'Ransomware is voor consumenten en bedrijven geen reden tot paniek'

Ondanks de aandacht die ransomware in de afgelopen jaren ontvangt, zijn infecties door deze vorm van malware geen reden tot paniek. Dat stelt Tim Rains, veiligheidsdirecteur bij Microsoft, in een interview met Tweakers naar aanleiding van het onlangs verschenen Security Intelligence-rapport.

tim rains Rains stelt dat twee aspecten van het rapport hem verrasten. Zo had hij verwacht dat er een hogere detectiegraad van ransomware in terug zou komen. Op dit moment speelt deze vorm van malware, die bestanden versleutelt en vervolgens om losgeld vraagt, namelijk maar een beperkte rol. Hij verwacht ook niet dat deze kwaadaardige software in de toekomst een ernstige bedreiging zal vormen. "Er is geen reden tot paniek", stelt Rains. "Hoewel ransomware zware gevolgen heeft, is er een aantal goede mitigations die de schade kunnen beperken, zoals offsite back-ups."

Toch zijn er ook ontwikkelingen die Rains als zorgelijk omschrijft. "Wat meer reden tot zorg geeft, is de inzet van ransomware bij doelgerichte aanvallen en ransomware as a service", legt hij uit. Bij doelgerichte aanvallen gaan aanvallers vaak nauwkeurig te werk om een zorgvuldig gekozen systeem binnen te dringen en nemen ze ook vaak hogere risico's. Daarbij zijn ze vaak uit op gevoelige informatie, die ze kunnen doorverkopen. Door deze informatie vervolgens met ransomware te versleutelen kunnen ze ook hoge losgelden eisen.

Het aanbieden van 'ransomware as a service' houdt in dat partijen een kit kunnen afnemen, waarmee ze eenvoudig slachtoffers kunnen infecteren, zonder zelf veel kennis te bezitten. Daarmee worden volgens Rains barrières weggenomen, wat kan leiden tot een stijging van het aantal infecties. Toch zullen deze volgens hem om eerdergenoemde reden te beperken zijn.

Een tweede opvallende ontwikkeling is het gestegen aantal meldingen van ernstige kwetsbaarheden. "Het stijgende aantal meldingen van vulnerabilities heeft niet alleen betrekking op ernstige lekken, maar het valt op dat deze vaak eenvoudig te misbruiken zijn. Dat verhoogt de risicofactor nog eens", aldus Rains. Veruit de meeste kwetsbaarheden komen voor in applicaties, wat voor Microsoft aanleiding is om niet alleen aan te zetten tot het up-to-date houden van systemen, maar ook de daarop draaiende software.

Trojans en worms blijven in de zienswijze van Rains de grootste bedreigingen. Hij voegt daaraan toe dat er kort door de bocht vier factoren zijn die bijdragen aan een succesvolle aanval op een systeem. "De voornaamste redenen zijn zwakke wachtwoorden, het niet installeren van patches voor kwetsbaarheden, verkeerd geconfigureerde systemen en social engineering." De eerste drie van deze factoren zijn door Microsoft te beïnvloeden, bijvoorbeeld door over te gaan op een alternatief voor wachtwoorden. De laatste categorie blijft echter lastig, aldus Rains.

Tweakers vroeg ook een verklaring voor de bevinding uit verschillende rapporten dat Nederland op een hoge plek staat als het gaat om het hosten van malware en phishingsites. Daarop kwam Rains met eigen statistieken, waaruit bleek dat Nederland in de laatste categorie zelfs op nummer een van Europa staat. Een verklaring daarvoor blijkt echter moeilijk te geven. "Vaak zie je juist dat landen hoog scoren als zij ook veel te maken hebben met infecties van malware, maar dat is in Nederland niet het geval. Internetcriminelen zetten vaak geïnfecteerde systemen in om kwaadaardige software en sites te hosten, daardoor zijn zij gebaat bij een stabiele verbinding en een goede internetinfrastructuur. Deze factoren zijn in Nederland wel aanwezig."

Bovendien zijn de statistieken een momentopname, waardoor er een vertekend beeld kan ontstaan, legt Rains uit. Daardoor kan het zo zijn dat er in volgende rapporten een heel ander beeld verschijnt. Het is onwaarschijnlijk dat de hoge score te maken heeft met handhaving, legt hij desgevraagd uit. In dit verband viel hem op dat Scandinavische landen over het algemeen laag scoren als het gaat om het hosten van malware en kwaadaardige sites. Toen hij zelf de redenen daarvoor onderzocht, bleek onder andere dat snelle responstijden van beheerders en lage piraterijcijfers een rol spelen. Dat wil echter niet zeggen dat het in Nederland op die gebieden slecht is gesteld.

IT-banen

Reacties (156)

FlameBoy 10 mei 2016 16:29

Off-site backup gaat nu nog op maar ik las dat er al nieuwere varianten in omloop zijn die bijvoorbeeld een aantal dagen/weken wachten totdat ze tot encryptie over gaan. Zit je dan met je backup van twee weken oud. Dan loopt de schade wel enorm op voor een onderneming!

Accretion @FlameBoy • 10 mei 2016 16:52

Dan ligt het er nog steeds aan hoe vaak je back-upt?

Als ik vandaag een backup maak en het morgen geëncrypt wordt, kan ik de back-up gewoon terughalen? Het maakt dan niet uit of ik die variant al een jaar/week/dag heb?

R4gnax

Microsoft

@Accretion • 10 mei 2016 20:03

Dan ligt het er nog steeds aan hoe vaak je back-upt?

Als ik vandaag een backup maak en het morgen geëncrypt wordt, kan ik de back-up gewoon terughalen? Het maakt dan niet uit of ik die variant al een jaar/week/dag heb?

Het punt is dat de backups ook ge-encrypt zijn door de ransomware, maar dat er op jouw PC een speciale driver geinstalleerd wordt om de files on-the-fly te decrypten.
Dat kan enkel zolang de decryptiesleutel ook op jouw systeem staat.

Dus de ransomware kan over een periode van maanden heen rustig jouw files encrypten en afwachten en dan op een goede dag de decryptiesleutel van jouw systeem weggooien en eisen dat je gaat betalen.

Je backups zijn dan ook al lang en breed allemaal naar de haaien.

flabber @R4gnax • 10 mei 2016 22:06

Dus de ransomware kan over een periode van maanden heen rustig jouw files encrypten en afwachten en dan op een goede dag de decryptiesleutel van jouw systeem weggooien en eisen dat je gaat betalen.
Je backups zijn dan ook al lang en breed allemaal naar de haaien.

Maar alleen als je je data klakkeloos back-upt.
Afhankelijk van de gekozen oplossing is het perfect mogelijk om van een heleboel data maar eenmalig een back-up te maken.
Als je een back-p maak van je muziekcollectie, dan weet je dat die bestanden echt niet meer gaan wijzigen. Er is dan ook geen reden om die data opnieuw te verwerken als er een bitje zou wijzigen.
Sterker nog, je zou willen dat de back-up tool ziet dat het 'origineel' is veranderd en automatisch de versie uit de back-up terug zet.
Voor heleboel collecties van individuele bestanden zoals foto's, documenten, muziek en films zou dat een heel goede manier van beveiligen zijn.

En de data die je nog actief bewerkt, daar moet je dan een lange reeks versies van bewaren. Uiteraard geautomatiseerd en zodanig dat je systeem er niet zelfstandig kan schrijven.

Verwijderd @flabber • 10 mei 2016 23:33

Punt is dat je backup tool niet ziet dat er iets is veranderd als je besmet bent met ransomware. Daar maak je de eerste denkfout.

Waar je ook op bedacht moet zijn is dat je eenmalige backup van bijvoorbeeld je muziekcollectie al versleuteld kan zijn. Het is niet zo dat je eerste backup per definitie gemaakt is voor besmetting met ransomware. Was het maar erg duidelijk dat je besmet was, dat scheelde een hoop problemen.

hackerhater @Verwijderd • 11 mei 2016 10:03

Je backup disk proberen te lezen via een live-cd?
Sowieso horen je backups op pull-basis te zijn en niet op push basis.

flabber @Verwijderd • 11 mei 2016 10:08

Nou, het punt is volgens mij, het maakt voor je back-up strategie helemaal niet uit of je data al versleuteld is.

1. je hebt geen ransomware en je data is intact.
De originele data wordt geback-upt; de ideale situatie.

2. je hebt ransomware en je data is al versleuteld.
Er wordt een back-up gemaakt van je versleutelde data.
Vervelend dat je een versleuteld bestand hebt in je back-up, maar je was je origineel toch al kwijt, weliswaar zonder dat je het door had.

3. je hebt ransomware die je reeds geback-upte data versleuteld
De versleutelde bestanden op de PC bestaan al in de back-up, dus deze worden niet geback-upt. Het origineel in de back-up blijft intact.

Goed inrichten en niet meer naar omkijken.
Uiteraard wel zorgen dat je controleert op ransomware, want alle nieuwe en veranderlijke data blijft vatbaar.

Maar je back-up strategie hoef je er niet op aan te passen.

jmmk @R4gnax • 10 mei 2016 21:37

De eerste keer dat het gebeurt, zullen ineens heel veel bestanden (of misschien wel alle) veranderd zijn. Het moet toch niet zo heel lastig zijn (voor een back-up-systeem) om dan te melden dat ineens 50% (60, 80, 100%) van je bestanden veranderd zijn. Lijkt me een zinvolle toevoeging, vandaag de dag...

Cerberus_tm

@jmmk • 10 mei 2016 22:25

Je kunt ook slechts een paar bestanden per dag versleutelen (plus alle nieuwe bestanden). Dan zal het moeilijk worden om alarm te slaan. Naar een paar maanden heb je dan alles versleuteld en verwijder je de sleutel...

D-Day @Cerberus_tm • 11 mei 2016 08:54

Je weet dat je nick een van de recentere ransomwares is?

Cerberus_tm

@D-Day • 11 mei 2016 18:39

O, oeps! Ehh dat is mijn tweelingbroer.

Ik ben trouwens ook een antivirusprogramma voor Android, en een maan.

Verwijderd @R4gnax • 12 mei 2016 00:27

Als er een driver is die de bestanden voor je decrypt tot een week/maand/jaar na infectie dan leest de backup tool tot dat punt dus ook de gedecrypteerde versie. Je backups zijn dan dus nog steeds prima.

R4gnax

Microsoft

@Verwijderd • 12 mei 2016 13:26

Als er een driver is die de bestanden voor je decrypt tot een week/maand/jaar na infectie dan leest de backup tool tot dat punt dus ook de gedecrypteerde versie. Je backups zijn dan dus nog steeds prima.

Dat hangt in het geheel af van welke systeem APIs de tool gebruikt om een backup te maken en of bijv. de filter driver kijkt welk proces een bepaald file opent en aan de hand daarvan beslist om on-the-fly te decrypten of gewoon encrypted te laten.

[Reactie gewijzigd door R4gnax op 22 juli 2024 19:29]

pmeter

@FlameBoy • 10 mei 2016 16:31

Een goede remedie is om je computer maar eens per half jaar te backuppen

xoniq @FlameBoy • 10 mei 2016 19:59

Je zou een encrypted backup kunnen duwen naar een cloud storage. Het voelt vaak niet juist om je PC/laptop extern te back-uppen, maar zorg voor een fatsoenlijke encryptie over de backup heen dan valt het allemaal wel mee. Bij voorkeur een cloud opslag dienst die in Nederland host. Zoals Stack van TransIP. Ben ik heel tevreden over, is op invite basis maar wel gratis en 1TB opslag.

Verwijderd @xoniq • 10 mei 2016 23:36

Zolang je de cloud storage niet als drive gemount hebt zit je aardig veilig. Zo niet, dan pakt de ransomware ook dat allemaal mee. Daarbij maakt het niet uit of je zelf alles eerst versleuteld hebt.
Voor alle andere rampen is het goed om een versleutelde backup in de cloud te hebben.

djwice

@xoniq • 11 mei 2016 21:12

Ik zie niet in hoe het enig verschil maakt of je via een USB, eSATA, UTP of Wifi je backup maakt.

Zolang een geïnfecteerd systeem bij je backup kan, kan hij bestanden aanpassen.

Een knappe Locker laat de file header en metadata in takt, zodat zelfs listing, Image preview etc goed blijft werken.

keesie113 @xoniq • 13 mei 2016 16:05

Ik gebruik de cloudopslag van synology (opslag lokaal op mijn Nas), lijkt mij dat als alle bestanden (een paar terrabyte)op mijn PC besmet zijn, de synology cloud dagen bezig is om alles te overschrijven.
Bij elke gebackuped bestand krijg je een popup
Dat loopt wel in de gaten, lijkt mij zo.

phochs 10 mei 2016 16:30

Ik vind ransomware een van de meest beangstigende vormen van malware die er op het moment zijn.
Ik werk zelf bij computersupport. We hebben gelukkig nog nooit slachtoffers van ransomware moeten helpen, maar we hadden het er laatst eens over wat we kunnen doen als iemand hier slachtoffer van wordt. Helaas niet zo veel. De enige goede remedie is backups maken, maar dat doet bijna niemand

Als je ervoor gaat betalen, blijft dit lucratief en blijven ze dit doen.

FreezeXJ @phochs • 10 mei 2016 16:40

Als je ervoor gaat betalen, blijft dit lucratief en blijven ze dit doen.

Voila de oplossing: niet betalen

Gelukkig is betalen via PayPal en bank prima traceerbaar, en zijn grappen als Bitcoin, Western Union etc te lastig uit te leggen aan de gemiddelde gebruiker, dus die kan niet betalen, en is dus soort-van veilig.

Bedrijven daarintegen... zijn vogelvrij, en gezien het om kostbaardere data gaat, loopt het aantal opties op.

dutchgio @FreezeXJ • 10 mei 2016 16:43

Ze leggen ook prima uit hoe je via Bitcoins moet betalen hoor, want dat is echt de enige mogelijkheid.
En mits je geen back-up hebt is het de enige mogelijkheid om gegevens terug te halen, dus gebeurt het.
Niet hoe je het zou willen uiteraard maar als je al bent getroffen is het te laat...

phochs @FreezeXJ • 10 mei 2016 16:46

[...]
Voila de oplossing: niet betalen

Daar krijg ik helaas de bestanden van het slachtoffer niet mee terug

Niet dat dat gegarandeerd is als je wel betaalt. Daarom zou ik inderdaad ook niet betalen.
Als iedereen nou eens backups zou maken...

[Reactie gewijzigd door phochs op 22 juli 2024 19:29]

Accretion @phochs • 10 mei 2016 16:50

Zeker, ik hoor regelmatig van mensen met dit probleem, ook op een computersupport forum.
Laatst zelfs met een medewerker uit een bedrijf gesproken.

Gelukkig/natuurlijk hadden ze bij het bedrijf back-ups. Maar door zo'n encryptie lig je wel weer een dag helemaal plat, kun je alles terug gaan zetten.
En raad eens... toen alles weer werkte, klikte er nog iemand op zo'n besmette mail/link, hoppakee, weer alles onderuit.

Als je als bedrijf (een of) twee dagen niet kunt werken door zo'n grap, kost dat toch nog een duit, back-up of niet.
De gemiddelde consument heeft niet zo veel waardevolle bestanden en zeker niet genoeg back-ups. Maar er zullen er altijd een paar bij zitten die wel iets waardevols hebben dat niet ge-backupt is.

- Je kan betalen en hopen dat je een key krijgt.
- Je kan alle geencrypte bestanden op een schijf zetten en wachten totdat de key bekend wordt op internet of een decrypt tool beschikbaar is.

En eigenlijk in elk geval zou ik je PC gewoon herinstalleren, weet je tenminste zeker dat je van die rommel af bent.

garriej @Accretion • 10 mei 2016 17:28

Als je bedrijf helemaal plat ligt door een cryptolocker moet je toch is naar je inrichting gaan kijken. De lockers die ik gezien heb schrijven bijvoorbeeld alleen maar in mappen weg waar de gebruiker schrijfrechten heb. Staan je permissions goed, dan is het 1 afdeling en eventueel een gedeelde schrijf voor het bedrijf.

En helemaal plat door een restore, begin met de belangrijkste gegevens en werk vanaf daar.

Het vervelendste is dat je een x aantal uur aan werk kwijt raakt, tenzij je natuurlijk elk uur back-ups maakt.

Accretion @garriej • 10 mei 2016 17:57

Hmm, ja, wellicht wat overdreven, ik weet dat die persoon niet bij z'n werk kon voor twee dagen. Wellicht dat iemand uit dezelfde afdeling erop klikte.
En ze hadden natuurlijk werk met eerst het virus vinden, verwijderen en alles eromheen. Hangt af van de hoeveelheid data, maar het terugzetten kan dan stiekem toch een tijd duren.
Daarnaast is het inderdaad alles behalve handig.

Verwijderd @garriej • 10 mei 2016 23:39

Als je enige realiteitszin hebt dan weet je heel goed dat het met de inrichting van de IT-infrastructuur bij bedrijven en bedrijfjes bedroevend gesteld is. Zou inderdaad anders moeten maar de werkelijkheid is anders. Net als de werkelijkheid dat de meeste particulieren geen backups maken of hun computer/netwerk slecht beveiligen.

THA_ErAsEr @phochs • 11 mei 2016 10:25

Inderdaad.

Ik vind het vreemd dat er gezegd wordt dat er geen reden voor paniek is en dat dit in de toekomst geen probleem gaat zijn:

---
"Hoewel ransomware zware gevolgen heeft, is er een aantal goede mitigations die de schade kunnen beperken, zoals offsite back-ups."
---

Mensen met backups zijn al zeer gering, en mensen met offsite back-ups zijn zeer zeldzaam.
Ik snap niet dat iemand als veiligheidsdirecteur dan kan zeggen dat dit soort malware geen probleem gaat zijn.

Jantje2000 10 mei 2016 16:19

Misschien is het geen reden tot paniek, omdat het niet vaak gebeurt en ook niet vaak zal gebeuren. Maar als al je bestanden worden versleuteld zou ik toch best paniekerig worden.

Skoucail @Jantje2000 • 10 mei 2016 16:24

Er is geen reden tot paniek doordat het makkelijk op te lossen valt.
Als je al paniekerig wordt denk ik dat er nog paar andere dingen niet op orde zijn in je setup. (bv de 3-2-1 rule voor backups)

Quote:
"Er is geen reden tot paniek", stelt Rains, "hoewel ransomware zware gevolgen heeft zijn er een aantal goede mitigations die de schade kunnen beperken, zoals offsite backups."

[Reactie gewijzigd door Skoucail op 22 juli 2024 19:29]

SomerenV @Skoucail • 10 mei 2016 16:28

Zijn de nieuwere varianten momenteel niet onbreekbaar? Dus het is óf betalen óf je bestanden kwijt. Er is nog geen decryptie-tool beschikbaar voor de nieuwere varianten. Als dan toevallig wat belangrijk spul getroffen is dan zou ik persoonlijk ook redelijk paniekerig worden (en ik stress absoluut niet snel).

En voordat er gezegd wordt: dan moet je maar backups maken! Ja, natuurlijk, maar veel mensen maken geen backups, of maken die backups op een schijf die aan de getroffen mail hangt, of aan het netwerk, en dan ben je alsnog de Sjaak.

Ruthhl3ss @SomerenV • 10 mei 2016 16:39

Als je je bestanden in Google Drive, One Drive of Dropbox opslaat heb je 30 dagen retentie en kun je alles gewoon terug zetten. Het gebruik van deze applicaties is heel laag drempelig en gemakkelijk.

Ik vind dat de gewone gebruiker hier zeker van op de hoogte moet zijn.

SomerenV @Ruthhl3ss • 10 mei 2016 16:40

1) Voor jou en voor mij is het makkelijk en laagdrempelig maar lang niet voor iedereen.
2) Niet iedereen gaat belangrijke/persoonlijke data in de cloud zetten.

Dus het is voor sommigen een oplossing maar zeker niet voor iedereen.

bigbadbull @SomerenV • 10 mei 2016 17:44

cloud is zeker geen lage drempel.
1. het blijft weggeven van je data
2. sommigen hebben zelfs in 2016 nog last van een lage upload snelheid.

paradoXical @bigbadbull • 10 mei 2016 18:29

Daar zijn ook weer oplossingen voor:

1. Encryptie
2. Incremental backup
3. Backup op een externe schijf

xoniq @paradoXical • 10 mei 2016 19:01

Ik gebruik TimeMachine, vind het fantastisch werken. Laptop maakt 's nachts vanuit hibernate backups waardoor ik eenvoudig een of meer bestanden van bijvoorbeeld eergisteren op kan halen enz. Werkt gewoon vlekkeloos.

Verwijderd @xoniq • 10 mei 2016 23:03

Geen oplossing tegen ransomware want die slaat toe als de computer uit slaapstand komt.

Terriongaming @xoniq • 11 mei 2016 10:15

Er is nu ransomware die ervoor zorgt, dat back ups via TimeMachine ook versleuteld raken. Dat is wel zorgelijk.

xoniq @Terriongaming • 11 mei 2016 11:49

Ik neem aan dat je doelt op KeRanger. Ja daar had ik over gelezen. Die kwam terecht in de officiële versie van Transmission BT.

Terriongaming @xoniq • 11 mei 2016 11:50

Klopt inderdaad. Hier heb ik toevallig over gehoord tijdens een security seminar, waar F-secure ook z'n praatje hield. Erg interessant allemaal.

fantafriday @SomerenV • 10 mei 2016 19:12

Ja auto rijden doen we ook niet zonder ervoor te leren van te voren. Waarom kopen we dan wel een PC en gaan we daar vrolijk alles wat los en vast zit opzetten zonder er iets van te weten?

xoniq @fantafriday • 10 mei 2016 19:38

Voor je je rijbewijs haalt krijg je ook geen crash simulatie, slip cursus of car jacking simulatie. Bij de computer leer je van iemand de basis, het rijbewijs is ook slechte de basis, de rest leer je gedurende de jaren. (Ervaren rijder worden)

Verwijderd @fantafriday • 10 mei 2016 23:04

Omdat je met verkeerd pc-gebruik thuis geen levens op het spel zet. Mocht dat wel zo zijn dan waren er wel eisen gesteld aan het computergebruik.

curkey @Ruthhl3ss • 10 mei 2016 17:18

Als je flinke collecties hebt (foto's/media) dan is de cloud niet altijd wenselijk, en soms niet altijd toegestaan met bedrijfsgevoelige informatie.

Verder las ik over een ransomware virus dat je dropbox bestand 30x achtereen overschrijft, waardoor je "backups" ook allemaal de encrypted versie zijn.

xoniq @curkey • 10 mei 2016 19:41

Een 'cloud' kan ook lokaal. Of je huurt je eigen VPS voor een tientje per maand. Of je neemt Stack van TransIP. 1TB cloud opslag waar ze zelfs bij vermelden hoe je deze kan inzetten om je VPS naar toe te back-uppen etc. Of als je een Mac hebt wil ik TimeMachine aanraden.

Cartman!

@xoniq • 10 mei 2016 20:10

Zonder versiebeheer heb je daar nog steeds niks aan want dan worden je backups ook versleuteld en heb je als nog niks. Het extern opslaan van je data is geen heilige graag.

xoniq @Cartman! • 10 mei 2016 20:15

Extern opslaan zie ik als extra laag. Ik heb zelf via TimeMachine dagelijkse incrementele backups (met versie beheer dus), en dit gaat 's nachts naar de cloud in een versleutelde container. Dat laatste is dus een extra laag. Bijvoorbeeld voor brand of welke onheil dan ook.

Cartman!

@xoniq • 10 mei 2016 20:29

Dat is perfect ja maar wel essentieel in het verhaal dat het extra is

xoniq @Cartman! • 10 mei 2016 20:32

Mee eens. Maar hé, elke backup is beter dan géén backup.

Ik probeer zoveel mogelijk mensen hiermee te helpen. (Uit eigen belang, als iemand door een crash - of whatever - alles kwijt is, ben ik de sjaak, dan ben ik ineens een magiër ofzo die dat moet kunnen fixen)

Verwijderd @Ruthhl3ss • 10 mei 2016 16:55

Dan is het niet de malware die in je bestanden aan het vroeten is, maar een of andere firma die er alle moeite voor doet om je wijs te maken dat ze het niet doen.

knakworst @Ruthhl3ss • 10 mei 2016 20:05

Als je je bestanden in Google Drive, One Drive of Dropbox opslaat heb je 30 dagen retentie en kun je alles gewoon terug zetten.

Daar ga je al ernstig de mist in. Onedrive heeft die retentie niet. Uitsluitend voor office bestanden.

Ik vind dat de gewone gebruiker hier zeker van op de hoogte moet zijn.

Ouch...

Aikon @SomerenV • 10 mei 2016 16:50

Ransomware is geen reden tot paniek. Maar het ontbreken van een enigszins fatsoenlijke backup bij velen is dat wel

Bor Coördinator Frontpage Admins / FP Powermod

Ransomware
Security

@Aikon • 10 mei 2016 17:49

Dit is natuurlijk een beetje een dooddoener. Een backup is een must maar de wat geavanceerdere ransomware zal ook een backup proberen te coderen waarbij eerst langere tijd toch toeging wordt gegeven tot de bestanden om op moment X die toegang ineens in te trekken. Dit kan binnen een kort tijdsbestek maar ook over langere tijd zijn. Een backup kan helpen maar kan in sommige gevallen ook waardeloos zijn doordat deze ook gecodeerd of zelfs verwijderd is.

De meeste consumenten houden bijvoorbeeld geen grandfather - father - son of soortgelijke procedure aan maar copieren de bestanden naar een externe schijf (of usb stick) al dan niet met standaard tooling als Windows Backup.

Aikon @Bor • 10 mei 2016 18:44

Gellukkig is off-site per definitie onderdeel v/e backup. Knappe ransomware die daar bij komt

Een lange tijd van inactiviteit is wel lastig, zeker voor de particulier.

itcouldbeanyone @Aikon • 10 mei 2016 21:07

en anders heb je nog de cold back up,
zelfs de NSA kan daar niet bijkomen

Verwijderd @itcouldbeanyone • 10 mei 2016 23:08

Alles wat je gebackupt hebt hebben ze als ze dat zouden willen al gezien vóór jij je cold backup maakte.

Verwijderd @Aikon • 10 mei 2016 23:08

Ooit moet je off-site backup online en dan slaat de knappe ransomware toe.

XenoniaN @Verwijderd • 11 mei 2016 09:23

Als je er zó anaal over doet, wat is jouw backupstrategie dan? Ik heb mijn Linux file server waar ik files naartoezet(gewoon gemount ans netschijf in windows dus vulnerable), en van die linux bak houd ik een maand aan wekelijkse backups aan, met een paar buitenshuis.

hackerhater @XenoniaN • 11 mei 2016 10:13

Ik zou je server de clients pullen ipv de clients laten pushen

Indien de clients er niet kunnen schrijven, kan troep de backup niet vernachelen.

[Reactie gewijzigd door hackerhater op 22 juli 2024 19:29]

XenoniaN @hackerhater • 11 mei 2016 10:25

Handig idee, daar ga ik nog even naar kijken

Skoucail @SomerenV • 10 mei 2016 16:35

Dus de boodschap is: zoveel mogelijk mensen aanzetten tot backups met uitleg hoe dit veilig te doen (bv schijf slechts 1x per week koppel ipv aan pc te laten hangen)

Juist altijd jammer dat mensen pas leren nadat ze slachtoffer geworden zijn

xoniq @Skoucail • 10 mei 2016 19:46

Ach het woord 'backup' kent iedereen. Letterlijk. Alleen denken mensen vaak iets als:

Komt later wel, nu geen zin om uit te zoeken.
Het overkomt me vast niet.
Ik heb niet zoveel belangrijke gegevens. *is ff die 20GB aan foto's vergeten*
Ik weet niet hoe 't moet, vraag rond kerst m'n neefje wel even.
Nu even geen geld voor een externe schijf.
Geen zin om die externe schijf telkens aan te koppelen.
Doe het van het weekend wel even.

En in al deze gevallen, gebeurt het gewoon niet. Je kan niet vertrouwen op je HDD dat deze een heel computer leven mee gaat.

Als je in bovenstaande gevallen gewoonweg niet actie onderneemt, is het toch echt je eigen schuld. Genoeg mensen om je heen die weten hoe het moet, je moet er gewoon de tijd voor nemen.

Verwijderd @xoniq • 10 mei 2016 22:58

Klopt helemaal. Ik heb ze hier ook huilend staan als hun USB stick van slechts 4 GB onherstelbaar defect is geraakt. Personen die al vaak gewezen zijn op het maken van een backup maar men wil er om een of andere reden niet aan.
Het is echt luiheid want een stick kopiëren naar de harde schijf is zo gepiept.
Ik weet dat je er wat ransomware betreft niets mee opschiet maar het gaat meer om het punt van niet willen backuppen/kopiëren dan het niet kunnen.

FreezeXJ @SomerenV • 10 mei 2016 16:38

Tja en als je een rampvirus vindt en je HDD formatteert ben je ook al je data kwijt. Wat dat betreft is er geen nette oplossing, en van eindgebruikers verwachten dat ze off-site cold-store backups gaan maken (liefst elke week) lijkt me ook onlogisch. Van de andere kant: zo lang als betalen moeilijker is/gemaakt wordt dan het accepteren van je verlies, prima.

(de meeste brave huisvaders hebben ook geen idee hoe ze aan bitcoin komen, en de drempel om even snel die coins te betalen is dus hoog genoeg om ons veilig te houden. Geen inkomsten = geen ransomware.)

KopjeThee @SomerenV • 10 mei 2016 17:43

Als data belangrijk voor je is, dan moet je het ook als zodanig behandelen.

Dus een goede backup maken. Ook zonder ransomware. Wat als je harde schijf het begeeft? Wat als je per ongeluk iets verwijdert of muteert? Wat als je huis affikt?

Wat betreft de mensen die geen backup maken van belangrijke gegevens. Ga dat wel doen, i.p.v. paniekerig worden van alle mogelijke bedreigingen. Dat is ook beter voor je gemoedsrust.

In het meest simpele geval kost het je 1 externe harde schijf, die je op enige afstand van je PC bewaart. En het kost je bijvoorbeeld wekelijks een kwartier om hem weer bij te werken. Dat zal vaak voor huis, tuin en keuken gebruik al genoeg zijn om dit soort gedoe te besparen.

PhilipsFan @KopjeThee • 10 mei 2016 19:18

Het probleem is dat veel mensen zich niet realiseren hoe belangrijk hun bestanden zijn. Niemand denkt daar actief over na. Ik ken eigenlijk alleen mensen die ooit een ramp hebben meegemaakt (kapotte hdd, virus of brand) die op een goede manier nadenken over het backuppen van hun bestanden.

Pas als je harddisk verloren is bedenk je wat daar allemaal op stond: je cv, belastingaangiftes, babyfoto's van je kinderen, je muziekverzameling, noem maar op.

Dit is overigens niet heel anders dan vroeger. Hoeveel mensen ken je die hun negatieven in een kluis bewaarden? Of de foto's zelf op een droge beschutte plek? Hoeveel mensen heb ik wel niet meegemaakt die alles in de kelder hadden liggen. Negatieven aan elkaar geplakt, videobanden verschimmeld, kindertekeningen helemaal doorgelopen. Je bedenkt je pas hoe kostbaar je herinneringen waren als je ze niet meer hebt...

KopjeThee @PhilipsFan • 10 mei 2016 20:40

Ik vraag me af waar die houding vandaan komt.

Er zijn allerlei risico's waar tegen vaak wel maatregelen worden genomen. Sloten, brandmelders, verzekeringen etc.

Is het omdat bijvoorbeeld foto's niet te vertalen zijn in harde euro's? Je gaat ook niet dood aan het verlies. Of zijn digitale bezittingen minder tastbaar?

Verwijderd @KopjeThee • 10 mei 2016 23:12

Ik denk dat in je laatste vraag een groot deel van de laksheid zit. Enkel als je er goed over nadenkt of eens goed door alle directories heen wandelt zie je wat je kwijt zou zijn bij wat voor ramp dan ook. Nu valt het gewoon niet op.

Je zou eigenlijk eens bij iemand zijn data moeten 'verwijderen'(verstoppen is al groed genoeg). Dan eens zien hoe ze er over denken.

Bor Coördinator Frontpage Admins / FP Powermod

Ransomware
Security

@SomerenV • 10 mei 2016 18:09

Zijn de nieuwere varianten momenteel niet onbreekbaar? Dus het is óf betalen óf je bestanden kwijt.

Ja dat is inderdaad het geval helaas. En het is zelfs nog erger, er is zelfs ransomware waarbij decryptie niet eens mogelijk is omdat men het eea niet goed heeft geïmplementeerd. De bestanden worden daarbij min of meer verminkt.

Overigens geeft betaling ook geen enkele garantie dat je de bestanden terugkrijgt. De ene malware uitbater zal netjes decrypten om een soort goed imago te creeeren (en dus een grotere kans dat meer mensen betalen) terwijl anderen na het ontvangen van het geld gewoon simpelweg niet reageren / leveren.

Microsoft zelf raad overigens aan niet te betalen. Dat er zo veel mensen wel tot betaling overgaan is de enige reden dat er uberhaubt ransomware is en dat we hier momenteel zo'n grote toevlucht in zien. Hoe meer mensen betalen, hoe groter het probleem gaat worden.

Daniel_Elessar @SomerenV • 10 mei 2016 20:51

Die zijn er inderdaad, de sleutel van de ransonware bevind zich ook ergens in de cloud. Zeer vervelend. Een kennis heeft zoiets voor 93% aan data kunnen ontsleutelen maar dat kostte hem een lang weekend. De backups waren in dit geval ook aangetast alsmede de fileserver. Omdat de idioot in kwestie op een Domein Controller privé emails zat te lezen en zo de problemen activeerde.

Backups zijn leuk en zeer erg aan te raden maar ook daar kan iets mis gaan.

Die kennis is van me is een 'collega' van deze man en maakt het ook steeds vaker mee.

[Reactie gewijzigd door Daniel_Elessar op 22 juli 2024 19:29]

dakka @Skoucail • 10 mei 2016 16:27

De papa van Tom die zijn hele huishoudelijke administratie op de computer heeft staan van 2009 tot nu heeft geen idee wat een offsite backup is, misschien hooguit een externe schijf zonder wachtwoord als backup

Skoucail @dakka • 10 mei 2016 16:33

Dus is het toch correct.
Alles je bij het idee dat je belangrijke bestanden kwijt kan zijn door een aanval panikeert is het dringend tijd om te beginnen met backups.
En een externe schijf (die je eens per week koppelt voor een backup) is al voldoende in dit geval.

PilatuS @Skoucail • 10 mei 2016 16:41

Dat is helaas niet voldoende. Als de infectie bezig is terwijl je een backup maakt, of al op de PC staat en actief word met externe HDD aangesloten zal die HDD net zo makkelijk het slachtoffer worden.

Dan kan je beter 2 externe HDD's hebben en die om de week afwisselen. Ik gebruik er persoonlijk zelfs 3 die ik iedere 2 weken afwissel.

R4gnax

Microsoft

@PilatuS • 10 mei 2016 19:49

Dat is helaas niet voldoende. Als de infectie bezig is terwijl je een backup maakt, of al op de PC staat en actief word met externe HDD aangesloten zal die HDD net zo makkelijk het slachtoffer worden.

Dan kan je beter 2 externe HDD's hebben en die om de week afwisselen. Ik gebruik er persoonlijk zelfs 3 die ik iedere 2 weken afwissel.

Om de week wisselen? Ben je nog de sjaak als er ransomware is wat stilletjes als filter driver blijft draaien terwijl het over een periode van soms wel maanden heen al je files encrypt en tijdens die tijd ook transparent decrypt zodat het lijkt alsof er niets aan de hand is. Op een gegeven moment gaat dan de zaak op slot en hang je, want al je zorgvuldig gemaakte backups op schijven die direct door dat systeem schrijfbaar waren zijn dan ook gaar.

Wat beter werkt is één schrijfbare folder op een gesloten systeem te hanteren om files te droppen; vanaf het bron-systeem wat files daar heen dropt een checksum op de inhoud van de folder te draaien; daarna vanaf het systeem zelf dat nog eens te herhalen; en dan alleen op dat gesloten systeem zelf de files vanaf de drop folder naar de backup door zetten wanneer de twee checksums overeen komen.

[Reactie gewijzigd door R4gnax op 22 juli 2024 19:29]

GetaGrip @R4gnax • 10 mei 2016 20:37

Wat nog beter werkt is je systeem virtueel draaien in combinatie met een backup in de cloud die automatisch disconnect na een backup met retentie van 4 weken.

Eén keer per week software updaten en klaar is klara. Niets geen gedoe met niet beschrijfbare hd's, checksums op folders etc.

http://www.shadowdefender.com/
http://www.2brightsparks.com/syncback/sbpro.html

Een voorbeeld hoe ik de setup gemaakt heb is dat de systeemschijf in shadowmode draait, samen met alle fysieke backup partities.

Backup wordt eerst in de cloud gemaakt en wanneer er 7 dagen zijn verstreken, dan pas vanuit de cloud naar een fysieke hd retour.

Dus in het ergste geval van besmetting door randsomware ben ik hooguit één week werk kwijt.... maar wel met de zekerheid dat mijn data niet besmet is. Bij twijfel kan ik terug naar 2/3 of 4 weken aan data.

Systeemschijf besmet? opnieuw opstarten en weer terug in de staat waar ik daarvoor was.

Het aardige is dat je dit aan 'normale' gebruikers kan verkopen, ze begrijpen het concept 'virtueel' beter dan rechten beperken, backups maken op hd's (die dan weer vergeten worden gemaakt te worden)

Verwijderd @PilatuS • 10 mei 2016 22:45

Dat is helaas niet voldoende. Als de infectie bezig is terwijl je een backup maakt, of al op de PC staat en actief word met externe HDD aangesloten zal die HDD net zo makkelijk het slachtoffer worden.

Dan kan je beter 2 externe HDD's hebben en die om de week afwisselen. Ik gebruik er persoonlijk zelfs 3 die ik iedere 2 weken afwissel.

Helemaal eens. Je roulatiecyclus is ook niet slecht. Nu maar hopen dat er geen ransomware komt die eerst 4 of 5 weken op de achtergrond bezig is want dan zijn ook in jouw geval al je backups versleuteld.

dakka @Skoucail • 10 mei 2016 16:40

"Mijn externe schijf staat gewoon altijd aangesloten en daar sla ik het gewoon gelijk op, als mijn computer zo'n virus krijgt trek ik gewoon de usb van de schijf er uit "

~ Gemiddelde gebruiker, 2016

xoniq @dakka • 10 mei 2016 19:48

Daarom moet men automatische backups instellen die 's nachts draaien. Zodra de gebruiker ligt te slapen. En het liefst naar een Linux omgeving dan kan je Windows virus niks met de data.

robvanwijk

Netwerk en systeembeheer

@xoniq • 10 mei 2016 21:46

En het liefst naar een Linux omgeving dan kan je Windows virus niks met de data.

Da's in de praktijk vaak onzin. Wat is de makkelijkste manier om je data op die Linux bak te krijgen? Juist ja, een netwerkschijf mounten en het er naartoe kopiëren. Maar in die situatie hoeft de Linux-omgeving helemaal niet geïnfecteerd te raken om toch je data kwijt te zijn; de geïnfecteerde Windows machine kan immers de data op de (schone) Linux box overschrijven.

Om die oplossing te laten werken zou je op de backup-server twee data-partities moeten hebben; eentje die je mount in Windows en eentje die niet geshared is. Als je dan Linux automatisch backups laat maken van de "gesharede backup" naar de "echte backup" én ervoor zorgt dat je niet alleen de allerlaatste backup bewaart (die vernacheld kan raken als je niet snel genoeg in de gaten hebt dat je ransomware te pakken hebt), maar ook oudere snapshots laat staan, dan kan een Windows-only virus je niet heel veel meer maken (de data van de laatste paar uur ben je alsnog kwijt waarschijnlijk en je moet erop vertrouwen dat de markt voor cross-OS malware dusdanig klein is dat niemand die moeite erin steekt).

Verwijderd @xoniq • 10 mei 2016 22:44

Juist niet, want dan is de externe harde schijf onnodig lang met het systeem verbonden en worden in geval van een besmetting 's nachts vrolijk alle bestanden versleuteld, waaronder de backups.

curkey @Skoucail • 10 mei 2016 17:19

En zodra je op vrijdagmiddag de disk aankoppelt gaat ineens het lampje intensief knipperen...

Want de ransomware zal een een paar weken lang je bestanden on the fly ontsleutelen, zodat je niet merkt dat je geinfecteerd bent geraakt. Genoeg tijd om dus flinke schade te berokkenen.

flabber @Skoucail • 10 mei 2016 16:58

Probleem is wel dat je dan "slechts" de data van de afgelopen week kwijt bent.
Voor een boel data maakt het niet uit of het oude of recente data is; belangrijke foto's bijvoorbeeld kun je niet nog een keer maken. Weg is weg.
Voor ander data is het vaak zo dat juist de meest recente data het belangrijkst is.
De meeste Word documenten van 3 jaar geleden zijn wat mij betreft bijna allemaal minder belangrijk dan degene waarmee ik 'nu' aan het werk ben.

Dus een week aan data kunnen kwijtraken geldt voor mij absoluut niets als "voldoende".....!

mjl @flabber • 10 mei 2016 17:22

Hangt van je data productive vollume af natuurlijk. Een maand aan informatie kwijt is privé (voor mij dan) niet zo heel erg, hoeveel foto's maak je op een dag... Baren vakantie is het wat anders, daar maak ik zsm een Back-up van, 1 kopie op de pc 1 op de NAS en 1 offsite.

Uiteindelijk moet een ieder voor zichzelf de impact en de kans bepalen dat het gebeurd, op basis daarvan moet je dan kiezen hoeveel moeite en geld je in je Back-up oplossing stopt. Je privé administratie tot 2007 kwijtraken hoeft niet heel erg te zijn. Vaak is dat wat relevant is (laatste paar maanden bijv) prima te reconstrueren.

Foto's: tja, maak een album en druk m af, het belangrijkste heb je dan nog. Anders, offline opslaan naast je active storage.

[Reactie gewijzigd door mjl op 22 juli 2024 19:29]

paulmes @mjl • 10 mei 2016 19:47

Vertaal dit soort uitleg eens naar de man in de straat of de simpele computergebruiker. Die kan hier toch niks mee. Is blij dat zijn computer het doet.

mjl @paulmes • 10 mei 2016 22:22

Voor dergelijk publiek is de schrik factor vaak groot, maar de daadwerkelijke schade klein. Dus veel mensen kunnen prima zonder dure backupsystemen af.

Als de data echt wat waard is is men er vaak al meer van bewust en moeten dus wat meer risico gebaseerd ma gaan denken (en ja dat is best lastig te rationaliseren..)

Verwijderd @mjl • 10 mei 2016 22:50

Test het voor de gein eens uit door je documentenmap te verwijderen. Dan pas ga je merken wat je eigenlijk allemaal kwijt bent. Niet alles wat je opgeslagen hebt is van eigen hand dus reconstrueren is dan al een stuk lastiger. Hoe dan ook kost het je klauwen vol tijd.
Als je dan toch bezig bent probeer meteen een backup terug te zetten. Iedereen heeft het wel over veel backups maken maar over de backups testen hoor ik niemand.
Jij hebt enkel je ene offsite backup. Aan de kopieën op je computer en je NAS heb je niets meer bij een besmetting met ransomware. Durf jij 100% te vertrouwen op die ene backup?

bigbadbull @dakka • 10 mei 2016 17:48

heb tot nu toe 3 keer aan een backup gedaan, en wat ging er steeds kapot ?
jawel tot 2x toe mijn backup disken

de laatste betreft een nas array raid 5 en is niet bereikbaar zonder paswoord.
dus hoop dat deze wel voldoet.

R4gnax

Microsoft

@bigbadbull • 10 mei 2016 19:57

heb tot nu toe 3 keer aan een backup gedaan, en wat ging er steeds kapot ?
jawel tot 2x toe mijn backup disken
de laatste betreft een nas array raid 5 en is niet bereikbaar zonder paswoord.
dus hoop dat deze wel voldoet.

Als je er op Windows één keer mee verbindt via Samba, dan worden de login credentials voor de rest van de login sessie door Windows bij gehouden en kan alles wat onder jouw account draait er aan.

Een NAS is afdoende, als je deze configureert met een losstaande schrijfbare drop folder en de storage en backup niet schrijfbaar maakt met de credentials waarmee je normaal de NAS benadert.

Daarna checksums van de files op de NAS vergelijken met op je lokale systeem en enkel doorzetten naar je backup of storage folders wanneer deze overeenkomen.

Zo heb je ook gelijk een mooie manier om te detecteren of je gepakt bent door sluimerende crypto-ransomware; want dan zullen de checksums niet overeenkomen.

bigbadbull @R4gnax • 11 mei 2016 12:41

klopt in zo verre dat het NA 1 keer aan te loggen PER sessie & per Share het paswoord bewaard blijft.
en voor sommige programma's moet ik zelfs nog eens apart inloggen op de disk.

flabber @Skoucail • 10 mei 2016 16:50

Er is geen reden tot paniek doordat het makkelijk op te lossen valt.
Als je al paniekerig wordt denk ik dat er nog paar andere dingen niet op orde zijn in je setup. (bv de 3-2-1 rule voor backups)

Makkelijk?
"At least three copies,
In two different formats,
with one of those copies off-site"
Voor veel, zoniet de meeste bedrijven zal dit een utopie zijn, maar voor consumenten is dit natuurlijk geen reële optie.

PhilipsFan @flabber • 10 mei 2016 19:27

Zo'n strategie helpt je helemaal niets tegen ransomware. Je kunt duizenden backups hebben, maar als je originele bestanden worden versleuteld dan wordt dat net zo gemakkelijk doorgevoerd op de backups zodra je die bijwerkt.

Eigenlijk zou je telkens voordat je de backupschijf koppelt eerst de integriteit van de originele bestanden moeten checken. Zo doe ik het voor mijn foto's. Of je moet een backuptool hebben die oude versies van bestanden bewaart, maar als je erg veel bestanden hebt dan wordt dat al snel onwerkbaar. Wie gaat er nu 50.000 foto's handmatig controleren en indien nodig de oude versie terugzetten?

flabber @PhilipsFan • 10 mei 2016 21:50

Helaas is er geen enkele perfecte back-up tool; altijd zijn er rampscenario's te bedenken.
Voor actuele data is een backup met (dagelijke) snapshots en een lange retentie (2 maanden?) een goede methode. Omdat die data geacht wordt regelmatig te wijzigen is een reeks van versies een goede methode om je te wapenen tegen ransomware.
Ik denk echter dat iedereen voornamelijk 'archief-data' heeft die men niet kwijt wil raken: administratie, foto's, muziek, etc.
Deze zijn echter al heel snel statisch en zouden dus nooit mogen wijzigen.
Deze zou je dan apart moeten back-up'en op een read-only medium (al dan niet software matig)

Zeker als je gebruikt maakt van een back-up tool die de data haalt is er geen reden waarom de back-ups schijfbaar zouden moeten zijn vanaf je pc/laptop.

Met rsync is het bijvoorbeeld ook mogelijk om enkel nieuwe bestanden te back-up'en en na de eerste keer geen wijzigingen meer door te voeren.
Mocht het origineel versleuteld worden, dan komt deze niet mee in je back-up.

Verwijderd @flabber • 10 mei 2016 23:20

Met rsync is het bijvoorbeeld ook mogelijk om enkel nieuwe bestanden te back-up'en en na de eerste keer geen wijzigingen meer door te voeren.
Mocht het origineel versleuteld worden, dan komt deze niet mee in je back-up.

rsync zal niet zien dat er sprake is van versleuteling dus je theorie gaat compleet de de mist in. Zie mijn reactie op @PhilipsFan van 23:19 hieronder.
Ik raad je aan je backupstrategie aan te passen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 19:29]

flabber @Verwijderd • 11 mei 2016 09:56

man rsync :

--ignore-existing skip updating files that exist on receiver

Ondanks een gewijzigde size, checksum of date, en dat zal toch echt gebeuren bij het versleutelen, zal rsync het bestand niet meenemen in de back-up.
Dus: het origineel in de back-up is veilig en de versleutelde versie staat alleen op de pc/laptop zelf.

strategie:
1. 'NAS' haalt dmv rsync nieuwe bestanden over naar de backup.
Gewijzigde bestanden worden overgeslagen; de eerste back-up is leading.
2. PC synchroniseert de eigen data met de back-up server dmv rsync. Blijkt er tussentijds een bestand te zijn gewijzigd, dan wordt deze overschreven met het origineel uit de back-up.

Op deze manier heeft ransomware geen kans.
Maar !!!, dit werkt uiteraard alleen bij echt statische data, zoals bijvoorbeeld foto's (na bewerking e.d.).

En ja, er zijn legio scenario's te bedenken dat je hiermee alsnog data kwijt raakt (datacorruptie op de NAS zorgt automatisch voor corruptie op de PC), maar die gelden waarschijnlijk ook op het moment dat je dit handmatig zou doen.

Verwijderd @PhilipsFan • 10 mei 2016 23:19

Hoe test jij de integriteit van je foto's? Als je last hebt van ransomware zal je er niets van merken en zien je foto-bestanden er normaal uit en zie je geen verschil met de bestanden op je backup medium. Alles wat jij benaderd wordt ter plekke ontsleuteld zolang de ransomware de boel nog niet op slot heeft gegooid.
Het beste kun je je backup testen op een andere computer (die hopelijk dan niet besmet is). Op die andere computer draait niet de ontsleuteling van de ransomware en kunnen je bestanden dus niet geopend worden.

flabber @Verwijderd • 11 mei 2016 09:59

Bij elk denkbaar scenario geldt hetzelfde: als je bron al versleuteld is voordat je een back-up hebt gemaakt, dan heeft een back-up geen zin meer, want je maakt inderdaad een back-up van het versleutelde bestand.

Als je een goede methode kan voorstellen die het mogelijk maakt om die al versleutelde bestanden toch onversleuteld te back-up'en, dan hou ik me erg aanbevolen.
En de rest van de wereld waarschijnlijk ook.

mistige @flabber • 11 mei 2016 11:32

Ben het met je eens.
Evt. aanvullend kan je nog op je backupserver
de 1e backup data checken op onversleuteldheid met
commando's als:

file *.jpg
(als er dan het woordje 'image' ontbreekt, ben je de Sjaak).

PhilipsFan @Verwijderd • 11 mei 2016 13:05

Goed punt, daar had ik nog niet aan gedacht. Ik check inderdaad vaak op een andere pc, maar er is geen garantie dat die niet ook al besmet is. Maar eens even over nadenken...

Integriteit controleer ik met Checksum btw. Maar er zijn heel veel van dit soort tooltjes.

[Reactie gewijzigd door PhilipsFan op 22 juli 2024 19:29]

HollowGamer @PhilipsFan • 10 mei 2016 23:34

En readonly (offline) backups? Een ransomware dient altijd nog te schrijven om te versleutelen.

Verder is backups niet heel spannend, het vervelende is dat al (mogelijke) gevoelige data al doorgespeeld is. Lijkt mij niet echt mooi voor bedrijfsinformatie, maar privé zoekhistorie is bijvoorbeeld ook een goed chantage middel. Het raakt dus iedereen en het kan een hoop schade toe brengen (zowel bezittelijk als persoonlijk).

Verwijderd @Skoucail • 10 mei 2016 19:12

Externe back-ups die niet in verbinding staan met de computer, anders worden de back-ups ook versleuteld

flabber @Verwijderd • 10 mei 2016 21:56

Ze mogen best bereikbaar zijn, maar dan enkel read-only.
Dan kan ransomware er niets mee, maar kun je wel zelf de data terugplaatsen mocht het origineel verloren gaan.
Natuurlijk gaat dat iets verder dan de gemiddelde consument in huis heeft, maar het is technisch niet zo heel moeilijk.

Zou wel iets zijn voor op een qnap of synology; geen idee of die al bestaan.

Verwijderd @flabber • 11 mei 2016 00:44

Nee technisch niet moelijk

rechtermuisklik en read only instellen, maar dat gaat maar deels op afhankelijk van hoe de partitie geformateerd is
https://www.quora.com/Can...ware-such-as-CryptoLocker

flabber @Verwijderd • 11 mei 2016 10:12

Als je met een rechtermuisknop de rechten kan wijzigen van een file of een partitie, dan kan in principe alle malware die onder jouw account draait ook die rechten aanpassen,

Read-only zou echt moeten beteken read-only, dus dat je ook de rechten niet kan aanpassen vanaf je PC zelf.
Bijvoorbeeld een read-only NFS of SMB share op een NAS.
Knappe ransomware die daar doorheen weet te breken.

Verwijderd @Jantje2000 • 10 mei 2016 19:54

Niet vaak gebeurt? Ik zie het bijna wekelijks bij mijn klanten.

Zackito @Jantje2000 • 10 mei 2016 20:54

Komt haast nooit voor? Sorry, maar dit gebeurt de laatste tijd bijna dagelijks(we bedienen veel zakelijke klanten). Helaas klikken de gebruikers nog steeds overal op, hoe nep het mailtje er ook uitziet. "Even kijken wat het is", "oh, hey ik krijg deze mail niet geopend, probeer jij het eens piet.".

Ik begin deze ransomware redelijk zat te raken, je bent een paar uur verder voordat het allemaal opgelost en gerestored is.

Titan_Fox 10 mei 2016 16:27

Ik draai Linux en heb al mijn belangrijke gegevens extern weg geschreven plus een extra backup op USB. Betalen zal ik nooit, zelfs al zou mijn systeem een dergelijke infectie oplopen.

MAX3400

Microsoft

@Titan_Fox • 10 mei 2016 16:58

Ik draai Linux...zelfs al zou mijn systeem een dergelijke infectie oplopen.

Linux.Encoder.1 -> nieuws: Nieuwe ransomware richt zich op Linux-webservers die Magento draaien - update

Deze en andere malware, is allang in staat om een Linux-based OS een stukje het leven zuur te maken. Aangezien het voornamelijk werd gebruikt om unpatched webservers aan te vallen (al dan niet via het Magento CMS), werd dus wel een groot gedeelte van de data van de http-daemon geencrypt.

Laten we wel wezen; Linux & OSX lijken vooralsnog de dans te ontspringen als het gaat over het aantal infecties. Wel vind ik (maar ik ben dan ook Windows beheerder) dat backup/restore/recovery van Linux soms wel een stuk lastiger is; waarschijnlijk omdat ik niet alle backup-opties weet maar ook omdat niet elke beheerder hardcore op de CLI een goede backup/restore kan uitvoeren.

Verwijderd @MAX3400 • 10 mei 2016 20:23

Nee. Dat is geen fout in Linux maar een kwetsbaarheid in Magento.

http://www.zdnet.com/arti...linux-encoder-ransomware/

First things first. Linux.Encoder.1, the "Linux" crypto-ransomware, is not a Linux security hole. This malware relies on a security hole in the Magento web e-commerce platform, not Linux.

True @MAX3400 • 10 mei 2016 17:26

Wel vind ik (maar ik ben dan ook Windows beheerder) dat backup/restore/recovery van Linux soms wel een stuk lastiger is; waarschijnlijk omdat ik niet alle backup-opties weet maar ook omdat niet elke beheerder hardcore op de CLI een goede backup/restore kan uitvoeren.

Je kan je zelf ook geen Linux beheerder noemen als je een GUI nodig hebt om te beheren binnen Linux.
De server versies van GNU/Linux distributies hebben zelfs geen eens een GUI.

bigbadbull @True • 10 mei 2016 18:02

hij kan zich wel degelijk een beheerder noemen als dat zijn taak is.
misschien geen ervaren en sorry bekwame beheerder om dat werk te doen.
je hebt niet altijd te kiezen wat je moet "onderhouden".

True @bigbadbull • 10 mei 2016 18:37

Hij zegt zelf dat hij geen Linux beheerder is. Maar ik wil alleen aangeven dat een Linux omgeving niet te beheren is zonder de CLI te gebruiken en dus kan elke Linux beheerder wel hardcore CLI (lees stackoverflow i.c.m. DuckDuckGo) backup's en restores uitvoeren.
Het verschil met Windows is dat daar lang niet zo noodzakelijk is.

Hydranet @True • 10 mei 2016 19:58

Je kan op elke linux distro een gui installeren, of je dat wil is een andere vraag

Gelukkig zelf nog nooit ransomware hoeven mee maken.

[Reactie gewijzigd door Hydranet op 22 juli 2024 19:29]

True @Hydranet • 10 mei 2016 21:05

Tuurlijk kan je op elke distro een desktop environment installeren maar de server distro's hebben juist geen DE om resources te besparen. En je kunt met een CLI op GNU/Linux veel meer dan met menig DE. Waarbij dit voor Windows toch echt niet zo erg geldt.

Hydranet @True • 10 mei 2016 21:22

Daarom zei ik ook, of je dat dat wil is een andere vraag

Een CLI werkt inderdaad fijner als een GUI op een server.

Titan_Fox @MAX3400 • 10 mei 2016 19:49

Ik draai geen Linux webservers of CMS, dus voorlopig maak ik mij niet te veel zorgen. Uiteraard besef ik dat geen enkel systeem echt 100% veilig is.

xoniq @MAX3400 • 10 mei 2016 19:56

Echter lijkt het daar vooral fout te gaan met geïnfecteerde (of zelfs malafide) repos. Als je je vooral vast houd aan officiële repos, en andere software bij de maker ophaalt (het liefst nog zelf compileren) dan worden de kansel nihil. Bovendien zou ik lekker een simpele Linux bak (bijvoorbeeld een Raspberry Pi met een externe HDD) door een kundig iemand laten opzetten zodat de eindgebruiker er weinig mee van doen heeft. Dan zit je wel aardig safe.

Daniel_Elessar @Titan_Fox • 10 mei 2016 20:56

Dat is leuk als consument. Maar als je een bedrijf hebt met veel data is het een ander verhaal.

Verwijderd @Titan_Fox • 10 mei 2016 23:27

Ik draai Linux en heb al mijn belangrijke gegevens extern weg geschreven plus een extra backup op USB. Betalen zal ik nooit, zelfs al zou mijn systeem een dergelijke infectie oplopen.

Ach wat schattig, die Linux-naïviteit.
Ten eerste kun je onder Linux ook de sjaak zijn.
Ten tweede gelden dan ook alle voorwaarden voor goeie backups zoals die hiervoor al meermaals zijn opgesomd. Daar voldoet jouw strategie niet aan.

dutchgio 10 mei 2016 16:20

"Rains stelt dat twee aspecten van het rapport hem verrasten. Zo had hij verwacht dat er een hogere detectiegraad van ransomware in terug zou komen. Op dit moment speelt deze vorm van malware, die bestanden versleutelt en vervolgens om losgeld vraagt, namelijk maar een beperkte rol."

Kanttekening daarbij dat het rapport over 2015 gaat, en de ransomware pas sinds begin dit jaar echt explosief aan het groeien is, met onder andere Locky..

pmeter

@dutchgio • 10 mei 2016 16:28

Dan volgt er misschien een update van Tim Rains dat er nu wel reden is voor paniek

MAX3400

Microsoft

@dutchgio • 10 mei 2016 16:51

Kanttekening daarbij dat het rapport over 2015 gaat, en de ransomware pas sinds begin dit jaar echt explosief aan het groeien is, met onder andere Locky..

Heb je het rapport gelezen? De ransomware-uitbraken, waarbij onder verschillende namen/iteraties, er bestanden werden versleuteld en tegen betaling konden worden ontgrendeld, zijn zo rond september 2015 al begonnen.

In hoeverre dit als ransomware gedetecteerd is/was, of geclassificeerd als malware (dus geen versleuteling maar wel onveilige bestanden op je disk), kan ik niet beoordelen. Maar wat ik wel kan lezen is dat in Q4 2015 de infection-rate is gestegen van 3% naar 15% voor Nederland.

Enige correlatie/nuancering van de bekende nieuwposts, topics en andere berichten omtrent malware/ransomware, lijken dus op zijn plaats.

dutchgio @MAX3400 • 10 mei 2016 16:57

Ja, ik heb gisteren het hele document doorgenomen.
De start is er inderdaad, maar pas vanaf januari/februari is er een explosieve groei geweest hierin.

Destijds waren de signatures er inderdaad ook nog niet op aangemaakt, dus als het al gedetecteerd werd was dat misschien wel eerder als bijvoorbeeld generieke malware en niet specifieke malware, waardoor het ook niet terug komt in het rapport.

knakworst 10 mei 2016 16:34

Als onedrive nou eens versioning history zou implementeren (voor office bestanden is dit wel actief, voor alle andere bestanden niet). Dan zou dat een hoop ellende kunnen schelen voor mensen die bestanden denken veilig in de cloud te hebben neergezet.

https://onedrive.uservoic...-history-for-all-types-of

bArAbAtsbB @knakworst • 10 mei 2016 16:54

Dropbox heeft dat wel!

mjl @bArAbAtsbB • 10 mei 2016 17:38

Tja, maar als en cryptoware een beetje slim is encrypt deze al weken of maanden je bestanden zonder je het weet en steelt het je dropbox toegang en delete je versioning/time objects van je dropbox...

Het is maar 1 middel, en om alles af te vangen in deze scenario's heb je nogal wat Back-up 'kosten' wat een particulier zich niet mee wil/kan bezig houden als te duur gezien wordt.

De suggestie om bijv 2 of 3 externe hardeschijven te kopen en netjes elke week of 2 weken alternerend een Back-up te maken is voor 99% al te veel kosten (en vooral moeite).

heatwave31 10 mei 2016 16:49

zo heb je ook "dorment" ransomware die al tijden in je systeem aanwezig kan zijn zonder zich te activeren en op gezette data zich kan activeren. die zit dan ook in je offsite backup. blijf je aan het restoren..;-)

mjl @heatwave31 • 10 mei 2016 17:33

Ja, dat klopt, of ransomware die je pc encrypt en dan pa na een paar weken om geld gaat vragen.

Echter is de detectie kans in de tussentijd aanwezig, en aangezien de data nog toegankelijk is voor de gebruiker is de key nog in het systeem en de boel te redden. Te lang wachten kan de ransomware dus ook niet. Het zal aan balans moeten worden en daar kan je weer een backupstrategie op zetten.

Of antivirus scanners e.d. Hier echter al op acteren is nog maar de vraag. Als het inderdaad en 'klein' probleem is tov virussen, Trojans en andere malwares zal het niet de volle aandacht hebben van de antivirus makers.

Verwijderd @mjl • 10 mei 2016 23:43

Het zal aan balans moeten worden en daar kan je weer een backupstrategie op zetten.

Probleem is dat jij die balans niet kent. Je weet niet of je ransomware te pakken hebt die na 2 weken de boel op slot gooit of pas na 2 maanden.
We weten nu niet eens wat er nu allemaal nog slapende is. Lang niet alle ransomware is bekend.
Hoe wil jij je strategie hierop aanpassen?

mjl @Verwijderd • 11 mei 2016 09:56

Een jaar lang backups bewaren? Voor privé personen niet te betalen/ondoenlijk bedrijven doen dit vrij standaard.

Je kunt echter niks doen aan de 'slaap' periode, die data ben je kwijt bij een aanval.

Auredium 10 mei 2016 16:59

Ik ben het grotendeels wel eens met de bevindingen, ze lijkt overeen te komen met de trend die wat ons via de verschillende nieuwssites, blogs en ervaringen bereikt. Maar ik denk dat hier toch wel een beetje ransomwear wordt onderschat. De gevolgen zijn bij bedrijven vaak veel groter. Zoals pas geleden een aantal Amerikaanse ziekenhuizen ondervonden.

Ik zie in dit artikel verder niets terug over spearfishing, alhoewel ik het origineel wel nog even erop moet nalezen.

CAPSLOCK2000

Security
Netwerk en systeembeheer
Ransomware

10 mei 2016 18:20

Wat een warrig verhaal, ik weet niet of het aan Rains zelf ligt of aan het interview maar het rammelt een beetje.

Rains stelt dat twee aspecten van het rapport hem verrasten. Zo had hij verwacht dat er een hogere detectiegraad van ransomware in terug zou komen. Op dit moment speelt deze vorm van malware, die bestanden versleutelt en vervolgens om losgeld vraagt, namelijk maar een beperkte rol.

Vreemde zin, die kun je op twee manieren uitleggen. Het klinkt als een reden maar is een conclusie.
Dat de detecitiegraad laag ligt kan betekenen dat er weinig besmettingen zijn maar het kan ook betekenen dat ze niet worden gedetecteerd.

Hoewel ransomware zware gevolgen heeft, is er een aantal goede mitigations die de schade kunnen beperken, zoals offsite back-ups.

Backups terugzetten is zo'n beetje het zwaarste middel dat we hebben, ik zou dat geen mitigation meer willen noemen. Als je backups moet terugzetten dan is het al mis gegaan. Het betekent waarschijnlijk ook dat alle data van die dag verliest want backups zijn meestal een paar uur oud.
Is er eigenlijk een (software) probleem dat niet oplosbaar door backups terug te zetten?

Ik vind zijn woorden dus niet bepaald geruststellend.

Ook heb ik moeite met het onderscheid dat hij maakt tussen "ransomware as a service" en "gewone ransomware". Het verschil zit vooral in het verkoopmodel, technisch gezien is er geen verschil. Misschien dat de "as a service'" mensen wat beter hun best doen omdat hun klanten huren ipv kopen maar ik zie geen wezenlijk verschil, de techniek blijft hetzelfde.
Kant-en-klare pakketjes voor gebruikers zonder technische kennis zijn niks nieuws, die zijn er altijd al geweest. De bulk van de aanvallers maakt er gebruik van.

Daarbij zijn ze vaak uit op gevoelige informatie, die ze kunnen doorverkopen. Door deze informatie vervolgens met ransomware te versleutelen kunnen ze ook hoge losgelden eisen.

Deze bewoording is ook weer erg onhandig gekozen. Als je de informatie doorverkoopt hoef je hem niet te versleutelen. Industriele spionage heeft niks te maken met ransomware.

Veruit de meeste kwetsbaarheden komen voor in applicaties, wat voor Microsoft aanleiding is om niet alleen aan te zetten tot het up-to-date houden van systemen, maar ook de daarop draaiende software.

Kijk even goed naar de Linux-distributies, die hebben dit probleem 15 jaar geleden opgelost. Je wil een algemeen systeem hebben om software te downloaden en installeren waar applicaties kunnen inhaken. Iedere applicatie het zelf laten regelen is geen goed idee.
De appstores die we tegenwoordig hebben komen een stuk in de buurt maar de meesten maken een grote fout: ze hebben maar één bron voor alle software (een "repository"), namelijk de servers van de auteur. Het zou beter zijn als applicaties zelf bronnen kunnen toevoegen.

Iedereen die in de appstore wil moet zich houden aan de regels van de eigenaar. Die eigenaar heeft typisch zelf belang bij de applicaties en zal z'n macht gebruiken om regels op te leggen aan de programmeurs.
Dat kan prettig zijn om de gebruiker te beschermen maar het heeft ook nadelen. Soms zijn er goede redenen om niet in de appstore van een ander te willen. Denk bijvoorbeeld aan porno, in veel appstores is sex niet toegestaan. Dat is fijn voor de tere kinderzieltjes maar volwassenen moeten voor hun (volledig legale) porno terecht op wazige sites op internet. Er zijn vast appstores voor porno, maar wie durft zo iets te installeren? Voor porno mag je natuurlijk een willekeurig ander controversieel onderwerp invullen.

Onder Linux zijn er mechanismes om zelf nieuwe repositories toe te voegen aan je systeem waarna die software beschikbaar komt en updates automatisch worden meegenomen door de updater van het systeem.

Een tweede les die ze van Linux kunnen leren is dat je installers eigenlijk niet executabel moet maken. Van de ene kant is het wel makkelijk dat je software zichzelf installeert maar het heeft ook grote nadelen. Zo weet je van te voren niet echt wat er in een executabel zit en wat er gebeurd als je hem uitvoert. De ene "setup.exe" is haast niet te onderscheiden van de andere "setup.exe".
Onder Linux mag software zichzelf niet installeren. Een pakket bevat een overzicht van het werk dat er moet gebeuren maar dat wordt vervolgens gedaan door de systeem, en niet door de applicatie zelf. Zo voorkom je dat bugs (of kwade opzet) zorgen voor software die niet meer verwijderd kan worden of die stiekem op de achtergrond extra processen installeert waar het systeem geen weet van heeft.
Het is niet perfect, het is vrij makkelijk om iets te verbergen in een Linux-pakket, maar er is in ieder geval een mechanisme dat alle installaties verzorgt en controleert. Hier kunnen steeds meer controles aan toe worden gevoegd.
Daarnaast zijn executables vatbaar voor dll-jacking. Het gaat wat te ver om hier op de details in te gaan maar het is mogelijk om de werking van executabels te veranderen door een extra bestandje in dezelfde directory te plaatsen. Als je software installeert vanuit de "downloads" of "cache" directorie van je browser is het vrij gemakkelijk om zo'n bestandje naar binnen te smokkelen met een drive-by-download.

Verwijderd @CAPSLOCK2000 • 10 mei 2016 23:51

Leuk dat je beschrijft hoe het onder Windows wel en niet zou moeten zijn en dat het onder Linux beter is maar dat verandert niets aan de situatie.
Onder Windows kun je overigens een deel van de zaken nu al voorkomen door de juiste rechten in te stellen en onder Linux kun je het systeem naar de knoppen helpen als ook daar de rechten niet juist zijn ingesteld.
Microsoft is overigens al bezig met diverse packet managers en wil uiteindelijk naar het overkoepelende OneGet toe.

Verwijderd 10 mei 2016 20:25

Het beste advies tegen malware geeft Microsoft natuurlijjk niet: gebruik Linux in plaats van Windows.

Dat is geen flauwe opmerking maar bloedserieus. Met Linux ben je absoluut veel minder kwetsbaar voor ransomware en andere troep. Een virusscanner heb je dan zelfs niet nodig.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 19:29]

Verwijderd @Verwijderd • 10 mei 2016 23:53

Je zegt het zelf al. Minder kwetsbaar. Dus niet onkwetsbaar. Er zijn virussen, malware en zelfs ransomware voor Linux.
Een virusscanner zou wel prettig zijn als jij in contact staat met Windows-gebruikers. Zo helpt je de schade voor 90% van de pc-gebruikers toch weer wat kleiner te houden door niet mee te werken aan de verspreiding van rotzooi.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (156)

Sorteer op:

Weergave: