Clop-ransomware sluit nu 663 processen in Windows af bij infectie

De Clop-ransomware is bijgewerkt zodat de gijzelsoftware voortaan een groter aantal Windows 10-processen kan stilzetten. De malware zet nu zeker 663 Windows-processen stop voordat het bestanden versleutelt.

Dat ontdekte de malwareonderzoeker Vitali Kremez, die de specifieke Clop-ransomware al langer onderzoekt. Kremez was ook de analist die stelde dat het Russische hackers waren die de Universiteit Maastricht op kerstavond infecteerden, al is daar weinig bewijs voor. Volgens Kremez is de ransomware in de afgelopen weken geëvolueerd, wat bewijst dat die nog steeds actief wordt bijgehouden door de makers.

Kremez zegt dat Clop inmiddels 663 processen binnen Windows stopzet voordat het aan de versleuteling begint. Dat is opvallend veel. De meeste ransomwarevarianten sluiten wel een aantal actieve processen zoals Office af, zodat die bestanden kunnen worden versleuteld, maar het zijn er zelden zoveel. Het gaat om veelgebruikte tekstverwerkers, terminal-programma's, programmeertalen en zelfs de Windows-rekenmachine. Ook sluit het programma de Android Debug Bridge of programmeertools zoals Notepad++ als die zijn geïnstalleerd, net als enkele Microsoft-programma's zoals Visual Studio en de Your Phone-software.

Het is niet duidelijk of de aanvallers het aantal processen hebben verhoogd om de impact te vergroten en dergelijke programma's te blokkeren, of dat er een andere reden achter zit. Inmiddels hebben de makers het versleutelproces in de executable gezet, in plaats van in een Windows batch-bestand. Daarmee zou de ransomware makkelijker in te zetten zijn op verschillende systemen.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 06-01-2020 13:24184

06-01-2020 • 13:24

184 Linkedin

Lees meer

Universiteit Maastricht maakt 'winst' na retour ransomware-crypto-losgeld Nieuws van 2 juli 2022
Verdachten ransomwareaanval Uni Maastricht gearresteerd door Oekraïense politie Nieuws van 17 juni 2021
'Ransomware infecteerde ook back-upserver van Universiteit Maastricht' Nieuws van 24 januari 2020
Systemen en sites GWK Travelex werken niet door 'virus' Nieuws van 2 januari 2020
Universiteitsblad: Universiteit Maastricht betaalde losgeld na ransomwareaanval Nieuws van 2 januari 2020
Onderwijs Universiteit Maastricht wordt 6 januari hervat na ransomware-infectie Nieuws van 30 december 2019
Universiteit Maastricht heeft contact met ransomware-aanvallers en doet aangifte Nieuws van 27 december 2019
Deel diensten Universiteit Maastricht offline door Clop-ransomware - update 2 Nieuws van 24 december 2019
Meer producten en artikelen
Beveiliging en antivirus Ransomware

Reacties (184)

-Moderatie-faq
184
183
142
12
0
36
Wijzig sortering
menonv
6 januari 2020 13:36
Tja. Volg het topic op het forum - ze hebben betaald voor minstens - een van de domeincontrollers terug te krijgen en vervolgens weer backup domeincontrollers vanaf scratch weer opgebouwd, en laat iedereen weer inloggen met een nieuw wachtwoord. :z
Dat losgeld (ook bron Volkskrant overigens) aan "Tonnen euro's" gaat vervolgens weer in het (nog) beter maken van de ransomware waardoor nog meer instanties de zak zullen zijn. Ernstige trend, maarja - daarvoor kan tegenwoordig ook weer een Cybercrime verzekering worden afgesloten. ;( :X
Ernstige trend, vooral als de kennis om het tegen te gaan niet Pro-Actief wordt gedeeld, zo leren we niks over de symptonen te herkennen en uberhaubt te kunnen bestrijden.
Repel-EHV
@menonv6 januari 2020 13:50
Bijzondere trend is dit inderdaad.
Ik ga ons bedrijf even als voorbeeld nemen wij hebben namelijk ook te maken gehad met Ransomware, echter waren wij safe door middel van ons offline back-up.

Hiermee bedoel ik dus te zeggen dat een ransomware aanval niet te ver komen, maar wel het werk beperkt kunt houden als je een goed disaster recovery plan hebt. In dit geval hebben wij ook geen los geld hoeven te betalen.

Enige wat wij misten was 4uur van opgeslagen werk dit tegenover de kosten die je moet betalen als je alles terug wilt hebben is dit verwaarloosbaar.

[Reactie gewijzigd door Repel-EHV op 6 januari 2020 13:51]

Xfade
@Repel-EHV6 januari 2020 14:25
Het verschilt per ransomware. De 1 gaat gelijk bezig en dan kan je rustig je backup terug zetten. Andere ransomware blijft eerst inactief op de achtergrond om pas later actief te worden. Dan zit het ook in je backup.
Repel-EHV
@Xfade6 januari 2020 14:42
Nouja zoals ik al eerder aangaf hebben wij offline back-up dit doen wij nog old skool op tape. Wij zitten met zeer cruciale bestanden etc.

We doen daarom

elke dag
elke week
elke maand
elk jaar.

Dit doen we dan 12 maanden lang stel dat het dan al maanden al op ons systeem zit zoals je beweert dan nog kunnen we terug en zullen niet al onze systemen gegijzeld zijn, echter is dan wel zo dat we natuurlijk meer dan 4 uur werk kwijt zijn.

Ik begrijp nog steeds niet hoe alles encrypted heeft kunnen zijn bij hun, want het virus kan alleen encrypten tot waar de gebruiker rechten tot heeft waar het virus actief is. Als ik dan denk lijkt het of het virus bij een domain admin is gekomen en hierdoor veel verder is kunnen komen.

[Reactie gewijzigd door Repel-EHV op 6 januari 2020 14:51]

tormentor1985
@Repel-EHV6 januari 2020 15:58
Leuk en aardig dat backup op tape en offsite, maar dat zou ik enkel aanspreken als het pand verbrand is. Een snapshot terug zetten van een uurtje voor uitbraak is mijns inziens een veel snellere oplossing die enkele seconden duurt om terug te zetten.
temp00
@tormentor19856 januari 2020 16:47
Juist ja, en als je snapshots encrypted zijn? In hoeverre ben jij bekend met systeembeheer en crypto malware? Dit soort malware is namelijk niet een lullig huis, tuin en keuken virusje, dit is geavanceerde software die met precisie, planning en gerichte aanvallen wordt ingezet. Als het zo makkelijk was als jij stelt dan zou crypto malware wereldwijd niet zo'n probleem zijn. Backup en snapshot processen worden via het netwerk aangestuurd en opgeslagen en zijn daarom ook vatbaar voor crypto malware, dit verspreid zich immers ook via het netwerk. De oplossing die Repel heeft is één van de beste oplossingen die je kan hebben omdat deze air gapped zijn en in principe niet door de crypto malware te bereiken zijn (tapes die niet in de tape drive zitten zijn onbereikbaar voor de crypto malware). Het is niet dé oplossing maar nog altijd beter dan bijv. één netwerkshare hebben (al dan niet offsite) of externe hd en daar alle backups op hebben opgeslagen. Een snapshotje hebben (op een host) is natuurlijk al helemaal niet crypto proof.

Daarnaast is het niet realistisch te stellen dat jij de bron van een crypto uitbraak (in een netwerk) binnen een uur hebt opgespoord en opgeschoond. Dus dan kan je als je geluk hebt wel je snapshot terugzetten maar dan is het systeem wat je hebt gerestored binnen de kortste keren weer versleuteld en loop je alleen maar het risico dat je de verspreiding verergert door ergens in te loggen met beheer credentials zonder dat de bron is aangepakt.

[Reactie gewijzigd door temp00 op 6 januari 2020 19:05]

Felyrion
@tormentor19856 januari 2020 19:42
Het probleem is niet dat er al maanden gecrypt wordt, maar dat de ransomware wel die tijd heeft gebruikt om in alle systemen te komen, zoals juist ook backup software, hypervisors en storage systemen.
Als men denkt alles te pakken te hebben wordt het bijvoorbeeld op een vrijdagavond overal tegelijk afgetrapt.
Tegen de tijd dat je het dan in de gaten hebt is het al veel te ver heen om het nog te kunnen stoppen of om even een snapshotje terug te zetten.

No offense, maar ik krijg het gevoel dat je zelf nooit met een serieuze ransomware te maken hebt gehad.
Air-gapped backups zijn de enige serieuze bescherming op dit moment.
tormentor1985
@Felyrion6 januari 2020 20:10
Ik mag er niet over praten :Y) Ik zeg verder ook niet dat off-site backups overbodig zijn maar in mijn ogen meer een last resort.

Het volgende is van belang.
- ransomware detectie. Hier zijn gewoon tools voor die je bestanden op shares monitoren. Bestanden op laptops van eindgebruikers doe je weinig aan.
- de detectie moet in je monitoring zijn opgenomen zodat je geïnformeerd wordt.
- je kan automatiseren dat netwerk shares tijdelijk disabled worden.
- voor de case die jij noemt de vrijdagavond, daarvoor moet je storingsdiensten hebben zodat het monitoringsysteem de engineer informeert.
- de user account(s) die mutaties maken moet je toegang tot shares ontnemen.
- de snapshots die weinig kosten en snel gemaakt zijn kan je in principe ieder kwartier maken. Ze moeten read only by design zijn. Zo kan ransomware deze niet aanpassen. Snapshots moet je door backup servers laten pullen.
- personen die bij de backups systemen kunnen moeten geen schrijfrechten hebben op core systemen en visa versa.

Je kan in principe binnen 30 tot 60 minuten ransomware detecteren, de aanval stoppen en back in business zijn.
Houtenklaas
@Felyrion6 januari 2020 20:03
Air-gapped backups
Prachtige term. Een tweede wat echt helpt is heel goed in de gaten houden wat je incremental backups doen. Als die regulier een paar GB zijn en nu ineens 10-tallen GB's, dan is het zaak om een vlot en kundig onderzoek in te stellen. Of als het meer "sneaky" gaat, een week achter elkaar meer dan gebruikelijk, ook dan is het zaak om even wat extra te controleren. Maar goed, als je van je backups dagelijks een aantal bestanden terugleest op een ander systeem - het liefst los van internet - en je kan die lezen ben je er ook. Wat ik ook weleens gedaan heb is een flink aantal bestanden (Word/Excel/PPT/plaatjes) standaard aanmaken ergens in je dataomgeving en de hash ervan laten controleren bij de backup. Als die gewijzigd zijn: "Shit hit the fan"...
Cerberus_tm
@Houtenklaas6 januari 2020 20:22
Hoe kun je garanderen dat de plaats waar die incremental back-ups heen gaan niet ook geïnfecteerd is? Als je ergens back-ups heen kunt schrijven, kun je daar misschien ook andere dingen doen...
Houtenklaas
@Cerberus_tm6 januari 2020 20:41
Dan merk je dat direct op het moment als je je backup controleert op een ander systeem en een aantal bestanden uitleest. Een backup van een systeem bestaat uit immers uit een drieluik: maken-teruglezen-controleren en niet alleen uit "maken"!
tormentor1985
@Cerberus_tm6 januari 2020 23:35
Aanvulling op houtenklaas. Als de incremental backups (of snapshots die je een paar keer per uur maakt) "ineens" 10 of 100 of misschien wel 1000 keer groter zijn dan "normaal" dan moeten er toch wel een flink aantal schermen aan het gillen zijn dat er iets aan de hand is.

Verder schrijf je geen backup naar een back-up systeem. Je pulled de snapshots naar het systeem toe. Dan nog kunnen die snapshots inmiddels geïnfecteerd zijn maar je zorgt er wel voor dat de bron niet bij de backup server kan enkel andersom.
Cerberus_tm
@tormentor19856 januari 2020 23:44
Wat betreft het eerst, we bespreken dit eigenlijk dubbel hier, met nog wat meer details:
Cerberus_tm in 'nieuws: Clop-ransomware sluit nu 663 processen in Windows af ...

Wat betreft het tweede: is dat pullen echt 100% veilig? Ik weet niet echt hoe dat gaat (heb geen verstand van implementaties).
tormentor1985
@Cerberus_tm6 januari 2020 23:54
Nee het is niet 100% veilig maar je voorkomt wat je zegt dat potentieel heel slimme malware ook je snapshots op je back-up systeem kan verwijderen.

Stel je fileserver zelf is infected en deze decrypted on the fly je bestanden (volgens mij bestaat het nog niet maar dat zie ik als next level ransomware) dan zou het redelijk zuur zijn als diezelfde fileserver de backup server kan benaderen. Door snapshots te pullen vanaf de backup server en deze verder te isoleren in een los vlan zonder internet toegang kan je redelijk zeker zijn dat enkel medewerkers met toegang tot backup servers bij de backups kunnen. De "gewone" engineers en diens servers dus niet.

Als laatste moet je nog kleine voorzorgsmaatregelen nemen tegen silent encryption. Over het algemeen encrypt ransomware al je data. Met wat honeypotjes met daarin wat word of Excel documenten op random locaties op je shares waar je de md5 van weet kan je zorgen dat je monitoringsysteem jou gaat vertellen dat de md5 niet is wat het moet zijn.
Cerberus_tm
@tormentor19856 januari 2020 23:57
OK het meeste begrijp ik en klinkt logisch. Alleen dat pullen zelf, ik weet niet wat dat is: kan het bronsysteem daarvia niet toch op de een of andere manier toegang krijgen tot het back-up-systeem?
tormentor1985
@Cerberus_tm7 januari 2020 00:21
Je kan zfs of btrfs snapshots over ssh maken en receiven. Die call maak je dan vanaf de backup server met een ssh user die enkel die commando's mag uitvoeren. De backup server mag met zijn private key wel op de bron inloggen maar visa versa niet. Je kan in dat vlan nog additioneel een firewall regel plaatsen om one way traffic af te dwingen. Dan nog kan je encrypted data naar binnen hengelen maar daar maak je weer honeypots voor waar je md5 gaat vergelijken met nog wat additionele check zoals snapshot size die ongewoon zijn. De enige ransomware waar je je niet tegen in kan dekken op deze manier is de variant die enkel nieuwe files die een specifieke gebruiker maakt of wijzigt encrypt in plaats van alle data.
Cerberus_tm
@tormentor19857 januari 2020 01:43
OK als jij zegt dat het binnenhalen van die back-ups veilig kan, dan geloof ik je.
ejabberd
@tormentor19857 januari 2020 08:15
Verder schrijf je geen backup naar een back-up systeem. Je pulled de snapshots naar het systeem toe. Dan nog kunnen die snapshots inmiddels geïnfecteerd zijn maar je zorgt er wel voor dat de bron niet bij de backup server kan enkel andersom.
Dat vind ik niet. Je backupsysteem moet dan aanmelden op een geïnfecteerd systeem en men zou op die manier volledige controle kunnen krijgen over het backupsysteem.

Mij lijkt het beter om op het backupsysteem een dichtgetimmerde chrootomgeving in te stellen waar automatisch alle back-ups naartoe worden geschreven.

Vervolgens maak je vanop dat backupsysteem airgapped off-site back-ups.
coolkil
@Cerberus_tm7 januari 2020 00:49
Andere systeem architectuur(ppc,arm) gebruiken voor je back-up machines? Zorgen dat er geen compilers aanwezig zijn en mochten die geïnstalleerd worden onmiddellijk alle alarm bellen af laten gaan. Pak dan bij voorkeur ook een wat exotisch os(bsd??) en je maakt het generieke crypto lockers een stuk lastiger.

(Bovenstaande is theoretisch. zelf heb ik gelukkig nog weinig ervaring met crypto lockers)
Cerberus_tm
@coolkil7 januari 2020 01:43
Dat kan vast ook helpen! Voor mij is het gelukkig ook theoretisch.
Houtenklaas
@tormentor19856 januari 2020 16:40
Heb je wel meegelezen? De gijzelsoftware is soms maanden inactief aanwezig voordat het "aan" wordt gezet. Een snapshot van een uurtje voor de uitbraak is daarmee volstrekt zinloos. De offline backup die bij @Repel-EHV een jaar terug gaat is dan een heel veel beter alternatief!
tormentor1985
@Houtenklaas6 januari 2020 23:27
Lees mijn overige reacties hoe je prima strategie kan bedenken tegen ransomware. Als je ransomware binnen een kwartier kan detecteren (hier zijn tools voor) en de bron(nen) de rechten weet te ontnemen (die bronnen kunnen de tools jou geven) dan heb je heel veel aan een snapshot van een uur voordat de "gijzelsoftware" wordt "aangezet".

Verder is data van een jaar geleden in mijn ogen sowieso niets meer waard (enkel handig voor bewaarplicht). Hoe ga je een jaar aan dataverlies verkopen dan? Sorry klant x.. maar dat project waar we al 11 maanden aan werken is verloren gegaan?
Houtenklaas
@tormentor19857 januari 2020 18:33
Je reageert op iets totaal anders dan waar mijn post over gaat. Waar ging het ook alweer over? De ransomware encrypt data op jouw schijven - en daarmee ook op je backups - en decrypt on-the-fly data van en naar gebruikers totdat dat ineens stopt, het moment dat de gijzelsoftware "aan" gaat. En daarmee is jouw snapshot meer dan waardeloos aangezien hij ruimte inneemt maar bovenal encrypted data bevat wat al maanden aan de gang kan zijn.

Waarom je dan "heel veel" hebt aan een snapshot vol met encrypted data ontgaat me echt volledig. Ik denk dat je het stukje gemist hebt dat die ransomware on the fly data kan decrypten/encrypten gedurende maanden zodat je backups waardeloos worden als je die niet stelselmatig terugleest en controleert op een ander systeem.

En je doet een aanname t.a.v. data van een jaar oud. Voor jou geldt blijkbaar dat de waarde van data afneemt naarmate de data ouder is. Als ik even naar mijn privé archief kijk is het omgekeerde het geval, mijn oudste bestanden zijn het waardevolst, afnemend naar het heden. Dat zal dan ook per persoon en bedrijf verschillen denk ik.
tormentor1985
@Houtenklaas7 januari 2020 20:03
Over de waarde van oude data in privé omstandigheden moet ik je gelijk geven.

Wat ik nogmaals moet duidelijk maken is dat je kan detecteren of ransomware je data encrypt ook als deze decryptie on the fly doet. Je snapshots worden zodra dit proces start enorm groot omdat er veel data veranderd. Daarnaast kan je op je back-up server in honeypots controleren of de bestanden nog dezelfde hash hebben. Om je dan nog in te dekken tegen ransomware die enkel nieuwe files encrypt en bestaande data intact laat zul je met de hand zo af en toe een bestand met Creation date van de afgelopen week/maand whatever moeten openen.
KoffieAnanas
@Houtenklaas6 januari 2020 17:30
Maar ben je daarmee altijd geholpen? Als de data van de laatste 3 maanden infected is, dan moet je toch data van meer dan 3 maanden geleden terugzetten? Dat lijkt me niet altijd wenselijk. Je kunt met bestanden van onderzoekers en studenten zitten die van recentere datum zijn en cruciaal voor hun onderzoek (paper) of afstuderen (scriptie).

Overigens praat je bij een universiteit aan bakken met data die je niet zomaar even iedere dag, week, maand, jaar backupt. Eer dat een backup op tape of een ander backup medium is gezet dan ben je wel even bezig. Laat staan de kosten daarvan.

[Reactie gewijzigd door KoffieAnanas op 6 januari 2020 17:33]

Houtenklaas
@KoffieAnanas6 januari 2020 17:39
Welke opties heb je dan? Je snapshot van gisteren/vorige week/vorige maand die geencrypted blijkt, die terug zetten heeft ook niet zo heel veel zin. Het voorbeeld wat je geeft is exact de reden dat bij het maken van een backup, je qua acties pas op één derde bent. Ook het teruglezen van de backup op een apart systeem hoort daarbij met een fijne steekproef van lezen van een aantal bestanden, elke keer weer. Dan herken je direct dat er al iets gencrypted is voordat de ransomware überhaupt al actief is en kan je direct actie ondernemen, direct na de besmetting en niet maanden erna.
Cerberus_tm
@Houtenklaas6 januari 2020 20:30
Wat als de ransomware alleen bestanden begint te versleutelen die (door de gebruiker / het systeem) sowieso al gewijzigd of aangemaakt zijn sinds de vorige back-up? Daar kom je dan moeilijk achter, toch? Of je versleutelt niet het bestand zelf, maar b.v. alleen de tekst in een Word-bestand, zodat het nog wel gewoon te openen is, maar het grootste deel van de tekst uit vreemde tekens bestaat. Daar kom je moeilijk achter zonder het bestand echt handmatig te gaan lezen, toch?

Na een paar maanden zijn dan echt veel bestanden versleuteld in je back-ups zonder dat je het door hebt, of is er een manier om dit te merken? Het gaat hier om ransomware die alléén bij elke back-up bestanden versleutelt, dus niet op het systeem zelf (dat gebeurt pas na een aantal maanden, als de ransomware klaar is om de boel dicht te gooien en losgeld te eisen).

Dan heb je ook nog ransomware die alle nieuwe en gewijzigde bestanden op het systeem zelf meteen al versleutelt, of je nou back-ups of niet, maar die ze live ontsleutelt wanneer je een bestand opent, opdat je er in het gebruik niets van merkt.
Houtenklaas
@Cerberus_tm6 januari 2020 20:53
... de tekst in een Word-bestand, zodat het nog wel gewoon te openen is, maar het grootste deel van de tekst uit vreemde tekens bestaat. Daar kom je moeilijk achter zonder het bestand echt handmatig te gaan lezen, toch? ...
Hashes is daar het toverwoord. Zet een aantal vaste (Word/Excel/PPT/weetikveel) bestanden op je shares met een bekende hash. Raak ze elke dag even aan zodat de datum wordt aangepast. En controleer de hashes bij het teruglezen van de backup. Weinig handwerk voor nodig ...
Cerberus_tm
@Houtenklaas6 januari 2020 21:21
Okee, maar 'mijn' ransomware tast alle nieuw gemaakt of gewijzigde bestanden aan op het bronsysteem. Al bestaande, ongewijzigde bestanden laat hij met rust. En dan verzin ik er nog wat bij: hij gebruikt óók hashes, en als de datum veranderd is, maar de hash niet, laat hij het bestand ook met rust. Wat dan?
Houtenklaas
@Cerberus_tm6 januari 2020 22:50
Dan hernoem je die bestanden elke dag door de datum voor de bekende bestandsnaam te zetten. Voor je bestandssysteem dus elke dag een nieuw bestand. Ook dat kan je automatiseren. Wat probeer je nu te vast te stellen?
Cerberus_tm
@Houtenklaas6 januari 2020 23:41
OK dat is al een stuk beter. Wat ik probeer is om een manier te vinden waarop je echt met grote zekerheid kunt testen of je back-ups verneukt worden door ransomware, voordat het te laat is. Als ik jouw methode mag verfijnen, kun je elke dag nieuwe (Office-)bestanden aanmaken, met namen en inhoud die bestaan uit willekeurige woorden, maar wel volgens een bepaald algoritme. Als ik dat even abstraheer, zijn die namen en inhoud dan een soort versleutelde boodschap aan het back-up-systeem, en het algoritme de sleutel; het back-up-systeem test met diezelfde sleutel of er niet geknoeid is met de bestanden. Zo'n beetje als hoe de authenticiteit getest wordt van berichten verzonden via het Internet.

Deze methode is alleen te kraken als de ransomware de methode kent en het programma kan overnemen dat met het algoritme de bestanden aanmaakt. Dan heb je een soort kat-en-muisspel, wat denk ik een stuk beter is dan hoe het nu gebeurt, ook bij vele van de best beveiligde systemen. Of niet?
Omega Supreme
@Cerberus_tm7 januari 2020 10:24
Ik ken nog geen ransomware die de data in files encrypt, wat niet wil zeggen dat die niet bestaat of niet zal komen natuurlijk.

Zoals ik elders al aangeef, je kan het ze wel zo moeilijk mogelijk maken. Om ongedetecteerd te blijven moeten ze bij ons inderdaad alleen al gewijzogde of nieuwe bestanden encrypten, omdat anders de omvang van de backup een dead give away is.

Om de backup te compromitteren, moet de fileserver geinfecteerd worden en alle clients normale bestanden krijgen geserveerd. Of alle clients moeten ook geinfecteerd zijn, zeker bij recente bestanden, omdat er eigenlijk altijd meerdere mensen aan die bestanden werken vanwege reviews.

Een extra horde is dat nieuwe bestanden in de backups ook dagelijks automatisch gescanned worden en onleesbare bestanden geflagged. (Dus is het al nodig om inhoud te encrypten en niet het hele bestand)

Voor detectie van gecompromitteerde clients bij een niet gecompromitteerde server hebben we scripts draaien op een aparte machine die alle nieuwe bestanden ook testen.

Daarnaast draaien er op alle PC's en servers commerciële anti malware tools.
Cerberus_tm
@Omega Supreme7 januari 2020 16:46
Klinkt op zich wel als een goed systeem. Maar inderdaad dus niet onkwetsbaar tegen een aanval zoals boven geschetst. De inhoud van Office-bestanden veranderen is volgens mij niet zo moeilijk, meen dat daar wel software voor bestaat. Het hoeft ook niet snel/efficiënt te gebeuren: een bestand per minuut kan al desastreus zijn.
KoffieAnanas
@Houtenklaas6 januari 2020 20:21
Dat kan, maar het is vermoedelijk onbetaalbaar om wekelijks een backup te maken van alle data.
Houtenklaas
@KoffieAnanas6 januari 2020 20:37
Dat ligt aan de waarde die je aan je data hecht. Ik denk dat de gemiddelde - als makkelijk voorbeeld - bank hier heel anders over denkt ...
ejabberd
@Houtenklaas7 januari 2020 08:22
Yep, je zou dan, nog voor de individuele systemen geëncrypteerd zijn, kunnen rondsturen dat onderzoekers hun belangrijkste onderzoeksdata afdrukken op papier en die afdruk vergelijken met de info op het scherm. Op die manier heeft elke onderzoeker een air-gapped backup die niet gecompromitteerd is.
Edwin
@tormentor19856 januari 2020 16:51
Niet als het al een al weken/maanden inactief op je systeem aanwezig is.

Hoe langer ze het laten sluimeren hoe groter de kans dat je back-ups waardeloos zijn.
rdoorn
@tormentor19856 januari 2020 20:19
De meeste malware weet inmiddels ook van het bestaan van snapshots en weet de mechanismes. Het eerste wat gebeurd na de virusscanner uit gezet te hebben is dit onklaar maken en alle oude snapshots te wissen.
tormentor1985
@rdoorn6 januari 2020 23:10
Snapshots dienen read only te zijn dus nee die worden niet verwijderd want onmogelijk. Als je gebruikers je snapshots kunnen verwijderen moet je sowieso even gaan afvragen waar je mee bezig bent.

Hoe dek je dat in als je iemand ontslaat en deze in een opwelling de netwerk drives verwijderd, de snapshots verwijderd en vervolgens ook nog eens bij de reguliere backups blijkt te kunnen en deze ook weg gooit? Als je daar al geen maatregelen tegen neemt dan heb je geen ransomware nodig om je bedrijf potentieel om zeep te helpen.

Je kan er wel een heel groot drama van maken maar je indekken tegen ransomware of human failure is echt geen rocket science. Lees mijn overige reacties.
Rob Coops
@Repel-EHV6 januari 2020 15:40
De meeste ransomware draait niet noodzakelijkerwijs als de gebruiker die het binnen heeft gehaald... veel al is dat het start punt daarna wordt door middel van wat rechten escalatie een admin account verkregen en kan de malware dus overal bij.

Ook is het maar de vraag of jouw offline backup daar tegen bestand is. Niet dat men de offline backup zal encrypten maar als je 1 dag of erger nog een paar dagen aan data verliest kon dat nog wel eens een probleem op leveren voor het bedrijf.

Hoe dan ook een van de belangrijkste dingen naast het maken van de backup is het regelmatig terug zetten van de backup, simpel weg om er zeker van te zijn dat al die tapes ook nuttig zijn als je ze nodig hebt.
In een ideaal scenario als je een aparte disaster recovery site hebt simpel weg om de maand in de dr locatie draaien voor een maand. Op die manier weet je zeker dat iedereen weet wat te doen, dat de backups ook echt werken en dat je niet op eens er achter komt dat men vergeten was de firewall aan te passen of de bandbreedte naar de DR site van uit het kantoor of de buitenwereld veel te klein is wat kosten bespaard en zo...
Als dat niet het geval is en er is geen DR locatie, dan in ieder geval de backups met regelmaat terug zetten (minimaal iedere 3 maanden) en ook echt op dat systeem werken, om er zeker van te zijn dat alles werkt zo als het hoort. Doe je dat niet en vertrouw je blindelings op je backups (de meeste bedrijven doen dat) dan zul je merken dat tijdens een crisis de backups niet terug gezet kunnen worden, niet compleet waren, simpel weg niet werken (backups van draaiende systemen willen nog wel eens niet werken omdat checksums niet kloppen en zo). Of dat de mensen die de backups terug moeten zetten simpel weg dat al jaren niet meer of nog nooit gedaan hebben en niet weten hoe dat precies moet.

Om die reden vertel ik ieder bedrijf het zelfde als we het over backups hebben. Als je backups maakt maar ze nooit gebruikt dan is dat bijna net zo slecht als geen backups maken want de kans is zeer groot dat als je ze nodig hebt ze niet blijken te zijn wat je er van verwacht.

Hoe dan ook een beetje malware kan met relatief gemak van een gewoon gebruikers account naar admin rechten gaan op een willekeurig systeem, dus alles even encrypten is helemaal zo moeilijk nog niet.
Cerberus_tm
@Rob Coops6 januari 2020 20:40
Hmm maar hoe kom je erachter als door ransomware de meeste van je Word- en Excelbestanden in je back-up allemaal onzintekst en verkeerde getallen bevatten?
catfish
@Repel-EHV6 januari 2020 16:21
Is dat dan een full backup of een incremental backup?
Als je kiest voor dat laatste en de backup software bestanden gaat vergelijken zou die kunnen alarm slaan als er te veel bestanden gewijzigd (lees encrypted) zijn.
Of zie ik het nu te simpel?
rdoorn
@catfish6 januari 2020 20:21
En dan? je weet dan dus dat de encriptie al bezig is. Lijkt mij lastig om sneller te zijn als ransomware?
Ghxst
@Repel-EHV6 januari 2020 15:30
Je kan natuurlijk altijd gebruik maken van modificaties op bestaande software dat administratie rechten heeft.

Bijvoorbeeld door een privelege escalation of een geïnfecteerde OTA "update".

Wat hier precies gebeurd is weet ik natuurlijk niet, en ik ben er ook wel benieuwd naar.
Keypunchie
@Xfade6 januari 2020 14:34
Misschien in je systeembackup, maar je data moet je wel onafhankelijk kunnen herstellen van je systeem.

Weinig bedrijven die dit doen, maar een regelmatige restore van je data op een ander systeem is een excellente manier om je disaster recovery in de vingers te krijgen.
Mr_Light
@Keypunchie6 januari 2020 17:14
Ik schrik toch elke keer weer als ik hier op tweakers mensen hoor over backups en dat ze aangeven dat ze (alleen) systeem/filesystem image backups maken. Kan me niet voorstellen dat die ooit daadwerkelijk iets van DR hebben hoeven doen.

De meeste geclusterde systemen gaan gewoon stuk als je recovered vanaf een harddisk image, dus heb je niet veel aan. Beter om de applicatie specifieke backup methode te gebruiken. (snapshots, dumps etc)

Voor provisionen dmv gebruik je Chef, Puppet, Ansible, Saltstack, terraform etc. Dan heb je data en config en voegt een systeem backup weinig meer toe.

Voor de wat belangrijke systemen icm meerdere partijen word vaak een software escrow opgezet en doorgaans de eis om minimaal 1 keer per jaar een recovery te doen, vanaf je backup, vanaf scratch.
Keypunchie
@Mr_Light6 januari 2020 17:57
De praktijk is dat ik echte DR oefening alleen maar heb meegemaakt op plekken waar certificering of toezichthouder het verplicht stelt.

En zelfs daar wordt het vaak als verplichting gezien.

(Fail-over en uitwijk-testen heb ik veel vaker en met meer enthousiasme gezien, doorgaans omdat die functionaliteit beheerders ook in hun directe werk voordeel oplevert. Zodra DR dat wel gaat doen (cloud/infrastructure als code omgevingen) dan zie je daar meer enthousiasme voor ontstaan.)
Kain_niaK
@Keypunchie6 januari 2020 16:35
Mij is altijd geleerd dat een backup die niet getest is, niet geld als backup.
SCS2
@Kain_niaK6 januari 2020 19:11
Een mooie term daarvoor is: een Schrödinger's BackUp O-)
FlyEragon
@Repel-EHV6 januari 2020 13:52
De vraag is natuurlijk, hoe kwam de infectie binnen. Daar kan nog 1 en ander verbeterd worden waarschijnlijk.

[Reactie gewijzigd door FlyEragon op 6 januari 2020 14:37]

Repel-EHV
@FlyEragon6 januari 2020 13:57
Dit kan op de simpelste manieren bij ons was dit via e-mail en de eind gebruiker heeft dit gewoon geopend en zag er geen kwaad in, omdat sommige mensen niet kunnen inschatten of de mail echt of nep is, want ben eerlijk tegenwoordig doen ze echt hun best om het zo echt mogelijk te laten lijken.


Daarom is het wel een belangrijk om security awereness cursus of info avond voor de eind gebruikers om hun op die manier bewuster te maken.

[Reactie gewijzigd door Repel-EHV op 6 januari 2020 13:58]

Omega Supreme
@Repel-EHV6 januari 2020 14:16
Wij hebben het ook gehad via een link in de e-mail. We snappen nog steeds niet hoe een medewerker op een link in een 'TNT express' mail vol met taalfouten heeft kunnen klikken en vervolgens op toestaan :X

Enige wat weg was waren alle wijzigingen tov de vorige dag. Op de fileserver een snapshot terug gezet van de dag ervoor de PC van de werknemer niet eens verder naar gekeken, meteen geformatterd en opnieuw geinstalleerd.

De gedeelde schijven waren (gelukkig) ook getroffen, de anti-virus software op een niet geinfecteerde PC ontdekte onmiddelijk dat er wat mis was. Op de oorspronkelijke infectie bron was deze simpelweg uitgeschakeld. Ook voor deze schijven simpel een snapshot terug gezet, binnen een uur was iedereen (op één na) weeer aan het werk.
CAPSLOCK2000
@Omega Supreme6 januari 2020 14:52
Wij hebben het ook gehad via een link in de e-mail. We snappen nog steeds niet hoe een medewerker op een link in een 'TNT express' mail vol met taalfouten heeft kunnen klikken en vervolgens op toestaan :X
Misschien kunnen we het beter andersom benaderen: diezelfde medewerker heeft waarschijnlijk al 10.000 andere mailtjes correct genegeerd. Iedereen is wel eens moe, iedereen raakt wel eens afgeleid, iedereen doet wel eens iets zonder eerst goed te lezen. Als organisatie moet je er rekening mee houden dat dit soort fouten gemaakt worden, het blijft mensenwerk.
Omega Supreme
@CAPSLOCK20006 januari 2020 14:59
We waren voorbereid, allen werk van die dag tot dat moment was weg. Op niet geinfecteerde systemen werd de manipulatie vrij vlot ontdekt.

Ik zeg niet dat wij onkwetsbaar zijn, als ze er echt in willen komen lukt dat ze wel. Dan zijn we eventueel iets meer kwijt, maar we hebben gelukkig ook nog 'ouderwetse' offline backups waar de malware niet bij komt.
Rannasha
@Omega Supreme6 januari 2020 15:34
we hebben gelukkig ook nog 'ouderwetse' offline backups waar de malware niet bij komt.
Offline backups zijn niet heilig. Slim opgezette ransomware zal eerst de data versleutelen en vervolgens een bepaalde tijd de malware inzitten als tussenpersoon voor alle verzoeken aan het filesystem. De gegevens worden door de malware on-the-fly ontsleuteld, dus voor de eindgebruiker lijkt er weinig aan de hand. Maar ondertussen is de boel wel versleuteld en schrijft het backup proces ook de versleutelde data weg. Na een bepaalde periode (weken of maanden), stopt de ransomware met de ontsleutel-functie en presenteert deze zich aan de gebruiker met de betalingseis.

Op dat moment ben je dus al een hele tijd versleutelde (en dus nutteloze) backups aan het maken. Dat deze vervolgens offline bewaard worden, maakt hier weinig uit.

Het is dus essentieel om de leesbaarheid van de backups te controleren op een systeem dat onafhankelijk is van het systeem waarop de backup gemaakt is.
Omega Supreme
@Rannasha6 januari 2020 19:41
Zoals ik in een andere post al zei, wij checken de integriteit van de bestanden op onze fileserver. Op een niet geïnfecteerde PC zullen deze bestanden dan onleesbaar zijn, want daar worden ze niet ontsleuteld.

Een mooie manier om geïnfecteerde PCs te vinden. Dit is ook hoe we de infectie vonden. Op de PC van het slachtoffer werkte alles, maar de software was zo 'dom' om netwerkschijven te gaan encrypten. Verschillende gebruikers en interne software begon te klagen over corrupte bestanden. Een scan vanaf een schone PC maakte toen vrij snel duidelijk dat er iets mis was.

Uiteraard kan de fileserver geïnfecteerd raken, maar die kans is al een stuk kleiner aangezien die niet vanaf internet te bereiken is, dus dan moet er eerst al een PC geïnfecteerd zijn en heb je al met twee besturingssystemen te maken.

[Reactie gewijzigd door Omega Supreme op 6 januari 2020 19:42]

Cerberus_tm
@Omega Supreme6 januari 2020 21:10
Hoe check je dan de integriteit van die bestanden? Als de ransomware de bestanden al verneukt op het bronsysteem (ontsleuteling on the fly, zoals Rannasha beschrijft), dan zijn de bestanden in de back-up inderdaad identiek aan die op het bronsysteem.
Nabucco
@Cerberus_tm6 januari 2020 21:53
Door gebruik te maken van een referentie bestand die op elk systeem aanwezig is en waarvan de filehash bekend is. Aan het einde van je backup restore je steeds dat ene bestand en controleer je vervolgens de filehash met de bron filehash.
Omega Supreme
@Cerberus_tm6 januari 2020 22:04
cronjob op een linux systeem haalt bestand op van server en controleert of .doc(x) bestanden geldige word docs zijn, xls(x) geldige excel docs en idem pdf's.

Aangezien de malware niet op die machine staat (ik heb nog geen malware gezien die en windows weet te infecteren en een linux machine waar die windows machine helemaal geen toegang toe heeft), kan hij deze documenten niet openen als ze encrypted zijn. Hij ziet dus corrupte documenten.

Als de malware stom genoeg is om encrypted files in git of svn weg te schrijven, dan zien we het nog sneller, aangezien de CI server dan volledig over de zeik zal gaan. Als hij zo slim is dat niet te doen, dan staat alle data nog in version control.

Dus als iemand met een infected machine op de server zijn werk opslaat, dan kan hij die nog openen, maar iemand met een niet geïnfecteerde machine niet. Als iemand gedurende de dag dus zo'n bestand heeft opgeslagen, wordt die als niemand anders dat bestand heeft proberen te openen dus 's nachts ontdekt bij de check.

Uiteraard werkt dit niet bij een targetted attack, waarbij de aanvaller niets encrypt tot hij volledige controle over alles in het netwerk heeft. Dat kan vervelender zijn, omdat dat pas bij een restore test die buiten het netwerk om plaatsvindt en veel minder frequent wordt ontdekt.
tormentor1985
@Cerberus_tm6 januari 2020 23:45
Je zou een honeypot kunnen gebruiken. In je monitoring de md5 van die files opvragen en indien ongelijk aan wat het moet zijn dan moet deze je informeren.
GeoBeo
@Omega Supreme6 januari 2020 22:29
Zoals ik in een andere post al zei, wij checken de integriteit van de bestanden op onze fileserver. Op een niet geïnfecteerde PC zullen deze bestanden dan onleesbaar zijn, want daar worden ze niet ontsleuteld.
Hoe check je geïnfecteerde files op een fileserver? Hoe kan je het verschil zien tussen een binary en een encrypted bestand?
Omega Supreme
@GeoBeo6 januari 2020 22:42
Een voorbeeldje voor word documenten:
Kopieer alle bestanden met een ctime of mtime sinds de laatste check naar de machine waarop je de checks wil doen. (passwordless ssh naar de fileserver met alleen leesrechten en gebruik scp)

Alle Word docs batch converteer je met een script (gebruik lowriter) naar pdf. De conversie faalt als het document geen geldig word document meer is door ransomware encryptie op een windows client. Zo onderscheid je binary van encrypted.

Natuurlijk krijg je false positives, wachtwoord beveiligde word documenten gaan bijvoorbeeld ook fout. Maar dat is vrij snel duidelijk uit de logs.

ALs je het thuis prive wil doen voor je media bestanden kan je bijvoorbeeld commandline tools gebruiken om het geluid van de eerste x seconden van een videobestand te extracten of een audiobestand te converten. Er vanuitgaande dat je geen gigantische hoeveelheden aan bestanden aanmaakt of wijzigt op een dag is dat script zo klaar.

Ik overweeg op dit moment om voor mijn prive NAS te kijken of een RPi4 met LibreOffice up to the task is, zodat ik wat minder stroom verbruik heb dan de mini pc die nu 24/7 draait als check.
Cerberus_tm
@Omega Supreme6 januari 2020 23:49
Even voor iedereen die hierboven op mij reageerde, @Nabucco, @tormentor1985, @Omega Supreme: goede punten; op dezelfde pagina ongeveer dezelfde discussie (mijn schuld) met nog wat meer details:
Cerberus_tm in 'nieuws: Clop-ransomware sluit nu 663 processen in Windows af ...
GeoBeo
@Omega Supreme7 januari 2020 08:06
Dat is leuk en aardig. Daarmee monitor je (voor een groot deel mensenwerk, want je moet logs snuffelen) Word bestanden. Maar dit lijkt me aardig arbeidsintensief om de checks te bouwen. Want, dan moet je nog scripts voor de rest van de Office paketten, E-CAD programma's, broncode van verschillende programmeertalen en scripts, foto's, plaatjes, M-CAD programma's, database bestanden en ga zo maar verder.

Verder helpt je methode niet tegen ransomware die gebruik maakt van lekken in Windows (en Linux ook trouwens) voor bijvoorbeeld privilege escalation. Als je fileserver ook geraakt wordt gaat die die ook vrolijk encrypten. Dat jij daar alleen leesrechten aan gaf, daar zal de priviledge escalation zich vrij weinig (niets) van aantrekken?

Als dat gecentraliseerd beheerd wordt kan kapot. Het enige dat de kwaadwillende moet doen is admin rechten krijgen op de centrale machines (jouw machines en/of servers) en de malware kan precies wat jij ook kan.
Omega Supreme
@GeoBeo7 januari 2020 09:37
Je kan natuurlijk heel dramatisch doen, maar feit is dat het totaal niet arbeidsintensief is. Een script loopt automatisch en test alleen office documenten en pdf's. Ik gebruik Word bestanden als voorbeeld, maar de andere office bestandsformaten zijn copy paste in het script en de extensie veranderen van de bestanden die je wil checken.

Hier wordt een log van gemaakt en er wordt automatisch geraporteerd welke bestanden gefaald zijn en wekelijks een summary. Er komt dus vrijwel nooit een melding waar handmatig werk uit volgt.

Alle broncode is ook in de cloud aanwezig ivm met CI als die encrypted wordt dan faalt de build en weten we dat onmiddelijk.

Een privilege escalation moet dan gebeuren op de PC die geinfecteerd is en op de fileserver om onze office bestanden ongemerkt te encrypten. Dan moet de ransomware ook nog iets bedenken om te verbergen dat de omvang van de snapshots (en replication) niet explodeert. Dus de machine waarnaar de snapshot gerepliceerd worden moet vervolgens ook overgenomen worden. Die machine accepteerd alleen verbindingen van de fileserver en ook alleen maar voor de replication, dus dan moet de privilage escalation ook precies via die connectie mogelijk zijn!

Om de broncode ongemerkt te encrypten moet er een escalation gedaan worden op de PC, op de svn server en op GitHub voordat dat verborgen kan blijven.

Dan heb je het al over privilege escalations op drie verschillende besturingssystemen en een cloudplatform. Erg onwaarschijnlijk voor een driveby download ransomware.

Dit ook nog eens naast de gebruikelijke maatregelen als commerciële anti-virus en anti-malware die op elke PC en server draait en periodieke restore tests van de backup op een onafhankelijke machine in kader van disaster recovery plan.

Met andere woorden, voor een generieke ransomware aanval moeten er wel heelveel zaken toevallig goed uitvallen wil die niet gedetecteerd worden en buiten een simpel scriptje om wat integriteitschecks op specifieke bestanden te doen hebben wij echt geen bijzondere omgeving.

Wat ik vooral lees bij nieuwsberichten zijn of grote instellingen die door hackers handmatig zijn getroffen, of kleine organisaties die hun backup en anti-malware niet op orde hadden en geen security updates installeerden.

Heb nu twee van deze aanvallen meegemaakt bij twee werkgevers waar het wel op orde was en in beide gevallen was alles binnen een dag weer op orde en was maximaal een halve dag werk verloren.

N.B. Buiten office documenten en source code hebben wij alleen nog de administratie die bedrijfskritisch is en die wordt ook op dode bomen in ordners gearchiveerd. Veel succes met hacken van de archiefkast.

[Reactie gewijzigd door Omega Supreme op 7 januari 2020 09:42]

Treadstone71
@Rannasha6 januari 2020 22:27
En dus 1 keer per jaar testen is niet meer van deze tijd. Maandelijks testen.
Heedless
@Omega Supreme6 januari 2020 15:06
Kan er geen (nog inactieve) malware in je backups terecht komen? Of kan dat überhaupt niet doordat je backups maakt van data en malware een process is?
supersnathan94
@Heedless6 januari 2020 15:17
Dat proces moet alleen wel ergens gedefinieerd worden. Dat zal dus meestal een bestandje zijn.
Omega Supreme
@Heedless6 januari 2020 15:19
Uiteraard kan een inactieve versie in de backups terecht komen, maar als je een infectie hebt ontdekt, weet je ook waar je naar moet zoeken.

Belangrijk is vooral dat je anti-virus software gebruikt om je backup te scannen die de desbetreffende malware herkent.
blorf
@CAPSLOCK20006 januari 2020 17:00
Dat 'permissie' verlenen met een muisklik slaat gewoon nergens op. Dat is moedwillig negeren van de echte oorzaak: een OS dat op het vlak van permissies een inconsistente zooi is.
Hoezo kan een willekeurig mailprogramma iets installeren of laden waar admin-permissies voor nodig horen te zijn, die vervolgens met een klikje worden gegeven? Want de mail-gebruikers willen instant systeem-gerelateerde code kunnen uitvoeren?

[Reactie gewijzigd door blorf op 6 januari 2020 17:04]

CAPSLOCK2000
@blorf6 januari 2020 17:46
Hoezo kan een willekeurig mailprogramma iets installeren of laden waar admin-permissies voor nodig horen te zijn, die vervolgens met een klikje worden gegeven? Want de mail-gebruikers willen instant systeem-gerelateerde code kunnen uitvoeren?
Daar heb je zeker een goed punt, maar dat kan ik de medewerker in kwestie niet kwalijk nemen. Die heeft de software ook niet geschreven.

Wat mogelijk wel verwijtbaar is, is dat veel mensen toch als (semi) admin werken. Ik weet niet of dat hier van toepassing is. Het redelijke verweer is dat veel van onze software daar nu eenmaal op ontwikkelt is. Als systeembeheerder communiceer je voortdurend over e-mail en krijg je regelmatig bestanden of informatie die je uit een mail wil halen en naar je systeem sturen. Zelfs als je het netjes opzet met gescheiden systemen en rollen dan ontkom je er nog niet aan dat je voortdurend informatie tussen die domeinen moet uitwisselen, dat is je werk. Als de stap van het ene naar het andere domein te groot is dan wordt het heel snel omslachtig en gaan mensen er om heen werken, en systeembeheerders zijn enorm goed in om beperkingen heen werken.

Vergeet ook niet dat we het hier over complexe malware hebben die uit vele onderdelen ontstaat. Dit soort malware heeft vaak aan een klein gaatje genoeg. Dat klein gaatje wordt opengepeutert om toegang te krijgen tot andere zwakheden die gebruikt kunnen worden om nog meer rechten te krijgen.
Omega Supreme
@CAPSLOCK20006 januari 2020 19:47
Ik heb als ontwikkelaar voor Windows weinig keuze als ik op een enige mate efficiënte manier wil werken.

Aan de andere kant weet ik natuurlijk dondersgoed wanneer en welke software ik probeer te starten en klik ik niet blind op ja of accepteren als in niet weet dat ik ook iets gestart heb.
batjes
@blorf6 januari 2020 17:15
Exploits of slecht opgezette systemen. Hier is geen OS tegen bestand.
Heedless
@Omega Supreme6 januari 2020 14:32
meteen geformatterd en opnieuw geinstalleerd.
Is dat voldoende? Kan dit soort ransomware zich niet ergens nestelen waardoor het terug kan komen en je beter de hele HDD kan vervangen?
supersnathan94
@Heedless6 januari 2020 14:47
Euhm. Nee. Hoe zou het dat dan moeten doen? Het enige wat zou kunnen is extern in een andere vorm van opslag. Chips op de HDD zelf zijn read-only op wat cache na die met een power down z’n state kwijt raakt.
batjes
@supersnathan946 januari 2020 17:11
Genoeg opslag dat firmware updates kan ontvangen. Op oude HDDs is ook niet alles read only, hoe kan het anders bijhouden waar het de data opslaat.
Zoals hieronder al aangegeven, UEFI is vaak ook nog een probleem. Naast de moederbord firmware zelf.
Zelfs de CPU is niet volledig read only. Net zo min de NIC of de GPU. Net als vele andere hardware onderdelen.

Een format helpt meestal wel, maar hoeft niet afdoende te wezen.
MSalters
@batjes6 januari 2020 17:30
Een HDD houdt dan ook niet bij wáár het de data opslaat. Dat is de rol van het filesysteem. HDD's slaan de data op waar het OS zegt dat die opgeslagen moet worden.
Cerberus_tm
@batjes6 januari 2020 21:15
Ja, echt vervelend. Ik zou heel graag willen dat die dingen alléén geüpdate zouden kunnen worden nadat je een fysiek schuifje verzet.
I_IBlackI_I
@supersnathan946 januari 2020 15:09
Sterker nog, je kan beter de hele computer vervangen. Het is mogelijk dat het zich in de uefi verstopt.

nieuws: Onderzoekers vinden uefi-rootkit die actief misbruikt wordt
Omega Supreme
@Heedless6 januari 2020 14:48
Ja, bleek na uitgebreid testen.

Let wel dat we hebben opgestart van een Linux live CD, alle partities hebben weggegooid en nieuwe aangemaakt en geformatteerd alvorens windows opnieuw te installeren.

Er is namelijk wel malware die de software van een geinfecteerd systeem aanpast/afvangt. Je kan dus niet vanuit het geinfecteerde systeem een format doen of de MBR overschrijven en hopen dat het is opgelost.
tweaknico
@Heedless6 januari 2020 15:31
Er is wel een nestel methode: na het klikken op de link gaat het programma een terminale datum vaststellen en dan rustig een maand of wat niets doen/ kijken wat er wordt ingetikt etc. mogelijk verder proberen door te dringen in het netwerk
En daarna eens aan de gang, mogelijk allerlei weinig gebruikte data alvast encrypten.
Na een herstel operatie natuurlijk gelijk weer aan de gang. Dan weet je ook dat snapshots , backups etc. allemaal voorziek kunnen zijn van ellende.
looc
@Repel-EHV6 januari 2020 17:00
Let wel, de DC was (ook) geinfecteerd in het geval van de universiteit.
Oftewel, een domain admin of iemand met hogere rechten was erin gevallen. Eerlijk gezegd verwacht ik van een admin dat die wel de onderscheid kan maken tussen echte en nepmail.
Of normale users hebben domain admin rechten, maar dan zijn er ergere dingen aan de hand dan de malware :P
Floor
@looc6 januari 2020 21:28
Admin spreekwoordelijk afschieten. Iedere hier admin moet met gesegmenteerde adminaccounts werken. Dit verkleint de risico's aanzienlijk.
Blokker_1999
@Repel-EHV6 januari 2020 14:05
Geen info avonden natuurlijk, gewoon tijdens de werkuren. En af en toe door een externe firma laten testen. Maar kies dan wel een goede uit, een slechte haalt je eigen support staff er mogelijks zo weer uit.
Keypunchie
@FlyEragon6 januari 2020 14:31
De vraga is natuurlijk, hoe kwam de infectie binnen. Daar kan nog 1 en ander verbeterd worden waarschijnlijk.
Doorgaans een 'gewone' gebruiker, die een verkeerde link opent en/of attachment.

Zelfs de beste endpoint-protectie gaat dat niet 100% afvangen. (Een voldoende gemotiveerde gebruiker zal je beveiliging zelfs gaan omzeilen) Je hebt een defense-in-depth nodig.

Beperking van (schrijf)rechten tot 'least privilege principe'. Maar ja, als de gebruiker de boekhouder is, dan betekent dat dat de financiele administratie nog steeds versleutelt kan worden.

Dan als laatste line-of-defense: backups. Een gezonde backup-strategie en zorgen dat je zowel bronsystemen van data als verzamelde data voldoende lang bewaard.


Wanneer iemand met meer privileges (zoals een beheerder) iets opent... met zijn beheeraccount. Dan wordt de schade navenant groter.

Voor de rest: patchen, patchen, patchen.

[Reactie gewijzigd door Keypunchie op 6 januari 2020 14:32]

r2504
@Keypunchie6 januari 2020 15:54
Hopelijk staat je boekhouding niet gewoon in een fileshare... maar is het een (client-server) applicatie die een database gebruikt voor het stockeren van z'n data (inclusief PC documenten zoals Pdf's, ...).
Keypunchie
@r25046 januari 2020 16:12
Het hangt er natuurlijk helemaal van af hoe groot/professioneel het bedrijf is. Het punt is vooral: als iemand schrijftoegang heeft tot een bestand, dan kan hij het encrypten. Maar ja, een database voor de financiele administatie scheelt al dat stuk. Dan is alleen jaarverslag-2020.pdf op zijn eigen schijf dat versleuteld raakt.

Maar het kan ook de webdesigner zijn, die de plaatjesfolder laat versleutelen, of de sales, waardoor de lijst met high-priority leads verdwijnt, of de contract manager, waardoor de folder met contracten versleuteld raakt.

Allemaal zaken die ook in een management-systeem kunnen zitten, maar vaak domweg op een netwerkdrive (of zelfs lokale drive *gasp*) staan.

[Reactie gewijzigd door Keypunchie op 6 januari 2020 16:13]

nobraininvolved
@Keypunchie6 januari 2020 15:55
ben er zelf niet zo in thuis hoor, maar is het niet mogelijk om het internetten en de mail op een pc binnen een vm te draaien en de bedrijfsprocessen gewoon op de pc zodat je beiden gescheiden kunt houden?
Voor bestanden delen heb je ook andere, veiligere oplossingen dan per mail...
wildhagen
@FlyEragon6 januari 2020 13:57
Clop wordt over het algemeen verspreid via een attachment in een mail, vaak een Word-macro. Deze download op zijn beurt weer de rest van de payload, en die gaat dan zijn werk doen (lees: de boel encrypten).

Andere vormen van ransomware kunnen natuurlijk ook andere methodes gebruiken, zoals het exploiten van nog niet gepatchede bugs.
FlyEragon
@wildhagen6 januari 2020 14:41
Maar dan zou je toch zeggen dat het prima te detecteren moet zijn, immers de word file herbergt de download link etc. Even los van de falende spam detectie. Ik zie toch echt behoorlijk wat punten waarop we nog steeds falen en eigenlijk geen verbetering in is gekomen de afgelopen 20 jaar. Eerlijk gezegd had ik ook niet verwacht dat gebruikers nog steeds op van alles nog wat klikken, maargoed dat is een beetje tunnelvisie van nerds denk ik.
wildhagen
@FlyEragon6 januari 2020 14:45
Maar dan zou je toch zeggen dat het prima te detecteren moet zijn, immers de word file herbergt de download link etc.
De download link kan natuurlijk met elke Clop-variant weer veranderen, of wellicht is het wel een shortened URL (bit.ly etc).

Daarnaast, geen enkele virusscanner kan álles detecteren. Zelfs bij een heuristische scan kunnen er nog wel eens zaken doorheen glippen.

Een 100 procent waterdichte oplossing voor dit soort zaken is er dan ook simpelweg niet.
Eerlijk gezegd had ik ook niet verwacht dat gebruikers nog steeds op van alles nog wat klikken
Tsja, toch gebeurt het volop kan ik je vertellen. Veel mensen klikken nog steeds op alles wat langs komt.

En sowieso is het voor veel mensen (niet-IT-ers) erg lastig vaak om te zien of iets wel of niet betrouwbaar is. Heel veel malware-mails zijn (net als phishing-mails) tegenwoordig behoorlijk knap in elkaar gezet. Een niet-IT-er doorziet dat vaak écht niet. De tijd van de super-amateuristische mails van vroeger is wel grotendeels voorbij.
r2504
@wildhagen6 januari 2020 15:52
Word macro's signen en enkel deze laten uitvoeren ? (al zie ik maar zelden/nooit dat men die moeite doet)
ASS-Ware
@Repel-EHV6 januari 2020 14:32
Bijzondere trend is dit inderdaad.
Ik ga ons bedrijf even als voorbeeld nemen wij hebben namelijk ook te maken gehad met Ransomware, echter waren wij safe door middel van ons offline back-up.

Hiermee bedoel ik dus te zeggen dat een ransomware aanval niet te ver komen, maar wel het werk beperkt kunt houden als je een goed disaster recovery plan hebt. In dit geval hebben wij ook geen los geld hoeven te betalen.

Enige wat wij misten was 4uur van opgeslagen werk dit tegenover de kosten die je moet betalen als je alles terug wilt hebben is dit verwaarloosbaar.
Dat kan ook anders.
De ransomware kan de boel versleutelen en actief blijven op de computer en een aantal dagen of weken on the fly decrypten en encrypten, zodat de gebruiker niets doorheeft en ook backups van dagen/weken encrypted zijn.
supersnathan94
@ASS-Ware6 januari 2020 15:15
Maar dan zou je in je snapshotting wel degelijk moeten kunnen zien dat er wel heel veel changes zijn. Zeker de initiële run.
ASS-Ware
@supersnathan946 januari 2020 16:21
Maar dan zou je in je snapshotting wel degelijk moeten kunnen zien dat er wel heel veel changes zijn. Zeker de initiële run.
Zou de gemiddelde gebruiker achter zijn PC dit merken?
Ik vrees van niet.
supersnathan94
@ASS-Ware6 januari 2020 16:47
Daar hebben we het dan ook niet over. Dit gaat over enterprise disaster recovery. Daar zijn snapshots met een wijziging van 50-100% heel raar.
Omega Supreme
@ASS-Ware6 januari 2020 14:55
Klopt, dat deed de malware bij ons ook. Alleen was die (nog?) wel zo dom om bestanden op netwerkschijven te encrypten. En toen gingen op niet geinfecteerde systemen alle alarmbellen af.

Een simpel te automatiseren test die een vergelijking doet met bestanden die niet zouden moeten wijzigen vanaf een dedicated PC die niet geinfecteerd is kan dit snelgenoeg aantonen. Daarnaast veranderd encyptie de hele file, dus zien wij een alarm als de dagelijkse snapshot van het filesysteem verdacht veel ruimte inneemt.

Je loopt wel een risico als men op je netwerk binnen weet te dringen en ook de server weet te infecteren natuurlijk, maar dat is al een extra stap tenopzichte van driveby downloads en phishing. Dan ben je echt targetted.
dycell
@Repel-EHV6 januari 2020 15:27
Enige wat wij misten was 4uur van opgeslagen werk dit tegenover de kosten die je moet betalen als je alles terug wilt hebben is dit verwaarloosbaar.
Je kunt helaas niet zomaar voor iedereen spreken. 100 x 4 uur is 400 werkuren. Met een (intern) uurtarief van 35 euro is dat 14.000 euro. Laten we een ziekenhuis pakken van waarbij iedere minuut downtime telt met 5000 medewerkers = 700.000 euro. Toevallig weet ik dat tijdens een crisissituatie bijvoorbeeld de spoed moet worden omgeleid en men meestal minimaal een miljoen schade heeft.

Iedere situatie is anders maar grotere organisaties betalen meestal gewoon omdat het goedkoper is.
Uiteraard is dit ook het doel van de aanvallers.
Blokker_1999
@menonv6 januari 2020 13:57
Maar het is toch vooral aan de makers van AV oplossingen om die kennis te delen en het probleem te bestrijden? Jij zit toch niet continue naar dumps van al je processen te kijken om te zien wat ze doen om na te gaan of je een infectie hebt mag ik hopen. Ik kan mijn tijd wel beter gebruiken.

En dat ze losgeld betaald hebben... daar kan ik inkomen. Hoe groot was de financiële schade geweest had men dat niet gedaan? Het is eigenlijk hetzelfde als regeringen die zeggen: we onderhandellen niet met terroristen. Of wanneer mensen zeggen: je mag niet betalen bij een kidnapping. Als je er zelf niet bij betrokken bent is het heel eenvoudig om te zeggen dat onderhandellen en betalen foutief is. Wanneer je wel betrokken bent en de gevolgen van dichtbij ziet is het ineens een heel andere wereld waarin je terechtkomt en lijkt betalen ineens niet eens zo een slecht idee. De kans dat ze niet helpen met ontsleutelen is klein. Want dan weten ze sowieso dat de volgende die ze infecteren niet meer zullen betalen.
nst6ldr
@Blokker_19996 januari 2020 15:35
De kans dat ze niet helpen met ontsleutelen is klein. Want dan weten ze sowieso dat de volgende die ze infecteren niet meer zullen betalen.
...en als niemand betaald, dan heeft dit sowieso geen zin. Wat mij betreft mag voor organisaties het betalen van losgeld verboden worden. Door publiek geld hieraan te besteden geef je andere organisaties kopzorgen omdat je ontwikkeling van criminaliteit financeert en daardoor dus meer kans van slagen geeft, je kan minder geld besteden aan een deftige oplossing om je organisatie te beschermen, en het publiek baalt er ook van.

Hoeveel groter de financiele schade zou zijn? Jammer joh, kut voor je. Het fenomeen ransomware is inmiddels als een paar jaar oud, als je als organisatie daar nu nog mee gepakt wordt dan heb je wat mij betreft de gevolgen op jezelf afgeroepen. Dat mag geen reden zijn om de criminelen te sponsoren zodat andere organisaties later ook aan de beurt zijn.
Refthoom
@nst6ldr6 januari 2020 20:38
"Jammer joh, kut voor je." Leuk gezegd maar je vergeet dat in dit geval de studenten de klos zijn van gefaalde IT processen en systemen van de universiteit. Dat kan betekenen dat iemand misschien een half of heel jaar werk kwijt is voor z'n afstudeer opdracht en navenant vertraging oploopt of mogelijk zelfs zakt. Bij vertraging betekent het dat het volgende jaar minder studenten geplaatst kunnen worden, nog meer mensen de dupe.

Ik ben het in principe met je eens dat je de criminelen niet wilt financieren, maar het ligt nou eenmaal niet zo zwart wit.

Sowieso gaat beveiliging primair over het beperken van risico tegen aanvaardbare kosten. Hier zal dus altijd een overweging in zitten die van veel factoren afhankelijk is en per situatie en organisatie anders bekeken moet worden.

[Reactie gewijzigd door Refthoom op 6 januari 2020 20:40]

nst6ldr
@Refthoom6 januari 2020 20:52
"Jammer joh, kut voor je." Leuk gezegd maar je vergeet dat in dit geval de studenten de klos zijn van gefaalde IT processen en systemen van de universiteit. Dat kan betekenen dat iemand misschien een half of heel jaar werk kwijt is voor z'n afstudeer opdracht en navenant vertraging oploopt of mogelijk zelfs zakt. Bij vertraging betekent het dat het volgende jaar minder studenten geplaatst kunnen worden, nog meer mensen de dupe.
Maar dat kan nooit het probleem van de student zijn. Als ik iets inlever dat de docent kwijtraakt omdat hij het op z'n dashboard laat liggen terwijl hij een cabriolet rijdt, dan is dat ook niet mijn probleem. De universiteit mag dit gaan oplossen, het is tenslotte hun incompetentie die aanleiding is voor dit probleem.
Refthoom
@nst6ldr6 januari 2020 21:00
Denk dat dit ook iets te eenvoudig is gesteld. Als het weg is, is het weg. Je kan moeilijk verwachten dat ze alles van iedereen maar 100% goed rekenen, of iedereen geslaagd laten zijn, omdat de gegevens 'weg' zijn. Dat je een schuldige kunt aanwijzen (de uni) lost voor de gedupeerde (de student) niks op. En vooral ook, het gaat dan niet om 1 student waar je wellicht nog een uitzondering voor kan maken, maar honderden of duizenden.

[Reactie gewijzigd door Refthoom op 6 januari 2020 21:01]

nst6ldr
@Refthoom6 januari 2020 21:06
Ik denk dat het gros van de studenten nog echt wel hun werk hebben liggen, dus in het slechtste geval kunnen ze dat opnieuw inleveren. Dat is iets wat zonder losgeld te betalen een oplossing zou kunnen zijn.
dycell
@menonv6 januari 2020 15:36
Tja. Volg het topic op het forum - ze hebben betaald voor minstens - een van de domeincontrollers terug te krijgen en vervolgens weer backup domeincontrollers vanaf scratch weer opgebouwd, en laat iedereen weer inloggen met een nieuw wachtwoord. :z

Ik hoop dat dit enkel geruchten zijn anders mogen ze opnieuw beginnen. Als een domain controller 'compromised' is dan begin maar met opnieuw bouwen. Deze servers zijn het hart van je omgeving en als men hier op beheer niveau toegang heeft gehad zijn alle gebruikersaccounts, alle computer accounts, alle beheer account, kortom alles wat met AD authenticatie te maken, enkel als gekraakt te beschouwen.

Met een kleine moeite genereer je daarnaast een golden ticket en kun je voor altijd met beheerrechten overal bij:
https://blog.stealthbits....mise-with-golden-tickets/

De enige oplossing die momenteel bestaat is het opnieuw opbouwen van het domein.

[Reactie gewijzigd door dycell op 6 januari 2020 15:37]

catfish
@dycell6 januari 2020 16:34
Ergens ga ik er van uit dat de hackers zo slim zijn dat ze zich aan hun woord houden.
Van zodra ze dat niet doen heeft het geen nut meer te betalen en is hun ransomware nutteloos...
nst6ldr
@catfish6 januari 2020 20:55
Waarom zouden ze? Als de ransomware over een maand uit zichzelf weer begint, dan kunnen ze dat gooien op een nieuwe infectie. Ik snap niet waarom mensen hier van uit gaan, er zijn ransomware geweest die geen daadwerkelijke sleutel hadden. Je was alles kwijt ook al betaalde je, en niemand die dat wist want de betalers waren veelal eenvoudige gebruikers die niet praten met beheerders in het bedrijfsleven.
dycell
@catfish6 januari 2020 22:47
Dat is het probleem met een golden ticket aanval: het is niet te fixen. Er wordt ook niets gedaan dan een hoofdsleutel maken die op alle deuren van je omgeving past. Het is een mooie 'backup' voor als je nog eens terug wilt komen. Er hoeft niets geïnstalleerd te worden / blijven, het is geen virus actie dus die doet er niets mee en eenmaal aangemaakt verloopt deze nooit.

En hell, als ze eenmaal betalen, waarom zouden ze het niet nogmaals doen? Nu krijgen ze wel weer even een beveiligings upgrade maar over twee jaar als er weer een nieuwe interim manager moet laten zien dat hij wel even het bedrijf geld kan besparen door in het beveiligings budget te snijden, of nog beter, ze besteden alles uit aan het goedkoopste bedrijf (europese regels, jaja) zonder goede afspraken. Dan loop je zo weer naar binnen en hebt binnen no-time weer volledig recht op alle servers.

Een voorbeeld hiervan zie je hier: https://www.youtube.com/watch?v=f6SleGakcE0
Yeebo
@menonv6 januari 2020 13:47
Welk topic?
Deem
@menonv6 januari 2020 14:15
Waar op het forum kan ik dit volgen?
cdwave
@menonv6 januari 2020 19:03
Het wordt een soort "gilde", je moet protectiegeld (verzekering) betalen om niet gegijzeld te worden...

Overigens heb ik altijd het idee dat degenen die het meest profiteren van virussen de antivirusmakers zijn.
AOC
6 januari 2020 13:30
Wat ik mij afvraag, standaard komt Windows 10 met Defender. Is het wel toereikend qua beveiliging?

Edit:

Veel wijzer geworden door de reacties, thanks!

[Reactie gewijzigd door AOC op 6 januari 2020 14:31]

_BladE2k_
@AOC6 januari 2020 13:40
Clop ransomware wordt op deze manier binnengehaald:

The Clop Ransomware is typically delivered to the victims via corrupted spam email attachments, often in the form of Microsoft Word files with embedded macro scripts that download and install the Clop Ransomware onto the victim's computer. (Bron: https://www.enigmasoftware.com/clopransomware-removal/)

Oftewel: per e-mail en dan ook nog door attachments te openen. Er is wel degelijk een kans dat windows defender hier iets mee kan, maar waarschijnlijk pas wanneer het te laat is; Windows Defender scant geen mails. Pas wanneer attachments - al dan niet tijdelijk - worden geopend en opgeslagen worden op de PC, kan WD deze pas scannen. Mogelijk is het dan al te laat.

WD kent wel een aantal opties die dit kunnen verbeteren: https://docs.microsoft.co...indows-defender-antivirus

Kortom: open geen attachments van vreemde afzenders :)
michielRB
@_BladE2k_6 januari 2020 14:15
Mogen we dan concluderen dat maastricht uni systeembeheerders (of wellicht management die geld ter beschikking moeten stellen) hebben gefaald bij het optuigen van een deugdelijk AV systeem op hun mailservers?
_BladE2k_
@michielRB6 januari 2020 14:20
Michiel, dat vind ik net te kort door de bocht, immers is geen enkel AV systeem 100% waterdicht. Als je nu ziet met welke 'kracht' de Clop-software wordt bijgewerkt en met welke snelheid, dan kan je wel degelijk er van uitgaan dat de beheerders elke mogelijke 'ontwijking' pogen toe te passen op AV software.

Helaas is het openen van attachments een menselijke handeling. Het maken van 100-en verschillende attachments met een net iets ander signature is tegenwoordig ook geen dagtaak meer en tel dat bij elkaar op. Het resultante is dat het voor welk AV pakket dan ook zeer lastig is om - preventief - alles af te sluiten indien alle andere voorwaarden wel gewoon voldoen. Denk hierbij aan:
- Wel het gebruik van een legitime SMTP server
- Wel bestaande mail adressen gebruiken
- Wel een echt persoon imiteren

Genoemde zaken kunnen dan op zijn beurt weer relatief eenvoudig worden verkregen door account hijacking. Daar zijn die 'leaked password' databases dan weer goed voor (en daar zie je het verdienmodel ook weer terug ;))
r2504
@_BladE2k_6 januari 2020 15:57
Waarom gebruikt men niet de optie "Disable all macros except digitally signed macros" in Word ?
Cerberus_tm
@r25046 januari 2020 21:43
Er zijn meen ik nog wel meer manieren waarop je via een Office-bestand malware binnenhalen? Las een keer een lijstje van allerlei mogelijkheden. Maar de optie lijkt me sowieso een goeie, ja.
dycell
@r25046 januari 2020 22:55
Standaard geeft Office al een grote lading waarschuwingen wanneer je macro opent en ieder bedrijf zou inderdaad een policy moeten uitrollen waarbij macro's volledig worden uitgeschakeld.

Maar ik kom in veel organisaties waar letterlijk macro's volledig aan staan en alle waarschuwingen volledig uitgeschakeld zijn vanwege een plugin *kuch, iedere gemeente in Nederland, kuch*

Het punt is dat IT gewoon een bende is binnen de meeste organisaties. Je hebt tevens IT toppers en mensen die om 16:45 al bij de deur staan. Die gaan echt geen goed beveiligde oplossing opleveren, die willen gewoon snel klaar zijn...
HakanX
@_BladE2k_6 januari 2020 14:18
Tja wat is vreemde afzender? Ik heb van de week de gemeente nog een attachment moeten sturen en was toen eigenlijk een “vreemde”, maar die moeten het openen. Niks aan de hand als je ervoor zorgt dat de mailclient in een sandbox draait.
_BladE2k_
@HakanX6 januari 2020 14:25
@HakanX : Goed te horen dat je wel beveiligingsmaatregelen treft :) Helaas is dat voor de doorsnee gebruiker geen optie.

Desalniettemin kunnen zulke zaken ook wel gemitigeerd worden (privé), door bijvoorbeeld een attachment op een meer 'secure' apparaat te openen, zoals bijvoorbeeld een linux, maar ook een android of IOS apparaat. De kans dat ransomware daarop actief kan worden, is al een *heel* stuk kleiner dan op een Microsoft machine.

Maar goed, dat is ook geen vrijbrief natuurlijk, maar dat kan al best wat ellende voorkomen, in elk geval privé. Zakelijk ligt dat natuurlijk wel even anders, daar is zo'n optie niet altijd uit te voeren.
HakanX
@_BladE2k_6 januari 2020 19:30
Nee voor de doorsnee gebruiker niet, maar dat is ook niet de doelgroep van ransomware. De doorsnee gebruiker gaat gewoon formateren. Doelgroep hier zijn voornamelijk bedrijven en de beveiliging daar wordt door een systeembeheerder gedaan. Die moet er gewoon vanuit gaan dat elke 'domme' actie dat mogelijk is, uitgevoerd gaat worden en moet er voor zorgen dat dat geen schade gaat opleveren. Ik zou een afdeling dat externe emails moet afhandelen dit echt wel in een Linux Virtueel machine laten doen, gewoon transparant, 0 extra moeite voor de gebruiker.
Anoniem: 63672
@_BladE2k_6 januari 2020 14:23
Kortom: open geen attachments van vreemde afzenders :)
Dat leerden we al eind jaren '80 (1980 ja).
Anna_Kournikova
Maar toch klikte we er toen (jaren later) ook op :-)
Maar dat is niet al preek bedoelt maar om te zeggen... zolang de mens nieuwsgierig is, doen we allemaal, al dan niet per ongeluk, wel eens een keer, nog steeds.

[Reactie gewijzigd door Anoniem: 63672 op 6 januari 2020 14:26]

_Thanatos_
@_BladE2k_6 januari 2020 16:33
Kortom, een attachment altijd eerst opslaan, zodat het een file wordt die wél gescand wordt.
MrMonkE
@_BladE2k_7 januari 2020 00:29
Eigenlijk zouden Email clients dit in combinatie met scanners moeten faciliteren. Dus voordat je een attachment kunt openen moet hij eerst aangeboden zijn aan de op het systeem geïnstalleerde virusscanner. Hiervoor zou dan een generieke interface moeten worden gemaakt die alle AV moeten implementeren en email clients kunnen deze dan gebruiken. Maar goed.. zal er wel nooit komen.
Wouterie
@AOC6 januari 2020 13:41
Ja en nee. Op zich voldoet Windows Security voor zo'n beetje alles wat bekend is. Het probleem is dat Clop actief wordt onderhouden waardoor het best mogelijk is dat de anti-malware pakketten het niet of snel genoeg detecteren. Voor wat een virusscanner kan, voldoet het.

Wat je echter wilt is dat de virusscanner een onderdeeltje is van het geheel. Het is van groot belang dat het zo moeilijk mogelijk is om die 'elevated permissions' te krijgen op je Windows systeem en netwerk. Zonder extra rechten is het namelijk niet mogelijk om Windows zo de nek om te draaien (tenzij er kwetsbaarheden worden gebruikt niet nog niet ontdekt of gepatched zijn) Dat brengt me meteen bij het punt dat met name security updates zo snel mogelijk geïnstalleerd moeten worden. Wat best een risico met zich meebrengt, want Microsoft kan er zo nu en dan best een potje van maken.

Kijk, in theorie is het niet zo moeilijk. Zorg voor up-to-date software en beperk de rechten zo veel mogelijk. In de praktijk kijkt men vooral naar functionaliteit en moet men zo min mogelijk last hebben van de beveiliging.
GertMenkel
@AOC6 januari 2020 13:45
Tegenwoordig best wel. Defender heeft zelfs een aantal opties die je aan kunt zetten die een hele tijd niet in andere AV heeft gezeten, zoals bescherming tegen dit soort cryptolockers. Als je Defender gebruikt, kan het het nog wel eens waard zijn in de instellingen te kijken.

Andere AV-vendors doen enorm sketchy dingen; de meeste crashes van browsers worden veroorzaakt door antivirusmakers die code injecteren in Chrome-processen volgens enkele Chrome- en Firefox-ontwikkelaars; recentelijk crashte Symantec alle Chrome-browsers nog met hun code-injectie; daarnaast doen ze vaak TLS-man in the middles om webverkeer te scannen (en draaien ze code die van internet binnenkomt ergens in de kernel om te kijken of het wat geks doet). Avast verkoopt de geschiedenis van je browser als je de gratis versie hebt.

Als je AV koopt, zet dan alles dat niet puur het normale scannen is uit en gebruik het liefst een betaald product. Na wat ik voor beunwerk gezien heb van antivirusmakers zou ik mensen toch aanraden bij Defender te blijven...
Bor
@GertMenkel6 januari 2020 19:36
Als je kijkt naar een recente test zie je dat Defender toch niet mee kan komen met de bekende namen; https://www.av-test.org/en/antivirus/home-windows/

Wat betreft protectie worden er minstens 9 producten voorgelaten en deelt het een score met 4 andere producten waaronder de toch niet heel goed bekend staande McAfee.

Vergeet ook niet dat het verstandig is om naar de trend te kijken. Een keer hoog scoren zegt mogelijk niet zo veel maar continu in de top 3 / 5 scoren is een ander verhaal.
Andere AV-vendors doen enorm sketchy dingen; de meeste crashes van browsers worden veroorzaakt door antivirusmakers die code injecteren in Chrome-processen volgens enkele Chrome- en Firefox-ontwikkelaars;
Dat zijn omstreden en vaak niet objectief onderbouwde statements van soms ook nog eens ex werknemers bij genoemde browser fabrikanten.
daarnaast doen ze vaak TLS-man in the middles om webverkeer te scannen
Dat is in vrijwel alle gevallen een optie. Het alternatief is op dit punt niet beschermd zijn.
Na wat ik voor beunwerk gezien heb van antivirusmakers zou ik mensen toch aanraden bij Defender te blijven...
Defender is ook een anti-virus / malware product waar ook fouten kunnen worden gemaakt. Dat advies gaat daardoor niet direct op. Als je voor de beste bescherming wilt gaan met een grote mogelijkheid om zaken zelf in te stellen raad ik Defender niet aan.

[Reactie gewijzigd door Bor op 6 januari 2020 19:43]

ImNotnoa
@AOC6 januari 2020 13:33
Oordeel zelf: https://www.av-test.org/en/antivirus/home-windows/
ApexAlpha
@ImNotnoa6 januari 2020 13:38
Oordeel zelf wat? Ik kan op die website niks vinden op Windows Defender je beschermt tegen ransomware zoals Clop.

[Reactie gewijzigd door ApexAlpha op 6 januari 2020 13:38]

ImNotnoa
@ApexAlpha6 januari 2020 13:41
In dat geval is hier een sample van Clop geupload naar virustotal:

https://www.virustotal.co...1a16b4dccfc1207/detection
erikloman
@ImNotnoa6 januari 2020 14:10
Je link betreft een HydraCrypt ransomware sample. Deze sample is verschenen op 11 februari 2019 en is geen Clop ransomware.

Maar dit is wel een mooi voorbeeld want VirusTotal geeft (zonder account) de detectie weer wanneer hij voor het laatst gescand is. Op 11 februari 2019 detecteerde nog maar 9 van de 70 scanners het bestand, 11 maanden later (vandaag) 54 van de 70 scanners.

Punt is dit: om daadwerkelijk bescherming te bieden moet een security product een sample detecteren zodra deze in omloop komt. Als na het verschijnen van een nieuwe sample nog detectie moet worden toegevoegd ben je te laat en zijn klanten de klos.

Vertrouw daarom nooit op file scan technologie alleen. Exploit mitigations en gedragsgebaseerde detectie kunnen ook veel aanvallen blokkeren. VirusTotal geeft alleen statische file scan detectie weer.
ApexAlpha
@ImNotnoa6 januari 2020 13:47
Ik denk niet dat het zo simpel is. Zoals in het artikel staat wordt de ransomware nog actief geupdate en ze zullen ook zeker de signatures tweaken zodat ze ongezien langs de meeste AV's kunnen komen. In ieder geval lang genoeg om de AV af te sluiten of al dingen te versleutelen.
Blokker_1999
@ApexAlpha6 januari 2020 13:51
Maar waarom zou je specifiek de bescherming tegen Clop willen zien? Er komt dagelijks zoveel malware bij en jij wil een product beoordelen op 1 specifiek geval? av-test geeft een algemeen oordeel over hoe producten de afgelopen periode gescoord hebben op een heleboel malware, inclusief ransomware. Er zal geen enkel product zijn dat je 100% bescherming biedt. Kies dus een product dat hoog scoort om het risico te verkleinen. En zorg ervoor dat je backups hebt.
AmigaWolf
@ImNotnoa6 januari 2020 13:52
Bitdefender Internet Security 24.0 en Kaspersky Internet Security 20.0 en Norton Norton Security 22.18 & 22.19 zijn de beste zeggen ze, mischien een van die drie gaan proberen als die van mij is afgelopen.
Wouterie
@AmigaWolf6 januari 2020 14:28
Geen enkele leverancier geeft echter de garantie dat ze je kunnen beschermen tegen toekomstige bedreigingen. Het enige wat wordt getest is de detectie van een selectie bekende malware gevallen en een paar toepassingen van bekende kwetsbaarheden. Het is erg mooi dat een pakket 100% van alle bekende malware kan detecteren, maar daar heb je over het algemeen ook weinig last van. Het is vooral van belang hoe dit pakket je systeem kan 'harden' en hoe snel een leverancier een nieuwe variant kan oppikken.
jvr
@Wouterie6 januari 2020 14:45
Sophos Intercept is wel in staat een onbekende Randsomware te blokkeren.
https://www.sophos.com/en...=%2Bsophos%20%2Bintercept
AmigaWolf
@Wouterie6 januari 2020 15:40
Klopt dat weet ik ook wel, maar die drie komen de beste uit de test, en geven je de beste bescherming, daar ging het mij om.
Twanekel
@AOC6 januari 2020 13:49
Windows defender is een van de beste anti-virus programma's die er te krijgen valt. Dat is ook echt niet raar aangezien het natuurlijk op elke Windows computer geinstalleerd staat dus die zullen ook de meeste data over virussen binnenvissen om hier tegen te kunnen werken. Voor thuisgebruik hoef je geen anti-virus pakket meer aan te schaffen.
Bor
@Twanekel6 januari 2020 19:47
Nee dat is het niet, kijk maar naar de bekende Anti Virus tests en trek je conclusie. Daarmee is het geen slechte oplossing maar meekomen met de top 3 tot 5 lukt vaak niet. Het voordeel van Defender is dat het relatief licht is voor het systeem. De prijs die daar aan hangt is de iets mindere detectie.
Twanekel
@Bor6 januari 2020 20:01
https://www.av-test.org/en/antivirus/home-windows/

Simpel overzichtje (Niet op volgorde). Als je naar de scores kijkt zie je dat Windows Defender bij de top hoort. Windows staat alleen wat bekender om false positives.

[Reactie gewijzigd door Twanekel op 6 januari 2020 20:02]

Bor
@Twanekel6 januari 2020 20:05
Als je die link sorteert op protectie zie je juist dat Windows Defender helemaal niet bij de top hoort maar meerdere producten voor zich moet laten ;) Dat is ook over de langere termijn het beeld geweest.

[Reactie gewijzigd door Bor op 6 januari 2020 20:06]

Blokker_1999
@AOC6 januari 2020 13:36
Je loopt al snel achter de feiten aan met zulke software. Detectie kan op 2 manieren gebeuren:
- Ofwel ken je de malware, weet je hoe deze eruit ziet (definities) en kan je deze actief opsporen en voorkomen dat deze zijn slag kan slaan. Maar je kan een definitie pas opnemen nadat de malware in het wild opduikt. Je bent de facto te laat voor de eerste infecties te voorkomen
- Gedragsanalyse (heuristics). Je bekijkt wat het programma probeerd te doen en gaat aan de hand van hoe je weet dat andere malware werkt bepalen of dit programma slechte danwel goede bedoelingen heeft. Dit heeft een groter risico van goede programmas te blokkeren en slechte programmas door te laten maar geeft je wel een kans op malware te stoppen voordat je er een definitie van hebt.

Uiteindelijk bestaat er geen enkele bescherming tegen malware die 100% van de malware eruit weet te halen. De beste scanners halen in de hoge 90% correcte detectie met een klein percentage false positives. Maar 100% is nooit haalbaar.
Iblies
@Blokker_19996 januari 2020 17:21
Daar moet wel aan worden toegevoegd dat heuristics zware druk op de performance kan leggen.

Er zijn situaties denkbaar waar dat onwenselijk is.

Aan de andere kant kan het wel motiveren om het systeem zo schoon mogelijk te houden waarop zo weinig mogelijk wordt geïnstalleerd.
Farleaf
@AOC6 januari 2020 13:36
The PC Security channel test geregeld verschillende software suites uit, de laatste over Defender: https://youtu.be/sE-xdb9hTqY
SuperDre
@AOC6 januari 2020 13:51
Achja, ben je wel toereikend met elke anti-malware/anti-virus, want bij de meeste testen die ik lees is de ene keer pakket A het beste en dan pakket B weer en dat blijft zo vaak schommelen.
ScytheNL
@AOC6 januari 2020 14:14
Windows Defender doet mee in de top van alle AV en AMalware pakketten.
Daarnaast doet Microsoft Defender in het zakelijke segment (Windows Pro) ook mee met de top. Microsoft zelf en ook bijv. Gartner benoemen Microsoft als security bedrijf die in het betreffende leider segment scoort.
Door de toevoeging van ATP (Advanced Threat Protection) op zakelijk gebied is bijvoorbeeld ook scannen van bijlages, Machine learning, heuristic, etc.

Echter, 100% garantie dat het toereikend is heb je nooit. Niet bij Defender en ook niet bij de rest, maar dat wist je al. Probleem wat hier dus ook omschreven wordt is dat Clop actief wordt geüpgraded naar nieuwe versies die weer gebruik maken van nieuwe/andere mogelijkheden. Het blijft daardoor een kat en muis spel zonder garanties dat de muis geen stukje kaas kan snoepen.
Bor
@ScytheNL6 januari 2020 20:04
Kleine opmerking; Microsoft komt er uit als "a leader" en niet "the leader". Als je puur naar het leiderschap segment kijkt loopt Crowdstrike voor. Het gaat hier niet over protectie an sich maar over de hele suite.

Bron: https://www.microsoft.com...platforms-magic-quadrant/
coenbrasser
6 januari 2020 13:33
Wat is nou voor een normale gebruiker een goeie manier om een ransom situatie te voorkomen, zeg maar met een workstation en laptop setup?

Zelf heb ik nu intern hardeschijven, een 8tb aan usb hangen die de windows backup maakt, mijn werkbestanden veelal in onedrive (cloud) en dan nog een backblaze backup die ik wel dagen kan terug draaien.

Is 1 van deze dingen nog wel safe na een besmetting? Zou ik dan gewoon nuken en een oude back blaze proberen?
SuperDre
@coenbrasser6 januari 2020 13:52
Enige waar je op kunt hopen is dat je dan geen malware hebt die al weken in de achtergrond draait en langzaamaan je bestanden aan het encrypten is (wat dan eigenlijk alleen te achterhalen is door via een extern systeem continue je bestanden te laten controleren op leesbaarheid).
PhilipsFan
@SuperDre6 januari 2020 14:18
(wat dan eigenlijk alleen te achterhalen is door via een extern systeem continue je bestanden te laten controleren op leesbaarheid).
Ik denk niet dat dat werkt. De bestanden worden dan namelijk ook gewoon via het OS ingelezen en als de ransomware nog niet klaar is met versleutelen dan krijg je gewoon je ontsleutelde bestanden te zien. Pas als de ransomware klaar is worden de sleutels weggegooid en zit je met de gebakken peren.

Ik las laatst dat je nog het beste een drive met dummy-bestanden kunt hebben ergens hoog in de boom. De meeste ransomware begint bovenaan met versleutelen, dus als jij een C-drive hebt met heel veel dummy bestanden, dan begint ie daarmee. Als je dan op tijd merkt dat er iets aan de hand is, dan heb je kans dat ie nog niet begonnen is aan je echte bestanden.
Keypunchie
@PhilipsFan6 januari 2020 14:44
Ik denk niet dat dat werkt. De bestanden worden dan namelijk ook gewoon via het OS ingelezen en als de ransomware nog niet klaar is met versleutelen dan krijg je gewoon je ontsleutelde bestanden te zien.
Daarom ook inlezen op een extern systeem.

Stel je voor je hebt "text.txt". Als dat versleuteld is op systeem A, maar het OS daar converteert het gewoon terug, dan kan je het op systeem B niet openen. Systeem B kent immers de sleutel niet.

De backups van *voor* de keer dat het mis gaat, zijn nog te vertrouwen (even aannemend dat je backupsysteem zelf goed is afgeschermd (niet een simpele fileshare, ofzo), zodat niet de backups *zelf* versleuteld worden).

[Reactie gewijzigd door Keypunchie op 6 januari 2020 14:46]

PhilipsFan
@Keypunchie6 januari 2020 16:57
Als de bestanden op een externe schijf staan en je plugt die in een apart systeem, dan kun je het op die manier inderdaad vaststellen. Maar ik dacht dat je bedoelde via het netwerk inlezen vanaf een extern systeem, maar dat gaat natuurlijk niet werken want dan gebruik je nog steeds het OS van het geinfecteerde systeem.
SuperDre
@PhilipsFan6 januari 2020 18:21
Maar dat is het nu juist, de ransomeware toont jou ontsleutelde data op de betreffende PC, maar op een andere PC waar die ransomware niet draait is die data dan dus al niet meer terug te lezen.

Dat met die dummybestanden is dus ook een goed idee, maar dan moeten die dummybestanden dus wel door een andere systeem rechtstreeks gelezen worden en niet geserveerd worden door jouw systeem, want zoals al eerder is gezegd zal de malware dan serveren alsof deze unencrypted zijn.
SadisticPanda
@SuperDre6 januari 2020 15:42
Hier gewoon simpel scriptje, dat eerst voor backup begint te maken, eerst een 20tal txt files op allerlei locaties leest met een simpele inhoud. (Je naam en een cijferreeks or whatever).

Als 1 van de files niet leestbaar niet meer is of de inhoud =/= wat ik erin gezet heb...Geen backup.

Backup is pull trouwens altijd. Nooit push. Kan je lekker alles dichtlaten.
ImNotnoa
@coenbrasser6 januari 2020 13:36
Offline backups, een backup op een clouddienst die nog actief synchroniseert met je client of een externe schijf die altijd gekoppeld is beschouw ik niet als backups in het geval van Ransomware
Buitenaerts
@ImNotnoa6 januari 2020 13:44
https://www.theverge.com/...ure-ransomware-protection
coenbrasser
@Buitenaerts6 januari 2020 13:46
Ah sweet, dat had ik nog niet mee gekregen!
coenbrasser
@ImNotnoa6 januari 2020 13:43
Ik quote even mijn Backblaze account: "Old versions and deleted files are also kept in your backup, allowing you to recover files from accidental deletions, changes, overwrites, or ransomware for the Version History"

Wat ik hiervan begrijp, is dat ik momenteel een 30dagen rollback heb, die safe zou moeten zijn, het lijkt mij nu dat alleen als het een sluimer ding is dat meer dan die dagen wacht, ik het zou kunnen terug draaien?
Nyarlathotep
@coenbrasser6 januari 2020 13:41
Simpel: geen internet op de betreffende machine, en de USB poorten uitschakelen.

Zonder gekheid: Voor jezelf bespaar je al een hoop ellende door geen onvertrouwde websites te bezoeken.
Als je via b.v. Google aan het zoeken bent moet je niet zomaar op linkjes gaan klikken.

Het is echt een stukje oplettendheid en gezond verstand. Is dit 100% betrouwbaar? Natuurlijk niet, maar in dit wereldje is het "risico's uitsluiten" om zo de kans op besmetting zo klein mogelijk te houden.
cdwave
@coenbrasser6 januari 2020 19:00
Je zou Linux kunnen proberen, dat maakt infectie stukken onwaarschijnlijker...
bush
@coenbrasser6 januari 2020 19:38
Voor privé gebruik is het gebruik van cloud storage een oplossing. Ikzelf gebruik onedrive en kan met de versioning versies van files terugzetten van meer dan 2 jaar terug. Dat lijkt me voldoende.
cool0
6 januari 2020 13:43
Je zou denken dat een AV pakket bij een dergelijke actie een melding zou moeten geven. Het afsluiten van zoveel processen is toch verdacht en zou dat dan moeten blokkeren.
Blokker_1999
@cool06 januari 2020 13:45
Telkens je je computer afsluit een melding van je AV dat deze verdachte activiteit heeft gemerkt.
SuperDre
@Blokker_19996 januari 2020 13:54
Ware het niet dat je de status van afsluiten van een computer kunt herkennen. Maargoed, malware zou dan dus mogelijk die status kunnen emuleren zodat je AV denkt dat je aan het afsluiten bent.
cdwave
@cool06 januari 2020 19:00
AV pakketten zijn meestal de eersten die zo'n virus afschiet...
oneesars
6 januari 2020 13:54
Sophos claimt beveilig tegen ransomware te hebben https://www.sophos.com/en..._term=sophos%20ransomware

Ik maak zelf gebruik van Sophos maar heb nog niet geprobeerd om ransomware te activeren op mijn pc 8)7 .
AnonymousWP
@oneesars6 januari 2020 14:07
Dat is toch niks nieuws? Zelfs Windows Defender heeft een 'ransomware beveiliging'.
oneesars
@AnonymousWP6 januari 2020 14:16
Actieve Ransomware beveiliging, scant de processen en niet de bestanden.
Eerder wat doet een programma, en hoort dat bij de functie van dat programma, en niet wat voor kwaadaardige bestanden je allemaal hebt.

(Hele basale beschrijving van de werking, voor een betere uitleg of technische uitleg, kan je beter op de site van Sophos kijken)
Munchie
6 januari 2020 13:33
Wat winnen ze ermee om Windows-rekenmachine af te sluiten nog voordat de versleuteling start? Lijkt me dat het de kans vergroot dat de gebruiker de malware in de smiezen krijgt voordat de versleuteling afgerond is.
Yucko
@Munchie6 januari 2020 13:40
meh, meestal pakken ze servers e.d. aan, en op een server moet ik nog zien dat het iemand opvalt dat een eventuele actieve instance van de rekenmachine gesloten wordt :')
hans_debruin
6 januari 2020 16:33
Ik zou toch erg graag willen weten hoe het nu mis is gegaan bij de Uni Maastricht.
Dat een gebruiker op een link klikt en alles encrypt waar hij toegang toe heeft snap ik. Dat hebben wij ook al eens gehad. Maar dat was simpel op te lossen door die pc los te koppelen en encrypted data te restoren.

Maar bij de Uni ging alles plat. Maar hoe dan?
Ik kan me niet voorstellen dat een admin die Clop heeft gedownload.
Hoe kan zo'n encryptie virus nou zoveel server platleggen?

Dat is toch wel belangrijk om te weten? Dat is voor andere mensen ook leerzaam.
svennd
@hans_debruin6 januari 2020 18:19
Op de Universiteit Antwerpen, was het blijkbaar een oude server die nog draaide... gezien de vele -vaak politieke- potjes waar IT het moet van krijgen in onderzoeksgroepen aan Europese Universiteiten vermoed ik dat ook in Maastricht een zelfde verhaal naar boven zal komen.

Ergens geen budget voor gekregen "want het werkt nog"; en uiteindelijk eindig je met een 10 jaar oude server waar niemand nog op kan, maar niet mag worden uitgezet.
computerjunky
6 januari 2020 14:42
Volgend mij is je systeem nog behoorlijk naar z'n grootje als er zoveel processen afgesloten worden is de kans dat er nog iets werkt na de infectie heel klein.
Nog meer reden om gewoon een systeemkopie paraat te hebben.
Simon Weel
6 januari 2020 16:15
Malware bestaat alleen omdat het besturingssysteem alle aangeboden code uitvoert. Ongeacht het OS. Daar zijn in de loop der tijd allerlei lapmiddelen voor bedacht, maar de oorzaak bestaat nog steeds. Lijkt me ook uiterst moeilijk op te lossen.
De beste manier om besmetting te voorkomen zou 'application white listing' moeten zijn. Dat klinkt simpel en als het alleen zou gaan om de EXE van een applicatie dan zou het ook een fluitje van een cent moeten zijn. Maar helaas - er komen bij een applicatie heel veel bestandjes om de hoek kijken, om over verschillende versies nog maar te zwijgen....
xp2002
6 januari 2020 16:21
quote: "Kremez was ook de analist die stelde dat het Russische hackers waren die de Universiteit Maastricht op kerstavond infecteerden, al is daar weinig bewijs voor."

- waar refereert "al is daar weinig bewijs voor"? Verwijst dit naar dat het Russische hackers waren of naar een ander deel van de zin? En als daar weinig bewijs voor is, waarom is het dan overal te zien in de media? Ik was eens naar een Tweakers seminar geweest waar een top engineer sprak van Kaspersky en die zei ook al grappig: "Blame it on the Russians". Dat ging over het feit dat er vaak fake code wordt aangemaakt bij een infectie met hele slechte Russische woorden erin, om het te laten lijken dat het uit Rusland kwam.

Ik zeg maar zo: als er geen bewijs is, dan schrijf het dan ook niet. Als ik google naar Kremez dan staan er pagina's vol met dat citaat. Dus iedereen neemt het klakkeloos over.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee