Proxx @deacs6 mei 2016 12:44
ik denk dat de privacywetgeving in duitsland voorkomt dat een bedrijf als google liever in NL zit dan daar.
CAPSLOCK2000
@deacs6 mei 2016 19:58
Volgens mij is de internet-infrastructuur en de beschikbaarheid van computers in Nederland nog een heel stuk beter dan die van Duitsland. Volgens Google had in 2013 in Duitsland 84% van de bevolking internet en in Nederland 94%. Dat is echt flink meer. Het grootste deel van het verschil zal zitten in mensen die op een of andere manier op het randje zitten van wel of geen internet, bijvoorbeeld omdat het te duur of te moeilijk is of omdat ze er te oud voor zijn. Dat is ook een groep die erg kwetsbaar is. Daar komt nog bij dat in de "staart" ook relatief veel oude en slecht onderhouden computers zitten.

Op gebieden als kopen via internet en bankieren via internet is Nederland ook koploper. Dat maakt ons financieel gezien een aantrekkelijker doel.

Ik denk dat het ook een rol speelt dat Nederland meer op het buitenland is gericht dan Duitsland. Al is het maar omdat Duitsland groter is en meer lokale (Duitstalige) content heeft.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 23:24]

rob12424 @deacs6 mei 2016 16:31
Das heel simple: Nederlanders houden van korting en marketing en spaaracties. Die troep komt met winmails en ja daar klikken veel mensen op. (wel eens naar de reclame in bijv.Frankrijk langs de weg gekeken enz. ziet er total anders uit )
DarkJack @Lednov6 mei 2016 13:48
Betere bescherming tegen andere klassieke vormen van extortion en blackmailing. De manier waarop in België en Nederland met online bankieren omgegaan wordt maakt het voor bendes zeer lastig om via de meer klassieke manieren in onze landen zo aan geld te raken. Dus stappen ze over op andere manieren. Communicerende vaten.

Plus, ransomware is eigenlijk enorm "simpel". Klassieke infecties moesten al dingen zoals elevation of privileges zien te verkrijgen om hun werk te doen. Ransomware kan gewoon hidden onder user context draaien en bypasst zo redelijk wat klassieke detectie en preventiemethodes. Meeste mensen "kennen" intussen de klassieke attack vectors van malware en gaan ze uit de weg, vandaar dat het ook op dit vlak gewoon interessanter is voor bendes om ransomware te gaan gebruiken.
ard1998 @Lednov6 mei 2016 12:35
we hebben in amsterdam het op een na grootste internetknooppunt van de wereld, en sommigge bezrijven hebben zelfs servers in nederland gebouwd vanwege de goede, stabiele internet en electriciteitsverbindingen. (maar er mag wel wat meer tijd gestoken worden in de locatie waar de bedrijven hun datacentrum neerzetten *kuch* google in groningen *kuch*) door de aanwezigheid van al deze data denk ik dat we de huidige plek in deze lijst hebben.
upje @ard19986 mei 2016 12:38
Wat is er volgens jou dan mis met Groningen als locatie voor een datacenter?

Ze hebben daar de ruimte, de stroomvoorziening, de mensen. Lijkt me een betere locatie dan in het overvolle westen van het land.
ard1998 @upje6 mei 2016 12:45
misschien op z'n tijd een aardbeving, niet de meest ideale omgeving voor eem massale activiteit van harde schijven (ssd's is natuurlijk een ander verhaal, maar die zijn duurder, dus daar ga ik niet vanuit).
jqv @ard19986 mei 2016 12:56
Daar zijn ze op berekend. Er staan in Silicon Valley ook veel datacentra en daar zijn de aardschokken een stuk heftiger dan in Groningen.

Er is bij de bouw, maar vooral de installatie van dr hardware rekening gehouden met de aardschokken.

Een kracht van 7 op de schaal van Richter kunnen ze makkelijk doorstaan.
En die hebben we nog nooit kunnen waarnemen in onze gasbel aldaar.
Bor Coördinator Frontpage Admins / FP Powermod
@ard19986 mei 2016 14:09
Je kunt aardbevingsbestendig bouwen natuurlijk. Voor de rest ligt het noorden van het land redelijk voor de hand. Boven de zeespiegel, energie en ruimte aanwezig. Mogelijkheden voor alternatieve koeling (zeewater bijvoorbeeld), dichtbij de Groningen IX en niet zo druk als de randstad. Van een doorsnede aardbeving gaat een harddisk niet zo snel kapot overigens en dergelijke storage is in het bedrijfsleven al aardig op zijn retour.

Een mogelijke verklaring voor de toename aan ransomware is dat er exploit kits in omloop zijn gekomen die het mogelijk maken om voor Nederlands te kiezen bij het maken van websites om de payload aan te bieden. Hiernaast is Nederland een land waarin erg veel digitaal gebeurt. Het ontvangen van een e-mail van de bank is hier normaler dan in veel andere landen. Dat verschil zal trouwens binnen het westen minder groot zijn dan wanneer je verschillende werelddelen vergelijkt.

De bijbehorende phishing sites en / of e-mails worden overigens steeds beter. Ze zijn moeilijker te onderscheiden van nep e-mails dan een tijd terug. Spelfouten zijn vaak niet meer te bekennen en logo's en opbouw zijn vaak precies hetzelfde als het origineel.

[Reactie gewijzigd door Bor op 22 juli 2024 23:24]

LopendeVogel @ard19986 mei 2016 14:05
En wat heeft dat met ransomware te maken?
Dus een verhoogde kans op aardbevingen zorgt voor meer ransomware? Het is niet alsof het een kakkerlak die meereist en zoiets heeft van ej we zijn in Amsterdam, laat ik hier even uitstappen en verder kijken :P Het zijn de Nederlanders - Belgen die ervoor kiezen om ransomware te installeren, niet een datacenter..

Nederland is natuurlijk ook het land van gelukzoekers: U BENT DE WINNAAR VAN 1 MILJOEN
Nou het gros van de Nederlanders klikt erop en heeft ransomware.
Online shoppen, altijd de goedkoopste winkel proberen uit te zoeken en je komt op een site terecht vol met ransomware.

Ach genoeg logische verklaringen te vinden wat niks met een datacenter in Amsterdam of Groningen te maken heeft.

[Reactie gewijzigd door LopendeVogel op 22 juli 2024 23:24]

supersnathan94 @LopendeVogel6 mei 2016 15:20
Nee daar gaat het niet om. Dit deel van de discussie gaat over de hoeveelheid C&C servers hier in Nederland. Door de enorme hoeveelheid datacentra hebben we hiet gewoon meer webresources zoals het artikel ook al aangeeft. Dan is het logisch dat de server kant ook wat hoger zit in de stistieken ;)

[Reactie gewijzigd door supersnathan94 op 22 juli 2024 23:24]

jimzz @supersnathan946 mei 2016 18:40
C&C? Command & Conquer servers? Haha grapje
supersnathan94 @jimzz6 mei 2016 21:08
Tsja een red alert zou niet verkeerd zijn.
Rub147 @ard19986 mei 2016 14:37
Juist de Eemshaven is een ideale locatie. Er staan energiecentrales van onder andere RWE en NUON, ook staan er een hoop windmolens. Dit zorgt voor een extreem betrouwbare energielevering.

Wat betreft aardbevingen valt het daar wel mee. Natuurlijk is er wel rekening gehouden met de bouw, maar het ligt buiten de gevaarlijkste zone.
Hann1BaL @upje6 mei 2016 12:41
Offtopic, maar beide is waar:
Waar connectiviteit en latency zeer van belang is zul je beter dichter bij de AMSIX zitten de lage latency naar Europa en US

Maar voor andere doeleinden, zoals rekencentra en/of informatieopslag, kun je kosten besparen door op goedkopere locaties zoals groningen te gaan zitten waar wel degelijk goede infra, voor zowel power als netwerk beschikbaar is.

[Reactie gewijzigd door Hann1BaL op 22 juli 2024 23:24]

supersnathan94 @Hann1BaL6 mei 2016 15:29
Ik denk niet dat die 80KM echt verschil in latency geeft als je trans continentaal data gaat verschepen.
batjes @supersnathan946 mei 2016 15:43
Buiten dat zit er ook een Internet Exchange in Groningen die gewoon direct gelinkt is naar de AMS-IX.
Hann1BaL @supersnathan946 mei 2016 15:55
Prima dat je dat denkt, maar ik denk dat je je daarin vergist.
Het gaat niet alleen om afstand, maar ook om connectiviteit, hops etc..
Directe verbindingen met netwerken.

Dit kan een lang verhaal worden, maar ik werk bij een wereldwijd grote speler op de data center markt en ik kan je verzekeren dat keuzes voor nieuwe locaties dus wel degelijk zo nauw steken.

Een grappig boek die dat ook laat zien is Flash Boys. Aanrader. Het gaat over de aandelenmarkt.
Een ander boek is: Tubes: A Journey to the Center of the Internet, ook zeer interessant.
Aial0n @ard19986 mei 2016 13:05
Het google datacentrum komt vlakbij een gloednieuwe kolencentrale. Zo'n ding dat heel efficiënt en dus goedkoop energie kan opwekken. Daar hebben Essent (nou ja, RWE) en google een slimme deal gesloten. Ze gebruiken ook veel energie van de windparken op de Noordzee, dat komt ook aan land in Delfzijl.
De kolencentrale is doorslaggevend geweest voor de komst van dit datacentrum. De komst van dit datacentrum is de doorslag geweest voor de komst van de kolencentrale. Er heeft iemand een heel slim spelletje gespeeld.
vinx77 @ard19986 mei 2016 13:22
Bekend met de IX in Groningen?
http://www.gn-ix.net/stats (ok, niet echt groot, maar wel snel)
nieuws: Groningen krijgt derde nationale internetknooppunt
Verder zijn er in NL meerdere (goedkopere) locaties die met een glasvezel met diverse IX'en in verbinding zijn. Dus er is heel wat meer hoge snelheidsinternet dan tussen de IX'en.
vinkjb 6 mei 2016 12:58
Het feit alleen al dat we bovenaan staan geeft al weer dat veel mensen overal zomaar blind op klikken en dan ineens is het mis...
Ik neem aan dat voor de mensen thuis een format C:/ wel helpt.....ja jammer van je foto's en documenten die op C:\ staan...
Of wordt je D:\ en E:\ ook gelocked?
zipje_en_zopje @vinkjb6 mei 2016 13:06
Vroegah was het enkel de systeemschijf, D: en E: drives bleven meestal ongemoeid.

Tegenwoordig zien we meer intelligente malware, die ook op andere drives op zoek gaat begeerde bestanden.

Ik heb nog nooit gezien dat cryptoware echt alle schijven volledig gaat versleutelen (zal waarschijnlijk wel bestaan, heb het enkel nog nooit gezien), als het meerdere schijven aantast gaat het meestal enkel maar om specifieke mappen of bestanden op secundaire drives of om de filetables.

Gelukkig dat iedereen steeds op regelmatige basis backups neemt van alles, zodat je uiteindelijk niet meer kwijt bent dan wat tijd, toch? Oops, ik vergat de [sarcasme] waarschuwing ...
Bor Coördinator Frontpage Admins / FP Powermod
@zipje_en_zopje6 mei 2016 13:57
De meeste huidige varianten locken bepaalde bestanden (op basis van hun extentie) op alle drives, dat is eigenlijk vanaf het begin al zo geweest. De meer geavanceerdere versies gaan ook op zoek naar gekoppelde netwerkshares en externe schijven. Nog geavanceerdere versies zoeken actief naar welke share dan ook (ook als je er geen koppeling naar hebt).

Ook backups of shadow copies zijn doelwit om ervoor te zorgen dat de enige manier om de data terug te krijgen simpelweg betalen is voor de doorsnede gebruiker.

De malware houdt hierbij vaak de bestanden nog enige tijd toegankelijk zodat de besmetting pas opvalt wanneer het echt te laat is en alle data gelocked is. Tijdens het coderingsproces heb je dan als gebruiker van het systeem niets door vaak.

[Reactie gewijzigd door Bor op 22 juli 2024 23:24]

VanStino @vinkjb6 mei 2016 13:18
De recentste die ik heb gezien vergrendelde niet alleen de C, maar ook andere schijven die verbonden waren. Niet enkel interne schijven maar ook USB-schijven en zelfs netwerklocaties die niet gemapped waren in het systeem zelf. De ransomware zit op dit moment in hoog tempo meer en meer geavanceerd te worden. Geen enkele netwerklocatie is echt meer veilig als één van je pc's besmet geraakt.

Ik zie er hier op de tech de laatste tijd wel meer en meer binnen komen. Dus klik nooit zo maar op een link in je mail. Zeker al niet van ééntje met een openstaande factuur van €1197,67. Als je echt nog iemand zo veel geld moet zal je dat hoogstwaarschijnlijk niet zomaar vergeten zijn. En mocht je het toch vergeten zijn zullen ze je ook nog wel een brief sturen. :)
HoppyF @VanStino6 mei 2016 21:48
De oplossing is eigenlijk simpel, e-mails met een bijlage met een ZIP bestand gewoon blokkeren en als andere bestanden die geen ander doel hebben dan het transporteren van malware.
Als iemand een factuur wil sturen dan gewoon als PDF.
VanStino @HoppyF7 mei 2016 14:33
Uitkijken daarmee. De mails van Locky komen met een link naar een website waar je een Word-bestand moet downloaden. Dat Word-bestand kan je dan niet openen totdat je macro's aanzet en via die macro's loopt er een script dat de malware binnen haalt. De mail zelf komt in plain text binnen. :)
Stranger__NL @vinkjb6 mei 2016 13:46
Yep, alles wordt gelocked. C:, D:, USB, SD kaartjes, netwerklocaties, NAS... alles waar je schrijfrechten hebt.

Shadowcopies woreden verwijderd.
Met undelete is niets terug te krijgen.

En niet alleen dat: er schijnt ook malware te zijn die Dropbox 16x versleuteld. Zodat de vorige versies ook allemaal kapot zijn. Maar dit laatste heb ik enkel van horen zeggen. Als ik een evil-overlord was zou ik dat i.i.g. wel doen; dus het is een kwestie van tijd voordat dat gemeengoed is.
ymmv 6 mei 2016 12:36
Als ik naar dat taartdiagram kijk, zie ik meteen de reden waarom de Benenlux zo veel ransomware-besmettingen heeft. Blijkbaar is het kleine NL ook een grote verspreider. Met 24.6% doen we het "beter" dan de VS en drie keer zo "goed" als Rusland.
Daniel_Elessar @ymmv6 mei 2016 12:48
Vanuit NL word er ook een hoop van die virussen het internet op gegooid.

ichtelijk off-topic:

Hoorde een verhaal van een kennis (Netwerk/Systeembeheerder) dat een klant van hem op zijn hoofdserver( DC) prive emails aan het lezen was op het Sys-admin acount en zodoende een ransomware activeerde. }:O
DC/Fileserver geïnfecteerd.
De systembeheerder die erbij gehaald werd is er een weekend mee bezig geweest om alles op te ruimen 93% data kunnen recoveren. Hij vertelde dat het helaas een nieuwere variant was waarbij de sleutel in een cloud gehouden word en niet lokaal op de pc wat het dramatischer maakt.
Neko Koneko @Daniel_Elessar6 mei 2016 13:54
Als je e-mails op een DC leest onder een account met admin rechten verdien je het ook gewoon bijna om alles kwijt te raken :/
Daniel_Elessar @Neko Koneko6 mei 2016 16:44
Dat was ook mijn gedachte. Maar sneu is het als je daarmee ook 10 werknemers treft die daardoor niet kunnen werken. Wat ik altijd geleerd heb is dat je een DC opzet. Maar er dan vanaf blijft en enkel interventies uitvoert als dat nodig is.
SolidShadow 6 mei 2016 16:53
In nederland dus het hoogste aantal gedetecteerde ransomware, vanuit de positie weg als lands genoot ben ik wel erg benieuwd hoe dat heeft kunnen ontstaan. Uiteraard hoop ik niet dat we de beste betaler van losgeld zijn. Wel geloof ik dat we meer data bewust zijn en kwa kennis een hogere waarde aan onze data hechten dan onze collega europeanen.
SBTweaker 6 mei 2016 13:05
Wat is nu een opgeschoonde computer. Ik snap het niet helemaal.
dutchgio @SBTweaker6 mei 2016 13:53
Hoeveel computers MSRT(https://www.microsoft.com/security/scanner/nl-nl/) hebben gedraaid en dus 'opgeschoond' zijn. Daarbij dus alle computers met die software geinstalleerd en het aantal dat ook daadwerkelijk een infectie heeft (gehad).
blorf @SBTweaker6 mei 2016 14:52
De illusie dat je er als gebruiker/eigenaar weer controle over hebt? :+
schuit53 6 mei 2016 13:33
Er zal nooit en te nimmer een 'oplossing' komen voor dit soort problemen. Ongeacht de steeds specifiekere naampjes die ze er opplakken ... De georganiseerde misdaad heeft betere it,ers in dienst dan "onze" overheden, en zijn zelfs de grote software bedrijven niet zelden te slim af zijn.
Van uit de overheid noemen ze steevast, nog steeds, elke computer storing gelijk een Ddos aanval... Humoristische is het weer wel....

Ps... Het wachten is op een rapport van ,bijvoorbeeld, Eset (NOD32) waar Nederland niet eens in de top vijftien staat... Dat is dus even relativeren wat de berichtgeving van een software gigant betreft....

[Reactie gewijzigd door schuit53 op 22 juli 2024 23:24]

robvanwijk
7 mei 2016 23:25
Op de vierde plek staat Luxemburg en ook landen als Bulgarije, Rwanda en Japan komen voor in de top tien.
Wat voor verzameling is dat!? Ik zou met die drie werkelijk geen enkel idee hebben wat een vierde "land als BG, RW of JP" zou kunnen zijn...

Voor de andere geïnteresseerden die die geen zin hebben om door te klikken:

       Country      % of users attacked by encryptors
  1   Italy      3.06
  2   Netherlands      1.81
  3   Belgium      1.58
  4   Luxembourg      1.36
  5   Bulgaria      1.31
  6   Croatia      1.16
  7   Rwanda      1.15
  8   Lebanon      1.13
  9   Japan      1.11
10   Maldives      1.11

[Reactie gewijzigd door robvanwijk op 22 juli 2024 23:24]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq