Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Amerikaanse stad betaalt 534.000 euro losgeld na ransomwareaanval

Een Amerikaanse gemeente in Florida heeft 65 bitcoins betaald om gegijzelde computersystemen terug te krijgen na een ransomwareaanval. Dat komt momenteel neer op zo'n 534.000 euro. De stad Riviera Beach werd drie weken geleden door de ransomware getroffen.

De politiedienst van Riviera Beach werd eind mei getroffen door ransomware, die werd verstuurd in een e-mail met een geïnfecteerd document. Sindsdien werkt de stad volledig offline, meldt onder andere The New York Times.

Het stadsbestuur heeft er nu voor gekozen 65 bitcoins aan losgeld te betalen. Met de huidige koers is dat zo'n 534.000 euro. Naast het losgeldbedrag stemde het stadsbestuur vorige week ook al in met de aankoop van nieuwe hardware, wat overigens eerder al op de planning stond. De stad koopt 310 nieuwe desktops, 90 laptops, en een aantal nieuwe servers en andere systemen voor in totaal 941.000 dollar, omgerekend zo'n 834.000 euro. Ongeveer 265.000 euro wordt vergoed door de verzekering van de stad.

Steden en overheidsinstellingen worden steeds vaker slachtoffer van ransomware. Ze zijn vaak makkelijker te infecteren en de slachtoffers zijn eerder bereid hogere bedragen te betalen. Eerder dit jaar werd de grote Amerikaanse stad Baltimore ook getroffen door ransomware. In dat geval kozen de bestuurders ervoor juist niet te betalen. Het vervangen van alle computersystemen kost daar nu al meer dan achttien miljoen euro.

Door Tijs Hofmans

Redacteur privacy & security

20-06-2019 • 10:15

229 Linkedin Google+

Submitter: Joey

Reacties (229)

Wijzig sortering
Is een successvolle cryptoware wellicht debet aan de recente stijging van bitcoin?
Wat nou als je die 536.000 euro in backups/redudancy had gestoken.... hmmmmmm :Y)
Het is echt wonderbaarlijk.
Hier ons kleine bedrijf van 10 mensen met lokaal onze version control met de projecten erop.
Hele mirror wordt elke nacht gebackupt naar tweede lokale schijf en naar de cloud. Behouden meerdere oudere backups dus ook. Dit kost echt relatief weinig.
Natuurlijk hebben we minder data, maar dat ze zo even 534.000 euro losgeld kunnen betalen laat wel zien dat geld niet het probleem zou moeten zijn.
En dan wordt je geïnfecteerd en begint de malware al je bestanden te encrypten maar houdt ook een decrypt key vast. Na 2 maanden wordt die key verwijderd en kan je ineens niet meer aan je bestanden. Je recente backups? Ook waardeloos. Daar sta je dan. Ga jij 2 maanden aan werk weggooien?

En herstellen van backups, hoeveel tijd kost dat denk je in een grote organisatie? Als je alle systemen volledig moet wissen kost dat enorm veel tijd. En die tijd kost ook geld. Zeker als het snel moet gaan.
Hangt er volledig af van hoe je de boel organiseert.

1) Maak een kopie van je master en sla dat middels een push op je werk-omgeving.

2) Werknemers werken de werk-omgeving bij en sla de wijzigingen op. (Al dan niet lokaal)

Iedere 5 - 10 minuten) Een daemon op een aparte fileserver haalt de wijzigingen op van je werkomgeving, door tijdelijk een net-connect, copy bestand, disconnect. Alleen de daemon heeft schrijfrechten op de fileserver, niets en niemand anders. Geen vaste netwerkconnectie, niet bereikbaar van het workstation van de gebruiker. Redelijk veilig.

3) Update 's nachts de master met de wijzigingen ouder dan x dagen. De mutatie's heb je al X-dagen van te voren vanaf je fileserver gepulled.

4) Maak een nieuwe kopie van je master naar je werkomgeving (push) en update op werk-server met de wijzingen jonger dan x dagen

5) Gooi bestanden ouder dan x dagen weg van je fileserver

Omdat je een push doet van je master kan die nooit besmet worden en aangezien hij niet besmet wordt zal hij de decrypt key ook niet gebruiken. Je pullt 's nachts wel de wijzigingen maar die kan je valideren, door een virus- malwarescanner halen, en bovenal moeten kunnen lezen zonder de decrypt key.

Indien niet leesbaar; alarm !

Uiteraard moet je ook je master nog even backuppen.

Terugzetten van je backup is eigenlijk een dagelijkse actie: de master -> werkomgeving. Ook daar kunnen je nog trucjes als incremental restore en dergelijke op toepassen zodat het niet te lang duurt. Sterker nog: als het te lang duurt dan zijn er veel bestanden aangepast -> alert !

Voor hele grote bedrijven is het ook toepasbaar, dan doe je hetzelfde per bedrijfsonderdeel.

Stel dat je 1TB aan data hebt en dagelijks 10% muteert dan heb je voor deze bescherming

1 TB kopie-werkomgeving
3 TB file-server (30 x 10%)
4 TB Master omgeving aan schijfruimte nodig.

Je netwerk verkeer:

20% update door gebruiker (inlezen en terugschrijven)
10% pull van werkserver naar fileserver
10% pull van fileserver naar master
100% naar kopie-werkomgeving (tenzij je incrementeel dumpt dan is dat minder)

Totaal 1.5 TB.

Je hebt dan inderdaad veel meer schijfruimte nodig, maar dat is goedkoop en qua netwerkverkeer heb je daar nauwelijks last van.

De backup van Master -> tape (o.i.d.) kan je gewoon overdag uitvoeren daar heb je 's nacht dus geen last van.

Uiteraard kan je hier nog een en ander aan tweaken, update van je master aan de hand van de wijzigingen op de fileserver. Het is maar iets wat ik even in een halve minuut op tafel gooi. Incubatie tijd hoeft helemaal geen impact te hebben. Alleen even inregelen dat niets en niemand jouw master kan updaten.
Ik denk dat voor zomaar 90% van de ICT omgevingen enkel het volgende stukje van jouw opzet al een enorme verbetering zou zijn:

"Aangezien de fileserver zelf vaak niet besmet wordt zal hij de decrypt key ook niet gebruiken. Je kunt daar recent gewijzigde bestanden valideren, door een virus- malwarescanner halen, en bovenal moeten kunnen lezen zonder de decrypt key.

Indien niet leesbaar; alarm !"

Uiteindelijk blijft het hele stelsel leunen op het kunnen detecteren van encrypted files. Lukt het malware om bijvoorbeeld de structuur van een Excel bestand intact te laten, maar enkel de tekstuele inhoud diep daarbinnen te versleutelen dan gaat zeer waarschijnlijk geen enkele detectie tool dat nog opmerken, zodat uiteindelijk ook de master na X dagen die bestanden gaat bevatten.

Mogelijk kun je een tweede daemon vanaf de fileserver iedere dag (wat random gekozen) vers gemuteerde bestanden laten uploaden naar je favoriete cloud omgeving. Via cloud document viewers vanaf bijvoorbeeld een air gapped chromebook heb je vervolgens een nog veel grotere zekerheid dat de inhoud echt onaangetast is. Je hebt daarmee wel een dagelijks terugkerende taak in het leven geroepen om minimaal X bestanden met het handje te inspecteren. Lijkt me ergens onwerkelijk als je dan op zeg dag 666 van die geest dodende discipline opeens afwijkingen ziet. Op het losse apparaatje allemaal scrambled tekst in een online viewer terwijl je eigen werkstation keurig de gewenste tekst laat zien :o

Kan zeker nog een interessante optie zijn voor omgevingen waarin iets makkelijker dagelijks wat tijd beschikbaar is dan de 8 voudige opslagcapaciteit.
Maar in de oudere backups zit die decrypt key dan toch ook? Of mis ik hier iets?

Als wat jij zegt klopt dan betekent het dat backups, zelfs offline, nutteloos zijn zo gauw de infectie heeft plaatsgevonden en de backup enige encrypte info heeft, zelf al werkt het systeem nog 'normaal'.

Ik ben zeker geen expert, daarom vraag ik maar: wat zou dan een wel een goede verdediging zijn?
Je backup programma hoort direct alarm te slaan als een ongewoon aantal bestanden wordt gewijzigd.
Dan verlies je hooguit 1 a 2 dagen na infectie.

[Reactie gewijzigd door hackerhater op 20 juni 2019 15:49]

Ik hoor graag welk backup programma dat doet. Dit is een feature, hoewel logisch, die ik niet voorbij heb zien komen bij backup pakketten.

Toegegeven, de laatste keer dat ik backup tools heb nagekeken is alweer een paar jaar geleden
Het kan toch niet zo moeilijk zijn om door systemen te detecteren dat er bestanden versleuteld worden of dit gewoon niet toe te laten.
Acronis doet dit.
Bij de laatste versies stond de key misschien nog op de lokale werkplek/server, maar de laatste versies halen deze bij opstarten op vanaf een C&C server en draaien verder in memory.

Kortom, zonder betalen zal het lastig worden om de decryptie key te vinden.
Nu hebben ze 65 bitcoins om andere te zieken :( jammer
Zeker weten. Ga anders maar eens bij Eurofins aan de telefoon - die zijn ergens in het weekend van 1 juni getroffen, en die zijn nu nog steeds bezig met alles terug te zetten...
Zoals ik het thuis geregeld heb is het risico heel beperkt:
  • bestanden gesynchroniseerd met de NAS of op een netwerk-share
  • snapshots op alle data
  • dagelijkse incrementele backup met versioning en alarmen bij abnormaal veel gewijzigde bestanden
In geval van een cryptolocker gewoon computer van het netwerk, snapshots terugzettenm een goede image terugzetten op de computer, data terug synchroniseren en klaar.
Risico puntje hierbij is dat je back-up proces op de computer draait. Indien dus files incrementeel vanaf de pc naar je NAS gepushed worden (met overwrite, want waarom ook niet?) dan worden al je back-up files ook encrypted.

Beter om je NAS een pull request te laten doen naar de PC, waar die met eigen user inlogt. Krijgt die terug dat er een groot aantal files gewijzigd is, dan krijg je eerst een alert voor accorderen ipv dat 't zomaar uitgevoerd wordt.

Zie uitgebreidere verhaal van Het.Draakje hierboven
Da's inderdaad nog een veiliger aanpak, maar die geeft voor mij wat weinig flexibiliteit.

Bij mij is het zo dat de individuele bestanden gesynchroniseerd worden tussen de NAS en de computers. Bij infectie met een cryptolocker, zouden dus inderdaad op alle computers op vrij korte termijn de geëncrypteerde bestanden terechtkomen. Aangezien de NAS echter versies van bestanden bijhoudt (hourly snapshots), kan sowieso van elk bestand de vorige versie teruggezet worden (individueel, selectie of de hele share). Doordat de backup automatisch waarschuwt bij veel wijzigingen, zal daar maximum een dagje overheen gaan.

[Reactie gewijzigd door GORby op 25 juni 2019 16:58]

534,000 euro aan geld van de belastingbetaler. Een schande is het.
klopt. Het probleem is wel dat de gemeente voor zo min mogelijk geld moet draaien. Elke keer korting op korting op korting, maar je moet wel blijven presteren volgens de wet. Er is (zeker in Amerika, ZEKER in Florida) voor gemeenten niet eens voldoende geld om een weg in orde te houden, voorzieningen voor ouderen of andere hulpbehoevenden overeind te houden, schoolprogrammas en controles in stand te houden... noem maar op. Democratisch gesproken is er gewoon geen draagvlak om goede systemen te integreren, want er is gewoon geen geld, en niemand van de burgers wil extra geld investeren.

Had een referendum gehouden in Baltimore of voor mijn part hier in Florida, en ik garandeer je dat 90% van de republikeinen en 80% van de democraten tegen de miljoeneninvesteringen zouden hebben gestemd om modern te worden. Een schande, maar een democratie werkt in ieder geval daar lokaal op die manier. Elke cent die niet uitgegeven wordt is er 1.
Ik denk dat Baltimore gewoon heeft gekozen om een geplande vernieuwing van systemen naar voren te schuiven. Je hoeft natuurlijk geen nieuwe systemen te kopen bij een malwareaanval. Je kunt de zaak ook herinstalleren op de bestaande systemen.
Inderdaad, effe voor 18 miljoen nieuwe computers kopen opdat een ransomaanval niet meer voorkomt in de toekomst is natuurlijk een mooie kreet om dingen er (versneld) doorheen te krijgen.
dat is zo, en er stond geloof ik ook in dat dat al op de rol stond.
Er is een verschil tussen er geen geld voor hebben en het er niet aan te willen spenderen. Ik heb geen idee welke van de 2 het is.
Het probleem is wel dat de gemeente voor zo min mogelijk geld moet draaien. (...) Er is voor gemeenten niet eens voldoende geld om een weg in orde [en] voorzieningen (...) overeind te houden
Even om te duiden: Klopt het dat Florida één van de weinige staten is waar geen inkomstenbelasting wordt geheven, waardoor je alleen federal taxes hoeft af te dragen?

Zo iets zei iemand daar tegen mij als ik het goed begreep, toen ik vroeg waarom iedereen daar in van die dure auto's reed.

[Reactie gewijzigd door Redsandro op 20 juni 2019 22:22]

Klopt (ik geloof dat er nog 4 Staten zijn waaronder Texas) , al maakt dat in vergelijking met de aangrenzende Staten 'slechts' 5 tot 6% verschil.

De belastingdruk is extreem laag in de VS. De keerzijde voor sommige mensen is dan wel dat het schoolsysteem, criminaliteit en andere zaken waar een overheid voor zou kunnen zorgen ook extreem achterlopen op de rest van de ontwikkelde wereld.

Voor de mensen die die dikke auto kunnen betalen geen probleem, want die kunnen home scholen of een private school kiezen en daarmee wordt de concurrentie voor je kind alleen maar kleiner als de helft van de kinderen een slechte opleiding krijgt. Waarom zou je in je concurrenten investeren ;-)

[Reactie gewijzigd door Arokh op 21 juni 2019 09:57]

Met een back-up ga dit niet oplossen.
Meestal ben je al weken besmet voordat de ransomware actief wordt.
Jawel hoor. Hier al meerdere ransomware aanvallen gezien (5000 medewerkers) en iedere keer gewoon teruggezet van de back-up. Niks aan de hand.
Jawel hoor. Hier al meerdere ransomware aanvallen gezien (5000 medewerkers) en iedere keer gewoon teruggezet van de back-up. Niks aan de hand.
Klinkt alsof je je beveiliging ook wel eens mag controleren dan.

Elke keer maar gewoon de backup terug zetten, lijkt me ook niet echt een goede oplossing.
Misschien is de rede van de meerdere aanvallen dat je na het terug zetten van de back-up nog ergens in je netwerk besmet bent geweest.

Ik bedoel dat een back-up terug zetten vaak niet voldoende is. En dat je vaak meer moet doen om het helemaal van je netwerk te verbannen.
Nee hoor, de reden is bekend. Mensen klikken maar wat. En soms kunnen ze er ook gewoon niks aan doen. Zelfs op de meest gerenommeerde websites komen geïnfecteerde advertenties voor.

Bij ons mogen mensen hun eigen laptop gebruiken, dus dan krijg je dat soort dingen. En zo erg is het allemaal niet hoor. We zetten een backup terug en het is klaar. Gebruiker wordt ingelicht en schaamt zich een paar dagen.
Inderdaad mensen klikken maar wat. Maar daar kan jij je klant redelijke tegen beschermen.

Klink inderdaad meer als of je de veiligheid niet op orde hebt.
Dan nog heb je wel je weken oude bestanden. Wat nog steeds heel jammer is van de recente bestanden, maar het merendeel van je bestanden heb je nog wel.
klopt. Juist kleine bedrijven zitten daar bovenop. Bij mijn vorige baan werden nog keurig elke nacht tapes gedraaid die in de kluis bij de bank werden bewaard. 100% offline op een andere locatie. Elke dag.
Je weegt nu de data/hersenbrouwsels van 10 man op tegen de data van gehele steden. De data van 35.000 mensen tegen 10. Ik wil mismanagement niet goedpraten, maar ik denk dat die backup-kosten e.d. niet relatief weinig zijn, en dat ze zeker aan het opslaan, beveiligen en beheren van al die meuk miljoenen kwijt zijn. Dan is 500k nog relatief weinig.
Tsjah en dan kom je een ransomware tegen die alle bestanden onomkeerbaar hasht...
Ligt eraan wat je ermee doet. Gooi je het over HTTPS in een s3-achtige bucket, dan wens ik ransomware op een random laptop van een medewerker of een server veel succes met encrypten. Als je als een pannenkoek naar een r/w samba share aan het hozen bent, dan ben je inderdaad de sjaak.
Het is echt wonderbaarlijk dat het met jullie pogingen dan alsnog misgaat. of is er iemand die snachts meteen na de backup de schijf eruit haalt? Verwacht van niet. Oftewel de back-up naar de 2e schijf heb je niks aan
Een backup is niet altijd alleen maar één mirror backup, zoals bij een huis-tuin-en-keuken externe backup-schijf.
Ik heb het over die 2e harde schijf
Die lokale backup is daarmee nog niet waardeloos. Meeste keren is er geen sprake van kwaadaardige versleuteling maar wil je gewoon bestanden terugzetten. Dat gaat stukken sneller als het lokaal staat.
Dat is ON-line backup..., tegen ransomware heb je off-line backups nodig. Die Kunnen per definitie niet bereikt worden vanuit de malware.

Een ander alternatief is versioned filesystem, waarbij oude files niet verwijderd worden maar apart gezet worden (buiten bereik van reguliere software). Ransomware kan de file encrypten en dan kun je vanuit de management interface alle encrypted versies verwijderen. en heb je de oudere spullen weer terug.

Dan blijft het nog steeds een hoop werk overigens.
Echt geen hoop werk, als je op een fileserver/NAS met snapshots werkt. Snapshot terugzetten is op een paar minuten geregeld, en alle data in die snapshot is weer de oude. Wat wel wat werk kan zijn is het herstellen van de data die je kwijt bent.
Dan praat je over in een klap de hele zaak terug zetten.
Dus ook het terug draaien van files die NIET encrypted zijn geraakt?...

Als je file voor file moet beoordelen welke je niet kwijt wil raken blijft het een hoop werk.
Als je snel genoeg kan detecteren dat er een cryptolocker bezig is, dan kan je vrij eenvoudig alle bestanden die door de geïnfecteerde gebruiker(s) gewijzigd zijn terugzetten uit de snapshot, of desnoods alle shares waar die gebruiker schrijfrechten op heeft.

Je bent dan misschien werk aan bestanden op file shares van een dag kwijt. Bij dergelijke overheden zou ik de bestanden eerder in een dossier- of documentbeheer verwachten en zijn de bestanden op shares meestal minder belangrijk en/of werkbestanden. De schade lijkt me dan ook nog mee te vallen mits tijdige detectie.

Bij ons (overheid van vergelijkbare grootte, maar iets groter) is er 1x een cryptolocker binnengehaald en die werd zeer snel herleid naar 1 persoon en de data was even later allemaal hersteld.
Backup naar de 2e schijf is ook vooral als er wat mis gaat met de mirror en dat we niet alle data hoeven te downloaden over ons 100mbit lijntje.
Of recente hardware met recente up-to-date software. Nu wordt er wel geïnvesteerd.
Je data is nooit 100% veilig voor zero-day-exploits. Met een goed backupsystem zit je wel goed.
Als dat vrolijk gekoppeld is aan de live systemen, zal dat ook wel encrypted zijn.

Je externe HD met je backup van je PC heeft ook geen nut als die continu aan je PC is aangesloten
Wel als dat backupsysteem verschillende versies bijhoudt. Ik ben zelf een grote fan van Duplicity en rdiff-backup.
Als de laatste schone versie van een bestand een half jaar oud is heb je daar misschien ook niks meer aan.
in een scenario waar dagelijks backups genomen worden is dat bestand al een half jaar niet gebruikt. het zal ongetwijfeld niet het belangrijkste bestand zijn dan...
of juist wel, ondertekende documenten e.d. veranderen niet meer maar kunnen nog altijd nodig zijn
Die archiveer je en zijn per definitie read only.
Tuurlijk maar dat maakt ze nog altijd niet minder belangrijk.
maar zorgt er wel voor dat ze niet meer versleuteld of geïnfecteerd kunnnen worden, want ze zijn alleen-lezen.
Klopt. Je moet het dan ook juist instellen. Bijvoorbeeld dagelijks een backup van de gewijzigde bestanden bijhouden gedurende 7 dagen. Dan een wekelijkse backup bijhouden van vrijdagavond gedurende twee maanden. Dan een maandelijkse backup bijhouden gedurende 1 jaar. Vervolgens kun je nog een manuele backup van die repository inplannen elk kwartaal op koude opslagmedia zoals een externe harde schijf of tape.
En dan encrypteert het virus die backups ....
Dat is ook perfect op te vangen. Je doet de backups via een chrooted sftp met beperkte commando's op een server. Op de server zet je vervolgens een cron-opdracht de op regelmatige tijdstippen backups maakt van de mappen in de chrooted omgeving naar mappen buiten die omgeving.
Het lijkt me dat je als bedrijf of overheid wel een iets betere backup situatie hebt als een externe hd aan computer of server gekoppeld.
Maar goed, feit blijft wel: als je geen separate backups hebt dan ben je de sjaak ja.
Een externe HD is niet het type enterprise backup waar je bij 536.000 euro aan moet denken.
Op zich is het niet erg moeilijk encrypted data te herkennen, dus daar is eenvoudige tooling voor, read only access en dat soort zaken.
Ik vermoed alleen dat ze dat geld vooraf niet perse daarvoor gereserveerd hadden. Even een snelle google search toont dat het een plaats is met 35.000 inwoners, niet erg groot (zeker niet voor Amerikaanse standaarden, het is gewoon een dorp daar). Daar kan ik me wel voorstellen dat backups niet de main prioriteit zijn.
Voor een dorp heeft het stadsbestuur toch nog een stevige portie aan pc's en laptops nodig blijkbaar, ze bestellen immers 310 desktops en 90 laptops, dus ik gok dat er meerdere honderden werknemers bij betrokken zijn... Ik vermoed dus dat het nog best een grote gemeentelijke wokforce betreft !
En @Res1ght Tja, wat noem je groot. Er zijn genoeg Nederlandse gemeenten die minder inwoners hebben en die hebben de backups vaak prima voor elkaar.

310+90 = 400 gemeentelijke werknemers op 35.000 inwoners, inclusief politie is maar 1% van de inwoners.

Het is ook ‘maar’ € 15,30 per inwoner. Beetje zonde van het geld maar als ik zie dat ons huishouden jaarlijks wel honderd keer dat bedrag betaalt aan gemeentelijke belasting, stelt het natuurlijk geen kont voor.
Dan hadden ze nog geen mensen gehad om de boel te beheren.. Dit is overheid, hé
Dan moet je natuurlijk heel erg uitkijken dat het niet zo'n spreekwoordelijk overheidsproject word dat 3 keer over de kop gaan en dan in de praktijk nog niet werkt omdat je backups ook geransomwared zijn.
Wat nou als ik 5000 euro in bitcoins gekocht had in 2011 en nu nog had?

:?
Reken maar uit. De koers was ongeveer €0,0000016. Ik heb er destijds op m'n laptopje in een paar uur tijd 16 gegenereerd. 8)7
Mag hopen dat je ze niet te vroeg hebt verkocht :9
same here, heb mijn computer toen opnieuw geinstaleerd, die coins boeide me niks want het was toen bijelkaar iets van €12 waard 8)7
Nog erger, hetzelfde gedaan als dakka hier. 8)7 |:(
Daarna gelukkig alsnog een keer lekker binnengelopen hoor. 8-)
Zo laag hebben ze nooit gestaan! Maart 2010 $0.003 is het laagste bekende getal.
Mogelijk op één of andere exchange kan het even lager gestaan hebben.
Je zal wel gelijk hebben, 't stond iig zeer laag. Waarschijlijk waren er nog geeneens genoeg coins om €5.000 aan te besteden.
€2.644.000 Waard vandaag
Koers ga best zo de afgelopen maanden, in december is het 10 mil waard 8)7
Dan infecteer ik je nu maar activeer ik de ransomware pas over een jaar
Toch wel jammer dat je als overheidsorgaan misdaad beloond.

Maar misschien was dit wel de enige optie?
Inderdaad een zeer slechte zaak. Waarom neemt men niet op in de wet dat het verboden is om te betalen bij ransomware?
En ook bij wet verbieden om losgeld te betalen? Ook bij wet verbieden om te onderhandelen? Altijd maar met gestrekt been en getrokken wapen overal op af?
Volgens mij is dat eigenlijk wel het beleid in de USA: je onderhandelt niet met terroristen.
Wellicht doelt ejabberd meer op t idee dat dan criminelen dit niet meer gaan eisen dan.
Dus dan zullen ze normaal geld gaan eisen wat mischien makkelijker te traceren is.

Dus je suggestieve reacties omtrent verbieden van onderhandelen en gestrekt been met wapen enzo zijn nogal onnodig hierbij.
Stoerdoenerij klinkt goed, maar vaak is meewerken de beste optie. Als ik op straat met een mes of pistool wordt bedreigd om mijn portefeuille af te geven, dan zeg ik ook niet: "Nou, neen, dat zal ik niet doen, want als ik mijn portefeuille afgeef, dan faciliteer ik criminaliteit." Dan werk ik gewoon mee en leef ik verder met het verlies.
Ja, laten wij een criminele organisatie betalen om onze computers die ontoegankelijk geworden zijn weer in kunnen. Maar morgen of overmorgen is de ransomware weer "actief" en is alles weer geblokkeerd. 8)7

Ik zou in dit geval gewoon inslikken en herstellen. niet een criminele organisatie betalen die nu beloond is en dit weer gaat doen met anderen.. :+

Zou mij niet verbazen als er een "corrupt" persoon in het bestuur is die zo geld aan het wegsluizen is. zou zomaar kunnen.
Maar morgen of overmorgen is de ransomware weer "actief" en is alles weer geblokkeerd. 8)7
ook al zijn de meeste IT bedrijven niet in staat om de encryptie te verwijderen (waar ik mezelf onder reken).
er zijn redelijk gemakkelijke preventie mogelijkheden om dergelijke euvels op te vangen of de impact te verminderen. bvb het toepassen van enkele honeypots op de root van de shares access everyone read write. en zodra die veranderen de hele share/server offline halen.
daarmee hebben we al bij enkele bedrijven uitbraken in de kiem weten te smoren, en beter dat het hele systeem onbereikbaar wordt dan alle gegevens weg.
Er wordt natuurlijk nooit aangeraden om die criminele organisaties te betalen, maar wanneer het op je eigen data aankomt wordt het wel een ander verhaal. Weegt de schade op tegen het afbetalen, dan is de keuze snel gemaakt.
Als dat betekent dat je al je data kwijt bent, ben je zoveel x meer kwijt dan het halve miljoen nu.
Dat is bijna niet in geld uit te drukken.
Als de criminelen er een gewoonte van maken om de dag erop het systeem weer te blokkeren word het al snel een gewoonte om niet meer te betalen, juist het weer snel werkend krijgen en houden van systemen is de succesformule achter dit bedrijfsmodel.
Als ze preventief eens investeren in een goede backupoplossing dan zijn ze een fractie kwijt. Een druk op de knop en alles staat er weer. Backups zijn je levensverzekering.
Als ze preventief tegen alle mogelijke risico's moeten investeren ben je nog wel even bezig met geld uit geven. Het had goedkoper geweest e-mail af te schaffen zodat de ransomware niet binnenkomt (scheelt ook weer een mailserver en veel social engineering aanvallen).
Ik neem aan dat je opmerking niet serieus bedoelt was om preventief te investeren tegen mogelijke gevaren?
Oh jawel, zeer serieus. Als malware frequent in het nieuws komt dan ga ik preventief investeren voordat het mij ook raakt. Tegen welke andere mogelijke risico's is dat dan die momenteel bij een ieder op het netvlies liggen? Het is een afweging waarin je investeert en malware is zo prominent in het nieuws dat het gewoon falend beleid is als je er vandaag de dag geen antwoord op hebt. Maar, email verbieden? Leg eens uit hoe je dat in zou willen vullen in een wereld waar iedere persoon die met internet verbonden is minimaal ook per email communiceert?
DDOS. Datalekken. Kennisdeling. Er is altijd wel een risico te vinden waarvoor een investering nodig is. Ransomware is 9 van de 10 het gevolg van onoordeelkundig gebruik van IT. Dus ik weet niet of IT investeringen ransomware nou echt verstandig zijn. Als je het combineert met DR dan is er wellicht nog een verhaal te maken. Dit is overheidsgeld wat in de USA al helemaal schaars is. Wellicht zijn er dus goedkopere oplossing (zoals een printer op de gang en alle e-mail afdrukken: 100% dekking tegen malware, betere bescherming tegen DDOS en datalekken).
Ja, zo kan ik ook wel een verhaal in elkaar zetten. Het ging primair om het feit dat ze hun data verloren hadden en er geld tegenover moeten zetten om het terug te krijgen, wat jouw voorbeelden binnen dat kader betekenen snap ik niet zo. We laten het hier maar bij in deze discussie.
Hij zei investeren in een goede backup om te beschermen tegen ransomware-aanvallen. Daar kan je toch niets op tegen hebben? Een beetje bedrijf of overheid zou gewoon een deftige backup moeten hebbben en dat hoeft echt geen honderdduizenden euro's te kosten.
Een backup helpt maar beperkt: je hebt wellicht wat gegevens terug uit je backup, maar je zal je hele IT systeem moeten wipen om zeker te zijn dat alles schoon is. Dan mag je ook nog de verloren data terughalen van na je backup (welke data is er na die tijd ingevoerd?) en een backup van een enkele server is nog wel te doen. Maar als je een complexer IT verhaal hebt dan is je database om 23:00 gebackup'ed maar de fileserver om 04:00 en zijn de relaties niet compleet (in de db staat dat het attachment xyz heet, maar op de fileserver heet het inmiddels xyz2). Dus moet je iets meer dan een backupje draaien: je zal iets met disaster recovery moeten. En dan wordt het dus heel moeilijk en duur.
Ze gaan nu betalen en dan is het maar hopen dat je de boel kunt decrypten (en het gebeurt regelmatig dat dit dan niet lukt) dus betalen is hoe dan ook niet heel verstandig imho.

[Reactie gewijzigd door latka op 21 juni 2019 16:53]

Als je een omgeving hebt, waarbij je niet meer toekomt met een backup en snapshots, dan lijkt het me inderdaad logisch dat je disaster recovery geïmplementeerd hebt. In het geval van een cryptolocker, zullen het bestanden op de pc's en netwerk shares zijn die aangetast zijn. Daar gaat een database nog weinig mee te maken hebben.

Wanneer een database gegevens over bestanden gaat bijhouden, zit je typisch met een document- of dossierbeheersysteem en eens de bestanden in de filestore zitten, en de metadata in de database, dan zal een client PC echt niet meer met schrijfrechten aan die bestanden kunnen via een share. Voor de dingen die jij aanhaalt zijn er application aware backups, die ervoor zorgen dat alles mooi coherent gebackupt is.
Ja, ik ben bekend met wat er bij komt kijken en ook dat je dit niet robuust en goed maakt voor 100k dollar of euro. Ik weet niet wat er allemaal misgegaan is, maar de reactie 'ze hadden gewoon een backupje moeten maken' die de meeste mensen geven is wel heel kort door de bocht. Wellicht is er wel een backup maar is de RPO een week oid. Anyway, bitcoin betalen voor dit soort acties blijft onverstandig. Boston heeft het ook niet gedaan (was maar 73k dollar, totale kosten voor het opruimen: 18 miljoen). Nu is het losgeld voor een gehucht in florida al een half miljoen dollar. Ik zie een trend.
Misschien een terminal/Citrix oplossing. Op je locale computer heb je toegang tot het interne netwerk. Via RDP kun je het Internet op. Of andersom...

Geen attachments meer toelaten via mail. Alle uploads via https..?
Das het nadeel van die ransomware, je bent waarschijnlijk al maanden bestanden aan het backuppen die ook geinfecteerd zijn. Dan kun je de nieuwste computers aanschaffen, maar als 1 zo'n bestandje weer opduikt begint de hele ellende weer van voren af aan.
Daar hebben ze hopelijk toch een antimalware oplossing voor. Met een simpel scriptje kan je al een netwerkverbinding naar een client dichtgooien zodra er een bepaald type file op de server aangemaakt wordt. Dit heb ik zelf nog gemaakt na een stukje malware dat .jack bestanden aanmaakte.
Het is nooit de enige optie maar meestal wel de goedkoopste zoals het nieuwsbericht al hint (Boston).
Tuurlijk kan het wel de enige optie zijn? Als je enige cq. alle kopieën van onvervangbare data versleuteld zijn ben het gewoon het haasje.

Daarom altijd de goede oude tapebackup blijven gebruiken.
Dan is het alsnog niet de enige optie. Onvervangbare data verliezen of betalen aan een crimineel zijn nog steeds twee opties. De keuze wordt vaak gemaakt op welke optie goedkoper is en dat hangt o.a. af van de waarde van die onvervangbare data.
Bij een gemeente is die informatie al snel enorm duur, een gemeente verwerkt geboorteaangiften, toeslagen, belastingen, overlijdensregistratie, verhuizingen, vergunningen, identiteitspapieren etc.. het is al een miniramp als men de gegevens van een dag zou missen, laat staan van bijvoorbeeld 2 weken. Men moet dan proberen om alle registraties weer binnen te halen dit betekent een intensieve campagne naar het publiek toe en maar hopen dat je iedereen bereikt. De ellende hiervan druppelt jaren door. En ondertussen kan men weinig opdagen want men heeft geen functioneel systeem terwijl zelfs sommige nutsvoorzieningen zijn stilgevallen.
Je denkt hier echt veel te gemakkelijk over.

Het gaat erom wat de kosten zijn van het opnieuw verwerken van alle gemiste mutaties met daarbij de kosten om zelfs maar aan die informatie te komen. Verder zijn er wettelijke afspraken waarbinnen een gemeente op vergunningaanvragen moet reageren anders word deze als toegekend beschouwd. En zo zijn er veel meer dingen, de kosten van het weggooien van een periode van mutaties zijn dusdanig enorm dat het economisch de juiste beslissing is om te betalen en je data terug te krijgen.
Je schept een heel groot precedent met deze actie. De fallout van deze 600k moet je niet onderschatten. Dit ene incident is wellicht goedkoper, maar nu wordt het een wapenwedloop.
Je doet alsof dit het eerste geval is, betaling door bedrijven en overheden is reeds een tijdje vrij normaal en het gebeuren is dusdanig grootschalig dat het al dan niet betalen door deze ene partij geen enkel verschil maakt op het geheel.
De enige optie om de data terug te krijgen natuurlijk he.
Meestal wel, ja. Een beetje redelijke encryptie is simpelweg niet te doorbreken, en met de moderne ruime beschikbaarheid van encryptie (dat is iets goeds) is het niet overdreven complex om zoiets op te zetten.
De enige zekere optie is regelmatige offline backups op een systeem zonder netwerkkaart.
Uit interesse, hoe zie je dit voor je?
ook @My-life

Ik ben meer benieuwd hoe dit in huidige situatie gaat.
Naar mijn idee moet (uitzonderingen daar gelaten) een systeem connectie hebben met de buitenwereld om ransomware te kunnen ontvangen. Als je dan een backup maakt van een systeem dat geen netwerk kaart heeft, heeft die backup dan uberhaupt zin? (voor dit doel)

Of was het meer de bedoeling dat je een backup maakt van de systemen en deze 'koud' opslaat?

[Reactie gewijzigd door Decarsul op 20 juni 2019 11:08]

Ik denk dat ie dat laatste bedoelt.

Je zou dan natuurlijk ook de netwerkprotocollen op zo'n backup server kunnen uitschakelen en een server-client-backup tool kunnen gebruiken zodat op de te backuppen client-machines de backup-software communiceert met de backup-server kant.

Als je dan het backuppen volgens een goed schema full/incremental inricht dan kun je ook heel goed zien wanneer er een infectie optreedt: de incremental backup of full backup worden ineens heel veel groter omdat er meer wijzigingen zijn en niet meer comprimeerbaar vanwege de encryptie.
Dat klinkt logischer. Ik dacht dat er misschien een nieuwe techniek waarvan ik niet op de hoogte was! Had een schrale hoop :P

Hou ik me voorlopig aan de huidige backup plannen.
Ja, je hebt gelijk, beetje kort geformuleerd. Je zou aan HD cassettes kunnen denken die je uit je workstation trekt en in de backup cassettelezer zet die bijvoorbeeld op ieder bureau staat. Die copiëert alles naar een vaste opslag.
Dat systeem (backup server) kan dus (my bad) wel een internetkaart hebben waardoor 'ie met alle cassettestations kan communiceren, maar daar mag nooit ofte nimmer een internet aan komen. Je krijgt dus 2 gescheiden netwerken. Één voor de backups, één voor internet.
's Middags voor het naar huis gaan cassette in de lezer, 's morgens weer de PC in.

[Reactie gewijzigd door ajolla op 20 juni 2019 15:11]

Jup, dat klinkt heel logisch. Deze manier misschien een beetje omslachtig maar dan nog.
In verleden maakten wij elke nacht een backup op tape, dat deden we voor 30 dagen, en startte dan weer op tape 1. Tape 1 was echter altijd leeg en de maand tapes hielden we dan 5 jaar offsite.

Dus dan heb je dagelijks een backup van alle data om direct op terug te kunnen rollen. Of een maandelijkse om naar terug te rollen.
Ik zou d'r nog een week bij doen. Een maand is vaak best nog veel.
Dat systeem (backup server) kan dus (my bad) wel een internetkaart hebben waardoor 'ie met alle cassettestations kan communiceren, maar daar mag nooit ofte nimmer een internet aan komen.
Dus het werkstation besmet de HD "cassette", de cassette infecteert de "cassettestations" en die infecteert vervolgens de backup-server.... :P
Je krijgt dus 2 gescheiden netwerken.
Je schets geen gescheiden netwerken, je schets twee gekoppelde netwerken, alleen is die koppeling de "HD cassette" en niet een UTP kabeltje.
Ja, maar de backup server is dus niet iets waar iemand z'n mail op leest of een bestand van de tape HD cassette op opent of dat via internet gehackt kan worden. Het start ook niet op vanaf de tape HD cassette.
Het enige dat erop draait is de backup software. Alles dat op de tape HD cassette staat of er vanaf komt is pure data, niks executable of te
openen.

[Reactie gewijzigd door ajolla op 22 juni 2019 18:47]

Nu praat je opeens over tapes ipv "HD Cassettes". Wil je elke werkplek uitrusten met een trage tapedrive voor backups?
Alles dat op de tape staat of er vanaf komt is pure data, niks executable of te openen.
Ook andere bestanden dan executables kunnen geïnfecteerd worden, en openen door de gebruiker is ook lang niet altijd nodig, zeker als je HD's gebruikt, autorun kan een hoop ellende veroorzaken.
Sorry nee, ik bedoelde HD cassette. Inmiddels verbeterd.

[Reactie gewijzigd door ajolla op 22 juni 2019 18:47]

Mogelijk niet de enige (buiten verlies van wat data), maar mogelijk wel vanuit financieel oogpunt.
Externe IT partijen vragen vaak ook de hoofdprijs, dan is de crimeel betalen nog een koopje.
Externe IT partijen kunnen vaak de problemen niet oplossen als je geen degelijke backup hebt van je data (wat helaas al te vaak zo is). Zolang de encryptie in de ransomware niet al te knullig is geimplementeerd ga je die niet zomaar kraken. En dan heb je 3 opties over: backup terugzetten, betalen of accepteren dat je data weg is.
Die ransomware zal al wel een tijdje op de achtergrond meegedraaid hebben, dan heb je ook weinig aan een backup. Daarnaast is het ook maar de vraag of het systeem schoon is na het betalen. Ik ga er maar vanuit dat niet alles plat lag. Soms moet je dan jezelf afvragen of die data wel zoveel waard is.
Alleen dat is natuurlijk wel anders. Het is ook een beetje waarom overheden over het algemeen niet onderhandelen met terroristen.
Nee ze vragen vaak niet om veel tegenover wat voor schade ze dreigen te doen, maar als ze weten dat je uiteindelijk toch wel toegeeft dan ben je vanaf dat moment natuurlijk doelwit nr.1

Dus ja een externe IT partij is duurder, maar die gaan daarna niet actief nog achter je aan om meer geld te verdienen. Voor deze stad kan ik garanderen dat er een verveelvoudiging van het aantal phising pogingen komt, want als het lukt betalen ze toch wel (dat is nu het sentiment wat je creëert in ieder geval)
De enige optie... natuurlijk niet.

Er is vrijwel altijd een optie om simpel weg de systemen uit te zetten backups te herstellen en op die manier gewoon een dag of zo terug te gaan in de tijd. (Dat kan niet meer of minder kwaad dan wat men nu doet hele nieuwe systemen kopen en alles van de grond af op nieuw opbouwen.
Nu kan het natuurlijk zijn (en dat zou men iets verbazen) dat er nauwelijks backups waren en dat men het herstellen van die backups ook nooit echt getest heeft dus er geen idee was of al dat werk (neemt nog al wat tijd in beslag een paar honderd systemen herstellen van backups) ook de moeite waard zou zijn.
Wat me ook niet zou verbazen is dat de backup machine zelf ook besmet was en dat men dus simpel weg het niet aandurfde om deze te gebruiken.

Maar er is nooit maar een oplossing en dat is betalen, er is veel al genoeg mogelijk om de bestanden te herstellen er zijn maar heel erg weinig beveiligingsproducten die in een keer alles goed hebben en geen patches nodig hebben om zwakheden op te lossen. Het is dan ook hoogst onwaarschijnlijk dat een ransomware tool als dit het wel allemaal op orde heeft en er echt geen andere optie is dan dan maar betalen om de bestanden terug te krijgen.
Gelukkig voor jouw theorie zijn de makers van ransomware vergeten om iets toe te voegen zodat ook back-ups versleuteld raken... of....
Het was natuurlijk wel enigzins then enige optie.

Natuurlijk laat dit ook aan andere zien wat de gevolgen zijn van dit soort aanvallen en dat je beter dat geld kunt investeren in de hardware nodig om dit te verkomen.

Soms moeten ze wakker geschudt worden.
Niet de systeembeheerder ontslaan, maar de management laag die heeft beknibbeld op de backups/backupsystemen (maar nu wel doodleuk een miljoen/18 miljoen gaat uitgeven voor nieuwe apparatuur).

In hoeverre is de ransomware dan wel niet zo vertieft, dat je je hele computer park moet gaan vervangen? Tikkie overdreven reactie lijkt mij.
Niet zozeer dat de ransomware de hardware verlieft, eerder dat men toch al grootschalige werkzaamheden moet uitvoeren, als er dan toch al een grote wijziging in de niet al te verre toekomst gepland is word die naar voren getrokken omdat het juist geld bespaard om dit te combineren.
En nu de praktijk, bij veel bedrijven kun je als systeembeheerder klagen wat je wilt, maar als management de keuze heeft tussen een nieuwe server en een backup-oplossing waar het hele bedrijf zijn voordeel van heeft, of wat macbook pro's voor een het management zal het het management hun nieuwe speeltjes worden.

Met name in het MKB als je bedrijven migreert naar een cloudoplossing en je hun bestaande omgeving ziet kom je meer dan vaak 10+ jaar oude servers tegen, een spinneweb als patchrek en oudere 24-poorts switch uitgebreid met een paar SWEEXXX 5 poort switches in de serverruimte, en de beheerder heeft het vragen om beter materieel allang opgegeven of is vervangen door iemand die minder "zeurt". Die beheerder kun je dan ontslaan maar het is vaak niet aan hem, want "het werkt zo toch wel" en "waarom zou het nu opeens geld moeten kosten, we hebben het toch al?" Veel bedrijven in die klasse doen al moeilijk als ze een nieuwe set LTO-tapes moeten kopen.

Mocht ik in die situatie zitten zou ik elke 3 maanden opnieuw een verzoek indienen voor nieuwe hardware, met toelichting waarom en welke risico's we nu lopen, zodat mij niets verweten kan worden. Success met die ontslagprocedure dan!
Naast het losgeldbedrag stemde het stadsbestuur vorige week ook al in met de aankoop van nieuwe hardware, wat overigens eerder al op de planning stond.
Want dat lost het probleem in de toekomst op? 8)7
Als het Windows XP machines zijn, wellicht
Als het ransomware is, is het meestal gewoon een attachment aan een mailtje of een USB stick in de parkeergarage. Daar helpt geen enkele Windows versie tegen.
Windows (10) heeft gewoon Windows Defender; lijkt me toch dat die redelijk wat ransomware kan afweren. Of heb ik nu teveel vertrouwen in up2date windows 10?

[Reactie gewijzigd door Gamebuster op 20 juni 2019 13:04]

Dan moet het een bekende ransomware zijn. Een kleine variatie kan al genoeg zijn om er doorheen te glippen.
Zekers, nu is alles goed en gebeurd er nooit meer iets spreekt de verkoper toe aan het stadsbestuur. Volgende punt op de agenda!
Natuurlijk, de hardware is hoogst waarschijnlijk zeer zwaar verouderd omdat de bestuurders helemaal niets van ICT af weten. Kijk naar onze overheid die nog steeds belastingen met excel sheets en access databases (2003 versie natuurlijk) berekent omdat men niet weet hoe de berekeningen werken. Denk je nu echt dat in een achteraf stadje in the middle of nowhere ook maar iemand ooit budget heeft gehad om een update van de systemen uit te voeren na het jaar 2000?

Natuurlijk verhelpt dat helemaal niets en komt men er straks achter dat tot hun grote verbazing veel van de software die men gebruikte op de Win2k machines niet meer werkt op de Win10 machines, maar goed dat lossen ze dan wel weer op (lees men betaald de verkoper van de software een belachelijke som geld om de data over te zetten van het oude naar het nieuwe formaat, en daarnaast voor de trainingen die nodig zijn om het personeel te leren werken met de nieuwe versie van de software, en natuurlijk een bak extra geld om wat aanpassingen te maken omdat de oude manier van werken nu eenmaal als prettiger ervaren was en dit dus ook weer mogelijk gemaakt moet worden in de nieuwe versie.

Overheden zijn over het algemeen extreem dom als het op ICT aan komt, investeren in een goede oplossing doet men niet. Men houd van hele grote projecten om alles in een keer te veranderen en verbaasd zich steeds weer over de problemen die dat oplevert. Men snapt niet dat de vriendelijke verkoper echt niet van plan is het makkelijk laat staan goedkoop te maken om ooit nog andere software te gebruiken dan het geen door de verkoper aangeboden wordt.
De eigen IT staff is over het algemeen van het kaliber muisballen poetsen en keyboard schoonmaken en vind het al een hele prestatie als het gelukt is om een nieuwe high score in solitair neer te zetten.
Dit komt door dat men simpel weg geen geld wil uitgeven voor goede mensen of materialen, omdat men nog steeds denkt dat alles net zo makkelijk op papier gedaan kan worden.

Ooit een prachtig voorbeeld hier van gezien (geen overheid maar niet veel anders) bij een hele grote logistiek provider die vond dat op het moment dat het internationale IT systeem faalde alles gewoon met pen papier en telefoon opgelost kon worden want dat is hoe wij dat altijd deden toen ik nog als dispatcher werkte was toen het argument (even vergeten dat het bedrijf in middels een paar honderd keer groter was... het resultaat een enorme chaos, heel erg veel boze klanten, een grote zak geld om nu wel de juiste backup oplossingen etc te bouwen en natuurlijk een "promotie" voor de manager in kwestie naar een global HR afdeling waar alle manke paarden mochten wachten tot hun pensioen als ze de eer niet aan zich zelf wilde houden.
Is het nou zo dat een simpel klikje op een link in een mail niet afgevangen wordt door moderne beveiligings software?

Eigenlijk zouden gebruikers toch gewoon overal op moeten kunnen klikken wat klikbaar is?

Ik snap best dat ransomware\virussen etc mee veranderen, maar telkens gebruikers “de schuld” geven dat ze overal maar op klikken is eigenlijk de simpele waarheid verbloemen dat de overkoepelende beveiliging niet op orde was.

Je kan niet eisen dat normale gebruikers dezelfde affiniteit\kennis en beveiligings ervaring hebben, als (opgeleide?) systeembeheerders dat blijkbaar niet eens hebben, of erger nog: de beste specialisten bij beveiligingssoftware huizen.

Je koopt beveiligingssoftware en betaald als bedrijf een specialist in om dat te regelen, toch?
Op veel varianten is inderdaad een remedie gevonden. Maar ransomware werkt omdat er misbruik wordt gemaakt van kwetsbaarheden. Dat wat nu ervoor zorgt dat iets afgevangen wordt, garandeert nog niet dat een vernieuwde/verbeterde variant afgevangen gaat worden.
Is het nou zo dat een simpel klikje op een link in een mail niet afgevangen wordt door moderne beveiligings software?
Ja, dat is heel verwonderlijk. We worden dagelijks bestookt door ronkende berichten van die slimme ICT-jongens en meisjes als hun programmaatje weer eens een dam-, schaak-, of Gokampioen hebben verslagen. Hun zelflerende Ai systemen rijden binnenkort sneller dan Max Verstappen, herkennen over een paar maanden ziektes beter dan de beste medische specialisten en ze werken al aan computers die veel en veel intelligenter zijn dan zelfs die hele intelligente ICT-ers en het is slechts een kwestie van tijd voor die computer de mens gaat overheersen.

Jammer genoeg hebben ze door al dat werken aan de toekomst blijkbaar geen tijd om een programma of systeem te ontwerpen dat malware of virussen al herkent voordat het geïnstalleerd wordt...
Zolang ze zo'n programma waar de wereld echt om zit te springen niet kunnen ontwikkelen neem ik die verhalen over bovenmenselijk intelligente computers waar ze nu aan zouden werken met een enorme berg zout.
Een goede "ouderwetse" Tape back-up die je veilig in een kluis wegstopt en een andere kopie veilig in de kluis van een bankinstelling. Dat kost echt niet zoveel geld en is enorm solide...
Dan nog ben je niet volledig safe, wat ga je op die tapes zetten? Puur databases en overige bestanden? Of complete system-states met complete configuratie? In de basis doe je gewoon een worst-case scenario backup, maar zelfs daarbij moet je al je systemen opschonen en opnieuw configureren, dat een half miljoen mogelijk goedkoper is dan zo'n worst-case uit te voeren.
Dat beslis je volledig zelf. Je kunt al beginnen met al je VMs op de Tapes te zetten. De servers en al de data van de users.

Als je met een redirected folder services werkt, word je data continue op de servers opgeslagen, die je dan vervolgens opslaagt op een tape. Wat is daar zo moeilijk aan?

Laptop naar de klote ? Restage hem, log in met je account en je hebt al je data terug.
En dat dagelijks... 8)7
Inderdaad. Einde van de week is er een andere Tape die dan de volledige back up neemt van de hele week... Wat wij doen... Ik vermoed dat je nog niet de gelegenheid hebt gehad om in een groot serieus bedrijf te werken...

[Reactie gewijzigd door PhanToM__ op 20 juni 2019 13:12]

Groot wel, serieus niet. :)
Daar heb je een autoloader of tape library dus voor :)
Hele harde manier om te leren dat je Windows en software die dagelijks gebruikt wordt (vooral Microsoft Office in zulke omgevingen) goed up-to-date moet houden. Ik hoop dat ze naast nieuwe hardware ook investeren in training voor medewerkers in het herkennen van phising mails, en goede back-ups maken. Want als je €534.000 betaald was dat blijkbaar ook niet op orde....
Juist Office is veiliger dan veel alternatieven, omdat je in OneDrive altijd vorige versies kunt herstellen.

[Reactie gewijzigd door Trommelrem op 20 juni 2019 11:43]

Er is ook niks mis met office. Maar als je een versie uit 2016 draait heeft een aanvaller heel veel mogelijkheden om via een Word of Excel document malware binnen te krijgen. Kijk maar eens in dit lijstje in de kolom "Code execution": https://www.cvedetails.co...ft-Word.html?vendor_id=26

Nu is dit bij elke oude software meestal het geval. Maar er wordt haast nooit een link gelegd tussen een office update en security. En aangezien in denk ik haast elke kantoor omgeving men office gebruikt...
Ik ben niet echt scherp meer op ransomware, maar is dit niet gewoon te verwijderen zonder dat je deze bedragen hoeft te betalen?
Ik ben niet echt scherp meer op ransomware, maar is dit niet gewoon te verwijderen zonder dat je deze bedragen hoeft te betalen?
Ransomware versleutelt je bestanden. Als je niet betaalt, dan heb je dus geen toegang meer tot je bestanden. De ransomware zelf is vaak eenvoudig te verwijderen, maar dat lost het onderliggende probleem van de versleuteling niet op. Het terugzetten van een backup op een opgeschoonde machine is een effectieve oplossing, maar helaas hebben veel mensen en organisaties hun backups onvoldoende op orde.
Dat is het hele idee he, dat je niets kunt totdat je hebt betaald.
Snelle ZZP'er worden dan en je diensten aan die mensen aanbieden.. Denk je nou werkelijk dat ze geen enkele expert hier naar hebben laten kijken? Geëncrypteerd is geëncrypteerd, zonder de master key kan je het vergeten om je bestanden terug te halen.

Jouw 'politievirus' was gewoon in de boot geslopen, dit is hele andere koek! :+
Een virus, bestaande uit code die extra (ongewilde) functionaliteit activeert, is een compleet ander verhaal dan ransomware. Ransomware is versleuteling van data en waarna de sleutel die gebruikt is weg wordt verwijderd. Je kan dan niet meer terug, tenzij je betaalt aan de aanvaller die nog een kopie heeft (of de masterkey waarmee de kopie te berekenen is).

Als jij 'even' deze boel kan oplossen, dan heb je in feite een aanval bedacht op alle data-at-rest encryptie.

[Reactie gewijzigd door AceAceAce op 20 juni 2019 10:43]

Denk dat het probleen iets sneller opgelost moest worden :) anders hadden ze je vast gebeld.
haha ja wel jammer. maargoed. ik begrijp nu dat een ransomware aanval dus niet te blokken is. weer wat geleerd.

[Reactie gewijzigd door Drunken_Bear op 20 juni 2019 13:12]

Blokken kan wel, maar gedane schade ongedaan niet (tenzij je betaald).
Het is blijkbaar duurder om niet te betalen, dit geeft alleen meer de aansporing voor andere om het ook te gaan doen.
In nederland zijn het vaak kleine bedrijfjes die betalen, omdat ze ander falliet gaan, het zit m ook in niet te grote bedragen vragen, bedragen de betaald kunnen worden want dan zijn ze sneller geneigd het te doen.
En kan je vrolijk opzoek naar je volgende slachtoffer.
Wel verschikkelijk.
Kan ik wel om lachen. Als compleet land Kaspersky en Huawei in de ban doen vanwege security, en ondertussen wel een halve ton aftikken aan een puisterige student met verkeerde ambities.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Apple

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True