Ransom-ware

* kicker de kick *

Dit is slechts één van de 3 topics waar het woord ransomware in voorkomt. De laatste dagen is ransomware in het nieuws op verschillende sites, aangezwengeld door Kaspersky Labs.

Nu vertrouw ik waarschuwingen door een fabrikant die een middel ertegen biedt niet zo 1,2,3 maar ik vraag mij toch af hoe serieus ik deze dreiging moet nemen. Natuurlijk los van het feit dat je heel simpel door regelmatige backups (van Win <> Linux ofzo) een groot risico wegneemt. Feit is, dat 9 vd 10 gebruikers geen regelmatige backups maakt en dus pisang is als er zich een ransom-virus aandient.

* wat zijn goede (naast up to date AVscanners, BU) maatregelen tegen ransomware?
* bestaan er middelen om versleutelde bestanden terug te hacken (het zijn je eigen bestanden tenslotte ...)

Eusebius schreef op vrijdag 09 februari 2007 @ 10:18:
Nu vertrouw ik waarschuwingen door een fabrikant die een middel ertegen biedt niet zo 1,2,3 maar ik vraag mij toch af hoe serieus ik deze dreiging moet nemen.

Natuurlijk los van het feit dat je heel simpel door regelmatige backups (van Win <> Linux ofzo) een groot risico wegneemt. Feit is, dat 9 vd 10 gebruikers geen regelmatige backups maakt en dus pisang is als er zich een ransom-virus aandient.

Vraag is hoe vaak die 10% van de particulieren (en de meeste bedrijven) hun backups ook test ipv. de encrypted bestanden backupt zonder te checken of ze op een andere machine zijn terug te zetten...

* wat zijn goede (naast up to date AVscanners, BU) maatregelen tegen ransomware?
* bestaan er middelen om versleutelde bestanden terug te hacken (het zijn je eigen bestanden tenslotte ...)

Ik denk niet dat het detecteren van ransomware in beginsel anders is dan van andere malware. Bonus is dat er gecheckt kan worden op encryptietechnieken, maar dat was toch al het geval.

Terughalen: het kan ongetwijfeld, vraag is hoe langzaam en hoe duur. Ik kan me voorstellen dat de key op een of andere manier van een besmet systeem kan worden onttrokken maar ken - zeker na desinfectie en dus verwijderen van enige keys - geen klik&klaar methode. Maar dat is hopelijk meer een gebrek aan kennis van mijn kant dan een gebrek aan mogelijkheden.

Eusebius schreef op vrijdag 09 februari 2007 @ 10:18:
Nu vertrouw ik waarschuwingen door een fabrikant die een middel ertegen biedt niet zo 1,2,3 maar ik vraag mij toch af hoe serieus ik deze dreiging moet nemen.

Het middel is backups - Kaspersky Lab heeft geen back-up oplossing.
Ik weet niet welke bronnen je er op na hebt geslagen, maar Kaspersky zegt zelf dat we met de laatste GPCode geluk hebben gehad. Bij de volgende, evolutie-technisch betere, stap kan geen enkel AV bedrijf meer de encryptie kraken en moeten de bestanden als verloren worden beschouwd.

Ik denk niet dat het detecteren van ransomware in beginsel anders is dan van andere malware.

Het detecteren van de 'infector' iig niet. Hoewel je er min of meer zeker van kan zijn dat de AVs getest worden om voor een 0-detectie te zorgen. Het tegenhouden met HIPS - tricky.

Bonus is dat er gecheckt kan worden op encryptietechnieken, maar dat was toch al het geval.

Hoe bedoel je?

Terughalen: het kan ongetwijfeld, vraag is hoe langzaam en hoe duur.

AVendors doen het gratis. De ene vendor is er trouwens beter in dan de andere.
Momenteel is er maar één vendor met een 100% trackrecord tegen ransomware.
Verreweg het allerbelangrijkste is iig het preserveren van de encryptor voor de AVendor.

Zoals ik zei: het middel is niet backups, maar backups + regelmatige tests. Immers kan je zolang je besmet bent prima encrypted files backuppen.

Hoe bedoel je?

Dat er (naar ik aanneem) gebruik wordt gemaakt van een beperkte set van encryptiemethoden, waar wellicht een handtekening uit kan worden gestilleerd. Al kan je dan ook TrueCrypt opeens herkennen, maar daar weet jij meer van dan ik En al het geval is idd wat kort door de bocht, ik refereerde naar de methoden die malware gebruiken om zichzelf te verstoppen.

Maar goed, best kans dat ik stierepoep praat. Zie ook de laatste zin

[ Voor 13% gewijzigd door F_J_K op 09-02-2007 12:34 ]

F_J_K schreef op vrijdag 09 februari 2007 @ 12:33:
Zoals ik zei: het middel is niet backups, maar backups + regelmatige tests. Immers kan je zolang je besmet bent prima encrypted files backuppen.

Je leest Schneiers blog?

Dat er (naar ik aanneem) gebruik wordt gemaakt van een beperkte set van encryptiemethoden, waar wellicht een handtekening uit kan worden gestilleerd. Al kan je dan ook TrueCrypt opeens herkennen, maar daar weet jij meer van dan ik

Het herkennen van een encrypted containerfile lijkt me weinig nuttig, dan is het namelijk al te laat.
De encryptor wordt normaliter, net zoals bij veel andere crimeware, eerst door de auteur gescand door 10-20 AVs om te zien of er detectie is. Zo gewenst gaat de auteur verder met aanpassen totdat er 0-detectie tot stand komt. Denk dat heuristics voor dit spul waarschijnlijk niet super effectief zouden blijken, tenzij het in HIPS zou zijn.

Blog lezen: nee. Wil ik dat?

Aha. Jij zal het (veel) beter weten dan ik

F_J_K schreef op vrijdag 09 februari 2007 @ 13:56:
Blog lezen: nee. Wil ik dat?

Ik weet niet of je dat wilt. Wil je dat ik wil dat je dat wilt?

Lees zijn blog zelf slechts zeer sporadisch. Heb me tijdens een interview - over ransomware - laten vertellen dat Schneier over next-gen ransomware aan het nadenken was.
Iirc ging het om een idee voor een encryptor die on-the-fly de bestanden deed decrypten tot een bepaalde triggerdate. Het idee erachter is dat backups dan, iig voor geïnfecteerde computers, OK lijken.

Ik dacht dat je met dat principe in je achterhoofd aan het zeggen was dat je op andere computers moet kijken of de backup OK is.

Inderdaad dacht ik aan zoiets. Maar dan niet obv. zijn, maar mijn eigen gedachten. Hence the disclaimer

Komen jullie hier nu al meer varianten van tegen Schouw? Of is het er nog relatief rustig mee?

Een goed geschreven virus/worm wat zich snel kan repliceren en nagenoeg ondetecteerbaar infecteert over een langere periode zou een serieus probleem kunnen vormen. Zeker als men ook zo slim is om de bestanden pas na maanden te encrypten zoals al eerder hier bedacht is.
Uiteraard hebben veel bedrijven wel backups, maar wat doe je als je opeens nog maar een backup hebt van een half jaar terug of een jaar terug?

Ik vraag mij af wat voor impact dit zou hebben op de dagelijkse zaken. Uiteraard draaien niet alle systemen op Windows maar toch verwacht ik dat het met name in het MKB desastreus zou kunnen zijn.

Je zou een interne firewall moeten hebben die je kunt inrichten om je map d:/documenten in de gaten houden. Als een niet geregistreerde of veranderde applicatie toegang wil, gaat er een alarmbel af. Dat lijkt me een redelijke afweer.

Bv Office wil toegang tot tekst.doc. De interne firewall weet dat Office vertrouwt is, checkt ook nog of de MD5 hetzelfde is. Maar als ikbeneenvirus.exe tekst.doc wil benaderen, dan moet de interne firewall gaan rinkelen.

Of werkt ransomware niet op dit nivo?

sh4d0wman schreef op vrijdag 09 februari 2007 @ 15:58:
Komen jullie hier nu al meer varianten van tegen Schouw? Of is het er nog relatief rustig mee?

We komen meer varianten tegen, maar ten opzichte van enkele andere type malware is het nog redelijk rustig.

Een goed geschreven virus/worm wat zich snel kan repliceren en nagenoeg ondetecteerbaar infecteert over een langere periode zou een serieus probleem kunnen vormen.

Ligt eraan. Iets wat zich snel verspreid heeft vaak de neiging op te vallen.

Eusebius schreef op vrijdag 09 februari 2007 @ 17:02:
Je zou een interne firewall moeten hebben die je kunt inrichten om je map d:/documenten in de gaten houden. Als een niet geregistreerde of veranderde applicatie toegang wil, gaat er een alarmbel af. Dat lijkt me een redelijke afweer.

Wat als er gebruik wordt gemaakt van een standaard of populaire applicatie?
Of een vertrouwde applicatie waarvan de payload pas naar verloop van tijd actief wordt?

Bv Office wil toegang tot tekst.doc. De interne firewall weet dat Office vertrouwt is, checkt ook nog of de MD5 hetzelfde is. Maar als ikbeneenvirus.exe tekst.doc wil benaderen, dan moet de interne firewall gaan rinkelen.

Application firewalls leggen normaliter de barrière bij execution en dergelijke.
Ik betwijfel of de gegenereerde overhead de werkzaamheid van de computer op een acceptabel niveau houdt.