Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Makers van Gandcrab stoppen met verspreiden ransomware

De groep achter de beruchte ransomware Gandcrab stopt ermee. De makers stoppen naar eigen zeggen omdat ze genoeg geld aan de gijzelmalware hebben verdiend zonder aangepakt te zijn door opsporingsinstanties.

Het anonieme team achter Gandcrab heeft een afscheidsboodschap achtergelaten op verschillende fora op het dark web waar het zijn ransomware verspreidde. Screenshots daarvan zijn te zien bij Bleeping Computer. Gandcrab was de afgelopen jaren één van de beruchtste en meest voorkomende vormen van ransomware. De makers zeggen nu te stoppen voor 'een welverdiend pensioen'. "We hebben bewezen dat we kwaadaardige dingen kunnen doen zonder vergelding te zien", schrijven zij in hun forumpost. Opsporingsdiensten hebben inderdaad vaak moeite ransomwaremakers te pakken, de pakkans is laag voor grote verspreiders.

De makers stoppen met de verkoop van hun ransomware, en vragen hun kopers de ransomware niet meer te verspreiden. Hoogstwaarschijnlijk betekent het ook dat de makers hun command-and-control-servers offline halen, maar dat schrijven ze zelf niet. Wel stellen ze dat de decryptiesleutels na twintig dagen worden verwijderd en dat slachtoffers hun bestanden dan niet meer kunnen ontsleutelen. Slachtoffers van Gandcrab kregen hun bestanden na betaling in de meeste gevallen wel terug. In het verleden hebben andere ransomwarebendes zoals die achter TeslaCrypt na het stoppen met activiteiten alle decryptiesleutels vrijgegeven.

Gandcrab werd op fora aangeboden als 'ransomware-as-a-service'. Kopers konden de ransomware dan zelf inzetten voor hun eigen campagnes. Ze hoefden dan alleen een paar zaken zelf te configureren, zoals de tekst in de losgeldbrief, het losgeldbedrag, en de encryptiemethode. De originele makers kregen daar een percentage van. Volgens de makers hebben kopers in totaal meer dan twee miljard dollar verdiend, waar zij zelf 150 miljoen dollar per jaar aan over hielden. Het is moeilijk te controleren of die bedragen kloppen.

Door Tijs Hofmans

Redacteur privacy & security

03-06-2019 • 09:49

122 Linkedin Google+

Reacties (122)

Wijzig sortering
De vraag is of de aangedragen reden wel de echte reden is. Afgelopen maand zijn er verschillende darkmarkets opgerold. Wellicht dat ze zich nu juist terugtrekken omdat ze veel geld hebben verdient en aanvoelen dat de wateren van het darkweb minder troebel aan het worden zijn voor inlichtingsdiensten. Natuurlijk kunnen wij dit nu niet op voorhand weten. Time will tell.
Dan klopt toch nog steeds de reden waarom ze stoppen. En met 150miljoen kun je echt rustig met pensioen (en daarmee verder investeren).
Rustig pensioen zal het nooit worden. Ze zullen altijd op hun hoede moeten blijven. Is het niet voor de politie dan is het wel voor een boze crimineel wiens familiefotos encrypt waren.
De politie heeft geen middelen om voldoende prioriteit te geven aan dit soort zaken; zeker nu het een soort cold case is geworden, zal de belangstelling minder worden.
Zelfs als er veel meer prioriteit aan wordt gegeven, kan je je nog afvragen of je de daders kan vinden in de virtuele wereld met bitcoins, VPN's en dergelijke.

De politie kan nog gegevens opeisen van servers (voor zover er uberhaupt iets gelogd is); een boze crimineel niet - daar heeft de ransomeware-crimineel nog minder van te vrezen.
naar eigen zeggen is het witgewassen, maar dan nog is het bedrag waarschijnlijk zwaar overroepen
Daar ben ik het wel mee eens en ben nogal sceptisch over de Politie. Daar kijken ze je nogal wazig aan, wanneer je aangifte komt doen, laat staan, dat ze tijd hebben om het één en ander te onderzoeken. Kortom, meestal heb je er helemaal niets aan...

Ook in dit geval worden de daders nooit gepakt, waardoor het net lijkt dat misdaad wèl loont. Nu hopen dat die criminelen elkaar "opzoeken".
Is het geen damage control, omdat hun email adressen ook ergens tussen de opgerolde darkmarkets zit, dan wel dat personen actief op die markets details kennen waarmee makers gelinkt kunnen worden?
"Volgens de makers hebben kopers in totaal meer dan twee miljard dollar verdiend".

Verdiend is hier de verkeerde woordkeuze, het juiste woord is gestolen. :(
snap het zelf niet dat mensen hier in mee gaan.... Een back-up instellen is niet zo moeilijk, eenvoudig in te stellen en weinig kennis voor nodig en de tijd is ook niet. of zijn het voornamelijk bedrijven die getroffen betalen?
Een back-up instellen is niet zo moeilijk, eenvoudig in te stellen en weinig kennis voor nodig en de tijd is ook niet.
Zo simpel is het niet meer tegenwoordig. Hedendaagse ransomware is lange tijd actief / aanwezig tot het moment dat de sleutel benodigd voor de decryptie wordt weggegooid van het systeem. Tot die tijd houdt je gewoon toegang tot bestanden omdat deze on the fly alsnog gedecrypt kunnen worden. Op deze manier is de kans groot dat een backup ook reeds geencrypte bestanden bevat
Tot die tijd houdt je gewoon toegang tot bestanden omdat deze on the fly alsnog gedecrypt kunnen worden.
Vraag is: hoe kom je erachter dat je PC de boel on the fly decrypt. Is er niet een tooltje (met tray icon) die aangeeft als er iets bij het openen gedycrypt wordt?
Dan hopen dat ransomeware dat niet blokkeert.

En kan je eigenlijk nog backuppen tijdens deze besmettingsperiode?
[...]

Vraag is: hoe kom je erachter dat je PC de boel on the fly decrypt. Is er niet een tooltje (met tray icon) die aangeeft als er iets bij het openen gedycrypt wordt?
Dan hopen dat ransomeware dat niet blokkeert.

En kan je eigenlijk nog backuppen tijdens deze besmettingsperiode?
Volgens mij claimen verschillende antivirus en antimalware programma's een anti ransomware functie aan.

En backuppen tijdens een besmettingsperiode is zeker wel mogelijk, maar als je 1 backup hebt die je telkens overschrijft ben je dus je goede data kwijt. Dat is het probleem juist.
Wat je ook veel ziet is dat een kwaadaardig stukje software zich eerst koest houd, over een bepaalde tijdsspanne zo min mogelijk cpu Power en dergelijke verbruikt, zo kan het stilletjes langzaam overal komen dus ook je backups.

Edit: voor het toeslaat.

[Reactie gewijzigd door Unsocial Pixel op 3 juni 2019 13:08]

Vraag is: hoe kom je erachter dat je PC de boel on the fly decrypt.
Booten vanaf bijv. een Ubuntu live-disk of stick; de HDD partities te mounten; en dan files inspecteren.
(Werkt ook voor Windows als bron-systeem, want NTFS is tegenwoordig goed genoeg ondersteund in Linux distros.)

Eigenlijk is het nog veiliger als je je backup überhaupt vanuit zo'n read-only omgeving maakt.

[Reactie gewijzigd door R4gnax op 3 juni 2019 14:22]

Decryption kan op kernel nivo; dat is zelfs heel normaal (Microsoft BitLocker). Het hele idee is dat een gewoon programma dat niet merkt.
Decryption kan op kernel nivo; dat is zelfs heel normaal (Microsoft BitLocker). Het hele idee is dat een gewoon programma dat niet merkt.
Maar (met name bij grotere bestanden?) theoretisch gezien zou het openen van zo'n bestand trager moeten gaan dan 'normaal'; is dat niet te meten door een tooltje? Die dan dus aan de bel zou kunnen trekken, als ie denkt dat 't openen 0,1% trager gaat dan 'normaal'.
Hoe zie je dat dan precies voor je? Hoe differentieert het systeem tussen een bestand openen voor gebruik, en een bestand openen voor (bijvoorbeeld) online backup? Natuurlijk, je kunt op filesysteemniveau ook weer encrypten bij het wegschrijven, waardoor backups die op die manier worden gedaan ook automatisch encrypted zijn. Maar als je software gebruikt voor cloudbackup, waardoor de data dus niet via het filesystem maar over het netwerk gaat op een proprietary manier, dan gaat de ransomware daar doorgaans niet tussenkomen. Tenzij ze daar heel specifiek iets voor hebben gemaakt.
Op zich is het toch niet zo heel gek om iets voor Dropbox, Owncloud, Nextcloud en Drive te maken? Daar doen veel mensen hun belangrijkste bestanden in.

Je hebt het trouwens over cloudbackup waarbij de gegevens niet via het filesystem gaan: is dat echt hoe de grote diensten werken? Als je via Explorer gewoon in je Dropbox-map kunt, dan lijkt mij de meest logische oplossing dat dat gewoon in het filesystem zit?
Ik zat bijvoorbeeld te denken aan de Crashplan client.
Met de meeste vormen van ransomware heeft een backup geen zin voor de normale gebruiker.

Edit: Doelgroep

[Reactie gewijzigd door Emin3m op 3 juni 2019 10:33]

Interessant, maar volgens mij volledig onjuist

Als je een goede backup hebt kun je na de infectie een clean install doen en je backup terugzetten. Hoezo heeft een backup dan geen zin?

Een sync / kopie heeft geen zin (want deze wordt dan ook infected), maar een goede backup werkt anders. Bij de meetse backup software kun je kiezen welke versie (dus voor infectie) je terug wilt zetten. Ook zou de backup zo "opgezet" moeten zijn dat de ransomware deze niet kan verwijderen. Ik sync bestanden naar mijn NAS (<> backup!), en backup ze vanaf de NAS. Het backup script (naar de cloud) draait met een ander user account op de NAS dan de sync, dus zelfs als het virus zo slim is om de bekende user accounts te gebruiken om om de backup te verwijderen gaat dat niet lukken.

Dus ben wel benieuwd waarom een backup geen zin zou hebben
Ik synch een deeltje (om op 2 plekken te kunnen werken) en alles wordt gebackuped van mijn PC, tablet en gsm naar iDrive met versiebeheer.
Als ik dit aan eender wie in mijn omgeving uitleg verstaan ze zeden het verschil tussen synch en backup en als 2de:
"Wat???? Jij betaalt om te backuppen? Dat kost wel geld é..."

Maar de keren dat ik van die zielige huilberichten op facebook zie passeren dat een laptop gestolen is met de unieke trouwfoto's, gsm gaan zwemmen en de baby foto's zijn verdwenen, HDD naar de filistijnen,... Dat kan ik niet meer bijhouden.
"Dat gebeurt mij toch niet", "Maar dat is moeilijk, dan moet ik dingen instellen", "Doet Google al voor me", "Die extra schijf kost geld, en waar laat ik hem dan?", "Dat ga ik later nog wel doen", en de klapperrrrr van de week: "Ik heb toch niks te verliezen". Zit jouw excuus er nog niet tussen? Voeg hem dan nu toe aan /dev/null, en maak je backup vanmiddag nog.
Die extra schijf kost inderdaad geld ja...

Ik heb een Synology NAS staan met 2 schijven in RAID-1 puur en alléén voor backup. Backup dus ja, want het origineel van praktisch alle bestanden heb ik op m'n laptop staan. Dus letterlijk een kopie. Daarnaast maak ik vaak een kopie naar nóg een externe USB-schijf die ik offsite bewaar als ik van huis ben of meeneem. Dus letterlijk 3 schijven met alleen al kopiëen van het origineel.

Ja dat kost wat. Maar het levert wel een gemoedsrust op dat m'n digitale zooi gewoon veilig is.
Nas, gdrive, OneDrive, gitlab, github en bit bucket en idd nog 2 losse ext. Hdds,, ik snap je, vooral die off-site. De Nas was idd een aardige uitgave maar dat is alles in het leven. Is de uitgave het waard? Tot nu toe gelukkig nog niet, maar de dag dat het gebeurd zal ik er zo dankbaar voor zijn en dat is gemoedsrust ^^
Ik heb wel iets aan spul op het NAS staan waarvan ik géén kopie lokaal heb. Maar dat is vooral overbodige zooi die op zich weg mág maar niet perse hoeft. Als die data kwijt raakt weet ik het op een andere manier wel weer terug te krijgen.

M'n NAS draait nu 8 jaar (heb een DS211j) en is eigenlijk te oud / traag voor iets anders dan Time Machine en SMB toegang. Maar hey. 1x nieuwe schijven erin gezet en voorlopig kan ie weer vooruit.

Gewone documenten heb ik ook in iCloud. Niet echt een backup maar wel een offsite 'kopie'. En dus een Time Machine voor de echte 'point in time' backup van diezelfde documenten.

[Reactie gewijzigd door DigitalExcorcist op 3 juni 2019 13:19]

Klopt een extra schijf en zelfs cloud kan extra geld kosten. Maar de vraag is "Hoeveel zijn jouw bestanden waard de dag dat jij ze kwijt bent?". Het antwoord op die vraag zal bepalen of je back-up wilt maken of niet.
Haha als ik heel eerlijk ben heb ik idd niets te verliezen.

Ik heb een aantal jaar geleden een nas gekocht voor een back-up te maken. En ik dacht alles erop te gaan zetten wat ik pertinent niet mocht kwijtraken. Kon niks bedenken. Enige is wat cryptovaluta maar dat heb ik op papier "gebackupped" en dan nog, zijn geen wereldbedragen dus ook niet heel erg.

Ik heb werkelijk geen enkel idee wat ik moet bewaren, en ik heb gezocht. :)
Interessant, maar volgens mij volledig onjuist
Wat is onjuist? Jij geef vervolgens een verklaring hoe het moet, maar daar heb ik het niet over toch?
Ik duid op alle mensen die niet echt een IT achtergrond hebben en die wel zo verstandig zijn om een backup te maken, maar dan wel op de goede manier.
In mijn omgeving ken ik veel mensen die een backup maken naar een harde schijf die altijd connected is. Dan heeft de backup geen zin tegen bijv de samsam ransomware.
https://ferm-rotterdam.nl...chuwing-samsam-ransomware
In mijn omgeving ken ik veel mensen die een backup maken naar een harde schijf die altijd connected is.
Die mensen maken geen backup, die maken een kopie.
Ik sync bestanden naar mijn NAS (<> backup!), en backup ze vanaf de NAS. Het backup script (naar de cloud) draait met een ander user account op de NAS dan de sync, dus zelfs als het virus zo slim is om de bekende user accounts te gebruiken om om de backup te verwijderen gaat dat niet lukken.
Wat slimme Windows ransomware doet, is een filter driver installeren die bestanden on-the-fly encrypt bij schrijf acties en decrypt bij lees-acties. Wat er op disk staat is dan feitelijk al versleuteld, maar dat merk je niet totdat het te laat is.

Backups op disk-imaging niveau zijn op die manier al het bokje.

Backups die op andere manieren werken kan mee gemodderd worden. Hypothetisch scenario: vanuit de filter driver identificeren wat het caller proces is, en als het een bekende backup tool is, tijdens de lees-actie niet decrypten. Doe je een copy operatie met Windows Explorer naar een remote systeem middels een SMB share? Niet decrypten. etc.

Jij ziet op je lokale systeem niet dat er iets aan de hand is, maar ondertussen worden al je backups vervuilt.

Hou dat even een maandje of 2 vol, zodat alle niet versleutelde backup snapshots weggespoeld zullen zijn, en dan schakelt de malware om: filter driver wordt gedeinstalleerd. Sleutels worden verwijderd. En je krijgt een mooi "wilt u even aftikken?" scherm.
Wat is volgens jou dan de beste backupstrategie voor een normale gebruiker?

[Reactie gewijzigd door Admiral Freebee op 3 juni 2019 10:24]

Een online backup service met versiebeheer.
Er zijn er verschillende te vinden online. Set it and forget it.
Enkel jaarlijks betalen.
Dat hoeft niet perse online. Een NAS met een versioned filesystem (ZFS en BTRFS bijv) is ook prima.
Scheelt ook weer het downloaden van al je data bij het doen van een restore.

[Reactie gewijzigd door frickY op 3 juni 2019 11:55]

?

dan gaat er toch echt eea fout in het backup(proces) of locatie of systeem ....
Als je backup verslagen wordt door ransomware, dan doe je je backups niet goed.

Enkel een network share waar je je lokale bestanden mee synchroniseert zal inderdaad niet opgewassen zijn tegen ransomware. Maar als je backup 99% van de tijd offline is en je tevens controleert dat de bestanden en de backup leesbaar zijn, dan heb je de meeste ransomware al verslagen. Een backup met een versioning systeem maakt ook een groot verschil, want hiermee kun je gewoon terug naar een oudere versie voordat je de ransomware te pakken had. Dit kan met sommige cloud diensten, maar ook met diverse lokale oplossingen (denk aan een filesystem met snapshot-functionaliteit zoals ZFS).

Hoe dan ook dien je meer dan 1 backup te hebben en moeten niet alle backups op dezelfde manier functioneren.
Huh, extrene HDD aankoppelen, backup maken, HDD loskoppelen en in bureaulaatje leggen?
Yep, dat is in theorie een redelijk veilige optie.
De eerste weken doen mensen dit plichtbewust elke week of na een grote data migratie, maar dat verwatert, en dan?
Ook is dit niet veilig voor brand of stommiteiten.
En hoe doe je dat op dag 2?
Zelfde HDD, opnieuw koppelen?
Wellicht zelfs de vorige backup overschrijven?
Neuh, ik zou niet elke keer die HDD overschrijven. Eigenlijk moet je er een aantal hebben liggen en daarvan elke week eentje opbergen (@cadsite okee, niet altijd bij je thuis, maar verspreid). Het zal er ook aan liggen hoeveel en hoe belangrijk je data is. Voor een bedrijf is 1 HDD aanschaffen voor elke week backup peanuts. Aan de andere kant is elke dag dataverlies of elk uur er al eentje teveel.

Als het voor jezelf is, dan past de belangrijkste shit misschien nog wel op een DVD'tje (wie gebruikt ze nog?).

Of in de cloud neerzetten natuurlijk (en ook daar weer oppassen dat je het niet overschrijft met de foute versies, c.q. dat je terugkan naar een versie die nog niet besmet was).
Dan is je backup niet goed.
Nouja de meeste gebruikers(non-tweakers etc) zullen geen backup hebben maar stel zij hebben dat wel dan alsnog het volgende:

Staat Windows 10 Controlled Folder Access aan?
Is je drive connected ?
is je drive write protected?
Heb je zowel cloud als offline backup?

Met de samsam ransomware heb je niks aan backups
Mwah, ik heb hem even nagezocht, en gevonden dat samsam als eerst de backups verwijderd/beschadigd. Dat betekent niet dat backups zinloos zijn, alleen dat je backups nodig hebt die niet vanaf de PC beschadigd kunnen worden. Dat is juist wat ik daarom specifiek op mijn NAS heb ingesteld tegen ransomware (PC backupt naar NAS, NAS maakt daar zelf weer een backup van naar een locatie waar PC geen toegang tot heeft). Uiteraard is het niet waterdicht, en ik heb slechts beperkte tijd dat mijn backups worden opgeslagen om schijfruimte te besparen. Maar het is zeker niet zo dat je bij Samsam ransomware niks aan backups hebt.

[Reactie gewijzigd door Sissors op 3 juni 2019 10:36]

En denk je dat de buurman van 65 het ook zo heb ingesteld? of de over buurvrouw? Fijn om te horen dat jij het goed heb ingesteld, zoals het hoort. ik probeer mensen bewust te maken dat ookal hebben ze een backup gemaakt dat een ransomware het alsnog behoorlijk kan verpesten. Een backup maken voor de ene gebruiker is niet hetzelfde als een backup maken door bijv een tweaker. Sommige mensen maken alleen backups van fotos naar bijv de Google Drive. Ja als die altijd sync met je pc heb je daar niks aan.
Ik weet niet in hoeverre Google Drive versie controle erop heeft. Maar ik reageerde specifiek op dit stukje van jou:
Met de samsam ransomware heb je niks aan backups
En dat is een statement waar ik het niet mee eens ben. Die werkt tegen beperkte backups, maar niet tegen 'goede' backups, dus je hebt nog steeds wel wat aan backups.

(Overigens is mijn backup strategie ook niet perfect hoor, want die NAS backupt naar een andere locatie op zijn eigen schijven, waar PC niet bij kan. Echter als mijn woning affikt ben ik nog steeds alles kwijt. Foto's en veel documenten staan echter toch nog in de cloud, en het is een afweging tussen bescherming en kosten/gedoe).
ach, ook zonder ransomware is het al moeilijk om behoorlijke backups te maken...
Ik had het laatst nog:
ik sync alle profielen naar een andere schijf, ik backup bepaalde delen (bestanden/foto's) naar een cloud én periodiek maak ik een offline backup op een externe harde schijft.
Nou...ik was dus opeens bijna 300 Gb aan foto's en profielen kwijt op mijn schijf...dus ik dacht...ah geen probleem, backups genoeg.
Wat bleek: ze waren ook al weg op de sync (wat kan natuurlijk), het programmaatje wat de backup naar de cloud regelde, bleek te haperen, dus sommige dingen waren wel en andere waren niet gebackupped en de backup op de externe schijf was 1,5 mnd oud...én een oudere backup bleek gewoon ronduit corrupt te zijn (niet te openen)...
Dus daar ga je met je goede gedrag...gelukkig heb ik overal deeltjes en stukjes vandaan kunnen vissen en ben ik er van overtuigd dat ik ongeveer 99% toch terug heb, maar ik zie een leek toch echt niet iedere keer kijken of alle programma's wel doen wat ze moeten doen...
Ik maak offline backups van m'n bestanden op een gerecupereerde interne hdd. Elke maandag hdd in m'n pc (speciaal ingebouwd sata-slot) en bash-scriptje draaien. Backupt niet m'n bestanden op m'n pc, maar enkel m'n server waar m'n nextcloud op staat. Ook een paar andere locaties worden gebackupt.
Als jij al 6 maanden lang encrypted data in je back-up hebt zitten en je retentieperiode is daardoor ruimschoots verstreken heb je vrij weinig aan die back-up. Ongeacht waar die staat en hoe onbereikbaar hij ook is.
Ik schrijf toch ook dat het niet waterdicht is? Het enige punt wat ik maak is dat het niet backups zinloos maakt. Als je backups op een veilige plaats zijn en lang genoeg terug gaan, dan kan je in ieder geval het stuk van voor de infectie recoveren.
Er zijn maar weinig dingen die waterdicht zijn. Jouw reactie waarbij je aangeeft dat de back-up locatie onbereikbaar moet zijn, is echter bij de ransomware methodiek die ik noem (en welke in dit artikel genoemd wordt) dus volkomen zinloos. Alleen ver genoeg teruggaan d.m.v. gransfather son archiving bijvoorbeeld kan een oplossing bieden. De bereikbaarheid van de back-up locatie is echter in zijn geheel geen factor.
Backups op een plaats opslaan waar je PC geen schrijfrechten heeft is een eerste stap die noodzakelijk is tegen elke ransomware. Anders kan je nog zo lang terug opslaan, maar het helpt niet. Al heb je 5 jaar aan backups staan, als je PC er schrijfrechten heeft dan vernietigd de ransomware gewoon die backups. Dus de bereikbaarheid van die locatie is een hele belangrijke factor.
Ik zou het zeker aanraden in een goede back-up strategie, echter heeft het tegen deze ransomware geen meerwaarde. Als je er achter komt dat al je bestanden encrypted zijn en je kan met het met je back-up niet meer herstellen, maakt het niet zoveel uit of je dat een week geleden theoretisch nog wel had gekund, of dat je het al een half jaar niet meer kan.
Als jij backups hebt waar je PC niet bij kan van voor de infectie dan kan je het nog gewoon wel herstellen. Ook met deze ransomware. Die kan niet magisch backups van voor de infectie vernietigen, zolang die PC er maar geen toegang tot heeft.
Volgens mij heb ik al heel erg duidelijk gemaakt (als in mijn initiële reactie) dat je retentie policy je back-up versie van voor de encryptie verwijderd en niet de ransomware. Daarnaast heeft dat voor nieuwe bestanden ook al geen zin en valt je als je überhaupt iets hebt een je back-up dus wel een half jaar terug.
Het probleem is dat jij blijft schrijven dat een goede backup strategie niet werkt bij deze ransomware, wat gewoon niet waar is. Het verschil is tussen een backup hebben van voor de infectie, of geen backup hebben van voor de infectie. Als er een maand tussen infectie en detectie zit, ja dan ben je een maand werk kwijt, heel irritant. Maar je hebt nog wel je vakantiefoto's, nog wel de foto's van het eerste jaar van je kind, etc. Uiteraard mis je dan de bestanden van de laatste maand als je een maand terug moet gaan.
Sorry als ik nu misschien wat bot over kom, maar weet je überhaupt wat een retentie policy is? Het is namelijk niet echt normaal om oneindig oude versies (qua tijd, aantal versies en formaat) van bestanden te bewaren.
Ja dat weet ik. En het ligt er maar aan wat de bestanden zijn hoeveel versies je bewaard. Zat situaties worden wel (nagenoeg) oneindig oude versies bewaard. En natuurlijk doe je dat als consument niet, maar dat bepaald uiteindelijk wel hoe veel veiligheid je hebt tegen zulke ransomware. Mijn retentie policy is primair bepaald door wat ik aan ransomware wil kunnen overleven.
alleen dat je backups nodig hebt die niet vanaf de PC beschadigd kunnen worden
Ja, anders is het ook niet echt een backup in mijn -onze denk ik- ogen. Zelf heb ik een cold storage voor backups. Gewoon een hotswap bay waar ik verschillende drives in kan prikken.
En zelfs dat is niet goed want als mijn huis afbrand ben ik alle data kwijt. :9~
Maar dan heb ik wel andere zorgen denk ik :+

Misschien toch maar eens foto's enzo ergens in de cloud mikken :/

[Reactie gewijzigd door MrMonkE op 4 juni 2019 10:03]

Je maakt alleen een backup om je bestanden te beschermen tegen kwade invloed. Als je backups bereikbaar zijn voor die kwade invloed, dan is het geen goede backup.
Of die kwade invloed nou virussen, ransomware, defecte harddisks, per ongeluk deleten, overstromingen of brand betreft, dat maakt weinig verschil. Je backup moet niet bereikbaar zijn.

[Reactie gewijzigd door MD1975 op 5 juni 2019 19:13]

Zelf hou ik het redelijk simpel, doe 2 manieren van back-up. D.mv. wekelijkse sync met de NAS en dan nog een sync van nas met mijn ouders. Dan nog een cold back-up die ik handmatig doe on de zoveel tijd (minimaal 1-2 per jaar op een een oude pc zonder netwerk d.m.v. HDD hotswap)
Een backup is niet moeilijk, actuele data hebben is een ander verhaal. Je hebt zojuist net een aantal zeer belangrijke wijzigingen gedaan, backup draait pas vanacht, je krijgt nu een cryptolock. Heb je simpel maar 2 keuzes, opnieuw of betalen.

Maar <insert cloud>! Nee, die gaan gewoon mee.

Vergeet niet dat dit op een gigantische schaal is gedaan, dus ook als er 80% is die dit allemaal in orde hebben, is 20% genoeg om dit geld binnen te halen.
Huh wat dacht je van OneDrive? Altijd actueel en geen moeilijk gedoe met backuppen.
Die synct met je pc en upload dus ook mooi de versleutelde bestanden. Zo'n drive is geen backup!
Klopt Onedrive zal de versleutelde bestanden zeer waarschijnlijk uploaden. Met een druk op de knop kun je dit ongedaan maken :) dus het is wel degelijk een zeer geschikte backup methode wat bestand is tegen ransomeware. Als je Microsoft Defender een beetje aanpast ieder uren checken op updates dan loop je niet heel veel risico op ransomeware.
Hoewel ik cloud nooit een backup zal noemen heeft one drive wel de nodige protectie als je een office 365 home of personal hebt.

https://www.pcworld.com/a...drive-and-outlookcom.html
Precies wat ik dus zeg :)
Een open database kan je niet in OneDrive gooien, beetje crypto pakt die bestanden gewoon mee (en wordt je afhankelijk van die zijnde backup/restore), ja het werkt voor 80% van de mensen, maar bij 20% van de situaties niet.

[Reactie gewijzigd door SinergyX op 3 juni 2019 10:32]

<insert cloud> heeft toch een historie? oude bestanden kun je bij DropBox tot bv 30 dagen terughalen. Misschien als je een betaalde versie neemt nog langer. Misschien begrijp ik iets niet, maar de oude bestanden staan toch gewoon als read-only op de servers en kunnen dus niet gelockt worden.
Maar wat is dan zo belangrijk dat je er vaak €200+ voor betaald om misschien je data terug te krijgen. Data van max 24 uur vind ik niet zo spannend van 1 enkele computer. We moeten realiseren dat door te betalen we dit rendabel maken en dit NOG vaker gaat voorkomen. Laten we ook eerlijk blijven dat door je gezonde verstand te gebruiken 95%+ van deze zaken voorkomen kan worden.
Andere kan ben ik opgelucht dat de overheid EINDELIJK campagne gaat voeren voor internet bewustwording (10 jaar te laat Maja)
IDD dat mensen hier in mee gaan!
En idd een backup ,maken is zeker niet zo een hele klus.
De eerste gedacht bij het lezen van dit bericht, Het anonieme team achter Gandcrab stopt er mee ?
Kiest het hazenpad, en komen zeker wel met een andere vorm van Gandcrab terug.
Of niet. Als ze werkelijk 150 miljoen hebben verdiend kan ik het me prima voorstellen als ze zoiets hebben van “wij hebben voor de rest van ons leven wel genoeg”, waarom dan risico blijven lopen om jaren in de cel terecht te komen terwijl je tevreden bent of zou moeten zijn zonder repressailes?
Dat risico lopen ze nog steeds. Sterker nog, ik denk dat ze hebben waargenomen dat er een verhoogd risico is momenteel en dat ze nu de boel aftuigen. Niet omdat ze binnen zijn maar omdat ze zweten.
Uiteraard, maar all the same: als ze nu kunnen stoppen met veel minder risico om gepakt te worden dan doorgaan terwijl ze al binnen zijn: slimme keuze en geen rare keuze.
IDD ze hebben waargenomen dat er een verhoogd risico is dat was ook een van mijn gedachte, maar ja eenmaal geld geroken ??
En dan nog met hoeveel moet die 150 milj gedeeld worden
Met 7 andere mensen.
Oh shit, was dat een strikvraag? :X

Stel 300 mensen, nog steeds elk een half miljoen. }:O
150 miljoen in BTC :) waarschijnlijk loont het niet meer de moeite om door te gaan. Net zoals voorheen het niet meer de moeite loonde om BTC te minen. Met een beetje geluk zijn al deze gasten van 15 tot 23 straks rond hun 30ste multimiljardair.
- weinig kennis

Hier heb je je antwoord lijkt me.
Het is meestal pas achteraf dat men begint met het maken van backups. Of met het maken van bakups en deze ergens anders opslaan dan op dezelfde computer....

Een mooie vergelijking is ook dat veel personen in huis pas de sloten, deurbeslag en alle andere zwakke punten vervangt nadat er ingebroken is. Sloten van 20 jaren oud, uitzetijzers die met een schroevendraaier te openen zijn en een deur die te flipperen valt kom je bij heel, heel veel woningen helaas nog tegen..

Veel mensen gaan pas echt over beveiliging nadenken (zowel fysiek als digitaal) als ze slachtoffer zijn geworden. Beveiliging is helaas iets dat bij veel personen curatief wordt toegepast, ipv preventief.
Mijn eigen two cents: ik heb wel eens gelezen dat het zeker voor bedrijven soms duurder is om backups terug te zetten dan dat het is om het losgeld te betalen. Dan kun je best makkelijk een kostenafweging maken. Wat overigens niet betekent dat dat slim is om te doen, maar veel bedrijven kijken er nog vooral financieel tegenaan.
Daarom zou faciliteren van criminele activiteiten zoals losgeld betalen streng gestraft moeten worden.
En de bedrijven beboeten die dus het slachtoffer zijn van ransomware? Dat slaat toch echt helemaal nergens op. Een bedrijf gaat de laagst mogelijk kostenroute toch zoeken om terug operationeel te worden? Is alleen maar logisch ook.
Vind ik niet, de weg van de minste weerstand misschien.
Het is voor criminelen interessant omdat ze weten dat er betaald wordt, als er niet betaald kan of mag worden droogt die illegale inkomstenbron op.
Het is een vorm van chantage waarvan je niet weet of je de keys krijgt en of je daarna niet weer gepakt worden.
Zorgen dat je zaakjes op orde, back-ups hebt en nooit en te nimmer betalen.
Ja goed... is natuurlijk een semi non-argument.
Ik heb ook een alarm in men wagen en daar is ook een paar maand geleden in ingebroken op een private parking. 100% veilig kan het nu spijtig genoeg nooit.
:-) In als de inbreker naast je auto staat met je spulletjes en hij vraagt er geld voor en anders verkoopt hij ze ergens anders ;-)
Blijft lastig die materie.
totdat je achter komt dat de ransomeware al in je backup zat. Vaak zijn dit soort dingen al weken actief op je systeem totdat ze zich tonen en daarmee dus al in je backups verweven, en te oude backups zijn vaak nutteloos.
Een back-up instellen is niet zo moeilijk, eenvoudig in te stellen en weinig kennis voor nodig
Een goede backup instellen vereist meer kennis dan dat de gemiddelde computergebruiker heeft. Ik denk dat je er echt even voor moet gaan zitten. Zelfs Tweakers hier geven aan dat ze 't zelf niet goed geregeld hebben.
Je linkt map met je cloud en klaar is kees.
Hoezo moeilijk?
Ik zeg niet dat het moeilijk is; ik zeg dat een goede backup instellen vereist meer kennis dan dat de gemiddelde computergebruiker heeft.

-Alsof een gemiddelde computergebruiker weet wat de cloud is.
-Alsof een gemiddelde computergebruiker weet hoe je een map moet linken.
Verder:
Er is dus ook ransomware die ook je bestanden in je gesynchte cloud om zeep kan helpen.

Ik vind het selecteren van een andere resolutie op de monitor ook niet moeilijk. Maar ik denk dat een gemiddelde computergebruiker ook niet weet hoe dat zou moeten.

[Reactie gewijzigd door kimborntobewild op 3 juni 2019 13:50]

Ransomware in de map , map sync en klaar is kees
https://spinbackup.com/bl...ware-infect-google-drive/
Zoals kimborntobewild aangeeft: "Zelfs Tweakers hier geven aan dat ze 't zelf niet goed geregeld hebben."

Als je het niet moeilijk vindt, regel het dan ook goed.
interessant ...(mocht ik het nog niet weten ;))
Stel je bent een bedrijf en krijgt plotseling de keuze: Een hoop tijd en dus geld verliezen en maar hopen dat je back-ups clean zijn. Of wat geld dokken en weer operationeel zijn. Makkelijke keuze lijkt mij.
- Wel stellen ze dat de decryptiesleutels na twintig dagen worden verwijderd en dat slachtoffers hun bestanden dan niet meer kunnen ontsleutelen.

Is dit niet gewoon een manier mensen als nog en eerder te laten betalen, dreigen dat het na 20 dagen helemaal niet meer kan?
Ja, het is een standaard aanpak van veel ransomware makers/verspreiders. Zodra je tijdsdruk op de situatie zet, zullen meer mensen bereid zijn om toch maar te betalen in plaats van uitgebreider onderzoek te doen en eventueel een decryptietool af te wachten.
De meeste mensen gaan ten onder door overmoed. Deze mensen begrijpen dat het mooi is geweest zo en dat ze blij moeten zijn met 'hun' winst.

Ben uiteraard tegen ransomware en het profiteren van mensen op die manier, maar het blijft wel grappig om te zien dat ze ook gewoon communiceerden met mensen op fora enzo. Alsof het echt een hele normale business is.
Dat laatste maakt het juist zo triest. Vervaging van normale en criminele zaken.
Yep, het blijven criminelen, maar omdat je op een menselijke manier met ze kan communiceren, lijkt het op de 1 of andere manier 'normaler'.
Dat heeft toch niet specifiek met Rusland te maken ??
Ik reageerde op 'Vervaging van normale en criminele zaken.'. Waarvan ik een voorbeeld gaf dat dat inderdaad klopt.
"Waarvan ik een voorbeeld gaf dat dat inderdaad klopt."

Ik denk dan meteen WC Eend

[Reactie gewijzigd door WimmieV op 3 juni 2019 14:27]

Het is mijn inziens wereldwijd, ook in Nederland wordt de grens tussen crimineel en normaal steeds kleiner en ook onze daarover mening vervaagd, we vinden het grappig of stom dat mensen erin trappen, eigen schuld.
Vreemd ik dacht dat juist voor Ukraine gold.
Grotere reclame voor 'misdaad loont' kan je denk ik niet maken, plus het extra aanstippen van de zwakte van 'internetpolitie', je kan er dus gewoon mee wegkomen. Natuurlijk achter tig firewalls en proxies, maar bijzonder dat ze ook gewoon regelmatig 'open' communiceerde, doe je het best goed :P
Wat ik mij aanvraag, hoe krijg je 150mil (als het waar is) wit vanuit Bitcoins? Dat lijkt mij juist een logistieke nachtmerrie.
Hoeft niet allemaal tegelijk, als je het via een anoniem panamees bedrijf binnen laat druppelen is dat meer dan voldoende.
Ransomware-as-a-service... wat een walgelijke wereld leven we toch in... Ik snap het concept wel, maar hoe je toch op zo'n grote schaal mensen ongelukkig kunt maken door het encrypten van hun babyfoto's, bah. Opsporen en zo zwaar mogelijk berechten.
IN principe worden meeste technische voortuigang dingen misrbuikt voor oorlog/criminaleit. Je hebt gelijk, maar het concept is al zo oud als de mensheid zelf. (dom voorbeeldjes: kern energie vs kerbom , encryptie voor veiling communiceren naar verbergen van criminele activiteiten etc)
tsja...wat ik nooit snap is dat de devices nou niet gewoon beveiligd kunnen worden op een manier die sluitend is...'t lijkt me zo simpel: maak een brug tussen internet en whatever in je device zit en vraag voor iedere lullige actie die je pc uit wilt voeren via internet, toestemming van de gebruiker.
wat ik persoonlijk zo fout vind is dat je eigenlijk niets meer hebt aan een computer zonder internet...persoonlijk draai ik het liefst alles lokaal (en dus ook zonder internet), maar helaas kan dat gewoon niet meer. iedere klein rotprogrammaatje wil wel weer iets op internet verifieren of data doorsturen...bijna ieder spel zit er vol mee...daarmee laten we wel met zijn allen die voordeur wagenwijd open staan...
Dat snap ik nu ook nooit, hoe je jezelf in de ogen kunt kijken, als je aan geld komt door andere mensen te bestelen? Hoe krijg je dat in godsnaam mentaal voor elkaar? Als je zo arm bent dat je honger hebt, of je geestelijke nood zo groot dat je troost zoekt in drugs en door de verslaving en zucht alle andere overwegingen uit het oog verliest, kan ik het nog snappen, maar dit soort ransomware zitten denk ik eerder sluwe knappe koppen achter dan kansarmen. Dan kun je met die knappe kop toch wel een eerlijker manier verzinnen om geld ook echt te verdienen?
tja, dat is met elke misdaad zo. of het nu om encrypten van babyfoto's gaat of stelen van auto's..
Daarvoor werd de cloud uitgevonden, toch?
Tja mensen moorden voor minder helaas :|
Natuurlijk is dat niet goed. Dat zeg ik toch ook niet? Het is een utopie te denken dat we nog ooit van alle spionage en datamining af gaan komen.
Titel kan wat correctie gebruiken:
"Makers van" of "Mensen/Groep achter"

[Reactie gewijzigd door Zynth op 3 juni 2019 10:03]

Zijn de mensen erachter niet ook de makers dan?
Het gaat om het woordje “achter”. Dat moet “van” zijn. In de volgende zin klopt het wel.

[Reactie gewijzigd door torp op 3 juni 2019 11:15]

Oh stom, ik las verkeerd. Aangepast, thanks!
Zijn de uitgevers van de software met de misbruikte softwarelekken niet verantwoordelijk voor die 2 miljard schade?
En ook voor de directe schade i.v.m. verdwenen bestanden. Dan heb ik 't nog niet eens over emtionele schade (foto's van je kinderen bijv. weg). Dan kan je wel eens op 200 miljard uitkomen, i.p.v. 2 miljard.
Net als bij een ramkraak: soms een buit van 500 euro, een een schadepost van 50.000 euro.

[Reactie gewijzigd door kimborntobewild op 4 juni 2019 15:20]


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Games

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True