Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 242 reacties

De gemeente Den Haag is getroffen door de TorrentLocker-ransomware. Vier werknemers openden een link en hun pc's zouden door de malware zijn geïnfecteerd. De malware versleutelt bestanden van gebruikers en vraagt ze om geld om die bestanden weer te ontsleutelen.

In totaal zijn vier computers van de gemeente getroffen, meldt Security.nl. De werknemers openden een bericht waarin een link naar een website was opgenomen die op zijn beurt de malware bevatte. Na een halfuur signaleerde de ict-afdeling van de gemeente de infectie en werd de e-mailserver tijdelijk uitgeschakeld. Op de geïnfecteerde computers, die inmiddels zijn hersteld, zouden geen vertrouwelijke gegevens hebben gestaan.

De ransomware verspreidt zich door in Thunderbird, Outlook en Windows Live Mail naar e-mailadressen van contacten te speuren. Bovendien zoekt hij naar wachtwoorden om in te loggen op mailaccounts. Beoogde slachtoffers krijgen een mail met een link naar wat een track&trace-pagina van een postbedrijf lijkt te zijn. Na de invoering van een captcha biedt de site een zipbestand aan met daarin een op een pdf gelijkende executable. Deze malware begint vervolgens toegankelijke bestanden te versleutelen.

Gebruikers moeten betalen om de bestanden weer te kunnen openen. Deze werkwijze, die eerder onder meer door de auteurs van de Cryptolocker-malware werd gehanteerd, zou de aanvallers een kwart miljoen euro hebben opgeleverd. Voor zover bekend zijn nog geen andere overheden door de TorrentLocker-ransomware getroffen.

Moderatie-faq Wijzig weergave

Reacties (242)

Sowieso onhandig van Microsoft om bestandextenties te verbergen. Dan kun je een bestand maken formulier.pdf.exe met het icoontje van Adobe PDF wat eruit ziet als formulier.pdf.

Dan is het natuurlijk ook voor de ICT afdeling van de gemeente een harde les om geen executabels toe te laten. Je kan van gewone gebruikers niet verwachten dat ze net zo al wetend zijn als een IT'er. Een cursus security awareness kan natuurlijk nooit kwaad.
Sowieso onhandig van Microsoft om bestandextenties te verbergen.
Hier sluit ik me volledig bij aan!

Wel vind ik het belangrijk dat alle gebruikers gewezen worden op dit feit en dat het verbergen van extensies uitgeschakeld wordt. Dit is vrij eenvoudig te realiseren. Bij alle personen waarbij ik de computer verzorg, heb ik dit als eerste gedaan. Met daarbij de uitleg waarom en een basisuitleg van wat extensies zijn en waar je op moet letten.

Het verbaasd mij dat Microsoft dit nog steeds niet veranderd heeft!

microsoft-hide-file-name-extensions-show-hide

[Reactie gewijzigd door Synthiman op 22 oktober 2014 18:53]

onhandig van Microsoft om bestandextenties te verbergen
Dat is een optie die je aan of uit kunt zetten, ook centraal geregeld. Je hebt wel gelijk dat het onhandig is, maar dat is een keuze van de beheerders bij de gemeente.
Maar de standaardinstelling is verbergen. Mensen passen zelden standaard instellingen aan.
Mee eens, ziedaar dus de meerwaarde van een goede beheerder. Die zorgt er voor dat die instelling gewoon goed staat voor de gebruikers. :)
.exe bestanden toelaten op een bedrijfsnetwerk vind ik sowieso heel dom. Die moeten direct worden afgevangen of het moet onmogelijk zijn om die te ontvangen per mail en onmogelijk zijn die te downloaden.
De executable kwam in een zip, dus tenzij je je bedrijfsnetwerk alle zip bijlages wilt laten scannen en alles wat het niet kent, vertrouwd of kan scannen omdat er bijvoorbeeld een wachtwoord op zit weigeren is dan de enige optie, en dat zal het gebruik niet makkelijker maken...
@Hieronder: ik raad dat scannen (en vooral het weigeren) ook zeker niet af, ik merk alleen op dat het een zeer 'botte' manier is die alledaags gebruik vaak moeilijk maakt als klant x weer wat paranoide is en per se zipjes met wachtwoorden wilt aanleveren en klant y weer denkt dat ie handig is en een zelf-uitpakkend archief aanlevert...

[Reactie gewijzigd door RGAT op 22 oktober 2014 18:26]

Nope zeker in een bedrijfsnetwerk van gemeenten kun je technieken als software restriction policies inzetten. Zelfs met basale regels als alleen software toestaan via c:\windows en programma files ben je al stuk zekerder dan met een virusscanner. Is er nog steeds een risico dat gaten worden misbruikt van vertrouwde plug-ins etc, maar een willekeurige exe zomaar runnen is er dan niet meer bij ( indien geen lokale admin uiteraard...). En dat geldt dan gelijk vanaf welk medium dan ook waar de exe vandaan komt.

[Reactie gewijzigd door Rinzwind op 22 oktober 2014 18:30]

Het is een mooie techniet, maar helaas is SR (software Restriction) bijna niet te managen. Dus extra software aanschaffen om dit wel weer goed te doen. Dus allemaal extra geld, waar geen rekening mee gehouden is. Daarnaast, werkt er in eens een hoop niet meer. En dat vinden gebruikers weer niet fijn.
Het klinkt dus goed, maar helaas werkt niet goed.
Als een beetje IT-er stel je in dat bepaalde extensies niet door gelaten mogen worden; exe, com , bat, pif. En alle archive bestanden automatisch scannen.
Indien er een wachtwoord op zit, kan je deze dan alsnog weigeren.
Dat zou je denken, maar dat betekent dat niemand ook meer applicaties kan draaien en dan ben je snel klaar met werken.

Wat Rinzind hierboven zegt, alleen vanuit bepaalde mappen lijkt me een goede oplossing, hoewel niet 100% waterdicht, wordt het voor een virusmaker erg lastig, zeker binnen een TS omgeving om het virus in een systeemmap te plaatsen.
Ik had het in dit geval enkel over de e-mailscan/filter.
Los daarvan kan gewoon je applicaties met applockerhttp://technet.microsoft.com/nl-nl/library/dd759117.aspx afschermen. Zo kan de gebruiker enkel het programma en de versie die is toegestaan runnen. Eventueel kan je dan nog opgeven dat hogere versies ook mogen.
Als ik het niet verkeerd heb gebruikte de nieuwste torrentlocker een executable vermomd als een PDF bestand. Geen idee hoe het verder technisch in elkaar zit: zal de bron opzoeken zodra mijn eten klaar is :)
Het is slechts een bestand.pdf.exe truukje waarbij als icoon iets is gekozen dat op PDF lijkt.
Ach so! Vond het al raar dat je PDF's executable kon maken.
In dat geval ben ik het helemaal eens met ChicaneBT: matig ICT beleid .
Ik dacht dat ook mogelijk is om een pdf bestand infectie te gebruiken door oa een aantal gaten in Adobe troep.
Dat kan wel maar dat soort lekken worden snel gedicht, en ik ga er maar even vanuit dat de gemeente wel de laatste versie draait.
Dat is echt een compleet verkeerde veronderstelling, geen enkel bedrijf van een beetje omvang die alle software helemaal up-to-date heeft met de laatste versie... dat zou beheer simpelweg onbetaalbaar maken.
Dat is ook mijn ervaring. software als dat van Adobe wordt naar mij (gelimiteerde) ervaring NOOIT geupdate.
Bovendien worden update notificaties van elk soort irritant gezien en weg geklikt!
De meeste van die updates kan de gebruiker helemaal niet installeren. Java, Flash, Adobe, die vereisen allemaal local admin rechten om updates te installeren.
Dat werkt natuurlijk prima zolang die centraal beheerd worden, maar in de meeste gevallen maakt een systeembeheerder zich daar niet zo druk over en laat dat gewoon via de eigen updatefunctie lopen - die dus niet werkt.

Ik snap ook niet helemaal waarom dat zo omslachtig moet. Zorg er óf voor dat je software automatisch kan updaten, zelfs op een limited account (Firefox bijvoorbeeld krijgt dat wél voor elkaar door een maintenance service te laten lopen die wel adminrechten heeft) of zorg er anders voor dat de updatefunctie zijn kop dicht houdt als hij niet op een adminaccount draait.

Een beetje systeembeheerder kan dan zelf alsnog besluiten om de updates te blokkeren, simpelweg door die functie uit te schakelen bij het inrichten van de PC.
Een beetje Systeembeheerder heeft hopelijk nu toch een patch management tool? Er zijn genoeg tools die gecentraliseerd de updates uitrollen, ook als ze niet in het domain geconfigureerd zijn of op kantoor aanwezig zijn.

Zo niet, breek een lans bij de directie voor een deftige patch management tool.
Alsof gebruikers die handel zelf moeten updaten. Dit is de gemeente, en ja ik weet dat de overheid rampzalig met ict om kan gaan, maar er zal toch op zijn minst een systeembeheerder aanwezig zijn.

Hij is degene die even centraal wat zaken kan updaten en vervolgens is dat voor het hele gebouw geldig. Gebruikers zelf zouden voor dit soort zaken niet eens de gebruikersrechten moeten hebben. Daar krijg je alleen maar gezeur van. (mensen die uTorrent gaan installeren etc.)

[Reactie gewijzigd door i7x op 22 oktober 2014 23:07]

Gebruikersrechten lijkt mij wel handig. Om aan te kunnen loggen en zo.:P
Admin rechten, net weer iets minder noodzakelijk.
Dat is echt een compleet verkeerde veronderstelling, geen enkel bedrijf van een beetje omvang die alle software helemaal up-to-date heeft met de laatste versie... dat zou beheer simpelweg onbetaalbaar maken.
Hoezo onbetaalbaar? Als je met virtuele machines werkt en een beetje slimme strategie toepast, is het echt appeltje eitje om alle clients up to date te houden. Dat hoeft voor een bedrijf van een beetje omvang echt niet veel te kosten, in tegendeel zelfs, virtualisatie kan zelfs voor een besparing zorgen.
Omdat ieder stukje software getest en uitgelegd moet worden, in een serieuze bedrijfsomgeving kan je echt niet zomaar updates en nieuwe versies van software pushen... begin dit jaar was het updaten van de pdf reader al genoeg voor circa 100 tickets met klachten/vragen... Laat staan dat we bijvoorbeeld office 2007 binnenkort vervangen omdat dan de gehele organisatie op cursus moet en dat is heel erg kostbaar.

Met virtualisatie is het beheer zeker een stuk makkelijker geworden server-side, maar beheer gaat een heel stuk verder dan alleen de updates installeren... een pand voor de helft gevuld met complete digibeten die minstens in lichte paniek raken zodra er maar iets veranderd... voeg maar eens een extra knop toe aan outlook of word, volgens velen is de software daardoor 'anders'... men kan de link niet leggen dat het knopje wat op de blauwe diskette lijkt wat eerst links in de balk te vinden was maar nu door de toevoeging van een knop in het midden staan, dezelfde knop is om snel mee te kunnen opslaan.
Klinkt als een interne Ict afdeling, heb gelukkig niet zo'n last meer van digibeten nadat ik bij een ict leverancier ben gaan werken.

Wij hebben het helaas wel gehad dat er een gebruiker dit mailtje had geopend op een terminal server, aiii alle netwerkshares waar zij toegang tot had waren encrypted, back-up terug gezet en klaar. Kost uiteindelijk voor de klant nog veel geld omdat er wel een paar uurtjes in gaan zitten.
Je hebt zoo geen idee hoe complex een werkomgeving kan zijn. Het is altijd makkelijk om van de zijkant te lullen 'een beetje beheer ...'.

Enig idee hoeveel applicaties binnen de gemeente draaien? Hoeveel afhankelijkheden er zijn van specifieke versies van libraries? En kom nou niet met 'moet je maar niet aanschaffen die troep', er zijn soms simpelweg geen alternatieven. Nee, gewoon niet!

Om maar een voorbeeld te noemen: een gemeente verstrekt uitkeringen. Hoe lang zou het duren om de 'oude troep' te vervangen met een modere super-duper-mega-geile-vette versie?
Ten eerste moet eerst deze versie vinden, dan moet deze versie ook met een aantaal andere apps samen kunnen werken, dan moet deze zeer goed getest worden, dan moeten alle klantengegevens gemigreert worden, dan nog een een aantal goede testruns uitvoeren (je wilt tenslotte dat de uitkering op tijd wordt uitbetaald), en dan pas overzetten. En vooral hopen dat ondanks dat je alles gechecked hebt er niet opeens een ongerelateerder app de boel verstiert (hey, het is automatisering, de raarste dingen kunnen gebeuren zonder dat het logisch is). Oh ja, dan begint de riedel weer van tevoren voor de volgende app. Succes met 'even ...'.

En enig idee hoe complex de netwerk-omgeving is? En ook hier wederom, met gewoon 'dan doe je dat toch niet' kom je niet ver.

Ik wil voorstellen dat jij en alle anderen die het zo veel beter weten jullie diensten aan de gemeente Den Haag aanbieden (of welke gemeente dan ook), om hun omgeving 'even' te vereenvoudigen. Ik wens jullie veel succes als jullie vol op je bek gaan. Als of er alleen maar kneusjes bij de/een gemeente werken.

Dit soort problemen komt ook bij commerciële bedrijven voor, op een gegeven moment wordt een netware-omgeving inclusieve gebruikte applicaties erg complex, en kunnen problemen niet met 'even ....' opgelost worden.

Voor al die mensen hier met 'ik zou ...': in het echte leven doe je niet 'ik zou ...', het echte leven is een stuk complexer dan wat de kneusjes hier op tweakers roepen.
De discussie ging over het dichten van beveiligingslekken door software up to date te houden. Daarmee doelde ik met mijn opmerking niet op softwarepakketten, maar updates die de lekken dichten.

En dat updaten is een stuk makkelijker wanneer je een uniforme clientomgeving hebt. De uniformiteit kun je dmv virtualisering vrij eenvoudig bewerkstelligen. Dat wilde ik zeggen niets meer niets minder. Vrijwel iedereen die beheer doet weet dat je met de nieuwste "super-duper-mega-geile-vette" meuk je het jezelf heel moeilijk gaat maken.

En FYI: ik heb zoo wel een idee wat voor -veelal ongedocumenteerde- spaghetti-structuur en het nodige onbegrip dat je in grote organisaties aantreft.

Vroegâh (en dan heb ik het over het S36 cq DEC VAX/Alpha tijdperk, en ook Netware) was dat heel anders.

Ook begrijp ik als geen ander dat de ICT in een grote organisatie met wisselende leiding (politiek) een chaos wordt als er geen capabele, sterke mensen aan de top van beheer staan (en blijven). Niet elke verandering is een verbetering.
Dat betwijfel ik...
Rijk betaalt nog voor XP ondersteuning, zou dus er maar niet vanuitgaan.
"matig" noem je dat... :/
Het is slechts een bestand.pdf.exe truukje waarbij als icoon iets is gekozen dat op PDF lijkt.
Een beetje virusscanner herkent gelijk de valse extensie en gezien het budget van de Gemeente Den Haag zouden ze toch over meer dan een 'beetje' virusscanner moeten beschikken.
Moet alleen de file nog steeds als virus gedetecteerd worden. Anders heb je nog niets aan de virusscanner.
Een valse extensie is een valse extensie. Als een bestand eindigt op .doc.exe of .pfd.exe dan is er waarschijnlijk iets raars mee aan de hand, dat staat helemaal los van de inhoud van het bestand.
En daarom heb ik dus ook een schurfthekel aan dat het tonen van extenties standaard uit staat bij windows. Dat is altijd het eerste wat ik weer aan zet na een schone installatie.
Alle werkPC's zijn natuurlijk weer eens zo ingesteld dat "bekende extensies verbergen" aangevinkt staat....
Natuurlijk alleen maar de werk-pc's... Of zou het toch een standaard-instelling van Microsoft zijn, waardoor het bij IEDEREEN die geen tweaker is (of kent) aangevinkt is?

