Incubatietijd ransomware?

Als je je data op een externe locatie hebt en je kan dan nog bij die data is het schoon, dit is de makkelijkste manier. Andere manier is heel paranoide maar wel realistisch: de huidige pc uitzetten, de HDD er uit halen en daarna je gegevens op ander systeem zetten wat schoon is (nog niet aan internet).

De ransomware moet uitgevoerd worden voordat het schade kan doen hiervoor moet het dus actief zijn op een pc om kwaad te kunnen. Als dit niet het geval is (schoon systeem) kan je dus al je data met gerust hard backupen.

Als jij ransomware op je pc hebt merk je dat vrijwel onmiddelijk het is niet zo dat jij ransomware hebt en ze nog even 3 weken wachten voor ze er iets mee gaan doen. Het doel van ransomware is nu eenmaal snel geld verdienen.

kadoendra schreef op dinsdag 01 september 2015 @ 15:16:
[...]


Maar bij ransomware kan het toch zo zijn dat je het niet meteen opmerkt als het actief is op je systeem? Hoe weet ik dan zeker dat ik een schone backup kan maken? Dus veilig mijn backup HDD aan kan sluiten? Vindt Malwarebytes of Comodo ransomware dat zijn taak nog niet heeft volbracht, maar wel al aanwezig is?

Als ransomware nog niet actief is, dan is je data dus nog veilig. De ransomware zit niet in je bestanden namelijk maar is een apart programma die als het ware al je files lockt. Als je op dit moment van al je data een backup maakt op een externe systeem dan ben je in princiepe al veilig zolang je pc hier niet direct bij kan

De oplossing is om meerdere generaties backups te maken. Als je merkt dat je systeem corrupt is kan je zoeken naar de laatste backup die nog goed is.

En als je oudere generaties backup op dezelfde disk laat staan kan het ook dat ransomware die data overschrijft.

[ Voor 59% gewijzigd door Sendy op 01-09-2015 15:53 ]

kadoendra schreef op dinsdag 01 september 2015 @ 18:26:
[...]


En het is juist precies dit waar het mij om gaat. Hoe zorg ik ervoor dat ik juist niet een back-up maak op dat cruciale moment. Gewoon handmatig steekproefsgewijs wat bestanden checken? Of een scan draaien?

Meerdere generaties backuppen zegt mij niet zoveel. Wat houdt dit in? Ik maak nu backups op verschillende media met syncback.

Een ransomware virus gaat jouw files encrypten en daarbij de bestandsnaam wijzigen.

Als jij dus gewoon je .docx en .jpg bestanden aan het back-uppen bent, weet je al dat het goed zit. Dat virus kan niet in een JPG of DOCX of PDF bestand zitten. Het draait als apart programma (een EXE dus) en je gaat EXE's niet lopen back-uppen (mag ik toch aannemen).

Je backupt niet de Program Files folder en andere programma-folders neem ik aan? Alleen documenten, foto's, eventueel savegames, dat soort pruttel toch?

[ Voor 8% gewijzigd door AzzKickah op 01-09-2015 18:42 ]

Dan hoef je je geen zorgen te maken als die bestandsnamen gewoon normaal zijn.
Als er een leeg wit A4-icoontje voorstaat met een vage extensie (die waarschijnlijk meer dan 3 tekens lang zal zijn), moet je je zorgen gaan maken (en is het al te laat).

Even voor de duidelijkheid: er is geen enkele reden waarom een virus een JPG niet zou kunnen encrypteren, en toch ervoor kan zorgen dat jij ze kan opendoen. Het virus moet enkel de JPG extensie naar zichzelf laten wijzen, en dan on-the-fly decrypten voor jou.

Zo kan het heel jouw data encrypten zonder dat je er iets van merkt (buiten CPU gebruik & veranderende hashes van bestanden).

Ja, het is onwaarschijnlijk, maar het is absoluut mogelijk. En met wat preview handlers in heb je nog steeds een mooie thumbnail.

Een nas maken, waar je vanaf je pc weinig rechten hebt, dus een virus kan dan ook weinig, goede inlog wachtwoord maken, en niet automatisch inloggen.
Dan je nas instellen, dat deze in tijd terug kan springen, dus ook al worden je laatste files encrypted, dan kun je file version doen, en dus terug gaan naar files die niet encrypted zijn.

Een externe hd waar je een backup maakt, dan kan de virus dus wel je oude files encrypten.

kadoendra schreef op dinsdag 01 september 2015 @ 18:26:
[...]


En het is juist precies dit waar het mij om gaat. Hoe zorg ik ervoor dat ik juist niet een back-up maak op dat cruciale moment. Gewoon handmatig steekproefsgewijs wat bestanden checken? Of een scan draaien?

Meerdere generaties backuppen zegt mij niet zoveel. Wat houdt dit in? Ik maak nu backups op verschillende media met syncback.

je weet gewoon niet of de files die je naar een backup schrijft correct zijn zonder alles te openen. Daarom bewaar je een backup van bijv. een week geleden, twee weken geleden, 1 maand geleden, 6 maanden geleden, en een jaar geleden. Als je na 2 weken merkt dat er een file kapot is, dan kan je die wellicht nog uit de maand backup halen, etc.

Het aantal generaties dat je wil bijhouden hangt af van hoe vaak je data veranderd, hoe groot het risico op corruptie/aanval is, en hoe lang het duurt voordat je corruptie opmerkt. Ik ben geen backupexpert, dus dat moet je zelf uitvogelen.

En natuurlijk leren je pc te beveiligen, en misschien nog belangrijker, wat je wel en niet mag doen met je pc tav veiligheid.

kadoendra schreef op dinsdag 01 september 2015 @ 18:26:
[...]


En het is juist precies dit waar het mij om gaat. Hoe zorg ik ervoor dat ik juist niet een back-up maak op dat cruciale moment. Gewoon handmatig steekproefsgewijs wat bestanden checken? Of een scan draaien?

Meerdere generaties backuppen zegt mij niet zoveel. Wat houdt dit in? Ik maak nu backups op verschillende media met syncback.

Met "generaties" wordt "meerdere versies" bedoeld.

Ik backup dagelijks alles naar Amazon Glacier en ik bewaar de laatste 3 versies van bestanden minimaal 100 dagen, waarna alleen de laatste versie overblijft. Mocht ik een versleutelde versie backuppen, dan heb ik dus nog 100 dagen om een vorige versie terug te zetten.

kadoendra schreef op dinsdag 01 september 2015 @ 21:04:
[...]
Ik heb ongeveer 1 TB (en dit groeit wekelijks langzaam aan) aan data die ik wil backuppen. Misschien snap ik het niet, maar de manier waarop je dit beschrijft zou betekenen dat per jaar 52 TB aan opslagruimte nodig heb. Ik maak dan elke week een nieuwe back-up en bewaar de oude?

Als je strategie is om de backup van iedere week te bewaren dan krijg je dit inderdaad.

Een handigere strategie is om alleen de gewijzigde bestanden op te slaan, en modern is om het te doen zoals SlaadjeBla hierboven.

Je hebt ook software die alleen naar gewijzigde files kijkt, die bewaart dus niet alles meerdere keren.
Je backup wordt dus wel groter dan bij gewoon kopieren.
En voor als je het niet weet, een backup betekend meerdere kopieen, ik ga zelf uit van origineel en 2x een backup, dit is dus voor belangrijke files.
En dus je hebt veel opslag nodig, en backuppen kost veel tijd.

[ Voor 9% gewijzigd door jan99999 op 02-09-2015 05:49 ]

Sendy schreef op dinsdag 01 september 2015 @ 21:48:
[...]


Een handigere strategie is om alleen de gewijzigde bestanden op te slaan, en modern is om het te doen zoals SlaadjeBla hierboven.

Dus een encrypted file is een gewijzigd bestand en dus backupt de software automatisch?

Verwijderd schreef op donderdag 03 september 2015 @ 19:50:
[...]Dus een encrypted file is een gewijzigd bestand en dus backupt de software automatisch?

Natuurlijk. Wat is je probleem?

Sendy schreef op donderdag 03 september 2015 @ 19:58:
[...]

Natuurlijk. Wat is je probleem?

Zoals ik het begrijp heb je bijvoorbeeld vakantiefoto.jpg aangemaakt op 1-11-2011
En als randsomeware de vakantiefoto.jpg versleuteld is dit toch een gewijzigd bestand?

Dus dan word vakantiefoto.jpg verwijderd door de nieuwe encrypted file?

Verwijderd schreef op donderdag 03 september 2015 @ 20:09:
[...]

Zoals ik het begrijp heb je bijvoorbeeld vakantiefoto.jpg aangemaakt op 1-11-2011
En als randsomeware de vakantiefoto.jpg versleuteld is dit toch een gewijzigd bestand?

Dus dan word vakantiefoto.jpg verwijderd door de nieuwe encrypted file?

De gewijzigde vakantiefoto.jpg heet nu vakantiefoto.jpg.chd&$$@. Dat is dus een volledig nieuw bestand.

Verwijderd schreef op donderdag 03 september 2015 @ 20:09:
[...]

Zoals ik het begrijp heb je bijvoorbeeld vakantiefoto.jpg aangemaakt op 1-11-2011
En als randsomeware de vakantiefoto.jpg versleuteld is dit toch een gewijzigd bestand?

Dus dan word vakantiefoto.jpg verwijderd door de nieuwe encrypted file?

Er wordt bij incrementeel backuppen niets verwijderd, dat is juist het idee. Je bewaart meerdere versies, maar alleen als er een verschil is tussen de versie van vandaag en die van vorige week, zodat je niet alles tig keer dubbel aan het opslaan bent.

jimmy87 schreef op dinsdag 01 september 2015 @ 15:28:
Als jij ransomware op je pc hebt merk je dat vrijwel onmiddelijk het is niet zo dat jij ransomware hebt en ze nog even 3 weken wachten voor ze er iets mee gaan doen. Het doel van ransomware is nu eenmaal snel geld verdienen.

Dat hoeft helemaal niet, dat is echt afhankelijk van de ransomware. Afhankelijk van de soort ransomware kan men er ook voor kiezen om juist een poos niet actief te encrypten om zo eerst meer of andere machines te proberen te besmetten.

Dido schreef op donderdag 03 september 2015 @ 20:31:
[...]

De gewijzigde vakantiefoto.jpg heet nu vakantiefoto.jpg.chd&$$@. Dat is dus een volledig nieuw bestand.

Misschien begrijp ik je nu verkeerd maar wil je hier nu aanduiden dat een encrypted bestand een andere naam of extentie moet hebben? Dat is echt niet het geval namelijk.

[ Voor 25% gewijzigd door Bor op 03-09-2015 20:45 ]

Volgens mij verandert namelijk alleen de " gewijzigd op datum".. Dus dan gaat deze gewoon mee in de backup.

[ Voor 4% gewijzigd door Verwijderd op 03-09-2015 21:00 ]

Verwijderd schreef op donderdag 03 september 2015 @ 20:59:
Volgens mij verandert namelijk alleen de " gewijzigd op datum".. Dus dan gaat deze gewoon mee in de backup.

Dat ie meegaat in de backup is toch helemaal geen probleem? Zo lang je de backup maar zo inricht dat hij een gewijzigd bestand als nieuwe versie backupt en niet het origineel overschrijft.

Bor schreef op donderdag 03 september 2015 @ 20:39:
Misschien begrijp ik je nu verkeerd maar wil je hier nu aanduiden dat een encrypted bestand een andere naam of extentie moet hebben? Dat is echt niet het geval namelijk.

Je begrijpt me niet verkeerd.

Ik heb meerdere topics gezien waarin de bestanden wel degelijk gerenamed waren. Ik ben ook niet de enige, blijkens een aantal eerdere posters die hetzelfde aangaven.

Maar ik geloof graag dat er ook ransomware is die geen rename doet. Nu ik erover nadenk is dat prima mogelijk en omdat het minder opvalt zal het ook best gebeuren.

Verwijderd schreef op donderdag 03 september 2015 @ 20:59:
Volgens mij verandert namelijk alleen de " gewijzigd op datum".. Dus dan gaat deze gewoon mee in de backup.

Incremental backups kijken niet naar een datum maar naar het archive bit.

Bor schreef op donderdag 03 september 2015 @ 21:03:
[...]


Incremental backups kijken niet naar een datum maar naar het archive bit.

Kan je hier iets meer over vertellen? ken dit niet namelijk. ben wel benieuwd

Elk bestand (tenminste op Windows) heeft een archive flag die wordt geset wanneer het bestand is aangepast. Op basis van deze flag bepaalt het systeem of een bestand reeds in een backup is meegenomen of niet:

The archive bit is a file attribute used by Microsoft operating systems, by OS/2 and by AmigaOS. Typically its state indicates whether or not the file has been backed up.

On Windows and OS/2, when a file is created or modified, the archive bit is set, and when the file has been backed up, the archive bit is cleared. It is by use of the archive bit that incremental backups are implemented.

Backup software also provides the option to do a full backup while clearing archive bits - that is, to back up all files regardless of their archive bit status, and to clear the archive bit of all files processed by the backup. This allows for the creation of an initial full backup that will be supplemented by incremental backups in the future.

The operating system never clears the archive bit on its own, unless explicitly told to do so by the user. In MS-DOS as well as nearly all versions of Windows, the archive bit can be seen or changed with the attrib command-line utility, or by viewing the properties of a given file with the Windows shell. The archive bit can also be seen or changed with the GetFileAttributes, GetFileAttributesEx and SetFileAttributes Windows APIs.

When a file with a clear archive bit is moved from one place on a file system to another, the archive bit reverts to being set.

Typically, on a computer system that has never been backed up in a manner that clears archive bits, all files on that computer will have their archive bits set, as there are few applications that make use of archive bits without the user's request.

As the archive bit is a file attribute and not part of the file itself, the contents of the file are unrelated to the status of the archive bit and remain unchanged even if the setting of the archive bit is changed.

Relying on the archive bit for backing up files can be unreliable if multiple backup programs are setting and clearing the attribute bit on the same volume. Another possibility is to use the time stamp of the last change to the file or directory.

Met het risico dat de ransomware zo geniepig is om de archive bit te resetten.

Bor schreef op donderdag 03 september 2015 @ 21:25:

On Windows and OS/2, when a file is created or modified, the archive bit is set, and when the file has been backed up, the archive bit is cleared. It is by use of the archive bit that incremental backups are implemented.

Als een bestand dus veranderd word door randsomeware maakt Windows dus een archive bit aan?
Waardoor de backup dus denkt dat de oude file vervangen moet worden? aangezien de archive bit weer aanwezig is?

Orion84 schreef op donderdag 03 september 2015 @ 21:28:
Met het risico dat de ransomware zo geniepig is om de archive bit te resetten.

Precies, dat is op zich niet zo lastig. Dit moet je dan ook absoluut niet zien als een bescherming of een vrijwaring dat een bestand niet aangetast is. Het dient puur ter uitleg hoe een incremental backup kan zien of een bestand is gewijzigd of niet.

Bedenk me nu dat het op zich geen ramp is als de ransomware die bit reset. Dan wordt de versleutelde versie dus niet toegevoegd aan de versies in de backup, dat is prima. Wordt de bit niet gereset na het versleutelen, dan wordt de versleutelde versie als extra versie toegevoegd.

