Politie stopt ransomware met voornamelijk Nederlandse en Belgische slachtoffers

De Nederlandse politie heeft samen met het OM een ransomwareserver offline gehaald, die voornamelijk malware serveerde aan Nederlandse en Belgische slachtoffers. In totaal gaat het om ongeveer 5800 geïnfecteerde computers.

Daarvan maakten 236 slachtoffers gezamenlijk een bedrag van 70.000 euro aan de criminelen over om hun bestanden terug te krijgen, zo meldt de politie. Bij de malware draait het om de zogenaamde Wildfire-ransomware. Samen met Intel Security en Kaspersky is er een decryptietool voor de malware ontwikkeld. Ook zegt de politie dat slachtoffers automatisch een bericht kregen dat deze tool beschikbaar is door aanpassingen te maken aan de server. De twee beveiligingsbedrijven werken samen met de politie en Europol aan het zogenaamde 'no more ransom'-project, dat eind juli van start ging.

In een blogpost schrijft Intel Security dat de ransomware werd verspreid door spam-e-mails, waarin Nederlandse tekst was opgenomen over een mislukte bezorgpoging van een pakket. Daarbij maakten de criminelen gebruik van de gegevens van bestaande vervoersbedrijven, om het bericht zo echt mogelijk te laten lijken. Daardoor acht het beveiligingsbedrijf het niet ondenkbaar dat een Nederlandse groep bij de verspreiding was betrokken. De criminelen achter de ransomware zouden echter hoogstwaarschijnlijk uit Oost-Europa komen, omdat deze landen in de broncode waren uitgesloten. Ook duidt Russisch commentaar in de code erop dat het zou kunnen gaan om ransomware as a service.

De 'no more ransom'-site is volgens de Nederlandse politie inmiddels ongeveer 300.000 keer bezocht en heeft enkele honderden personen geholpen hun bestanden terug te krijgen. De site biedt een manier om ransomware te identificeren en er zijn verschillende decryptietools te vinden. Ook bevat de site voorlichting over ransomware en tips om zo min mogelijk schade door een infectie te ondervinden, bijvoorbeeld door van back-ups gebruik te maken.

Bericht dat Wildfire-slachtoffers te zien kregen

IT-banen

Reacties (147)

Nico Klus 24 augustus 2016 08:54

Misschien aardig om ook het linkje naar de site te vermelden:
https://www.nomoreransom.org

[Reactie gewijzigd door Nico Klus op 23 juli 2024 15:05]

pennywiser @Nico Klus • 24 augustus 2016 10:40

Deze is ook handig: https://noransom.kaspersky.com/

Juicy 24 augustus 2016 07:49

Daarbij maakten de criminelen gebruik van de gegevens van bestaande vervoersbedrijven, om het bericht zo echt mogelijk te laten lijken. Daardoor acht het beveiligingsbedrijf het niet ondenkbaar dat een Nederlandse groep bij de verspreiding was betrokken.

Ik heb ook een aantal van deze mailtjes gekregen maar het Nederlands is toch van een erg bedenkelijk nivo. Bijvoorbeeld: "U mag krijgen tracking nummer nu direct met onze online Tracking".

Om nu direct aan te nemen dat er een Nederlandse groep bij betrokken was omdat er Nederlandse woorden in de mail staan is erg vreemd ... Zeker nooit gehoord van online vertaling services ?!

[Reactie gewijzigd door Juicy op 23 juli 2024 15:05]

ReTechNL @Juicy • 24 augustus 2016 10:42

Hier staat een technische analyse van het Ransomware virus:
https://securelist.com/bl...at-takes-holland-hostage/

Wildfire spreads through well-crafted spam e-mails. A typical spam e-mail mentions that a transport company failed to deliver a package. In order to schedule a new delivery the receiver is asked to make a new appointment, for which a form has to be filled in, which has to be downloaded from the website of the transport company.

Three things stand out here. First, the attackers registered a Dutch domain name, something we do not see very often. Second, the e-mail is written in flawless Dutch. And thirdly, they actually put the address of the targeted company in the e-mail. This is something we do not see very often and makes it for the average user difficult to see that this is not a benign e-mail.

Afbeelding van de mails: https://cdn.securelist.com/files/2016/08/wildfire_eng_1.png

barchettanl @ReTechNL • 25 augustus 2016 12:28

sidn.nl geeft aan dat het domein op 22 juli werd geregistreerd door PDR Ltd. uit de Verenigde Arabische Emiraten en op 28 juli werd afgesloten ...
Opvallend dat de url hieronder (transportbedrijfemmelkampt.nl) niet als geregistreerd staat. Of zou het sidn.nl die reeds uit z'n database gehaald hebben?

Powersoft744 @Juicy • 24 augustus 2016 10:06

Bij deze de betreffende mail:

Emmelkamp Transport B.V.
Opaalstraat 111
1812 RH Alkmaar
--------------------------------

Geachte heer / mevrouw,

Op maandag 1 augustus heeft een van onze chauffeurs omstreeks 09:30 geprobeerd om een pakket af te leveren op het onderstaande adres.

xxxx
Xxxlaan
NL-XXXX AA ARNHEM

Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afspraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen naar info@transportbedrijfemmelkampt.nl
U kunt het benodigde formulier downloaden op onze website: http://xxxxxxxxxx (dit formulier bevat ook informatie m.b.t. de levering)

Met vriendelijke groet,

Joyce Klepper

De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.

Ik neem aan dat die echt genoeg eruit ziet... Er zat ook n bestand bij waarop toen onze scanners nog niet regaeerden. Gelukkig vertrouwde mijn collega t niet en na toetsing op virus/malware systeem bleek t malware.. Maar deze mail is griezlig echt. Ook de bijgevoegde hyperlink lijkt naar het transportbedrijf te verwijzen. Maar daar ga je uiteraard niet naar toe.

Ps onze bedrijfsgegevens uiteraard verwijderd.

Edit:opmaak verbeterd. En nog wat toegevoegd

[Reactie gewijzigd door Powersoft744 op 23 juli 2024 15:05]

indigo79 @Powersoft744 • 24 augustus 2016 10:41

Het is niet de enige email die op het eerste zicht wel in orde lijkt. Als het een echte zou zijn, zou er nog een pakketnummer in staan, maar ook die heb ik al gehad. Als ik vermoed dat het misschien kan kloppen, google ik het telefoonnummer van het bedrijf op en bel ik. Dan is het direct duidelijk of het een echte email was (en is het ineens geregeld als het een echte was). Jammer dat dat wat meer personeel vraagt als iedereen dat doen (een klein beetje politiek incorrect hoop ik maar dat er dan een paar mensen een zinvolle job hebben in plaats van een werkloosheidsuitkering), maar het kost minder tijd en brengt minder risico met zich mee dan zorgvuldig uitpluizen of het wel of niet kan kloppen.

3raser @indigo79 • 24 augustus 2016 11:33

Als het een echte zou zijn, zou er nog een pakketnummer in staan, maar ook die heb ik al gehad.

Het leveringsnummer wordt vermeld in het onderwerp van de e-mail en in de link naar het vervoersdocument (het virus). Die link is hierboven verwijderd en het onderwerp is niet weergegeven. Maar het wordt dus wel degelijk genoemd.

dutchgio @Juicy • 24 augustus 2016 07:53

Ze worden wel steeds beter, in goed Nederlands en met Postnl logo's en dan een bepaalde link of orderdetail als bijlage, wat vervolgens de ransomware executable is.

Robbaman @ArgantosNL • 24 augustus 2016 09:52

Ik begrijp niet hoe mensen zich zo slecht in een ander z'n schoenen kunnen zien. Mijn ouders, beide 65+ gebruiken ook (min of meer verplicht vandaag de dag) een computer.

Voor hen is het soms al lastig om verschillende 'windows' van elkaar te onderscheiden, laat staan te redeneren op het niveau dat jij van ze verwacht. Hun gedachte zou kunnen zijn "Hmm, volgens mij heb ik niks besteld. Even kijken waar dat pakketje dan vandaan zou moeten komen... <klik>".

Als Windows een waarschuwing geeft dat de app "<voor hen onbekende naam van de virusscanner app>" systeemtoegang nodig heeft voor een update, moeten ze op ja klikken, want dan ben je veilig bezig. Maar als een andere app waarvan zij de naam niet kennen hetzelfde vraagt, moeten ze ineens nee klikken.

WiseGuy_NL @Robbaman • 24 augustus 2016 11:57

Dit heb ik opgelost door het account waaronder ze werken geen admin rechten te geven. Wanneer ze iets willen installeren, doe ik dat voor ze op afstand. De computer is nog nooit zo lang zo schoon gebleven

Shin_Alu @WiseGuy_NL • 24 augustus 2016 13:57

Dan heb je ergens nog mazzel.
De meeste ramsonware heeft opzicht geen admin rechten nodig. De enige rechten om schade aan te richten is het kunnen aanpassen van bestanden zoals documenten en afbeeldingen.

Robbaman @WiseGuy_NL • 24 augustus 2016 12:00

Haha, ja, dat heb ik ook wel eens overwogen, maar toen hingen ze elke week aan de telefoon. Dan weer een virusscanner update, dan weer Java, dan weer Chrome, dan weer Windows updates... werd er gek van.

Dag mam, je bent in de 60, als ze je identiteit stelen heb ik nog wel een kartonnen doos!

Dennisdn @Robbaman • 24 augustus 2016 12:27

Ik heb het opgelost door de laptops van ze af te pakken en een iPad te geven. Zelfs m'n opa heeft op zijn 91e ontdekt hoe hij moet internetbankieren.
Van alle gezeur af, want die generatie doet toch vaak niet meer dan internet en een mailtje.

Anoniem: 614 @Robbaman • 24 augustus 2016 12:29

Hoezo? Is helemaal niet nodig. Ze mogen wel updaten, alleen dan niet als admin. En die admin rechten heb je bijna nooit nodig. Kan je goed zien want dan komt er een prompt voor admin wachtwoord.
Niet bij AV updates en ook niet bij Windows updates.

Chrome en Java gebruiken ze niet. Wil je ook niet op een grootouders PC of ze moeten nog XP gebruiken. Ik mag hopen dat ze op 7/8/10 zit.

Gaat prima dus zoals Wiseguy zegt. Doe het al jaren zo bij de beide grootouders. Zo moet het zelfs.
Als ik 3x op een jaar hierover gebeld wordt, is het veel.

Die kartonnen doos voor je moeder kan je dus weggooien.
.

[Reactie gewijzigd door Anoniem: 614 op 23 juli 2024 15:05]

Caviatjuh @Anoniem: 614 • 24 augustus 2016 18:02

Zelfde gedaan bij mijn moeder inderdaad (mijn pa zal het wel niet pikken, nooit geprobeerd). Sporadisch wordt ik hier wel eens over gebeld, maar ik denk dat het 2x voorgekomen is in de afgelopen 3 jaar. De meeste bedrijven hebben toch uitgebreide online omgevingen, dus lokaal hoeft er eigenlijk nooit iets geïnstalleerd te worden door haar.

@Robbaman: Windows Update en virusdefinities gaan allemaal automatisch, behalve als je wat rare instellingen heb gedaan.

dakathefox @Anoniem: 614 • 25 augustus 2016 13:11

Hoezo? Is helemaal niet nodig. Ze mogen wel updaten, alleen dan niet als admin. En die admin rechten heb je bijna nooit nodig. Kan je goed zien want dan komt er een prompt voor admin wachtwoord.

* stokpaardje tevoorschijn halen *

Nog beter is het om deze generatie direct kennis te laten maken met Chrome OS. Dan ben je in één klap van het gemieter af, hoeven je grootouders zich niet zorgen te maken over virussen en andere spyware shit en kunnen ze gewoon internetten. Updates worden geinstalleerd zonder dat ze het merken en je wordt niet meer in paniek gebeld omdat de internet-knop is verdwenen van het bureaublad.

* stokpaardje terugzetten *

Flaat @ONiel • 24 augustus 2016 14:15

Ik kan Deepin os erg aanraden als oude mensen Linux. Ui is erg intuïtief en alle instellingen zijn een stuk makkelijker bereikbaar dan in de meeste Linux varianten. De store is ook goed gedaan en heeft veel leuke apps.

vrow @WiseGuy_NL • 25 augustus 2016 10:04

Vergeet niet dat de meeste ransomware helemaal geen admin hoeft te zijn. Als jij bij Mijn Documenten kan, kan ransomware die onder jouw account draait dat ook gewoon en ben je 'gewoon' de klos.

nullbyte @Robbaman • 24 augustus 2016 13:11

Ik zou ze de cursus "veilig internet" van Certified Secure laten maken. https://www.certifiedsecure.com/frontpage. "geef een man een vis en hij heeft eten voor één dag. leer een man vissen en hij heeft eten voor heel zijn leven."

xsive @nullbyte • 24 augustus 2016 22:56

Ik betwijfel of het verstandig is om iedereen te leren vissen

nullbyte @xsive • 25 augustus 2016 04:27

Dat is het zeker niet, in dit geval maakt het denk ik weinig uit.

PilatuS @Robbaman • 24 augustus 2016 15:43

Beetje hetzelfde als op een site komen waar 10 download knoppen staan. Zelfs ik als tweaker heb er soms moeite mee om te zien welke een foute banner is en welke de juiste is.

Ook bij virusmailtjes zie je dat dingen als taalgebruik steeds beter worden. Voor ons als tweakers makkelijk om niet in te trappen, maar voor iemand van 65+ inderdaad niet zo makkelijk.

Als je niet bent opgegroeid met technologie zoals de meeste mensen hier is het op late leeftijd verdomd moeilijk om mee leren om te gaan. De meeste mensen zijn dan blij dat ze kunnen emailen en een app kunnen installeren, maar bekend zijn met iedere vorm van scams en gewoon niet realistisch.

Krilo_89 @ArgantosNL • 24 augustus 2016 10:00

- hoe komen zij aan je e-mail adres

Dus jij behandeld alle mailtjes van mensen die je jouw e-mailadres niet hebt gegeven als spam?

Een hoop mensen weten niet waar ze op moeten letten bij dat soort mailtjes, dus dit soort dingen kun je ze simpel leren. De e-mails worden qua tekst en vormgeving steeds beter, heb zelfs al eens mails gezien van de rabobank, welke ook doorverwezen naar een "rabobank-look-a-like" site. Daar was écht wel werk in gestopt en dat soort spam berichten worden alleen maar beter en echter.

Kijk sowieso altijd naar de afzender achter het @.

Het gaat ook niet lang meer duren voordat alle emails ondertekend verstuurd moeten worden, waardoor je sowieso kunt zien of berichten daadwerkelijk van postNL of de rabobank komen etc.

Anoniem: 324173 @Krilo_89 • 24 augustus 2016 11:05

Hoe bedoel je ondertekend?

Krilo_89 @Anoniem: 324173 • 24 augustus 2016 11:32

Ik weet niet of dit artikel duidelijk is, maar het legt alles op een simpele manier uit: https://www.sidn.nl/a/vei...pen-in-geval-van-phishing

Het gaat erom dat wanneer iedereen zijn mail ondertekend met een key, dan is het niet meer mogelijk voor spammers/phishingmailers jou te bedriegen. Zij worden bij het ontbreken van een goede of een foutieve DKIM key namelijk direct als spam gemarkeerd door goede spamfilters. Zo krijg je dus nooit meer troep binnen wat achter je bankgegevens oid probeert te komen.

Ze kunnen natuurlijk wel de mails versleutelen vanaf raboobank.nl (dus een domeinnaam wat erop lijkt), maar dat is alweer een stap verder.

Anoniem: 324173 @Krilo_89 • 24 augustus 2016 11:35

Je doelt waarschijnlijk op SPF, dat is een begin maar met een geregistreerd domein is het al omzeild. Dus zeg nooit, nooit meer.

Wel wil ik erbij vermelden dat je bij een encryptie virus die per e-mail het spamfilter ontglipt is het direct bij het spamfilter te melden, je 'red' daar de meeste slachtoffers mee.

[Reactie gewijzigd door Anoniem: 324173 op 23 juli 2024 15:05]

Krilo_89 @Anoniem: 324173 • 24 augustus 2016 11:38

Nee, SPF is al redelijk achterhaald door DKIM en DMARC.

-edit-
SPF kan bijv. wel helpen wanneer er alleen maar verstuurd mag worden vanaf geregistreerde ipadressen. Maar dit is erg onderhoudsgevoelig en werkt niet wanneer mensen vanaf mobiele telefoons willen zenden etc.

Ik geef aan dat je altijd op het domein in de afzender moet letten, dus wat na de @ staat. Als dat ing.nl of rabobank.nl is, en het bericht is ondertekend dmv DKIM en DMARC, dan weet je 99,999% zeker dat het verstuurd is vanaf de Rabobank of ING. en dus écht is.

[Reactie gewijzigd door Krilo_89 op 23 juli 2024 15:05]

eborn @Krilo_89 • 24 augustus 2016 18:45

Voor dkim zul je toch ook een uitgaande mailserver nodig hebben die de mail voor je signeert. Weinig tot geen (mobiele) clients doen dat zelf. Als je dan toch al een vaste smarthost gebruikt, dan is spf niet zo lastig meer.

Cheap Apps @Krilo_89 • 24 augustus 2016 10:18

Heb een keer een "ING"-mailtje doorgestuurd gekregen van een vriendin van me. Was zeker weten phishing, maar ik werd doorgestuurd naar de echte ING site. Waarom? Een Linux gebruiker wordt van uit gegaan verstand er van te hebben en wordt automatisch over geslagen.

Krilo_89 @Cheap Apps • 24 augustus 2016 11:34

Wat "phishte" deze mail dan, als er niets verwijst naar een nep ING bedrijf?

Ik heb het zelf ook over het domein van de afzender. Die kun je alleen zien wanneer je de gegevens van de email goed bekijkt. In de mail zelf kunnen ze best het échte adres van ING gebruiken, maar als afzender kan dit nooit.

ps, ik kan je -1 niet wijzigen omdat het een reactie op mij is, maar ik vat dit niet op als flame?

[Reactie gewijzigd door Krilo_89 op 23 juli 2024 15:05]

Cheap Apps @Krilo_89 • 24 augustus 2016 12:14

Op Windows werd je doorgestuurd naar een nette kopie van de inlogpagina van de ING (die er goed uit zag!), maar dan ook een veld met telefoonnummer er bij. Dit met begeleiding van het mailtje dat er ongewone activiteit op het account is geweest in goed Nederlands en je hebt kassa. Ik kreeg de mail al doorgestuurd omdat iemand het een vreemd e-mail adres vond, dus dat is zeker een belangrijke, maar vergeet niet dat je adressen kunt spoofen, of iets maken wat er gigantisch op lijkt! Een mooi voorbeeld wat ik heb gezien is stearnpowered, in plaats van steampowered (RN in plaats van M).

Waarom mensen het als -1 aanduiden, geen idee.

LXFan @Krilo_89 • 28 augustus 2016 14:30

Bij de KPN-versies staat @kpn.com; "daaraan" is niet te zien dat het malware, ransomware is!
Scarlet(nu Stipte) idem.
Onder water pas te zien, dat het niet van KPN komt.

i-chat @ArgantosNL • 24 augustus 2016 10:36

je verwacht geen pakketje is echt een non-reden, ik verwacht bijv regelmatig geen pakketjes, om er vervolgens achter te komen dat mijn verzeraar de nieuwe polis netjes in en ringband heeft gestoken, dat ik weer cursus materiaal thuisgestuurd heb gekregen (waarvan niet eerst een melding gemaakt word via bijv email) denk LOI NTI of Open Univ. en dergelijken... maar bijv ook als je eens een nieuwe broek koopt bij C&A vervolgens een mail krijgt dat ie niet meer leverbaar is, je geld teruggestort krijgt, maar 6 weken later als nog de betreffende broek aangeboden krijgt door die vriendelijke postmeneer...
als je ietwat paranoia bent, en in een stad als amsterdam leeft, is het elke keer weer twijfelen of het echt wel postnl is of een roemeense groep met overvallers om je af te maken en je huis leeg te halen. want je verwachtte immers geen pakketjes?

ArgantosNL @i-chat • 24 augustus 2016 10:53

Uit persoonlijke ervaring gooit Postnl altijd zo'n oranje briefje in de bus als je niet thuis bent. Ze sturen nooit een e-mail bericht over gemiste pakketten, trace-codes krijg je altijd via je leverancier per mail.

Met even logisch nadenken weet je dat dit fishy is zelfs mijn oma van 80 snap dit.

Als je een beetje nadenkt is het niet nodig om in dit soort dingen te trappen. Want ze zijn meestal duidelijk nep of het is onlogisch dat je het krijgt. Het is niet zo dat je en de mail headers moet gaan kijken of het wel een echt mailtje is, als dat zo zou zijn dat kan ik het ze niet kwalijk nemen. Niet nadenken is voor mij geen excuus.

Glashelder

@ArgantosNL • 24 augustus 2016 11:26

PostNL verstuurd wel degelijk e-mails over pakketten.

Vandaag hebben we uw pakket van Conrad Electronic Benelux B.V. ontvangen in ons sorteercentrum. De verwachting is dat dit pakket morgen met één van onze pakkettenbezorgers mee zal gaan om bij u bezorgd te worden. Met onderstaande Track & Trace-code kunt u op elk moment de huidige status van uw pakket zien.

De stap naar een e-mail over een gemist pakket, met direct een link naar een WebApp om een alternatief adres (of pick-up point) te selecteren (een service die ze bieden) is vervolgens een kleine stap.

Dus.. wat nou logisch nadenken?

[Reactie gewijzigd door Glashelder op 23 juli 2024 15:05]

ArgantosNL @Glashelder • 24 augustus 2016 11:35

Als je hierna een mailtje krijgt van je hebt een pakket gemist zonder trace code of enige informatie is nogal verdacht.

Glashelder

@ArgantosNL • 24 augustus 2016 11:58

Als de criminelen dus gewoon een 3S code hadden opgenomen dan is het ineens wel te vertrouwen?

Wat een bullshit. Feit is gewoon dat PostNL wѐl mails stuurt (in tegenstelling tot wat jij zegt) en dat het helemaal niet zo enorm dom is om erin te trappen, zo geraffineerd als die mails tegenwoordig zijn. Het enige wat nog steeds crap is, is gewoon het taalgebruik. Dat verraad een dergelijk mailtje.

De rest van je punten (PostNL mailt niet, 'je verwacht geen pakketje') is gewoon flauwekul.

loki504 @Glashelder • 24 augustus 2016 18:44

Postnl heeft zelf een mailtjes over fischy mails verstuurd met een link voor meer info via een externe mail server. Dan begrijp je ook wel dat het ook daar niet altijd goed gaat.

3raser @ArgantosNL • 24 augustus 2016 11:29

In jouw persoonlijke ervaring worden 100% van alle pakketten door PostNL bezorgt. Helaas voor PostNL is dat niet het geval. Er zijn genoeg andere (en ook kleinere) bezorgers en die hanteren andere methoden om je te melden dat je een pakket hebt gemist.

Ik heb enkele van deze e-mails gezien en zie zien er behoorlijk echt uit. De gegevens kloppen netjes en ook de bijbehorende links en domeinnamen komen overeen met de bedrijfsnaam. Het wordt pas verdacht als je het Word-document opent en ziet dat erin staat dat je de beveiliging van Word moet opheffen om de inhoud te kunnen lezen. Maar voor veel mensen is het dan al te laat en is het vertrouwen al gewonnen.

Het is niet zo dat je en de mail headers moet gaan kijken of het wel een echt mailtje is, als dat zo zou zijn dat kan ik het ze niet kwalijk nemen.

In dat geval kun je ze het niet kwalijk nemen. Geloof mij maar, de mail headers waren prima in orde. Het betrof echter geen PostNL.

Daniel_Elessar @ArgantosNL • 24 augustus 2016 12:08

Ik kreeg netjes een email dat het pakket was afgeleverd terwijl dat niet zo was. Ik was de gehele dag thuis en heb geen enkele bel gehoord, wij horen die van de buren boven dus dat we onze eigen bel niet horen bestaat niet. Maar goed toch eens kijken en ja hoor het pakje stond netjes op de brievenbus waar iedereen aan kan komen. Daarnaast was het tweede pakje wat door diezelfde postbode is gebracht wel naar de over buren gebracht zonder enig briefje.

Misschien is dat een enkele postbode en ik heb dan ook een uitgebreide klacht geschreven naar Postnl belgie. Maar het gebeurd meer in deze straat. Hopelijk wordt diegene ontslagen

on topic: Veel mensen denken inderdaad iets van 'hmm ik heb toch niks besteld?' maar klikken voor de zekerheid want misschien heeft hun partner of kinderen wel iets besteld op hun naam. Gebeurd hier ook best wel eens.
Als ook maar 70% van de mensen hierin trapt is het een goudmijn voor de criminelen.
Hoe dom het ook is, het gebeurd.

Ergens vind ik dit ook knap gemaakt, gehele netwerken platleggen en de bestanden encrypten. Betaal maar en je krijgt de codes. Ergens hadden sommige nog wel een code want er werd door sommige ook wel gekeken naar hoeveel bestanden etc er was. Evengoed blijven het criminelen en moeten ze aangepakt worden

Olaf van der Spek @ArgantosNL • 24 augustus 2016 09:47

- je verwacht geen pakketje

Er zijn mensen die wel een pakketje verwachten..

ExoRRSmits @Olaf van der Spek • 24 augustus 2016 10:09

Dat is gewoon toeval!
Nouja, je hebt natuurlijk ook mensen die iedere dag pakketjes krijgen...

Maar dan nog, je hoeft niet op de link te klikken..
Open de app van postnl op je smartphone of ga naar de website van postnl i.p.v. op de link in een e-mail drukken.

erwinwernars @ExoRRSmits • 24 augustus 2016 11:14

mensen zijn lui? waarom zou je dat doen als er ook een link word verstuurd. allemaal extra werk... verplaats je eens in andere die de computer zo min mogelijk willen gebruiken...

Brousant @ExoRRSmits • 24 augustus 2016 15:22

Maakt voor de phisher niet uit of het voor de ontvanger toeval is! Makkelijk zat om enorme aantallen mails automatisch de deur uit te doen en het kost praktisch niks. Als zeg 1 op de duizend ontvangers net een pakket verwacht, en daarvan een gedeelte tot betaling is te verleiden, kan het al gauw uit.

Robbaman @ExoRRSmits • 24 augustus 2016 12:00

Nouja, je hebt natuurlijk ook mensen die iedere dag pakketjes krijgen...

Oh is dat niet de standaard? Dan ben ik met de verkeerde getrouwd blijkbaar

ExoRRSmits @Robbaman • 25 augustus 2016 09:40

ohja, ik was het mannetje van zalando ff vergeten!

NotSoSteady @ArgantosNL • 24 augustus 2016 10:01

Je rekent bij jezelf af, jij en ik weten dat, maar 80% van de rest van Nederland niet. Mijn moeder verwachte bijvoorbeeld wel een pakketje en heeft de link aangeklikt waarna de bijlage wordt gedownload.

Het zijn gewoon een stel ratten en hoewel het niet verstandig is om dit soort links aan te klikken, is het soms een samenloop van omstandigheden.

laserdesign @ArgantosNL • 24 augustus 2016 12:22

Deze mails werden voornamelijk naar bedrijven gestuurd en die krijgen het hele jaar door pakjes
Soms is er een pakje en dan blijkt het reclame te zijn van een fabrikant

nullbyte @ArgantosNL • 24 augustus 2016 13:07

Ik zie in je profiel professionele ervaring helpdesk staan. Dan zal je toch weten dat er gebruikers zijn die echt de meest simpele dingen niet snappen. Of niet willen snappen omdat het ze niets interesseert. Ieder z'n ding. De leeftijd van 65+ helpt ook niet mee.

[Reactie gewijzigd door nullbyte op 23 juli 2024 15:05]

loki504 @ArgantosNL • 24 augustus 2016 18:35

Postnl heeft gewoon mijn e-mail hoor. Aangezien ik een account heb. Tevens kunnen ze opvragen bij de verstuurder. En genoeg mensen krijgen pakketjes van promotie materiaal. Of vrouw lief die weer eens wat bestelt. Of een RMA die sneller is gedaan als gepland. Of je verwacht daad werkelijk een pakketje.

indigo79 @ArgantosNL • 24 augustus 2016 10:34

Dat haalt niet weg dat het dom is om er in te trappen, denk even aan het volgende:
...
- hoe komen zij aan je e-mail adres
...

(ik heb even selectief geknipt, je andere argumenten houden uiteraard nog altijd steek)

Op de bpack world vignetten (van bpost) die ik hier heb liggen wordt expliciet naar het emailadres van zowel verzender als bestemmeling gevraagd. Ik vul die nooit in (eerst moeten ze me maar overtuigen waar ze dat voor nodig hebben; de tracking code stuur ik zelf wel door naar de ontvanger), maar op die manier kunnen ze wel je emailadres hebben als je effectief een pakje verstuurd hebt of verwacht.

ChristopheS @dutchgio • 24 augustus 2016 09:55

Wij krijgen bij ons vaak valse bestellingen met yahoo accounts.
Er wordt een PostNL Shipping aangemeld en wachten op betaling voor hij in de avond mee gaat.

Paar dagen later zijn er spoof advertenties met die exacte mail te vinden, iets wat onze CS zich mee bezig houdt.

Dan enkele dagen later besteld hetzelfde yahoo account of iets gelijk aardig (123, 124, 125 in de naam) plots voor tot 20.000€ aan elektronica met enkele MasterCards.
Ja dat is niet hetzelfde hier als in ransom vragen.

Maar we merken duidelijk dat ze iets namaken van onze leveringen en dan mensen waarschijnlijk oplichten en zo aan buit komen (geld, credit card gegevens,..).

Bo3r @Juicy • 24 augustus 2016 10:18

Hier heb ik het virus vorige week ook op bezoek gehad en deze was toch in goed/perfect Nederlands opgezet.

Toen ik er informatie over opzocht kwam ik deze versie tegen begin juli:

Geachte heer / mevrouw,

Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren. Aangezien dit niet is gelukt willen wij u graag
verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.

Zoals je kan zien staat er 1 fout in: geprobeerT. Nu in de versie die wij hier ontvangen hebben, ongeveer een maand later was dit al gecorrigeerd naar geprobeerd. Verder wordt je persoonlijk aangesproken, je adres staat vermeld, ...
Ik vond dit zeer professioneel opgezet!

Verder voor de systeembeheerders onder ons: Windows server (ik denk vanaf 2008) heeft een feature 'File server resource manager'. Hier kan je mee instellen welke extensies zijn toegelaten en/of verboden op shares, disks, ...
Je kan ook instellen dat je een mailtje krijgt wanneer er toch iemand een bepaald type bestand wil aanmaken:

User [User] attempted to save E:\test.zepto to E:\ on the [Name] server. This file is in the "RansomVirusses" file group, which is not permitted on the server.

Anoniem: 324173 @Bo3r • 24 augustus 2016 11:07

Met FSRM blijf je extensies filteren...

darkdesign @Bo3r • 24 augustus 2016 11:34

Daarbij zeggen spelfouten ook niet altijd alles. Je komt ze op websites van de meest professionele bedrijven nog wel tegen.

Daniel_Elessar @Bo3r • 24 augustus 2016 12:14

Ja, je kunt het blokken. Maar sommige bedrijven gebruiken zelf ook ZIP bestanden en dan krijg je toch wel een probleem

Maar het is inderdaad beter om dat soort dingen te verbieden etzij met policies hetzij met iets anders.

gjmi @Juicy • 24 augustus 2016 07:53

Het verschilt. Ik heb ook mails gezien die echt goed in elkaar zitten.

darknessblade @Juicy • 24 augustus 2016 10:47

die mails had ik enkele maanden geleden ook gekregen.
(ik bewaar ze in mijn spam todat gmail ze verwijderd, kan ik ook gelijk nieuwe identificeren)
(helaas kan ik nu niet de hilarsche spammail adressen lezen door te traag internet)

kreeg zelf een fake message van de mediamarkt over dat de LENTE was begonnen (gisteren)
hoe ironische fout dat mensen maken, met hopeloze pogingen om te spammen

(het beste adress wat ik oot gezien hat ****@***eventuallyitwilgoourway.click [waarvan de *nummers of cijfers zijn])

[Reactie gewijzigd door darknessblade op 23 juli 2024 15:05]

ejabberd @Juicy • 24 augustus 2016 11:13

Wij zijn hier niet zo dom om fundamenteel onveilige software te gebruiken en dan niet te backuppen, maar het niveau van het Nederlands was toch wel hoog. Overtuig uzelf zodat je u ertegen kunt beschermen:

Onderwerp: Levering VR-0895634 op 17 augustus
Van Rooden Internationaal Transport B.V.
Kraaivenstraat 257
5048 AB Tilburg
------------------------------

Geachte heer / mevrouw,

Op woensdag 17 augustus heeft een van onze chauffeurs omstreeks 09.00 geprobeerd om een pakket af te leveren op het onderstaande adres.
<snip juiste bedrijfsadres hier>

Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afspraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen naar info@vanroodentransport.nl
Het benodigde formulier is te downloaden op onze website:
http://bestanden.vanroodentransport.nl/VR-0895634.doc (dit formulier bevat ook informatie m.b.t. de levering)

Met vriendelijke groet,
Femke Kaasbouwer

De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.

Op het eerste zicht zie ik slechts 1 menselijk tikfoutje...

Die URL heb ik toen voor de gein ook eens door zo'n online virusscanner gehaald en slechts een zevental virusscanners vonden de malware...

Moraal van het verhaal: als je onzeker bent over een bericht en je gebruikt onveilige software, vraag dan via e-mail wie de afzender is van het pakje. Als ze dat niet willen zeggen, vraag dan een telefoonnummer omdat je zogezegd hulp nodig hebt om het bestand te openen. Doe je dom voor en probeer via social engineering te weten te komen of het gaat om criminelen en probeer vervolgens eventueel zoveel mogelijk te weten te komen over de crimineel om door te geven aan de politie. Dat zou je dan nog allemaal kunnen opnemen om via een grappige opname geld te verdienen via Youtube: "Domme ransomwarecrimineel wordt voor de gek gezet en verraad zichzelf" of zoiets

[Reactie gewijzigd door ejabberd op 23 juli 2024 15:05]

THA_ErAsEr @Juicy • 24 augustus 2016 09:54

Uit onderzoek is gebleken dat men vaak express fouten in zo'n mails stopt, zodat de meer intelligentere mensen ze zo en zo al negeren, en dat men enkel mensen bereikt die sneller geneigd zijn om het te geloven en te betalen.

pennywiser @THA_ErAsEr • 24 augustus 2016 10:37

Daarom zijn er ook nog mails van Nigeriaanse erfenissen. Als daar nu nog iemand op reageert heb je een goeie te pakken. Scheelt tijd.

https://www.microsoft.com...ay-they-are-from-nigeria/

Jochem_ @THA_ErAsEr • 29 augustus 2016 08:57

"Express" is fout, het is "expres"
"Zo'n mails" is fout, het is "zulke mails".
"Zo en zo" is fout, het is "sowieso".

Dus ik dacht dat je misschien expres fouten in je post een het maken was om je eigen argument kracht bij te zetten.

Slavy 24 augustus 2016 07:41

Das een kleine 300 euro per persoon om je bestanden terug te krijgen, dat is dik cashen. Mijn bestanden zijn mij veel waard, maar ik zal er nooit voor betalen (misschien omdat ik redundant backups heb, wat veel van de slachtoffers niet gehad hebben).

Roko @Slavy • 24 augustus 2016 08:10

En hou je backups maar liefst offline, want recente ransomware versleuteld ook gekoppelde NAS en USB storage

vali @Roko • 24 augustus 2016 08:22

Ligt er toch aan hoe dit geconfigureerd hebt? Als je geen rechten hebt om de bestanden te overschrijven zou het toch niet mogelijk zijn om de bestaande bestanden aan te passen.

Al is offline backup altijd goed om uit te voeren en doe het persoonlijk zelf ook.

[Reactie gewijzigd door vali op 23 juli 2024 15:05]

waktak @vali • 24 augustus 2016 08:32

Waarom zou je in godsnaam je pc geen rechten geven om bestanden te overschrijven op je nas/usb storage? Lijkt me niet prettig werken.

SunnieNL

@waktak • 24 augustus 2016 08:47

Ik heb default op mijn foto, film en muziek mappen alleen leesrechten. Hetzelfde geldt voor de backup folder. Zelfde geldt voor de downloader van films.
Mijn backup packet draait onder een ander account. En als ik schrijfrechten nodig heb op de andere mappen om nieuwe foto's te plaatsen die ik geschoten heb, dan open ik de share tijdelijk onder een ander account.

vali @SunnieNL • 24 augustus 2016 09:49

Hoe jij het beschrijft heb ik het ook toegepast. Ook heb ik een weekelijkse sync naar de NAS van mijn ouders. Ook daar zijn de rechten toegepast dat ik alleen schrijf rechten heb op mijn eigen map.

Flagg @waktak • 24 augustus 2016 09:58

"je pc" heeft sowieso geen rechte, accounts hebben rechten en als je slim bent maak je een backup account aan die de backups maakt iedere x periode en je eigen account waar je dag dagelijks mee werkt alleen lees rechten.

Ik had vroegah een volledig dichtgetimmerd account waar ik niets mee kon installeren zelfs. Ik kon alleen maar iets installeren onder een renamed admin account. Heb je weinig !ast van en werkt wel zo veilig.

Nu alleen nog maar android based apparaten dus risico is sowieso heel klein aangezien ik niet sideload.

[Reactie gewijzigd door Flagg op 23 juli 2024 15:05]

Anoniem: 324173 @Flagg • 24 augustus 2016 11:20

Je moet als gezonde paranoide keuze maken tussen beveiliging en werkbaarheid wat een compromis tot gevolg is. Het is in Windows via UAC echter wat makkelijker om rechten te verlenen. Binnen een bedrijfsomgeving is de beveiliging anders ingeregeld dan voor gebruikers thuis, de gebruikers thuis 'opvoeden' is dan ook een moeilijke opgave.

[Reactie gewijzigd door Anoniem: 324173 op 23 juli 2024 15:05]

stresstak @Flagg • 24 augustus 2016 11:52

"je pc" heeft sowieso geen rechte, accounts hebben rechten en als je slim bent maak je een backup account aan die de backups maakt iedere x periode en je eigen account waar je dag dagelijks mee werkt alleen lees rechten.

En je moet controleren en uitsluiten dat je niet per ongeluk ook lid bent van een groep die wel rechten heeft.

indigo79 @waktak • 24 augustus 2016 10:52

Ik snap nog altijd niet waarom de meeste backupsystemen zich als een RW bestandssysteem aan de gebruiker aanbieden. Ik gebruik zelf op mijn linux systeem onder andere snapshots via rsnapshot (rsync), een beetje vergelijkbaar van effect met de Time Machine van Apple, en voor een dergelijk systeem kan je perfect je filesystem RO aanbieden voor recovery en een apart protocol voorzien waarmee gewijzigde files gebackupt kunnen worden zonder enige mogelijkheid om bestanden op de backup te overschrijven. Lokaal kan dat effect alleen door de backupsoftware onder een andere account te draaien, maar zeker met een NAS kan je dergelijke problemen gewoon onmogelijk maken.
Er zijn wat praktische issues (nadenken wat je doet als de schijf vol raakt, het is niet de bedoeling dan automatisch de oude niet-geëncrypteerde files te wissen, hoe waarschuwen als er ineens te veel files wijzigen...).
In feite is het idee vergelijkbaar met de logging op kettingpapier of via een unidirectionele seriële link die vroeger regelmatig werd toegepast bij kritische systemen: backups zijn te belangrijk om toe te laten ze via een niet-vertrouwd systeem te laten verwijderen.

Anoniem: 324173 @indigo79 • 24 augustus 2016 11:22

De nieuwe versie van NOD32 Antivirus heeft de mogelijkheid om te ontdekken als veel bestanden ineens encrypted worden.

vali @waktak • 24 augustus 2016 08:35

Ligt er maar net aan hoe je je backup strategie hebt ingedeeld. Als je alleen backups van foto's, muziek en filmpjes naar je NAS stuurt wil je niet dat die overschreven worden.

Ook heb je niet het gevaar dat je per ongelijk een bestand verwijderd.

[Reactie gewijzigd door vali op 23 juli 2024 15:05]

Eagle Creek

@waktak • 24 augustus 2016 08:51

Waarom zou je in godsnaam je pc geen rechten geven om bestanden te overschrijven op je nas/usb storage? Lijkt me niet prettig werken.

Omdat een "pc" een zeer granulaire onderverdeling in rechten kan hebben uiteraard. En je niet "je pc" toegang hoeft te geven tot je nas/usb maar slechts een account dat je gebruikt voor back-ups.

SpoekGTi @vali • 24 augustus 2016 08:31

De rechten heb je al toch immers je ranswomware wordt vaak uitgevoerd door de user zelf en gezien die bij de attached storage als backup kan is dat geen probleem.

Als je een backup tool gebruikt met een mounted share en een aparte user om die mount te maken dan is er waarschijnlijk niets aan het handje, maar ja dat is omslachtig en lastig voor gert en hermien en dan gaat dus het verhaal weer op van gemak boven veiligheid.

i-chat @SpoekGTi • 24 augustus 2016 10:45

gert en hermien zouden er goed aan doen om bijv gewoon een synology te kopen, ik gok dat dit soort veiligheidsmaatregelen hier al standaard worden ingesteld, en zo niet dan wordt het eens tijd ....

probleem is, zorgen dat je backup programma dingen als crypto lockers herkent en negeerd. het zou zo moeten zijn dat elke backup oplossing eerst data scanned voor het de data verwerkt, opslaat, of de huidige backup er mee vervangt. er kan namelijk vanalles met je data gebeurd zijn, van file corruptie tot ransomeware.

[Reactie gewijzigd door i-chat op 23 juli 2024 15:05]

stresstak @i-chat • 24 augustus 2016 11:45

het zou zo moeten zijn dat elke backup oplossing eerst data scanned voor het de data verwerkt, opslaat, of de huidige backup er mee vervangt.

Ik vind dat mijn virusscaneer en andere veiligheidsprogrammas dat moeten doen. Ellende detecteren en zeker niet kopieren naar een backup.

vali @SpoekGTi • 24 augustus 2016 08:36

De rechten heb je al toch immers je ranswomware wordt vaak uitgevoerd door de user zelf en gezien die bij de attached storage als backup kan is dat geen probleem

Dit hoeft helemaal niet aangezien je op je NAS kan bepalen wat de user mag. Wel schrijven en lezen maar niet bestanden aanpassen.

xSNAKEX @SpoekGTi • 24 augustus 2016 08:37

Wie zegt er dat je moet back-uppen met de credentials van je ingelogde gebruiker? Je kan hier prima andere credentials voor invoeren in je backup software om een niet gemapte hidden share te benaderen.

@waktak hier onder:
Je hoeft neem ik aan niet constant in je backup te graven op je nas en er lijkt me dus ook geen reden om je ingelogde user hier rechten op te geven. Zeker aangezien het tegenwoordig gevaar voor je backup op kan leveren met moderne cryptolockers.

rotterdams @Roko • 24 augustus 2016 08:35

Als je met recent, de afgelopen jaren, meestal in versie 2.0 of 1.2 al.. dan heb je gelijk ja. En networkshares, en niet gekoppelde networkdrives die hij zelf connect, en network discovery om meer shares te bereiken, en slimmere algorithmes bijv alleen de eerste 10kb van elke file te encrypten zodat je meer schade aanricht in kortere tijd...

Allemaal niet bepaald recent of nieuw helaas.

hackerhater @rotterdams • 24 augustus 2016 10:41

Lang leven pulled backups. Lastig de backups te vernielen als je nog niet eens leesrechten op de backup-server hebt, laat staan schrijfrechten.

slijkie @Roko • 24 augustus 2016 08:34

Klopt, maar randsomware is niet gericht op Tweakers, maar op de andere 99% die amper weet hoe je een USB stick in de PC doet.

JanvdVeer @Roko • 24 augustus 2016 08:43

Ik weet dat er voor Mac een tootlje is die als doel heeft een alert te geven als er in een korte periode veel bestanden worden ge-encyrpt. De user kan er dan voor kiezen het proces te killen.

RansomWhere? uses mathematical calculations to determine if a created/modified file is encrypted. If an untrusted process creates several of these quickly, RansomWhere? will generate an alert.

Hier te vinden.

Iemand bekent met een soortgelijk tootlje voor Windows?

OT: sowieso ben ik van mening dat de tooltjes van Objective-See een must zijn als je een Mac hebt (met name Blockblock). Verder kan ik het tooltje Little Flocker aanraden van de bekende forensisch developer Zdziarski die ongeautoriseerde read-access tot bestanden voorkomt.

edit: typos

[Reactie gewijzigd door JanvdVeer op 23 juli 2024 15:05]

Anoniem: 324173 @Roko • 24 augustus 2016 11:10

Je kan een heleboel doen met rechten waardoor je naast een offline backup ook een online backup gereed kan hebben.

telenut @Slavy • 24 augustus 2016 08:30

Veel mensen betalen met plezier 300 euro om zo hun bestanden snel terug te hebben...

RatedR @telenut • 24 augustus 2016 09:08

Lijkt me sterk dat iemand dat met plezier betaald... Maar er zullen inderdaad mensen zijn die gewoon betalen om van het probleem af te zijn.

Anoniem: 636203 @Slavy • 24 augustus 2016 08:55

Als je backups hebt dan is het allemaal geen probleem, maar je moest eens weten hoeveel mensen dat niet hebben. Het is gewoon verbijsterend.

biglia @Slavy • 24 augustus 2016 08:47

Op die screenshot staat dat ze 1,5 bitcoin willen. Dat is wel een verschil met 300€ per persoon. Maar misschien was er een speciale zomeractie ofzo.

stresstak @biglia • 24 augustus 2016 11:58

Ik had laatst een pc onderhanden waar 3 bc werd gevraagd, maar 1000 euro was ook goed..

Dan wel eerst even wisselen via andere dubieuze kanalen.

John Doos 24 augustus 2016 09:11

Dik 300euro voor je bestanden, dat is wel echt kansloos zeg.
Heb persoonlijk geen belangrijke bestanden of foto's, dus laat ze die zooi maar encrypten, heb ik weer een excuus om een schone installatie te doen

Maar ontopic, in de gevallen van infectie/encryptie is er na al deze tijd geen Windows Defender en andere virus scanner update die het in de gaten heeft zodra er ineens files encrypt worden? Bij een normale gebruiker zijn dit geen standaard taken namelijk.

Audiowaste @John Doos • 24 augustus 2016 09:28

Vergeet niet dat er ook veelal kleine/eenmans bedrijven zijn die geraakt worden door ransomware.
Één iemand opent zo'n bestandje, vervolgens eigen PC besmet en dan gaat het virus vrolijk verder op de servers. Uiteraard ook vaak mensen die backups niet of niet goed hebben ingeregeld en voila, het kwaad is al geschied.

Op dat moment heb je twee oplossingen:
1. Die 299 dollar betalen en je krijgt gewoon de decryption tool toegestuurd. Als je daar geen verstand van hebt, zit er ook nog gewoon een complete helpdesk achter de attackers die je door het hele proces helpt. Shit happens, 299 dollar lichter, maar wel alle bestanden terug.

2. Je huurt een IT-er in. Tot op heden waren er geen decryptions tools, dus je komt er al snel achter dat het alles opnieuw installeren wordt. Met een beetje pech een paar PC's helemaal opnieuw instaleren en ook nog servers. Alle bestanden met je kwijt.

Wat is de goedkoopste oplossing dan?

vinkjb @Audiowaste • 24 augustus 2016 09:53

als het goed is heeft een bedrijf toch wel een backup, hoe klein ook zou je zeggen.
en een clean install ruimt wel weer lekker op en maakt de pc weer wat vlotter

twiFight @vinkjb • 24 augustus 2016 12:02

Jij hebt klaarblijkelijk nog nooit in een IT gedreven bedrijfsomgeving gewerkt.

Ten eerste heb je een IT-er nodig om het herinstallatieproces op te starten. Kleinere bedrijven hebben daar echt geen volledig geautomatiseerd proces voor. Dan moet er uberhaupt iemand beschikbaar zijn. Niet alleen heeft 'de IT-er' vaak een andere functie er bij, maar doorgaans zitten mensen ook volgeboekt en hebben ze niet zomaar wat uren over. Of het is zelfs geheel uitbesteed en dan ben je meestal een paar weken verder voor je het systeem terug hebt, afhankelijk van het contract (vergeet niet dat kleinere bedrijven echt geen geld hebben voor dure supportcontracten).

Heb je eenmaal een clean install, dan moeten alle apps er weer op. Ja, het ene bedrijf is klaar met een PDF reader, Office en wat web logins, bij het andere bedrijf moet je 20 apps installeren. Shit, wat was het wachtwoord ook alweer? Of het webadres? En waar staan ook alweer de settings van die ene app, want hij werkt maar op één manier?

Van begin crypto-besmetting tot je volledige workstation weer soepel operationeel ben je zo 2-3 dagen verder. Als ik mijn laatste werkgever als voorbeeld neem dan is hij €2000 verder door die "ruimt wel weer lekker op" clean install.

En hierin is nog geen enkel verlies van bestanden meegenomen.

[Reactie gewijzigd door twiFight op 23 juli 2024 15:05]

vinkjb @twiFight • 24 augustus 2016 12:26

klopt helemaal, ik had het nu over de thuisgebruiker...

Jochem_ @vinkjb • 24 augustus 2016 13:41

Nee je had het letterlijk over "een bedrijf".

Nha @vinkjb • 24 augustus 2016 14:38

Dan vraagt hij/zij het aan familie of kennisen. Leuke opportuniteit om er 250eur voor te vragen, zijn ze nog altijd goedkoper af.

John Doos @Audiowaste • 24 augustus 2016 10:24

Dat snap ik allemaal heel goed, maar waarom beschermen de viruscanners e.d. hier nog niet tegen vanwege het gekke gedrag van plotseling encrypten.

pennywiser @John Doos • 24 augustus 2016 10:52

Het wordt gezien als actie van de gebruiker, exe aanklikken en ecnrypten.

Maar ben het eens, die exe zijn er vast maar een paar verschillende, zodra er een exe met bepaalde md5 gezien wordt, afblokken.

Feanathiel @pennywiser • 24 augustus 2016 12:07

Da's wel heel makkelijk. Even een server-side script toevoegen die (bv) het commentaar random invult (van het .exe bestand) als je het download, en je bent hier al om heen. Scanners hebben hier wel wat beters voor

Daniel_Elessar @Audiowaste • 24 augustus 2016 12:21

Dan is het betalen nog altijd het goedkoopste wat ze kunnen doen. Ja, ergens hebben die criminelen ook nog een code? Dat ze inderdaad ook helpen eens ze het geld binnen hebben.

Er waren er die hun sleutel etc ergens in the cloud opsloegen en dus moeilijker. Kaspersky, Microsoft en al die andere zijn er nog altijd mee bezig. Zo nu en dan komen er tools uit voor bepaalde soorten maar nog lang niet allemaal.

Een kennis netwerkbeheerder kreeg van een klant te horen dat ze getroffen waren en er werd een 16.000 Euro gevraagd door de criminelen. Als hij onder dat bedrag kon blijven mocht hij z'n gang gaan. Hij heeft een 90% kunnen ontsleutelen, dat was goed genoeg voor het bedrijf.