[/sarcasme]

[Reactie gewijzigd door Pietervs op 22 oktober 2014 23:13]

Is toch niet zo vreemd? Anders belt gebruiker 391 weer dat hij zijn bestanden niet geopend krijgt na het hernoemen.
En nu kan hij ze dus nooit meer openen. Het verbergen van bestandsextensies is een van de domste zetten ooit van Microsoft.
Ook eens. Ik heb dat via de GPO weer netjes teruggezet op weergeven voor alle gebruikers.
Een dlp ziet het verschil wel :-)

Wij kunnen inderdaad alleen maar goedgekeurde exe bestanden openen, veilig maar ook heel irritant.

Dit had voorkomen kunnen worden, dlp, virusscanners en een goede firewall helpen veel. Je zou verwachten dat een gemeente dit allemaal heeft en dit dus niet had mogen gebeuren.
De .exe zit niet in de mail zelf, deze bevat instructies om de .exe te downloaden en uit te voeren.
.exe bestanden zijn meestal ook wel geblokkeerd in bedrijfsmail. Echter .zip bestanden vaak niet, en ook wordt vaak de content van de zip niet door de mailserver gescand (wat bijv. gmail wel doet).
Over op Linux dus :)
[offtopic / reactie op Troll]
Daar begrijpen de gebruikers nog minder van laat staan dat ze het up to date houden..
Als er iets makkelijk is dan is het wel een Linux desktop
Inderdaad, maar mensen met weinig technische know-how zijn nogal xenofobisch. GNU/Linux is onbekend, dus eng.
Beestje lastig alleen dat 99% van de software die ze bij de gemeente zullen gebruiken, nu net niet beschikbaar is voor dat OS.
De gemiddelde gebruiker denkt daar helaas heel anders over. :|
Kan die malware niet gescreend worden op de mailserver dan?
Een zip bestand kan toch ook gescand worden?
Helaas wordt deze mailware niet herkend door de meeste aniti-virussoftware, ook omdat er voortdurend nieuwe versies van uitkomen.
Malwarebytes zag hem anders meteen hier.
Maar dat is bijna de enige, alle grote antivir's missen hem (of in elk geval enkele versies). Bovendien moet je bij Malwarebytes zelf actief scannen of de betaalde permanente scan kopen.
Ik meen dat deze malware door het gros van de scanners nog niet herkent wordt.
Nog steeds niet.
Ook bizar trouwens. Die zou alleen al aan moeten slaan op die dubbele extensie .<iets onschuldigs>.exe
Het is nu al een tijdje in het nieuws, is er nog niemand achter hoe je deze versleuteling ongedaan moet maken door deze malware door te spitten?
Als ze een béétje degelijke asymmetrisch encryptie gebruiken is dat natuurlijk niet te doen, dan kan die malware gewoon open source zijn en kan nog steeds niemand het decrypten.

Maar ik begreep dat er voor varianten van deze malware al manieren waren gevonden om encryptie te verwijderen, zie o.a. hier.
Als ze een béétje degelijke asymmetrisch encryptie gebruiken is dat natuurlijk niet te doen

En als ze symetrische gebruiken (wat doorgaans gedaan wordt) is het nog moeilijker aangezien de brute force bescherming per bit dan sterker is O-)
Ja, alleen als dat ding symmetrische encryptie gebruikt zit de key in die malware zelf. Dus kun je de boel doorspitten, reverse engineeren en de key achterhalen.
De key hoeft natuurlijk niet in de software te zitten, maar kan ook gegenereerd worden en dan geupload of vanaf het web gedownload worden. Of desnoods aan de hand van je MAC of iets andesr genereren. Het gemiddelde slachtoffer zal dat echt niet kunnen reverse engineeren.

Ik had begrepen dat de meeste ransomware een soort call-home functionaliteit had?

Probleem is namelijk dat asymetrisch slim lijkt met ransomware, maar je dan weer als keerzijde hebt dat elke besmetting dezelfde key gebruikt (tenzij je soortgelijke trucs gaat uithalen als net beschreven). Dus een keer ransom betalen en elke computer - ook die van andere slachtoffers - is te deblokkeren.

Het idee van ransomware is immers toch zo veel mogelijk geld binnen harken?

Maar goed, wellicht overdenk ik het.
Het is nu al een tijdje in het nieuws, is er nog niemand achter hoe je deze versleuteling ongedaan moet maken door deze malware door te spitten?
Goede encryptie kun je niet zomaar ongedaan maken. Ik weet niet precies hoe TorrentLocker is opgezet qua versleuteling, maar als je een degelijke asymmetrische versleuteling gebruikt, met ieder slachtoffer een andere key, want slachtoffers moeten een website bezoeken om een captcha in te vullen, daar kan een persoon-specifieke public key aan de malware worden toegevoegd en tevens de private key server-side opgeslagen worden.

Als er geen fouten zijn gemaakt in de implementatie, dan ga je dat eenvoudig weg niet kraken.
Het zou pas echt nieuwswaardig worden als een groups share volledig encrypted zou worden. Dan alsnog is het een kwestie van de een restore draaien. En ja, je kan zeggen over ambtenaren wat je wilt, er zitten er tussen die denken wel na, maar er zitten ook andere tussen, die denken, T`is toch mijn pc niet, ff kijken wat dit is. Security awareness kan je afdwingen door cursussen, online testen, etc, maar dat betekend niet dat iemand het niet opent. Je kan ook .exe,s gaan blocken als attachment, maar ook dat is niet heel handig voor overheden, want soms sturen externe toeleveranciers patches en of updates door via de mail.
Het wrange is dat er bij de Gemeente Den Haag juist de weken/maanden ervoor heel wat aandacht is besteed aan precies dit soort zaken (hoewel meer phishing dan cryptolockers). Maar goed, je blijft altijd mensen houden die niet nadenken...
Wij kunnen hier negatief doen maar het is toch juist goed dat het er maar 4 zijn? Tuurlijk liever nul, maar er heeft dus slechts een enkeling geklikt wat mij toch positief meevalt.

De kwestie van het openen is dubieus maar daar kennen wij de feiten niet van.
Bedrijven die updates/patches per mail sturen zouden 1) vooraf bij je bekend moeten zijn wanneer dat gebeurd 2) zeker niet naar willekeurige adressen moeten sturen en dat zou dus gewoon via firewall regels afgedekt kunnen worden 3) eens flink moeten gaan professionaliseren want je stuurt ze op zijn minst alleen na afspraak en dus zie regel 1.

Een leverancier die mij zomaar een exe toestuurt als patch hoeft niet te verwachten dat ik zijn mail ook maar open. Hij stuurt maar een mededeling dat hij een nieuwe versie heeft, waarna ik de boel ophaal ( of als het in het contract zo geregeld is, hij het op een afgeschermde server neerzet)

Persoonlijk zie ik het toesturen per email als een bewijs van amateurisme en wil dan ook wel stellen dat het een no-go zou moeten zijn, zeker voor de bedrijven en overheden.
Wat? Geen blokkade op exe? Wel raar als bedrijf zijnde. De mensen die het mailtje geopend hebben mogen van mij betreft op een bijscholing cursus.
Geheel op eigen kosten natuurlijk, aangezien dat er al paar dagen terug een waarschuwing van postNL kwam met de melding rare email's van hun niet te openen omdat deze een virus zou bevatten.
Er zijn zat bedrijven die willen dat hun personeel local admin rechten op hun PC, helemaal op laptops. Of gewoon niet het IT budget hebben voor een geheel managede IT omgeving.
De overheid hoort imo alles netjes op orde te hebben. Helemaal zaken als ict, ze kunnen het niet veroorloven dat er straks 10k persoonsggevens op straat liggen.

Dit valt gewoon onder nalatig zijn, mensen in kwestie hadden veel beter voorgelicht moeten worden.

En idd, had bij mijn vorige bedrijf lokaal administratie rechten, kon rustig op alle shares komen (klant data / contracten / rekeningnummers). Toen heel voorzichtig aan de bel getrokken dat het écht niet kon zo.
Heb een paar voorbeelden gegeven hoe fout het kan gaan, en een maand later waren er netjes group policy's aangemaakt.
ze kunnen het niet veroorloven dat er straks 10k persoonsggevens op straat liggen.
Want dan ga je emigreren naar een ander land die wel de ICT zaken op orde heeft? Waar ligt dit ICT Shangri-La precies?

Op alle shares kunnen en locale admin rechten sluit elkaar echt niet uit.
De overheid hoort imo alles netjes op orde te hebben.
De overheid is niet heel anders dan bedrijven: er is weinig geld en er moet veel gebeuren. Niemand zit te wachten op een extra belastingverhoging, sterker nog, er moet voortdurend bezuinigd worden.
Geweldig, ik snap dat het "maar mensen zijn" maar de email is in zo slecht Nederlands geschreven, bevat een "pdf" wat uiteindelijk een .exe is (moeten al lang bellen rinkelen) en toch krijgt men het voor mekaar om het te openen.
ik snap dat het "maar mensen zijn" maar de email is in zo slecht Nederlands geschreven, bevat een "pdf" wat uiteindelijk een
Ik kan me zo voorstellen dat het ontvangen van een email in slecht geschreven Nederlands bij een gemeente niet ongebruikelijk is.
Slecht geschreven van PostNL m een track & trace? En dan: een track & trace in een zip, die je dan uitpakt naar een PDF?
Het kan ook de ontvanger zijn die niet zo goed Nederlands spreekt.
Van buitenlanders in onze organisatie hoor ik wel eens "We krijgen voortdurend mails van in steenkolenengels. Een mail vol slecht Engels vinden we inmiddels heel gewoon."
Nee dat niet niet. Maar wel "ik niet leuk vint jullie stop me uitkering omdat ik nederlants niet spreek goet genoeg" en daar wordt je dan op een gegeven moment blind voor.
Waarschijnlijk hebben deze medewerkers de ethische code voor het prive gebruik van hun werk-pc geschonden. Ik zou wel weten waar die rekening dan naar toe gaat.
Welke rekening? De rekening van de systeembeheerder die even de pc's opnieuw zal hebben gestart om ze vanaf de deployment server opnieuw te installeren en ondertussen koffie te gaan halen?...
Nee de rekening van de externe ICT specialist die wordt ingehuurd om deze puinhoop te fixen, tegen een tarief van 3 cijfers per uur.
Wat is er nu precies gebeurd bij de Gemeente Den Haag dat dit een nieuwsbericht is geworden?

Als een werknemer zo'n link opent (wat je verwacht bij een bepaald percentage) dan worden de bestanden waar deze werknemer recht op heeft versleuteld. Ok, das lullig, isoleer de geïnfecteerde computer en zet eea terug vanaf de backup en je bent maximaal een dag werk kwijt. Op zich heeft de mailserver hier niks mee van doen? Maar blijkbaar is er toch een hoop fout gegaan?
De mailclient is direct geblokkeerd bij enkele duizenden gebruikers, en dat heeft een uur of zes geduurd. Ook agenda's waren niet beschikbaar. Had dus behoorlijk wat impact op het dagelijkse werk. Of het daarmee landelijk nieuws is, is wat anders maar vervelend was het wel.
De mensen die daar achter computers zitten zijn wel heel goedgelovig, die mogen wel een spoedcursus nadenken als je achter de computer zit. Dat je een random mail met een track and trace gelooft okee. Als je dat blijft geloven als je bij de captcha komt is toch al niet snugger. Vervolgens begin je dingen te downloaden, en dan zou er toch echt wel een belletje moeten rinkelen. Als je het dan nog presteert het bestand te openen en dus uit te voeren vraag ik me toch af of je niet voor het eerst achter de computer zit. Het is wel een heel slecht verkapte malware. Als je daarin tuin ben je eigenlijk
gewoon te incompetent om een computer te gebruiken.

Is het trouwens niet handig om executables te whitelisten, zodat werknemers die alles dat los en vast zit aanklikken geen gevaar meer vormen? Ik heb het vermoeden dat de administrator bij de gemeente ook wel een druif is, aangezien dit dus niet is gebeurd.

[Reactie gewijzigd door Amanoo op 22 oktober 2014 18:41]

De realiteit is helaas dat een grote groep computergebruikers inderdaad te incompetent is om een computer te gebruiken. Maar je moet tegenwoordig overal een PC gebruiken dus die groep is en blijft er nu eenmaal. En zal zelfs groter worden als de criminelen verder professionaliseren en eindelijk eens leren spellen. Systeembeheerders moeten hier rekening mee houden.

Whitelisten is inderdaad een oplossing, maar vergt veel extra beheer.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True