Orion84 schreef op donderdag 03 september 2015 @ 21:38:
Bedenk me nu dat het op zich geen ramp is als de ransomware die bit reset. Dan wordt de versleutelde versie dus niet toegevoegd aan de versies in de backup, dat is prima. Wordt de bit niet gereset na het versleutelen, dan wordt de versleutelde versie als extra versie toegevoegd.

Zoals ik het het nu begrijp
foto.jpg opgeslagen >bit aanwezig >backup gemaakt >bit verijderd >randsomeware maakt aanpassing aan de file > windows voegt een nieuwe bit toe> backup vervangt het oude bestand door een nieuwe bit flag?

Nogmaals: een incrementele backup (want daar hadden we het over) vervangt niks. Hij voegt enkel nieuwe versies van gewijzigde bestanden toe aan de backup. Dus eerst heb je een backup met 1 versie van foto.jpg, daarna een backup met 2 versies van foto.jpg. Je kan vervolgens kiezen welke versie je terug wilt zetten.

Orion84 schreef op donderdag 03 september 2015 @ 21:45:
Nogmaals: een incrementele backup (want daar hadden we het over) vervangt niks. Hij voegt enkel nieuwe versies van gewijzigde bestanden toe aan de backup. Dus eerst heb je een backup met 1 versie van foto.jpg, daarna een backup met 2 versies van foto.jpg. Je kan vervolgens kiezen welke versie je terug wilt zetten.

Top nu is alles duidelijk bedankt voor de heldere uitleg!

Safer, 100% safe bestaat niet.

kadoendra schreef op dinsdag 01 september 2015 @ 12:54:
Wijs geworden door de tips en (jammer genoeg) de verhalen van slachtoffers zonder back-up, probeer ik een zo'n veilig mogelijke manier van back-uppen te handhaven om te voorkomen dat ik slachtoffer word van ransomware.

Dit is natuurlijk ook al een mooi punt. De beste manier van voorkomen is natuurlijk zorgen dat je oplet bij wat je doet (zorg ook voor goede 'awareness' in privé sferen) en je eventueel verweren met diverse tools zoals virusscanners en tools als Spybot: Search & Destroy en de andere scanners.

Ik weet dat er smerige ransomeware bestaat, die je files aanpassen en tegen betaling dan je files weer terug willen geven, maar hou er ook rekening mee, dat voorkomen beter is dan genezen en is de noodzaak voor een (goede) backup minder, als in: wat je nu hebt is dan voldoende, imo. Grootste zorgen is dan het synchroon houden van die backups met je feitelijke data op je PC.

En zorg er ook vooral voor, dat men niet zomaar bij jouw spullen kan. Maak dus (eventuele) mede PC gebruikers van jouw PC dus niet standaard administrator, bijvoorbeeld.

[ Voor 11% gewijzigd door CH4OS op 06-09-2015 22:55 ]

even een vraag tussendoor:

Hoe groot is de kans dat zo'n encryptie virus de bestanden op mijn NAS aantast?

Als de shares op jouw NAS, gekoppeld zijn aan een drive letter in Windows, dan is het kinderspel voor de ransomware om erbij te komen.

CptChaos schreef op zondag 06 september 2015 @ 23:15:
Als de shares op jouw NAS, gekoppeld zijn aan een drive letter in Windows, dan is het kinderspel voor de ransomware om erbij te komen.

Nee, de bestanden op mijn NAS zijn alleen benaderbaar via Netwerk. Heb de WD My Cloud NAS.

Dat zegt toch niks? Een netwerkschijf kan je ook gewoon permanent koppelen via een schijfletter.

Alle bestanden die je vanuit de verkenner zelf kunt aanpassen, kan de malware meenemen.

Ik heb de toegang tot mijn NAS zo ingericht:
- een MijnNAS/public directory waar mijn Windows-account schrijfrechten heeft
- op alle andere directories heeft mijn Windows-account alleen leesrechten
- mijn backup-tool draait onder een andere Windows-account, welk alleen schrijfrechten heeft op MijnNAS/backup en geen andere directory.

Wanneer ik bijv nieuwe foto's wil hebben in MijnNAS/photos dan kopieer ik naar /public, ga ik naar de webinterface en verplaats ik ze naar /photos. Kost iets meer tijd/moeite maar is IMHO wel zo veilig. (Ooit overwoog ik een scriptje die automatisch verplaatst naar /photos/datumX/* maar dat vond ik niet nodig).

Eric_1993 schreef op zondag 06 september 2015 @ 23:20:
[...]


Nee, de bestanden op mijn NAS zijn alleen benaderbaar via Netwerk. Heb de WD My Cloud NAS.

Hoe benader je die bestanden dan? Als het via een normale fileshare is waar je voldoende rechten op hebt dan kun je er op wachten dat malware die bestanden ook gaat vinden. Alles is natuurlijk afhankelijk van de exacte malware die je hebt opgelopen. Ze werken niet allemaal hetzelfde en hebben niet allemaal dezelfde features maar het is ook beter om je te focussen op de mogelijkheden die gebruikt kunnen worden ipv de huidige versies.

Wat je ook zou kunnen overwegen is een cloudbackup dienst als crashplan oid. Veel aanbieders houden daarbij ook meerdere versies van elk bestand bij. Je hebt de files direct buiten huis (wat met de patriot act etc ook een nadeel kan zijn) en over het algemeen loopt de backup via eigen tools wat besmetting lastiger maakt.

De vraag is wel terecht: hoe lang duurt het (ruwweg) om je files te encrypteren ? Want een beetje moderne PC doet het met een paar honderd MB/s, voornamelijk gelimiteerd door de lees/schrijfsnelheid van je storage. Als je bv. maar 20 documenten hebt van samen nog geen 100MB dan zal dit in een seconde (en dus onmiddellijk) gedaan worden, maar wat met muziek en video ?

Het meer recentere discussiepunt:
Is het bekend hoe de malware de bestanden benadert ? Is dat bv. via de account die goedkeuring voor uitvoering van de malware geeft ? Dan kunnen we onszelf misschien beter beschermen zonder de app-permissies in AppData te wijzigen, dit heeft namelijk ook wel wat consequenties met app-installs en het runnen van apps heb ik gemerkt.
Is het bijvoorbeeld mogelijk dit beter te beveiligen door schrijfrechten te beperken naar alternatieve credentials (voor de drive mappings) of kan de ransomware ook doodleuk aan die credentials ? Het ligt er natuurlijk maar aan hoe het benadert wordt.

Of misschien een alternatieve manier om te schrijven te voorzien zoals F_J_K omschrijft ? Dat het schrijven enkel via een andere app loopt, of via een scripted "net use" met een account die niet in de Credentials Manager terecht komt ?

[ Voor 20% gewijzigd door marcop82 op 07-09-2015 10:00 ]

F_J_K schreef op maandag 07 september 2015 @ 08:44:
Alle bestanden die je vanuit de verkenner zelf kunt aanpassen, kan de malware meenemen.

Ik heb de toegang tot mijn NAS zo ingericht:
- een MijnNAS/public directory waar mijn Windows-account schrijfrechten heeft
- op alle andere directories heeft mijn Windows-account alleen leesrechten
- mijn backup-tool draait onder een andere Windows-account, welk alleen schrijfrechten heeft op MijnNAS/backup en geen andere directory.

Wanneer ik bijv nieuwe foto's wil hebben in MijnNAS/photos dan kopieer ik naar /public, ga ik naar de webinterface en verplaats ik ze naar /photos. Kost iets meer tijd/moeite maar is IMHO wel zo veilig. (Ooit overwoog ik een scriptje die automatisch verplaatst naar /photos/datumX/* maar dat vond ik niet nodig).

Zit je alleen nog met de virussen die via een omweg elevated weten te draaien en administrator rechten weten te krijgen.

marcop82 schreef op maandag 07 september 2015 @ 09:56:
Is het bijvoorbeeld mogelijk dit beter te beveiligen door schrijfrechten te beperken naar alternatieve credentials (voor de drive mappings) of kan de ransomware ook doodleuk aan die credentials ? Het ligt er natuurlijk maar aan hoe het benadert wordt.

Als de ransomware ook een keylogger heeft wel, anders niet natuurlijk. Aan de andere kant, is het sowieso verstandig om de rechten zo laag mogelijk te houden, ongewenste toegang vermijd je dan, maar ook de installatie van heel veel rotzooi voorkom je er mee.

[ Voor 29% gewijzigd door CH4OS op 07-09-2015 10:17 ]

Dat is geen probleem als die windows admin user geen schrijfrechten heeft op de NAS.

Bor schreef op maandag 07 september 2015 @ 09:10:
[...]


Hoe benader je die bestanden dan? Als het via een normale fileshare is waar je voldoende rechten op hebt dan kun je er op wachten dat malware die bestanden ook gaat vinden. Alles is natuurlijk afhankelijk van de exacte malware die je hebt opgelopen. Ze werken niet allemaal hetzelfde en hebben niet allemaal dezelfde features maar het is ook beter om je te focussen op de mogelijkheden die gebruikt kunnen worden ipv de huidige versies.

Wat je ook zou kunnen overwegen is een cloudbackup dienst als crashplan oid. Veel aanbieders houden daarbij ook meerdere versies van elk bestand bij. Je hebt de files direct buiten huis (wat met de patriot act etc ook een nadeel kan zijn) en over het algemeen loopt de backup via eigen tools wat besmetting lastiger maakt.

Ik heb ook een kleine computer 24/7 aanstaan, die maakt dan tussen 21u en 2u een backup van de bestanden op mijn NAS naar de Cloud. Op de cloud worden verwijderde bestanden nog eens 30 dagen bewaard. Dus ik denk dat ik wel goed zit

Het beste is om meerdere, en verschillende soorten backup te hebben.

Bestanden kunnen aangetast zijn, ook al lijken ze het goed te doen. De beste oplossing hiertegen is onbeperkte cloud opslag, met onbeperkte historie (bijvoorbeeld Crashplan).

En het belangrijkste van backuppen is: regelmatig controleren of de backup ook werkt.

Mooi die "tips" die je wat (schijn)veiligheid geven.

Net als in het echte leven, kan je je niet echt 100% beschermen, alleen erg goed oppassen en het eventuele risico beperken en de consequenties spreiden.

Ransom software is zo slim (geworden) dat je er nauwelijks iets tegen te doen is wanneer het je eenmaal gepenetreerd heeft.

Zelf ben ik ondertussen geneigd om alle "mail" extern/webmail af te handelen en alleen nog "goede" bronnen te gebruiken voor software/plugins en natuurlijk geen openstaande "netwerkshares" open te laten, laat staan directe "lettertoegang" te gebruiken.
De "tips" om veilig te werken, zijn dusdanig - zeker als techneut - tamelijk frustrerend.
De keuze is dan of er dan maar langer, met irritatie er over doen of "bepaalde" zaken voortaan niet of elders uit te voeren. Het is geen gekke gedachte om bepaalde "risico" activiteiten, zeker wanneer software zelf al gecodeerd is, op/in aparte - virtualisatie/cloud - omgevingen te doen.

Incubatietijd, varieert van 0 uur tot 2 à 3 maanden, heb ik al gemerkt en vernomen.
In de schimmige wereld kunnen personen de benodigde software als pakket kopen en dat (laten) versturen naar mail-adressen of sites die ooit wel's stout een onschuldig attachment hebben geopend of wel's - wie niet ? - ongeverifieerde driver/software hebben geinstalleerd etc.etc.

Je hebt ook inline Tesla encrypties waarbij extenties niet veranderen en het archief bit stapsgewijs worden uit/aangezet om de zaak - eventueel - in de backup te duwen als wordt gedetecteerd dat de PC wel's wordt gebackupped, te beginnen met de wat "oudere" bestanden. Kwestie van opbouwen........
O ja, de publickey om te coderen wordt meestal al meegestuurd in de " software", er is dus geen "directe" internet verbinding nodig.

Ransom is ook verrekte intelligent door FF rond te kijken met wat voor "soort", omgeving en het aantal (recente) bestanden dat die tegenkomt. Van iets heel veel en recent, is al een mooi teken aan de wand om een profiel van te maken. Komt ie op een PC, antibiotica software tegen van z'n eigen (antivirale) soort of daarbij elevated moet draaien, kan het zijn dat hij zichzelf daar maar opheft en alleen je adresboekje gebruikt om zich als " geheim.pdf.exe" door te sturen of ergens opvallend neer te plempen..

De bedoeling van ransomware is nl. de PC van Jan die gaat betalen en daarbij niet voortijds gedetecteerd gaat worden voordat ruimschoots is geëncrypt. De aanwezigheid van bv. "rsync", md5 software en het actieve gebruik daarvan, kan al een signaal zijn om het gijzelingspand te verlaten. AV software detecteert alleen achteraf bijv CTB-locker, wanneer het - meestal - al te laat is.

Natuurlijk wordt na het "blockpay"signaal, alle nuttige software inclusief regedit en shadowcopies, subiet uitgeschakeld om te voorkomen dat er nog iets kan worden gedaan dan het betalen van zeg $500-1000 aan bitcoins. Heb je de euvele moed om in SafeMode te draaien, wordt je FAT als beloning maar vergewist.
Dat je trouwens ooit de "private" key krijgt, na een paar dagen want de bitcoin transactie gaat via vage omwegen wat tijd kost, is klein. Wanneer je twijfelt of het wel "waar" dat de sleutelkoop kan werken, krijg je zogenaamd een bewijsvoorbeeld waarbij 10 willekeurige "recente" bestanden "teruggezet" worden. Die bestanden zijn dan onderwater eigenlijk simpel ROL13 of zo, gecodeerd.

Verder hoeft ook niet het hele bestand geëncrypt te worden, de eerste 40 of 128 bytes van een header zijn vaak al ruimschoots genoeg om de rest compleet onbruikbaar te maken. Dat gaat dan heel, heel erg snel en wordt op een relatief "rustig" moment gedaan wanneer de je even een tijdje niet/niks doet, 1TB is met een snelle SSD een kwestie van minder dan minuten. Je hebt echt niets in de gaten totdat je gepakt bent.
Ook worden alleen "zinnige" extenties aangepakt die voor ransom in aanmerking komen. De volgende dag bij het opstarten, wordt je alleen heel erg bleek van dat mooi scherm waarop staat dat je kunt inloggen op je persoonlijke gemaakte OMG website......

En idd, controleer ook zeer regelmatig (eigenlijk elke backup'), of die idd bruikbaar is. Moet de software dit natuurlijk wel kunnen (bewijzen). Je zal niet de eerste, was there by XL bedrijf, zijn die na x-tijd tijdens een audit ontdekt dat sommige backups wat onbruikbaar bleken.

Het leven is nooit meer het zelfde wanneer je eenmaal gegijzeld bent geweest. De kans daarop is niet of maar wanneer je een "aanval" krijgt voorgeschoteld en je dan voldoende gedaan hebt om de eventuele gevolgen te beperken.

Je echt beschermen is nauwelijks mogelijk en de pakkans van de zeer professionele betrokkenen is daarbij nagenoeg nul. Alleen door structureel NIET te betalen noch in te gaan op eisen, maken we kans dat het fenomeen zichzelf uiteindelijk opheft.