Backups, die worden vaak niet gewisseld van schijf. Dat zou al een stuk schelen. Elke week minstens 1 schijf wisselen waar je een gehele backup op hebt staan, dan heeft zoiets minder impact.

[Reactie gewijzigd door Daniel_Elessar op 23 juli 2024 15:05]

SickQuilver 24 augustus 2016 08:25

Bij ons in het bedrijf is ook een medewerker geweest die de mail (en bijgevoegde word document) geopend heeft.
Ik kwam er op tijd achter doordat hij begon met de bestanden op de server/nas. gelukkig kon ik zien wie de laatste wijziging heeft gedaan en heb deze zijn pc op dat moment uitlaten zetten.
Gelukkig hoefde ik niet naar mijn online backup te grijpen omdat de shadow copy terugzetten nog wel nog lukte.
Heb de pc uit het netwerk gehaald en gekeken wat er nog te gebruiken was. Alles werkte nog, alleen alle bestanden waren niet meer toegankelijk via de normale weg.
Maar middels ShadowExplorer 0.9 heb ik alle privé bestanden van de gebruiker makkelijk kunnen terug zetten op een externe schijf en de pc verlost (systeemherstel backup) van de ransomware.

Dus probeer ShadowExplorer 0.9 want het kwam (bij ons) overal bij zonder veel problemen.

[Reactie gewijzigd door SickQuilver op 23 juli 2024 15:05]

Feni

@SickQuilver • 24 augustus 2016 09:12

Idem hier, bedrijf met 500+ medewerkers en 1 handige harry die zonodig een verdacht Word bestand met macro moest openen. Resultaat: alle netwerkshares gelockt en encrypted door Locky ransomware. We konden voor 4 bitcoins de boel laten unlocken maar hebben uit principe een backup van een dag daarvoor teruggezet. Liever wat productieverlies dan een zwarte markt in ransomware in stand houden.

loki504 @Feni • 24 augustus 2016 09:22

als dat mogelijk is is dat prima. maar je kan moeilijk van bv een ziekenhuis vragen of ze even alle patiënte van gister op nieuw lang kunnen laten komen voor een nieuwe diagnose.

hackerhater @loki504 • 24 augustus 2016 10:44

Daarom hoort een ziekhuis aparte backup servers te hebben die uurlijkse backups maken.
En waar de backups niet beschikbaar zijn vanuit de clients.

loki504 @hackerhater • 24 augustus 2016 10:47

Ja maar soms gaat het daar nog wel eens mis.

nieuws: Amerikaans ziekenhuis betaalt veertig bitcoin na ransomware-aanval

Tevens gaat het lastig worden als de ransom ware pas na x dagen actief wordt.

hackerhater @loki504 • 24 augustus 2016 10:50

Je bedoeld als de mallware zich pas toont na een aantal dagen en ook nog onderscheid maakt tussen het backup-programma en de gewone file-access?

Ja dat is rot en dan ben de documenten van die pc van de laatste dagen kwijt.
Ik neem tenminste aan dat je snapshot-backups gebruikt en niet domweg de bestanden overschrijft.
Shares zouden direct gemerkt moeten worden en dan is het verlies hooguit een paar uur.

loki504 @hackerhater • 24 augustus 2016 10:53

Ik weet niet hoe het daar zat. Heb zelf ook nog nooit te maken gehad met Ransomware. Maar wat ik wel weet is dat genoeg bedrijven hun backup niet goed hebben geregeld. Of ransomware voor een nieuwe aanpak vraagt van bedrijven.

hackerhater @loki504 • 24 augustus 2016 10:55

Dat is het grote probleem ja. Je moet je backups heel goed inrichten om (grotendeels) veilig te zijn voor deze troep.
En dat kost geld.

Ryack @loki504 • 24 augustus 2016 10:52

Alle medische data zit normaal gesproken in afgesloten systemen die niet direct toegankelijk zijn. Persoonlijke shares ed. kunnen natuurlijk wel slachtoffer worden.

Anoniem: 324173 @SickQuilver • 24 augustus 2016 11:30

Pc uit laten zetten...vervolgens logt diegene op een andere pc in en opent hetzelfde mailtje.

Eerst account blokkeren, wachtwoord wijzigen, gebruiker bellen en zich laten afmelden, via bv. UNC of local administrator op de pc ontdekken wat er us gebeurd, verder onderzoek doen, backup gebruikersprofiel, gebruikersprofiel verwijderen en opnieuw laten inloggen en herstellen.

Uiteraard bekijken of er meer gebruikers zijn die bv. de e-mail ontvangen hebben, kijken waar diegene rechten op had en hetgeen herstellen wat beschadigd is, totale scan op geheel netwerk naar encryptie virus.

[Reactie gewijzigd door Anoniem: 324173 op 23 juli 2024 15:05]

dr86 24 augustus 2016 07:50

Kreeg of krijg je uberhaupt je bestanden terug na betaling?

Huugje @dr86 • 24 augustus 2016 08:21

Je mag aannemen van wel. Want anders zou er al gauw niemand meer betalen, lijkt mij.

SomerenV @Huugje • 24 augustus 2016 08:45

Je moet eens weten hoe naïef mensen zijn. Daarbij komen ransomware-berichten nauwelijks voorbij op de mainstream media dus krijgen de meesten er niks van mee. Dus mocht Ransomware X niks ontgrendelen na betaling, dan zullen die mensen daar nooit lucht van krijgen. Die doen netjes wat ze gevraagd wordt of bellen hun handige neefje, die daar vaak ook geen kaas van gegeten heeft.

Oz. @dr86 • 24 augustus 2016 08:16

Tegenwoordig in veel gevallen wel. Makers van ransomware hebben tegenwoordig een helpdesk waar ze je helpen met het aankopen van bitcoins e.d.

raro007 24 augustus 2016 08:06

Is er alles in 1 decryptie tool?
Ik ken iemand die dat ook heeft alleen ik kom erniet achter welke ransomwhare het is..

FlipFluitketel Frontpage Admin @raro007 • 24 augustus 2016 08:09

Via https://id-ransomware.malwarehunterteam.com/ kun je er hoogstwaarschijnlijk achterkomen welke ransomware het is.

Maar nee, er is geen alles-in-1-decryptie tool.

[Reactie gewijzigd door FlipFluitketel op 23 juli 2024 15:05]

BHQ 24 augustus 2016 08:50

Mooi dit. Er is een opvallend aantal .nl domeinen geregistreerd voor 'transportbedrijven' met betwijfelbare registrar (PDR Ltd, nooit van gehoord) en nameserver in Rusland bij een shady partij die niet op abuse reageert.

De registrant van het DNS-domein ("Hrvoslav Flipovic".. met een beetje creativiteit maak je daar Miroslav Filipović van) met een anoniem e-mail adres zegt ook genoeg

[Reactie gewijzigd door BHQ op 23 juli 2024 15:05]

vinkjb 24 augustus 2016 08:51

Nu net de laatste dagen krijg ik weer email van zogenaamd KPN of Justitia met zogenaamde rekeningen.
Dus dat jongetje wat ze opgepakt hebben moet nog meer vriendjes hebben die dit doen...helaas.

mbosma 24 augustus 2016 08:53

Fijn dat deze server down is.
Een klant van mij heeft toch nog pech, niet alle wildfire gevallen kunnen geünlockt worden met de huidige tools.

Op dit item kan niet meer gereageerd worden.

Politie stopt ransomware met voornamelijk Nederlandse en Belgische slachtoffers

Lees meer

IT-banen

Reacties (147)

Sorteer op:

Weergave: