Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft voegt bescherming tegen ransomware toe aan testversie Windows 10

Door , 203 reacties

Microsoft heeft de functie Controlled Folders toegevoegd aan een testversie van Windows 10. Testers kunnen mappen aanwijzen die Windows monitort. Zodra malware bijvoorbeeld probeert wijzigingen aan te brengen, blokkeert Defender dat. Dat moet helpen tegen ransomware.

De functie zit in de Insiders-build voor gebruikers in de Fast Ring. Het gaat om een testversie van de Fall Creators Update die dit najaar moet uitkomen. Het buildnummer is 16232 en gebruikers in de Fast Ring krijgen de update donderdag of in de komende dagen aangeboden.

Controlled Folders is als optie te vinden in Windows Defender, het antimalwareprogramma in Windows. Als gebruikers mappen toevoegen aan Controlled Folders, kunnen programma's die Microsoft als 'vriendelijk' heeft aangewezen bestanden blijven wijzigen. Als ze niet op de lijst staan, blokkeert Defender de wijzigingen en krijgt de gebruiker een notificatie. Die kan dan de wijzigingen alsnog toestaan.

Controlled Folders moet de schade door ransomware en andere internetaanvallen beperken, zegt Microsoft. Deze week kregen veel bedrijven te maken met een wereldwijde internetaanval. Controlled Folders komt vermoedelijk als functie in Windows terecht op het moment dat de Fall Creators Update dit najaar uitkomt. Microsoft heeft meer functies toegevoegd en bugs geplet in build 16232. Het heeft daarvoor een changelog online gezet.

Reacties (203)

Wijzig sortering
Klinkt een beetje als de detectie die wij op onze centrale storage hebben ingeregeld. Er is een map op het netwerk waar alle medewerkers toegang tot hebben en welke boven in de mappenlijst staat. Op het moment dat daar een bestand in wordt geplaatst wordt direct het betreffende account dicht gezet en wordt er een e-mail naar ons verstuurd met welk account het probeerde te plaatsen, vanaf welk systeem/ip en met welke bestandsnaam.

Op alle andere mappen op de storage staat de meest bekende filenames en file extensions van cryptolockers geblokkeerd. Het is natuurlijk geen waterdichte beveiliging maar het is in ieder geval weer een extra stap.

Studenten kunnen op ons netwerk alleen naar buiten en kunnen niet elkaar op het netwerk bereiken. Nu nog met behulp van de TAMC licentie op de Cisco ASA en straks met de ingebouwde advance licentie van Meraki worden veel virussen, trojans enz. op meerdere manieren al tegen gehouden en krijgen wij hier een melding van. Zo hebben we al studenten gehad die een trojan op de op hun laptop hadden staan die vervolgens ransomware binnen probeerde te halen. Doordat de ASA de toegang blokkeerde tot de control server en wij hier een melding van kregen kon tijdig ingegrepen worden. Het systeem van de student is vervolgens goed onderhanden genomen en het versleutelen van de bestanden kon nog worden voorkomen.

[Reactie gewijzigd door daredevil__2000 op 29 juni 2017 16:47]

MS zeg gewoon dit
Als gebruikers mappen toevoegen aan Controlled Folders, kunnen programma's die Microsoft als 'vriendelijk' heeft aangewezen bestanden blijven wijzigen. Als ze niet op de lijst staan, blokkeert Defender de wijzigingen en krijgt de gebruiker een notificatie. Die kan dan de wijzigingen alsnog toestaan.
Dus in de praktijk moet malware dan zoeken naar bestaand programma op de lijst om folder dan toch te kunnen wijzigen.
ik hoop gewoon dat MS ook de VPN connectie terug op orde heeft gezet (de Remote access service is al van begin april kapot; iedereen die op creators zit en win pro of hoger heeft kan niet meer aan de slag met het opzetten van vpn middels de ingebouwde functionaliteit... echt rampzalig)

Het heeft ze trouwens ook bijna twee maand geduurd eer ze op technet de vele requests serieus namen en het probleem onder handen gingen nemen (wanneer de Creators op Enterprise gedeployed werd en het bij veel bedrijven plots problemen gaf, dan begon MS er pas gehoor aan te geven... de duizenden requests die via windows gedaan werden zijn gewoon genegeerd -> gebruik die service dus ook niet, het heeft geen zin)

[Reactie gewijzigd door bogy op 29 juni 2017 20:14]

Je bedoeld, mijn beta software die duidelijk als beta wordt geleverd werkt als een beta? }>
wie zegt dat @bogy een beta versie gebruikt? creators update is gewoon beschikbaar
Daarom vragen we dat ook niet aan jou.
je weet toch dat windows 10 eigenlijk Windows Vista is waar men ondertussen al jaren aan heeft gesleuteld? Ik zou dit toch niet meer zo beta noemen...

Vista, 7, 8 en 10 zijn allemaal dezelfde Windows NT versie (6.x) (vista = 6.0, w7=nt6.1, w8=nt6.2 en w10 = nt6.3)
Injecteren in een ander proces is een eitje... zo kan de malware opereren vanuit de memory space van de whitelisted applicatie en zo de beveiliging omzeilen.
Gratis tip: leg buitenstaanders niet uit hoe je netwerk in elkaar zit.
Met het beperkte beetje informatie wat ik heb gegeven kun je vrij weinig hoor. Het heeft een paar jaar in beslag genomen om de puinzooi van de voorgangers op te ruimen maar inmiddels zul je niet snel meer gaten in de beveiliging ontdekken.
Obscurity is geen security.
Daar heeft het weinig mee te maken, verplaats je even in de schoenen van een hacker.
Nou veel succes, je weet dat ik een asa heb staan en binnenkort een meraki en dat ik een blokkade heb op bepaalde extensies. Veel succes met het hacken van ons netwerk ;)
Uitleggen hoe je infra eruit ziet ook niet.
'Bovenin de mappenlijst' is een interpretatie die alleen voor visueel ingestelde personen geldt. Aangezien geautomatiseerde processen niet visueel ingesteld zijn, pak je hier geen virussen mee, maar argeloze voorbijgangers. Of code die zelf niet net iets slimmer een file systeem afzoekt. Je 2e stap is iets nuttiger, maar gaat uiteraard alleen op voor 'de bekende' namen.

Overigens: ik weet niet wat je met dichtzetten van een account bedoelt: maar als je bedoelt account locked, dan heeft dat niet direct invloed op processen die al draaien op een lokaal systeem en op lokale storage. Windows machines cachen de credentials. En voor gewijzigde permissies moet je eerst af en aan loggen.
Dit dacht ik eerst ook (en leek mij een soort-van-oplossing/detectiemethode), maar bij nader inzien is dat niet wat MS hier doet. MS doet hier whitelisten van toegang van programma's per folder.

Een foldertje (of meerdere) aanmaken waar men niet bij mag, maar wel kan, dat gelijk een blokkade triggert is heel wat anders. Een leuke detectie-methode (die ik zelf ook al had bedacht).. Maar wat als het virus op een willekeurig punt begint met encrypten, of uberhaupt willekeurig encrypt ? Dan zul je toch te laat zijn omdat sommige bestanden al ge-encrypt zijn. (Maar je kunt wel direct daarna actie ondernemen). Ach, wellicht werkt het wel voor de crypto-virussen die tot nu toe uit zijn.
Een student zeg je, hmmm. Interessant, welke school?
Klinkt een beetje als de detectie die wij op onze centrale storage hebben ingeregeld. Er is een map op het netwerk waar alle medewerkers toegang tot hebben en welke boven in de mappenlijst staat. Op het moment dat daar een bestand in wordt geplaatst wordt direct het betreffende account dicht gezet en wordt er een e-mail naar ons verstuurd met welk account het probeerde te plaatsen, vanaf welk systeem/ip en met welke bestandsnaam.
Lijkt me wel zinvol dit aan de gebruikers te melden. Iemand zou kunnen ontdekken dat hij daar ook in kan schrijven, dit melden aan andere gebruikers en zo dus onbedoeld het systeem kunnen triggeren.
Studenten kunnen op ons netwerk alleen naar buiten en kunnen niet elkaar op het netwerk bereiken.
Lijkt me zinvol omdat die relatief weinig aan gezamelijke documenten werken. Voor medewerkers die gedeelde documenten gebruiken (normaal via shared folders) lijkt me dat niet handig maar die groep is denk ik kleiner en gedisciplineerder.
Nu nog met behulp van de TAMC licentie op de Cisco ASA en straks met de ingebouwde advance licentie van Meraki worden veel virussen, trojans enz. op meerdere manieren al tegen gehouden en krijgen wij hier een melding van. Zo hebben we al studenten gehad die een trojan op de op hun laptop hadden staan die vervolgens ransomware binnen probeerde te halen. Doordat de ASA de toegang blokkeerde tot de control server en wij hier een melding van kregen kon tijdig ingegrepen worden. Het systeem van de student is vervolgens goed onderhanden genomen en het versleutelen van de bestanden kon nog worden voorkomen.
Mooi systeem
Lijkt me wel zinvol dit aan de gebruikers te melden. Iemand zou kunnen ontdekken dat hij daar ook in kan schrijven, dit melden aan andere gebruikers en zo dus onbedoeld het systeem kunnen triggeren.
Medewerkers zijn hier inderdaad van op de hoogte.
Lijkt me zinvol omdat die relatief weinig aan gezamelijke documenten werken. Voor medewerkers die gedeelde documenten gebruiken (normaal via shared folders) lijkt me dat niet handig maar die groep is denk ik kleiner en gedisciplineerder.
Studenten beschikken over een 365 ProPlus licentie en hebben vanuit de school dus een office versie die ze mogen installeren op hun eigen apparatuur, 1TB onedrive, 50GB mailbox en diverse educatie apps. Ze kunnen bestanden vanaf hun Onedrive delen met docenten en studenten. De docenten delen zelf ook informatie vanaf Onedrive, de Classroom versie van Onenote of binnen onze ELO. Medewerkers wordt ook geleerd om wat ze lokaal op hun systeem hebben in de Onedrive te plaatsen en de rest op fileshares waar per rol, afdeling of functie rechten op zitten.
Mooi systeem
We hadden eerst een ander systeem van Cisco op het oog (ISE) maar helaas een gedrocht van een oplossing waar je software voor moet installeren en waar je de hoofdprijs voor betaald. ISE had namelijk als extra dat je geïnfecteerde systemen bij een detectie automatisch op een afgezonderd netwerk kon laten plaatsen waar ze dan alleen nog bij online antivirus tools enz kunnen komen.
Medewerkers wordt ook geleerd om wat ze lokaal op hun systeem hebben ... op fileshares waar per rol, afdeling of functie rechten op zitten.
Zo hoort het inderdaad. De Onedrive ben ik niet zo gecharmeerd van, zeker niet naast gewone fileshares, behalve inderdaad naar klanten (of in jullie geval de studenten) toe zie ik er naast de fileshares weinig toegevoegde waarde in. Ik zie het vooral als de manier om via de NSA concurrentiegevoelige informatie door te spelen naar Amerikaanse conculega's.

Hoe het ELO is ingericht is natuurlijk ook zeer zeker van belang. Onenote heb ik persoonlijk ook nog geen nut voor gevonden, maar dat zal aan mij liggen.
We hadden eerst een ander systeem van Cisco op het oog (ISE) maar helaas een gedrocht van een oplossing waar je software voor moet installeren en waar je de hoofdprijs voor betaald.
De hoofdprijs is normaal bij dat soort oplossingen, helaas.
ISE had namelijk als extra dat je geïnfecteerde systemen bij een detectie automatisch op een afgezonderd netwerk kon laten plaatsen waar ze dan alleen nog bij online antivirus tools enz kunnen komen.
Klinkt toch wel interessant, op basis van een detectie in een apart vlan plaatsen doet ongeveer hetzelfde, alleen niet geautomatiseerd.
Met ISE kun je nog heel veel meer zoals het beperken van het aantal actieve devices per student. Studenten kunnen die zelf ook aanmelden. Wij hebben dat een tijdje als proef actief gehad. Je logt in met de studentgegevens nadat je met een soort hotspot wifi netwerk bent verbonden. Vervolgens kreeg je de keuze of je verder wil als gast of dat je wil onboarden. Als gast had je dan een restrictie op wat je naar buiten toe mocht doen en een beperking op de bandbreedte. Koos je voor onboarden dan moest je een stukje software installeren wat ook een certificaat op jouw device plaatst. Daarna werd je automatisch van het wifi netwerk gegooid en werd er verbinding gemaakt met een certificaat wifi netwerk.

Bij deze techniek kun je bepaalde updates, software enz. afdwingen en toegang tot het netwerk weigeren zolang dit er niet op staat.

In de pilot waren we gematst door Cisco met de prijsstelling omdat weinig scholen in Nederland dit gebruiken. Helaas is het een oplossing welke een redelijk complex netwerk tot gevolg heeft wanneer je zoals ons meerdere locaties hebt. Ook vergde het een redelijke tijdsinvestering voor wat betreft onderhoud. Om nog niet te praten over hoeveel servicedesk meldingen er uit voort komen met vragen vanuit de studenten. We hebben dus op een gegeven moment het besluit genomen om de beveiliging en de beperking van de bandbreedte op andere manieren te realiseren zodat we zo min mogelijk op de BYOD van de student hoeven te doen en dat de infrastructuur zo min mogelijk single points of failure heeft
De laatste ransomware ging zichzelf installeren in de temp (%temp%) folder van Windows. Daar wil je natuurlijk geen blokkade (anders werken applicaties niet of slecht). Dus wat dit nou kan helpen in het tegengaan van ransomware is mij nu nog een raadsel.
Het gaat niet om de locatie van de ransomware zelf maar om de locatie van de bestanden die de ransomware wilt versleutelen. Als %temp%/Pnyetya.exe bestand C:/Users/Henkie/Documents/bankafschrift.pdf wilt aanpassen blokkeert deze tool dat verzoek omdat C:/Users/Henkie/Documents een protected folder is en %temp%/Pnyetya.exe niet op de whitelist van Microsoft staat. De gebruiker kan dit nog handmatig toestaan via de popup voor het geval dat %temp%/Pnyetya.exe een portable text-editor (ofja pdf editor in dit geval) is. ;)

[Reactie gewijzigd door Tweekzor op 29 juni 2017 15:14]

Hoewel petya een bootloader installeert, een crash veroorzaakt en vervolgens vóór Windows alles met je schijf kan doen. Dus hoeveel zin heeft een protected folder?
Ik heb al mijn belangrijke bestanden op mijn OneDrive staan. Als de bootloader voor Windows opstart, dan kan hij de OneDrive folder aanpassen wat hij wil, maar de online versies worden niet aangetast. Windows 10 opnieuw erop en klaar. Dat scheelt weer een hoop gedoe om de history op OneDrive uit te pluizen...
Tenzij OneDrive de boel al gesynced heeft, dan staan je encrypted documenten ook online.
Nee, de OneDrive folder opgeven als Controlled Folder en dan zou dat dus niet moeten kunnen gebeuren...
Ik ben bang dat dat niet werkt. Het volgende kan gebeuren:
  • PC wordt aangezet.
  • Petya start op en versleuteld je belangrijke bestanden.
  • Petya laat vervolgens Windows opstarten.
  • OneDrive ziet dat de lokale bestanden een nieuwere versie bevatten dan de online bestanden, en upload de versleutelde bestanden naar de server. Defender komt hier niet aan te pas, want de bestanden worden in deze fase niet meer aangepast.
Onedrive behoudt toch ook de vorige versie van een bestand? Ik weet wel niet of je al je bestanden in één handeling kunt terugzetten.
En je kan dus ook blokkades zetten op know malicious file extensions zodat niet zomaar de encrypted files op je onedrive belanden. Andere optie als je dezelfde onedrive op meerdere systemen hebt staan om het systeem wat nog niet de infectie heeft los te houden van het internet, online je onedrive schonen en dan een sync vanaf het veilige systeem
Ja, dat kan zeker! Ik heb het zelfs namelijk gehad bij een klant waarvan een deel van de bedrijfsdata in OneDrive voor bedrijven stond geinfecteerd werd met Ransomware en alle data versleuteld werd. Via wat PowerShell scripts was het makkelijk mogelijk automatisch alle vorige versies terug te zetten, daarna een search & remove doen op alle ge-encrypte bestanden en klaar was bassie :)
Er zijn 2 methoden waarbij voor de tweede methode er een optie in Office 365 Security & Compliant Center moet worden aangezet. Ik zoek de links even op.....

Edit: Methode 1: http://www.lieben.nu/lieb...or-onedrive-for-business/
Methode 2: http://www.lieben.nu/liebensraum/o365undo/

Je moet voor Methode 2 dus Unified Audit Log aan hebben staan in Office 365, zie: http://www.lieben.nu/lieb...le-the-unified-audit-log/

Met dank aan Jos Lieben uit Utrecht _/-\o_

[Reactie gewijzigd door Urk op 30 juni 2017 11:26]

Alleen bij documenten als ik mij niet vergis.
Perhaps encrypt de files vanuit een eigen bootloader. OneDrive werkt pas als Windows is gestart
Tenzij OneDrive de boel al gesynced heeft,
Dus zou je niet moeten sync'en maar backuppen met versies.
Het blijft gedoe.
Dan ga je je drive encrypten, kan je malware geen enkel bestand vinden. En ja, jij krijgt het moeilijk om dan je data te recoveren, maar bent niet kansloos.
Als ik die gijzel-maker was, encrypteer ik uw hele ge-encrypteerde partitie op blokniveau gewoon nog een keer (maar dan met mijn paswoord), zonder uberhaupt te kijken naar het bestandssysteem. Dan is het slachtoffer nog steeds kansloos. Op extensies scannen en bestandsniveau werken is nogal primitief voor gijzelsoftware eigenlijk.
Als ik die gijzel-maker was, encrypteer ik uw hele ge-encrypteerde partitie op blokniveau gewoon nog een keer (maar dan met mijn paswoord), zonder uberhaupt te kijken naar het bestandssysteem. Dan is het slachtoffer nog steeds kansloos. Op extensies scannen en bestandsniveau werken is nogal primitief voor gijzelsoftware eigenlijk.
Precies. Bootsector overschrijven en op blokniveau alles encrypten.
Half om half deed de NotPetya malware dit al.
De gebruiker kan dit nog handmatig toestaan via de popup
Ja hmm, maar wat staat er dan in die popup? Ik zie hetzelfde probleem als bij de UAC prompts: niet alleen omdat gewone gebruikers binnen de kortste keren "gewoon op ja klikken" aanleren, maar ook omdat er niet echt nuttige informatie in kan staan. De bestandsnaam en (tot op zekere hoogte) de bestandslocatie zijn onder controle van de malware zelf; bij jou en mij gaan alle alarmbellen af als "C:\temp\Microsoft Update\Installer.exe" om toestemming vraagt, maar de meeste mensen zien "Microsoft" en denken dan dat het ook echt van MS is. En alle andere informatie die je eventueel zou kunnen noemen komt uit (de headers van) de file zelf, dus dat kun je niet vertrouwen. Ja okee, een certificate wat je kunt herleiden tot een vertrouwde root is te vertrouwen, maar ik vermoed dat dat het mechanisme is waarmee de "ingebouwde whitelist" werkt: als de prompt nodig is, dan is er dus geen (geldig en herkend) certificaat.
Dan helpt een gebruiker zijn pc om zeep. Maar de pc van een ander familielid (thuissituatie) of collega (op 't werk) wordt niet besmet als die persoon de wijzigingen niet toestaat. Dus hoe dan ook wel interessant.

Wat ik me wel afvraag... hoe reageert Windows als zo'n ransomware applicatie veel bestanden wijzigt? Ik hoop niet met een pop-up per poging om een bestand te wijzigen :)

[Reactie gewijzigd door macnerd op 29 juni 2017 16:39]

Wat als je bewust een applicatie gedownload hebt om bestanden te encrypten. Is dat dan gelijk een virus? En dat ga je ook niet 1 voor 1 doen.

[Reactie gewijzigd door Texamicz op 29 juni 2017 17:11]

Dan white list je de applicatie. Ik neem aan dat gebruikers zelf programma's kunnen whitelisten tenminste.
Waarschijnlijk wel. Haken en ogen blijven natuurlijk. Als je applicatie veel mag en de ransomware krijgt toegang tot die applicatie ben je de sjaak.
Wat ik me wel afvraag... hoe reageert Windows als zo'n ransomware applicatie veel bestanden wijzigt? Ik hoop niet met een pop-up per poging om een bestand te wijzigen :)
Vermoedelijk door, na het goedkeuren, de permissie te onthouden. Of het dan meteen voor alle folders geldt weet ik niet, dat zou je even moeten testen. Ook kan ik niet zeggen of het alleen geldt totdat het programma wordt afgesloten, of dat het ding meteen permanent gewhitelist wordt (ik gok dat je beide opties zult hebben in de prompt, maar ook hier: testen om het zeker te weten).
Even afwachten dan... ik zit in de slow ring :)
Ja hmm, maar wat staat er dan in die popup? Ik zie hetzelfde probleem als bij de UAC prompts: niet alleen omdat gewone gebruikers binnen de kortste keren "gewoon op ja klikken" aanleren, maar ook omdat er niet echt nuttige informatie in kan staan.
In mijn Windows 10 pc moet ik de admin wachtwoord intikken.
In zakelijke omgevingen is het niet eens zo'n gek idee om een whitelist van programma's te gebruiken voor bepaalde folders. Vaak gebruiken werknemers maar een handvol programma's, en mag er geen andere zut op.
In een zakelijke omgeving is het niet eens zo een gek idee om een whitelist toe te passen voor apps die mogen draaien. Maar dat gebeurd spijtig genoeg nog veel te weinig.
Ja hmm, maar wat staat er dan in die popup? Ik zie hetzelfde probleem als bij de UAC prompts: niet alleen omdat gewone gebruikers binnen de kortste keren "gewoon op ja klikken" aanleren, maar ook omdat er niet echt nuttige informatie in kan staan.
aangezien het ingebouwd is in defender, en je zelf je protected folders moet instellen, gok ik dat dit geen probleem gaat vormen, het geeft waarschijnlijk een vergelijkbare melding dat een virus aangeeft, waardoor mensen minder geneigd zijn om gewoon op toestaan klikken.
Ja, en dan verplaatst het spelletje zich weer omdat ze zichzelf weten te whitelisten. :+
Niet zozeer het tegengaan van dre ransomware zelf, maar wel de gevolgen ervan. Waarom betaalt men voor ransomware? Omdat belangrijke bestanden versleuteld zijn die men terug wil hebben. Nu is er de mogelijkheid al je belangrijke bestanden te beschermen.
De rest van de data mag dan misschien versleuteld zijn, maar je belangrijke data niet. Herinstallatie en deze data terugzetten en door.
Is misschien nog steeds balen, maar niet meer zo kritisch dat je betaalt. En als niemand eenmaal meer betaald sterven de cryptolockers ook vanzelf af. Win-win!
...totdat de ransomware wacht op toestemming door de gebruiker en zijn slag kan slaan.

En...daarbij spelen nog Windows installatie die niet in de zin als "werkstation" functioneren (opslaan, bewerken van eigen bestanden wat thuis gebruikt) maar als hulpmiddel (procesaansturing, 24/7 actief zonder user interactie). Die moeten bestanden kunnen (blijven) schrijven in bepaalde mappen. Als de ransomware dan actief wordt en alle bstanden gaat encrypten, gaan deze installaties ook "plat".

Ik zie de methode van MS niet de oplossing voor bescherming van ransomware. Misschien thuis maar meeste hebben wel een virusscanner draaien.
Ik snap je kritiek niet.

Als de gebruiker de beveiliging kan omzeilen door een onbekend programma expliciet toestemming te geven aan zijn bestanden te komen, dan betekent dat toch niet dat de beveiliging niet deugt? Het verschil met "controlled folders" is dat zo'n programma niet meer zomaar zijn gang kan gaan met die bestanden zonder dat de gebruiker daarvan op de hoogte is.

Bij servertoepassingen kun je alle legitieme programma's toevoegen aan de lijst van applicaties die aan de bestanden in een controlled folder mogen komen, dus alles kan gewoon blijven werken. Pas als er een onbekend programma naar die bestanden gaat schrijven grijpt de beveiliging in.
Totdat de ransomware een toegestane applicatie door zichzelf vervangt.
Totdat de ransomware een toegestane applicatie door zichzelf vervangt.
Dan moet die dat wel zomaar kunnen... waarom denk je dat je in Windows een UAC-schermpje krijgt te zien als je software installeert of updatet?
Krijg je nu dan ook al een UAC-schermpje als de ransomware geïnstalleerd wordt?
Niet per se, maar je krijgt wel een UAC-schermpje als een programma in (een submap van) een map als Program Files wil schrijven, waar normaal gesproken je programma's staan. Daar zal ransomware niet omheen kunnen om een toegestane applicatie door zichzelf te vervangen,
Niet per se, maar je krijgt wel een UAC-schermpje als een programma in (een submap van) een map als Program Files wil schrijven, waar normaal gesproken je programma's staan. Daar zal ransomware niet omheen kunnen om een toegestane applicatie door zichzelf te vervangen,
UAC is op diverse manieren haast triviaal te omzeilen bij de standaard token-split adminstrator set-up waarmee Windows nog steeds out-of-the-box geinstalleerd wordt. Als afscherming is het dan zo ongeveer even effectief als een nat stukje vloeipapier.

En nee; Microsoft patcht dat niet meer als security issues. Ze zien zelf UAC namelijk niet meer als zgn. security boundary.

[Reactie gewijzigd door R4gnax op 30 juni 2017 11:00]

Er zal vast wel gebruik gemaakt worden van hashes, dan kan dat niet zomaar.
Hoe gaat de ransomware een applicatie vervangen wanneer die in een controlled folder (program files) staat?
Ik hoop dat we er van uit mogen gaan dat er d.m.v. fingerprinting wordt bijgehouden dat de applicatie niet zomaar vervangen is.
Volgens mij wordt om toestemming gevraagd bij toegang tot een controlled folder. Een server applicatie zonder gebruikersinteractie is dat geen oplossing. Die moet continue kunnen schrijven in een map. Dat is mijn kritiek.

Dan kan je een bepaalde applicatie opgeven dat die altijd toegang heeft tot een folder zonder toesteming maar dan zou een ransomware ook als die applicatie kunnen gedragen (denk ik dan even).
Dan kan je een bepaalde applicatie opgeven dat die altijd toegang heeft tot een folder zonder toesteming maar dan zou een ransomware ook als die applicatie kunnen gedragen (denk ik dan even).
Windows weet van een lopend programma niet alleen hoe het .exe-bestand heet maar ook vanuit welke map deze is opgestart. Dus om zich als bijvoorbeeld Word voor te doen zal het zich als winword.exe in C:\Program Files (x86)\Microsoft Office\Office14 (of vergelijkbaar) moeten nestelen. De UAC-beveiliging die nu al in Windows aanwezig is voorkomt dat een willekeurig programma zonder toestemming van de gebruiker naar die map kan schrijven.
Een applicatie kan zich niet zomaar gedragen als een andere applicatie. Windows zal dat vast wel op de een of andere manier controleren met certificaten en/of hashes.
Psst, ik wil je Windows 10 wel eens zien draaien op een server in headless mode...
Ik snap de kritiek prima - NotPetya deed de encryptie op zeer laag DOS niveau. Tenzij het dan ook werkt gaat dit niks helpen (en dat betwijfel ik zeer).
Ik ben met je eens dat deze beveiliging niet gaat werken bij ransomware zoals NotPetya die adminrechten weet te verwerven (dat is ook nodig om naar de MBR te kunnen schrijven).

Maar het kan heel nuttig zijn om te voorkomen dat programma's die met userrechten worden uitgevoerd zomaar aan de bestanden van een gebruiker kunnen komen.
Afaik notpet ging pas de encryptie doen na reboot via een fake chkdsk.
Tijdens Windows control pre reboot/crash was hij nog niet aan encrypten .. maar kon wel de "next boot" wijzigen om de fake chkdsk te starten.
Er zal wel niet 1 perfecte oplossing zijn, maar prot folders kan helpen
Ik zie een soort schermpje voor mij zoals bijv. Facebook of Android dat heeft. De standaard Documenten, Afbeeldingen, Downloads, etc. mappen beveiligen en bij installatie van een programma gewoon een popup vanuit het OS met "Applicatie X wilt kunnen schrijven naar Documenten". Krijg je zo'n popup zonder dat je iets aan het installeren bent dan weet je dat het foute boel is.

En natuurlijk sowieso dat mensen gewoon zonder te lezen gaan klikken op "Ja", maar goed, dan geef je blijkbaar niks om je bestanden.
Die moeten bestanden kunnen (blijven) schrijven in bepaalde mappen
Dus je staat die applicaties toe die mappen te beschrijven.
Als de ransomware dan actief wordt en alle bstanden gaat encrypten, gaan deze installaties ook "plat".
En hoe kan dat dan als die ransomware niet in de mappen mag schrijven waar alleen de 'procesaansturing' applicaties in mogen schrijven?
Misschien thuis maar meeste hebben wel een virusscanner draaien.
En hoe goed hebben die virusscanners de ransomware applicaties tegen gehouden?
...totdat de ransomware wacht op toestemming door de gebruiker en zijn slag kan slaan.
Of niet wacht maar al toestemming heeft om automatisch een boekhoudprogramma te updaten bijvoorbeeld. Waarbij de software elders gehackt is.

Als het werkt als zelflerende firewall annex virusscanner kan het zomaar zijn dat na verloop van tijd sommige programma's dingen mogen veranderen die ransomware ook wil veranderen. Kassa.
Dit houdt de installatie van de ransomware niet tegen, dit houdt het uitvoeren er van tegen. Bestanden in controlled folders kunnen niet door ransomware geëncrypt worden.
Dit houdt de installatie van de ransomware niet tegen, dit houdt het uitvoeren er van tegen. Bestanden in controlled folders kunnen niet door ransomware geëncrypt worden.
Maar dat is wel een belangrijke stap om te voorkomen dat je belangrijke documenten kwijt kunt raken. Die bestanden kunnen dan in principe niet zomaar versleuteld worden.

De ransomware zelf hou je er inderdaad niet mee tegen, maar dat is natuurlijk ook wel heel erg moeilijk.
maar deze ransomware encrypt wel andere mappen dan alleen temp.
als dat ergens geblokkeerd wordt is dat al een win situatie.
natuurlijk heb je nog steeds een probleem, maar is dit probleem wel kleiner dan dat het nu zal zijn.
Het gaat niet om het tegenhouden van de installatie van ransomware, maar om het voorkomen dat ransomware bepaalde (belangrijke) mappen onder handen neemt. Zo zou je bijvoorbeeld de folders waarin je belangrijkste documenten of foto's staan preventief kunnen beschermen tegen acties van ongewenste programma's.
De laatste ransomware ging zichzelf installeren in de temp (%temp%) folder van Windows. [..] Dus wat dit nou kan helpen in het tegengaan van ransomware is mij nu nog een raadsel.
Waar de ransomware geinstalleerd staat maakt natuurlijk geen fluit uit. Dat vervolgens die ransomware alle user folders, harddisks, en beschikbare netwerkshares probeert te benaderen is het probleem, en dat word door "Controlled Folders" tegengegaan.
Het grootste probleem met ransomware is niet dat het zich installeert, maar dat het vervolgens je data gaat versleutelen (in andere folders).
En dat laatste wordt wel tegengehouden.
De laatste ransomware ging zichzelf installeren in de temp (%temp%) folder van Windows.
Mijn virusscanner blokkeert het uitvoeren van alle executables die in een directory genaamd "temp" staan *). Programma's die zich "netjes" gedragen gebruiken temp immers alleen voor data, niet voor code. Anders gezegd is het veel te makkelijk om in temp te schrijven, dus alle code die daar staat is per definitie niet te vertrouwen.

*) Het is een beetje hetzelfde idee als "W^X": dingen zijn ofwel data, ofwel code; als je data probeert uit te voeren is er iets mis.
Anders gezegd is het veel te makkelijk om in temp te schrijven, dus alle code die daar staat is per definitie niet te vertrouwen.
Sowieso is het vaak niet zo tijdelijk als wordt gesuggereerd en blijft er gewoon oude meuk staan.
Vroeger liet ik dus tijdelijke zaken in een tempfolder in ramdisk doen als je in een programma zelf kon aangeven in welke map dat mocht.. Sneller en echt tijdelijk.
En tevens werden alle tmp/temp mappen geleegd bij de start, via autoexec.bat.

Nu moet je je met hand en tand verdedigen.
Strakke aktie
Hopelijk komen ze ook met iets dergelijks voor win10 (en liefst ook voor win7 maar dat zal wel teveel gevraagd zijn)
Hopelijk komen ze ook met iets dergelijks voor win10
Dit ís voor Windows 10, maar het is momenteel alleen beschikbaar voor Windows Insiders in de fast ring, oftewel een testversie van Windows 10. Meestal komen de features van de Insider builds beschikbaar in de uiteindelijke release van Windows 10.

Deze feature zal (mits alles goed werkt, natuurlijk) beschikbaar worden in de Windows 10 Fall Creators Update, die ergens in de herfst van dit jaar beschikbaar komt.
Strakke aktie
Hopelijk komen ze ook met iets dergelijks voor win10 (en liefst ook voor win7 maar dat zal wel teveel gevraagd zijn)
Dit artikel gaat juist over het verschijnen van deze feature in Windows 10.

Windows 7 krijgt deze update niet omdat dit een feature is, een extra mogelijkheid van het OS. Windows 7 is al sinds 2015 uit de mainstream support (https://support.microsoft...ifecycle/search/?c2=14019) wat betekend dat het, tot 2020!, alleen nog maar stability en security updates ontvangt.
durf het artikel te lezen.....
of alleen de titel....
Waarom? Jij bepaald welke apps aan die folders mogen (het gaat niet eens om bestandstypes, maar folders). Jij kan dus zeggen dat LO/OOo aan die folder mag.
En wat gaat Windows tegenhouden als de cryptolocker je bootloader/mbr wijzigt en dus vóór het booten van Windows al je bestanden versleutelt? 8)7 Maargoed, voor de andere cryptolockers kan wat extra veiligheid geen kwaad.
Daar heb je Safeboot/verified boot/hoe het ook heette voor, wat op veel computers en laptops standaard aan staat (tenzij de eigenaar Linux installeert of vanaf een eigen USB op wil starten). Zo kan alleen met een intacte bootloader geboot worden.
Gertmenkel, wat jij bedoeld is secureboot. Zelfs dan is het nog mogelijk omdat het weg geschreven word naar OS niveau en niet naar MBR/GPT.
Klopt, die bedoel ik ja!

Als je als virus secureboot kan omzeilen of de standaardopstartprocedure kan manipuleren heb je sowieso administratorrechten nodig. Dan KUN je ervoor kiezen om deze functie op die manier te omzeilen, maar je kunt dan net zo goed gewoon programmatisch dit vinkje in Defender uitzetten (of met een group policy registersleutel defender uitschakelen)

Scheelt weer een reboot...
Ja in principe blijft de beste antivirus toch die grijze massa he... ;-) Maar dat kadertje dat vraagt om admin-rechten daar heeft volgens mij geen enkele clueless consument ooit op wat anders geklikt dan "Ja" :+
Om dat te doen heeft de aanvaller al admin rechten nodig, en dan kan (moet) je stellen dat het beveiligingsprobleem niet het herschrijven van de mbr is, maar het verkrijgen van de rechten.

Deze bescherming werkt dan ook net voor bestanden waarop de normale gebruiker volledige rechten heeft (omdat het de zijne zijn bijvoorbeeld) en niet zozeer voor het systeem.
Het feit dat Secure Boot niet eens toelaat dat andere software dan Windows (of een ander OS) opstart?
Ik kan het natuurlijk mis hebben. Maar als ik het enigszins begrijp kan een eventueel ransomware al niet beginnen met encrypten van files. Als je die folders dus goed instelt kan het volgens mij ook niet één twee drie herstarten omdat de mappen niet beschreven kunnen worden.
Dit is inderdaad voornamelijk handig voor user mappen en niet direct op systeem niveau. Maar ze zijn er dus wel mee bezig en dit is een behoorlijke eerste stap in de juiste richting.

Secure boot kan hierbij ook helpen wat zakelijke laptops/Desktops veelal hebben aan staan.
Klinkt als een lapmiddel: Ransomware op PC. Ransomware opent MS-WORD via OLE/COM. Ransomware laat document slopen door Word. Tenzij ze de hele keten gaan analyseren (maar dat verwacht ik niet) zal dit alleen 'domme' ransomware tegenhouden.
Het zal malwareschrijvers iets meer moeite doen doen. Dus worden ze iets beter en professioneler. Dus krijgen we interessantere malwares.

De enige oplossing is idd om de bugs in het besturingssysteem op te lossen.

Al de rest is onnozel.
Yup. En aangezien ransomware lift gebruikers is het extra moelijk. Ik geloof meer in een 'zorg voor een autobackup' of snapshot op die folders zodat je altijd read-only! de bestanden nog hebt.
Gegevenadragers hebben allemaal een bepaalde levensduur. Dus gegevens niet backuppen is volstrekt idioot, inderdaad. Windows gebruiken voor belangrijke dingen, eigenlijk ook.

Je windows dan ook nog eens niet updaten komt in de buurt van crimineel gedrag waarbij je je organisatie opzettelijk in gevaar brengt.
De bugs uit het OS die gebruikt worden in de de verspreiding van huidige ransomware aanvallen zijn al maanden geleden opgelost.
De aanvalsvector voor notpetya was een update van een boekhoud programma uit de Oekraïne en niet een lek in het OS.
De getroffen bedrijven hebben zelf vrijwillig de update van de boekhoudsoftware inclusief malware uitgerold binnen hun netwerk.
De situatie die je nu schetst moet dan gebruik maken van meerdere kwetsbaarheden tegelijk. Word kunnen openen via een Windows API zonder dat Windows er van af weet dat het dus eigenlijk een heel ander programma is gaat niet zomaar. Het wordt dus weldegelijk veel moeilijker gemaakt.
Uh? Dat is niet zo heel moeilijk als in: dat is basis OS functionaliteit zonder welke je niets kunt met je computer. Explorer.exe start Winword.exe op als je klikt op een icoon. Er is niet zoiets als een 'proces X mag proces Y niet starten' in Windows. Zou ook heel vervelend werken worden. En blacklisten is niet zinnig want ransomware is meestal 0-day.
Er is niet zoiets als een 'proces X mag proces Y niet starten' in Windows
Waarom niet?
In principe zijn er maar een paar applicaties die die capability nodig hebben.
En blacklisten is niet zinnig want ransomware is meestal 0-day.
Daarom is whitelisten veel handiger.
Is ook een reden dat virusscanners niet werken: De lijst van onbekende dingen is oneindig groot...
Nee, exec en fork en process controls worden door heel veel programma's gebruikt. Daarnaast heb je DLLs die je kan injecteren, rundll en dll-wrappers voor exe's enz. die allemaal diverse legitieme functies hebben. Whitelisten is niet eenvoudig en werkt ook voor geen meter tenzij je vooraf kan bepalen wat iemand gaat doen. In een sterk corporate omgeving kunnen low-level medewerker wel op zo'n locked-down systeem werken om dat je nagenoeg alle verwachte functionaliteit vooraf kan bepalen. Maar zodra iemand wat meer moet gaan doen is dat gewoon geen optie meer.

Daarnaast heb je ook totaal andere problemen die je dan moet op zien te lossen, bijvoorbeeld services die door de service manager gestart worden, maar ook behalve Win32 processen ook NT processen die helemaal niks met windows te maken hebben maar er wel invloed op uit oefenen.
Nee, exec en fork en process controls worden door heel veel programma's gebruikt.
Waarvoor? En moet je dit willen?
En wil je die zomaar niet-whitelisted dingen laten starten?
Daarnaast heb je DLLs die je kan injecteren, rundll en dll-wrappers voor exe's enz. die allemaal diverse legitieme functies hebben.
Allemaal dingen die je kunt whitelisten...
En waarom wil je dit soort low-level dingen zomaar toestaan?
Heb het gevoel dat dit precies is wat Windows 10 S heeft dichtgetimmerd...
Whitelisten is niet eenvoudig en werkt ook voor geen meter tenzij je vooraf kan bepalen wat iemand gaat doen. In een sterk corporate omgeving kunnen low-level medewerker wel op zo'n locked-down systeem werken om dat je nagenoeg alle verwachte functionaliteit vooraf kan bepalen. Maar zodra iemand wat meer moet gaan doen is dat gewoon geen optie meer.
Het aparte is dat mensen wel de illusie hebben dat ze het systeem veilig kunnen houden met een blacklist (denk virusscanner).
Echter, die lijst is onbegrensd. De whitelist is ten hoogste dat wat er op je computer aanwezig is.
Waarom mag dat onbekende programma dat net op de computer terecht gekomen is allerlei dingen?
De grap is dat dit met Gatekeeper op macOS toch aardig lijkt te werken...
Volgens mij is dit precies is wat Windows 10 S ook doet...
Daarnaast heb je ook totaal andere problemen die je dan moet op zien te lossen, bijvoorbeeld services die door de service manager gestart worden, maar ook behalve Win32 processen ook NT processen die helemaal niks met windows te maken hebben maar er wel invloed op uit oefenen.
Die services worden door de service manager gestart. Ook weer een proces wat de rechten wellicht zou mogen hebben.
Maar wil je zomaar niet-whitelisted services laten starten?
Of wil je liever de vraag 'weet je zeker dat je ransomware.exe' wil starten?
Lijkt mij wel...
Dan stort windows in. Veel applicaties (bijv. installers) maken in de TEMP dit een exe aan die ze runnen. Zowel de exe als de installer zijn niet bekend en zouden dan geblocked worden.
Zowel de exe als de installer zijn niet bekend en zouden dan geblocked worden.
En het probleem hiervan is...?
De grap is dat ik nu al een vraag krijg of ik wil toestaan dat die installer wijzigingen aan mijn systeem mag / kan maken.
Waarom zou die installer trouwens opeens een exe in TEMP gooien en die starten?
En misschien wil je dat kunnen blokkeren?
Ik vind het sowieso vreemd dat Ransomware blijkbaar zo moeilijk te detecteren is. Het patroon is toch telkens 100% hetzelfde? Goed dat Microsoft dit in Windows inbouwt.
Ik vind het sowieso vreemd dat Ransomware blijkbaar zo moeilijk te detecteren is. Het patroon is toch telkens 100% hetzelfde?
Kennelijk niet dus, anders hadden we nu niets meer gehoord van ransomware.

Malware makers passen constant hun software aan om aan detectie te ontsnappen. Ook de werkwijze moet blijven veranderen omdat beveiligingssoftware zich ook aanpast en de oude manieren kan ontdekken/blokkeren. Het blijft een kat-en-muis spel tussen malware bouwers en beveiligingsbedrijven, buiten nog het feit om dat niet iedereen altijd even netjes zijn systeem van updates voorziet.
Simpele pattroonherkenning is duidelijk wél mogelijk, het is namelijk wat Microsoft hier toepast. Vanaf dat een onbekende applicatie opeens duizend files in /documents probeert te overschrijven is er duidelijk genoeg iets niet pluis. Dat dit op OS-level wordt geblokkeerd is slim, en is waarschijnlijk niet genoeg om het probleem volledig te verhelpen maar alvast een goed begin.
Volgens mij blokkeert men gewoon alles zolang de app niet whitelisted is. Hier komt geen patroonherkenning bij te pas.
Simpele pattroonherkenning is duidelijk wél mogelijk
Talloze programma's bewerken talloze bestanden op een doorsnee dag... en dan heb ik 't niet over een gebruiker die Word gebruikt om zijn/haar document te bewerken maar god-knows-what voor applicaties die in de achtergrond werken en hun werk doen zonder userinteractie etc. Laat DiskMon voor de gein eens een uurtje lopen. Zo "simpel" is dat patroon niet *
Vanaf dat een onbekende applicatie opeens duizend files in /documents probeert te overschrijven is er duidelijk genoeg iets niet pluis.
Ja, alleen ben je dan wel "duizend files te laat" als je dan pas ingrijpt. Je wil natuurlijk bij de eerste poging (dan is er nog niet eens sprake van een patroon) meteen alarm slaan en ingrijpen. Dat is precies wat dit doet / belooft te gaan doen.

* Daarbij is voor 't OS een Word document niet anders dan een JPEG of een tempfile. Het is weinig anders dan een bak bits en bytes ergens in een sector of whatever op een I/O device voor 't OS en dus lastig daar (zonder complete hiërarchiën van processen na te lopen wat weer CPU intensief is etc.) makkelijk iets over te zeggen.

[Reactie gewijzigd door RobIII op 29 juni 2017 15:38]

Als die feature echt zo werkt dan gaat het snel UAC acherna, ofwel iedereen zet het uit. Zal gewoon een whitelist zijn: applicatie A mag wel in die directory, die andere niet. Als het rate-limited meuk wordt gaat de ransomware gewoon een tandje langzamer de boel encrypten.
Ken letterlijk niemand die UAC uit heeft gezet, als je expres beveiliging uit gaat zetten kan je ook niet klagen over de gevolgen natuurlijk.
Alle normale gebruikers weten niet eens wat UAC is, laat staan hoe je het uit zet en iedereen die wel weet wat het is wil het absoluut aan hebben.
Whitelist zal overigens ook een lekker systeem zijn... Als dat op executable naam gaat 'malware.exe' dan kan malware je legitieme software overschrijven en daarmee toegang krijgen tot die folders en als het op hash basis gaat moet je bij elke update alles weer updaten, hoe dat exact gaat werken...
hoe dat exact gaat werken...
Zoiets als Gatekeeper op macOS:
Developer signed apps zijn herkenbaar en kun je whitelisten.
Niet developer signed apps worden gesigned door het OS en zijn dan gesigned en kun je dan whitelisten.
En ja, bij een update van een applicatie moet je opnieuw toestemming geven.
Vanaf dat een onbekende applicatie opeens duizend files in /documents probeert te overschrijven is er duidelijk genoeg iets niet pluis.
Okee dan beveilig je die map. Hoewel documenten overschreven moeten kunnen mogen worden zonder limiet. Maar waarom zouden mijn rar's en zip's een andere extensie moet kunnen krijgen. Of grafische bestanden.? Soms is daar een reden voor, maaar dan mag een virus het dus ook.
Geen probleem. Maakt men toch gewoon malware dat een ietswat random patroon heeft. bv. in plaats van alle files in een folder in een keer, een file van een folder per keer. En dat gedurende dagen. En als dat toegevoegd wordt aan de detectie, maakt men weer wat anders. Kost mij als programmeur een half uurtje om die routine te schrijven. Geef me nog een halfuurtje meer en ik laat de routine haar eigen gedrag zichzelf incrementeel en random aanpassen.

Anders gebruik ik wel het gedrag van de gebruiker om mijn routine dat te laten nabootsen.
Maakt men toch gewoon malware dat een ietswat random patroon heeft. bv. in plaats van alle files in een folder in een keer, een file van een folder per keer.
En de oudste eerst; die worden vermoedelijk minder gebruikt.
Het patroon van het roulette spel is ook telkens hetzelfde. Croupier gooit het balletje in de bak en die blijft dan op een getal liggen. Maar welk getal het gaat zijn, dat is toch nog vrij lastig te voorspellen.
Wat ik wil zeggen is, het komt allemaal nogal op de details aan. Maar als alleen Word, Excel en Photoshop in je Mijn Documenten folder kunnen schrijven en alle andere Applicaties een ja en nee dialoog geven, kan er al veel gewonnen zijn. Tenzij het klik volk zoals altijd weer op Ja klikt.
Word, Excel en Photoshop hebben bugs (gehad) die malwares de mogelijkheid gaven die software iets voor hun te laten uitvoeren.
Zeker. En Windows heeft bugs gehad waardoor de malware binnen kon komen. Het idee is om vele hordes neer te leggen zodat een virus of malware niet zomaar z'n gang kan gaan. En dat het liefst zonder te gebruiker er mee lastig te vallen.
Een typische moderne malwareaanval heeft een payload due afzonderlijk van de aanvalsvector gebruikt wordt. De aanvalsvector gebruikt een database van mogelijkheden. Alles zal of kan daar in zitten. En dan nog zal de omvang van het stukse software enorm meevallen. Aanvalscode is HEEL klein in omvang. Tienduizend stuks zijn nog altijd minder dan een paar honderd kb aan compiled code. Zeker ook omdat veel aanvalsroutines herbruikbaar zijn met verschillende parameters.

Dusja , er is maar 1 gaatje nodig. Eens op systeemrechten leg je alle veiligheidslayers lam.
Beveiliging is dan ook niet 1 laag maar meerdere lagen.
Iemand die binnen wil komen zal binnen komen op elk netwerk, daar is niks tegen te doen om dat te stoppen, maar je kan het dusdanig lastig maken dat het niet realistisch is dat iemand er zoveel tijd, moeite en geld in steekt om jouw systeem te kraken.
De dag dat er een firewall komt met een knop 'Protect against everything' moet nog komen :+
Daarbij moet er wel eerst iets gebeuren voordat patroon herkenning überhaupt kan plaats vinden.
Ow kijk er zijn zojuist 1000 bestanden ineens gecodeerd, dat is een patroon wat we niet willen, laten we die applicatie snel blokkeren!
Maar ondertussen ben je die 1000 bestanden wel kwijt :+
Denk aan SELinux achtige oplossingen.
Goede zet Microsoft, alhoewel ik denk dat het met aardig wat programma's problemen gaat veroorzaken.

[Reactie gewijzigd door robbinkg op 29 juni 2017 15:05]

Tja ik hoop dat je dan ook zelf programma's als "vriendelijk" kan aanmerken.
Er staat een "Add an allowed app" knop in de tweede screenshot, white listen van applicaties zal dus inderdaad gewoon kunnen.
Er staat ook dat Microsoft een ingebakken whitelist mee levert van programma's die altijd vertrouwd worden. Ik vind het bedenkelijk dat er (nog?) geen optie lijkt te zijn voor de gebruiker om programma's expliciet te blacklisten, ook al vertrouwt Microsoft ze wel. Als je primair LibreOffice gebruikt en MS Office alleen geïnstalleerd hebt staan voor dat ene rare document af en toe dat niet compatible is, dan kan ik me prima voorstellen dat je MS Office wilt blacklisten, om op die manier een extra beveiliging tegen macro-virussen te hebben. En tegen cryptolockers die een truc bedenken om (via OLE Automation of iets dergelijks) tegen Word te zeggen "open dit bestand, vervang de data door [geëncrypte data], sla deze nieuwe versie voor me op"...

[Reactie gewijzigd door robvanwijk op 29 juni 2017 16:10]

En tegen cryptolockers die een truc bedenken om (via OLE Automation of iets dergelijks) tegen Word te zeggen "open dit bestand, vervang de data door [geëncrypte data], sla deze nieuwe versie voor me op"...
Met name dat soort werkwijzen zal inderdaad wel ingezet gaan worden om deze controlled folders feature te omzeilen, ja.

Bar weinig wat MS daar met MS Office aan kan doen trouwens, aagezien dat soort automatisering ook gewoon legitieme toepassingen heeft. Ze kunnen hoogstens de mogelijkheid standaard uitzetten of niet mee installeren. Help je bestaande gebruikers alleen niets mee.

[Reactie gewijzigd door R4gnax op 30 juni 2017 10:48]

Dat staat in dit artikel.
Als ze niet op de lijst staan, blokkeert Defender de wijzigingen en krijgt de gebruiker een notificatie. Die kan dan de wijzigingen alsnog toestaan.

[Reactie gewijzigd door unilythe op 29 juni 2017 15:16]

Dus dat wordt weer een are you sure you want to... YES YES YES yes please yes verhaal.
De gemiddelde gebruiker gaat dus gewoon zelfs bij een ransomware ja ja ja klikken en je blijft het probleem hebben.
Dat moet de gemiddelde gebruiker dan maar zelf weten. Door schade en schande wordt men tenslotte wijs.

Het is een goede zaak dat MS in elk geval probeert om iets aan de gevolgen van dit soort aanvallen te doen.
Dat klopt en dat ben ik ook volledig met je eens. Het grootste probleem voor een systeem blijft gewoon altijd de menselijke fout, bedoel ik gewoon te zeggen.
Ik vraag me af of de meeste mensen die een hack of virus hebben gehad het wel uiteindelijk echt begrijpen.

Iemand die ze heeft geholpen als het geen familie of directe vriend is kan niet zeggen "idioot" je hebt er verdomme zelf op geklikt.

Wil je de macro activeren om je ziggo/kpn factuur te zien (ja graag)
Download hier je zip, rar pdf effe openen met Explorer exe uitvoeren.
Uw computer is geïnfecteerd download reimage om het op te lossen.
Klik ok om extensie te accepteren. Ow cancel doet het niet ja dan maar ok.
Ow de browser wordt geblokkeerd ik heb een echt virus want dat zegt Microsoft me hier in mijn browser. (logo staat er toch) Ow krijg het niet weg dan toch maar dat nummer dat ze me geven bellen.
Ctrl +alt +delete nooit van gehoord. Reset browser, geschiedenis opruimen, flush etc nooit van gehoord.

Tis ook best ingewikkeld als je je er niet verder, dan af en toe betalingen uitvoeren e.d, in verdiept als ons.
Ja, dan wordt het tijd om mensen te leren nadenken over wat ze zien. Net als dat ze ook niet zomaar geld geven aan iemand op straat als die erom vraagt of hun huissleutels aan jan en alleman geven.
Klopt er zou "brood nodig" een goed ondersteund door ICT-ers van de contactcenter branche overheidsinlichtingsfilmpje betrefende deze dingen moeten komen. Niet die van de phishing want dat begrepen de meeste die het niet begrijpen alsnog niet.
Het moet duidelijk simpele uitleg zijn, zoals het voorbeeld van jouw huissleutels.
Inderdaad. En als mn pa mensen dan gaan zeggen dat ze het wel heel fijn vinden om voor elke deur dezelfde sleutel te hebben, hoeft ie niet bij ons te komen uithuilen omdat zn auto weg is nadat zn fiets was gestolen uit de schuur :+
Inderdaad. En als mn pa mensen dan gaan zeggen dat ze het wel heel fijn vinden om voor elke deur dezelfde sleutel te hebben,
Je zal op bezoek krijgen wie hier allemaal hun pasjes willen ruilen voor eentje met 1 chip voor alles.
Daar kan ik me nog wel in vinden. Dan kan je die ene pas in 1x blokkeren. Meestal heb je toch bijna al je pasjes in je portemonnee. Fijner dan 5 passen te moeten blokkeren.
Je moet eerst bewust mappen tot controlled folder benoemen en dat zal een gemiddelde gebruiker toch al niet doen. Maargoed het is mooi dat de functie komt, ik ben benieuwd hoe lang het gaat duren voor er een workaround is voor virusmakers. Maargoed alle beetjes helpen.
Ja ik hoop het ook, zorgt in elk geval voor minder verdriet of dure uitgaven bij sommige mensen.
Tevens met de nieuwe varianten die veel gewoon blijken te wissen, een erg noodzakelijk hulp middel.
Ik denk eerder andersom. Het wordt gewoon geblokt. Wil je het toestaan moet je meerdere stappen ondernemen waarschijnlijk. Maar als er een goede waarschuwing bij zit zullen normale gebruikers dit niet doen.
Tevens is dit dan ook van toepassing op gebruikers die niet weten wat ze voor programma's openen, een geavanceerde gebruiker die programma's bewust installeert die wijzigingen in het bestandssysteem aanbrengt begrijpt ook beter wanneer en waarom het gewijzigd wordt en wat wel en wat niet een false positive is.
Dus dat wordt weer een are you sure you want to... YES YES YES yes please yes verhaal.
De gemiddelde gebruiker gaat dus gewoon zelfs bij een ransomware ja ja ja klikken en je blijft het probleem hebben.
Dit is anders niet veel anders dan hoe het werkt bij Mac OS en daar blijkt het goed te werken.

Uiteindelijk blijf je zelf verantwoordelijk voor je eigen handelen.
Ik zie het zelf als een toegevoegde waarde en kan het alleen maar omarmen.
De huidige implementatie laat gewoon toe dat je zelf applicaties toevoegt en verwijderd aan/van de lijst. Het is maar eenmalig dat je toestemming moet geven, en Windows geeft de meeste programma's al automatisch toestemming.
Dat is dan toch ook waar we naartoe willen? Dat de gebruiker de enige zwakke schakel in de ketting is en de software veilig is?
Of een onwetende gebruiker die er niet dag en nacht achter zit zoals mijn ouders.
Dat is zet computer aan, check email, zoek twee dingen op google en sluit dat ding af.
Wordt het zo ook aangeboden door verkopers? Geven verkopers uitleg over hoe je de computer moet onderhouden, updaten, waar op te letten bij nieuw systeem. Uitleg over gevaren. Java, Flashplayer, Antivirus, Besturingssysteem, software updaten? Nee het grootste probleem ligt hier en ik heb het dus nog niet eens over de New generation. Zelfs ik na een glaasje wijn klik weleens per ongeluk verkeerd. Tis te zwart/wit om te zeggen het is een geavanceerd apparaat. Niet iedereen koopt ze om er alles mee te doen wat de meeste hier op de site kunnen/doen. Microsoft is al pogingen aan het doen om hier aanpassingen aan te doen, maar zie wat er bij Windows 8 gebeurde. Ze zouden het beste kunnen overgaan op twee versies de user friendly versie en de pro versie. Een soort van Apple tegenhanger voor de huis, tuin en keuken mussen.
Ze zeuren puur uit onwetendheid.

[Reactie gewijzigd door Balder1984 op 30 juni 2017 02:32]

je hebt als consument toch echt een plicht jezelf te informeren! als je vragen hebt moet een verkoper die beantwoorden...maar pas als je vragen stelt! in deze tijd moet je gewoon meer met je pc doen dan porno kijken...je moet jezelf beschermen! dat is de plicht van elke PC gebruiker!
Er staat op de derde afbeelding een knop met de tekst "add or remove exclusions". Ik ga er dus van uit dat dit inderdaad mogelijk is/wordt.
Al geeft dat weer meer risico's. Aanvallers kunnen daar weer gebruik van maken.

Een oplossing kan zijn om het systeem meer gesloten te maken. Dus alleen applicaties installeren vanuit hun appstore (of hoe dat ding ook heet).
durf het artikel te lezen....
Ik zou eerder zeggen, druf te denken. Als of een hacker niet eerst even de benodigde uitbreiding er in zet om kwaad te kunnen doen.
Aan de andere kant wordt het tijd dat programma's zich eens aan standaarden gaan houden. Bovendien zullen ook de firewalls en antivirusfabrikanten dit wel gaan toevoegen.
Komt op mij een beetje over als de functionaliteit van een firewall. Als leek, dan hè. ;)

Maar inderdaad, hoe ga je bijv. je downloadmap beschermen terwijl er van alle kanten programma's in aan het werk zijn? Waar ook gewoon "slechte code" tussen kan zitten. (scripts in mp3/foto-tags).

Is dan straks je browser en je downloader geblocked? :P
Goede zet Microsoft, alhoewel ik denk dat het met aardig wat programma's problemen gaat veroorzaken.
Die zal je kunnen whitelisten. Mijn Bitdefender heeft ook zoiets, 'Picturemap' is beveiligd waardoor ik bij wijze van spreken niet eens zelf foto's kan verwijderen of editen.
Het kan worden toegestaan, maar dan alleen door mij worden gedaan en met een bepaald programma.
Dit zit standaard in een goede virusscanner. :)

[Reactie gewijzigd door JonathanP op 29 juni 2017 15:14]

Maar als je dat even leest zie ik toch wel wat foute opties voorbij komen daar
Protection against cryptoviruses. Cryptoviruses are a type of malware that encrypts your files and demands a ransom. When a cryptovirus attempts to encrypt a file, the Kaspersky product automatically creates a backup copy of the file before it is affected. If the file gets encrypted, the product restores it from a backup copy.
Please note:
Backup copies are stored in the system Temp folder (temporary files storage). The backup copy is not created if there is not enough space on the system disk, so please keep at least 10-15% of the disk C space empty.
Backup copies are removed when Kaspersky Internet Security 2017 is closed or System Watcher is disabled (backup copies are not removed if the application is stopped unexpectedly). If necessary, you can remove backup copies manually by deleting the contents of the Temp folder.
Een stukje malware dat na gebruik de /tmp folder wist ( waar malware vaak rondspookt en dat dus ook zal doen om detectie te bemoeilijken,) is reeds voldoende om je fraaie backups naar de digihemel te zenden.
Inderdaad een hele aparte vorm van bescherming. Zeker omdat het na reboot kennelijk alsnog prijs is voor de ransomware. En wat is de bescherming tegen het encrypten van de backups? De Temp folder is nou niet bepaald een beveiligde systeemfolder. De temp folder is ook de eerste die leeg gaat bij een simpele 'reclaim disk space by removing unneccesary files'.

Juist ransomware is vaak heel sneaky; niet direct beginnen met encryptie, langzaam uitvoeren van de encrypty, niet direct om losgeld vragen, etc. Dit om ervoor te zorgen dat de kans van gegijzelde backups maximaal is.
langzaam uitvoeren van de encrypty, niet direct om losgeld vragen, etc. Dit om ervoor te zorgen dat de kans van gegijzelde backups maximaal is.
Tel de reboots. Dan verras je degenen die graag een lange uptime hebben.
Combineer de ideeen
Ter toelichting, zo werkt het dus.

Als het goed is, wordt het stukje malware zodra het al wordt weggeschreven al herkend (en onschadelijk gemaakt, of welke actie je er achter hangt) en wordt de eventuele schade die het al heeft kunnen doen hersteld.
Helaas zijn virusscanners vaak zelf een zwak punt dat malwares gebruiken. Ideaal is ook dat een overgenomen virusscanner meteen alle rechten heeft en dat het gedrag van een virusscanner heel hard lijkt op het gedrag van malware. Ideaal om als malware over te nemen dus. De tijden dat goede programmeurs bij virusscan bedrijven werken zijn voorbij. Dus zitten virusscanners vol idiote bugs. Plus opzettelijke overheidsbackdoors. Ik zou bv niet snel Symantec gebruiken.
Doet me denken aan de laatste methode om Symbian telefoons te rooten, voordat het systeem afgeschoten werd: dat ging door een gehackte virusscanner te installeren met de gewenste installatiebestanden in de vault, en ze dan door de virusscanner te laten "terugzetten".
De tijden dat goede programmeurs bij virusscan bedrijven werken zijn voorbij. Dus zitten virusscanners vol idiote bugs.
Weet je dat absoluut zeker? :-)
Ik zou bv niet snel Symantec gebruiken.
Nee. Ik ook niet. Als je dat gebruikt als referentiekader, dan begrijp ik je volledig ;-)
En nu (of binnenkort) dus ook in Defender. Wat is je punt? ;)
Dat ze achter de feiten aanliepen :-)
Ik hoor al een tijd mensen praten over het detecteren van ransomware door de entropy van files te berekenen.

Kan dit niet in een virusscanner gebouwd worden?
Uit jouw link:
In other words, it's a measure of the "randomness" of the data in a file - measured in a scale of 1 to 8 (8 bits in a byte), where typical text files will have a low value, and encrypted or compressed files will have a high measure.
(emphasis added)

Tegenwoordig zijn nagenoeg alle bestandsformaten gecomprimeerd. Niet alleen het voor de hand liggende ZIP *), maar ook zo-goed-als-alle afbeeldingen (BMP is de enige uitzondering; JPEG en PNG zijn gecomprimeerd), alle video en de meeste audio (wanneer heb jij voor het laatst een WAV-bestand opgeslagen?). Een mechanisme in Windows dat detecteert "deze file heeft lage entropy, maar nu wordt er hoge entropy overheen geschreven, laten we dat blokkeren" zou voor de gemiddelde gebruiker alleen "belangrijk, niet vergeten!!!111.txt" midden op hun desktop redden; alle andere files hebben zowel voor als na encryptie hoge entropy en kunnen dus niet beschermd worden.
Voor developers wordt ook source code beschermd (niet alleen in programmeertalen, ook dingen als HTML en CSS), maar goed, als die ten prooi vallen aan ransomware dan ga je natuurlijk niet betalen; dan maak je gewoon een nieuwe checkout.

*) Waaronder bijna alle Office-formaten! Ze hebben de "verkeerde" extensie, maar volgen wel het ZIP-bestandsformaat. Probeer voor de grap maar eens een .docx (dankjewel voor de correctie PolarBear!) bestand te renamen naar .zip en het dan te openen.

= = = = = = = = = = = = = = = = = = = = = = = = = = = =

Hij probeert hier omheen te werken door ook naar het begin van de data te kijken om vast te stellen wat voor soort bestand het is:
Using these two checks [entropy en type - RvW] to identify suspect files depends on a couple of things:
  • Ransomware encrypts the whole file, so it clobbers the magic bytes of data files when it encrypts them (at least all the variants that I've encountered)
  • Ransomware generally employs a decent encryption algorithm, so the entropy will be "high". So far this has been true - for instance, we're not seeing ramsomware using simple XOR techniques (which would by terrible encryption, but would preserve a file's average entropy value).
Dat zou best kunnen werken als je de enige bent die dit gebruikt, maar als standaard virusscanners (of Windows zelf) dit inbouwt, dan duurt het niet lang voordat ransomware de eerste kB (of zoiets) van bestanden met rust laat (en niet-gecomprimeerde bestanden helemaal overslaat, maar zoals hierboven al uitgelegd, daar schiet je in de praktijk erg weinig mee op).

[Reactie gewijzigd door robvanwijk op 29 juni 2017 17:35]

Probeer voor de grap maar eens een .doc bestand te renamen naar .zip en het dan te openen.
DocX ;)
Natuurlijk kan dat, maar het gaat wel veel valse alarmen geven.
Wat weehoudt malware er van deze functie uit te schakelen? Malware-software verkrijgt door fouten in Windows doorgaans rechten op systeemniveau. Dus ook de rechten om deze bescherming te beinvloeden.

Volgens mij is de enige oplossing om bugs in Windows op te lossen. Te beginnen met het melden van erstige bugs, gevonden door overheidsorganisaties allerhande, aan de fabrikant. EN het herstellen en distribueren van updates.

Al de rest is prutsen in de marge.
Malware-software verkrijgt door fouten in Windows doorgaans rechten op systeemniveau.
Veel malware niet, social engineering is een belangrijke attackvector. En de laatste grote malware uitbraken die gebruik maakten van exploits, maakte gebruik van bugs die al opgelost waren.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*