Voorkomen van Ransomware / Cryptoware

Ik heb geen ervaring met die tooltjes, maar de enige vorm van preventie die echt werkt is een degelijk backup systeem. Waar je op moet letten dat de backups niet met schrijf-toegang beschikbaar zijn vanaf je computer.

Rannasha schreef op woensdag 11 november 2015 @ 15:50:
Waar je op moet letten dat de backups niet met schrijf-toegang beschikbaar zijn vanaf je computer.

En dat je meerdere versies van bestanden bewaart, want als je alleen een kopie van de meest recente versie van al je bestanden bewaart en je ontdekt de besmetting pas nadat je backup gedraaid heeft, dan heb je een prachtige backup van de versleutelde bestanden.

De basis, nadenken, kijken en opletten. Natuurlijk zit hier en daar wel een exploit in flash of java waardoor ze code kunnen uitvoeren zonder interactie, maar 90% is toch echt blind mailtjes openen, bijlages uitvoeren, foute programma's installeren, foute sites bezoeken. Kost je vooralsnog niets.

Koop je vervolgens zo'n licentie en denk je dat alles veilig is, stop je ook vaak met bovenstaande zut.. je hebt toch immers beveiliging hiertegen? Tot ze een zeroday hebben en je alsnog de sjaak bent.

Backups is technisch

In volgorde:
• Backups
• Nog een backup
• En nog een backup
• Die ook readonly testen vanaf een ander device
• Alles uptodate (dus nul cracks).
• Nul warez, geen Flash, geen Java
• NOOIT met admin/root-rechten werken
• Hardening van je OS en applicaties
• Alleen-lezen rechten op alles dat niet dagelijks verandert (zoals je muziek, film, foto-verzamelingen), en via een andere account bijwerken
• Had ik al backups (meervoud) genoemd?

En als je echt wilt (afweging veilig vs bruikbaar), gaan voor een OS, een browser en een Office suite die niet veel voorkomt (en alleen webmail). Maar die goed worden onderhouden.

F_J_K , ik snap je verhaal, correct,, en voor ons tweakers perfect uitvoerbaar. Maar, probeer dat lijstje allemaal maar eens aan je ouders van 67 jaar en meer uit te leggen ! Je gaat snel passen denk ik.

Wat plep wil zeggen denk ik, is dat hij een EXTRA tool zoekt die de uitvoering van de cryptoware opvangt of op zijn minst kan detecteren.
Extra beveiliging kan nooit veel kwaad doen. Zeker niet bij de oudere mams en paps die van root-rechten, hardening, read-only nog nooit gehoord hebben, en die denken dat warez een spelletje is...

Toch ergens een interessante vraag imo.. Ik zoek toch even mee.

't Is wat omslachtig maar je zou ook met VM's kunnen werken. Het betekent ook een extra OS om te onderhouden, dat dan wel.

Bij Surfright zie je hier bij 'alert' een mooie opsomming waartegen je beschermd wordt: http://www.surfright.nl/en/alert mijn inziens een zeer gevaarlijke waakhond
Samen met een goede AV, verstand bij het surfen, idd wat F_J_K al zegt geen warez, flash en java! en meer.. zit je al een heel eind. Je kan nog aan iets als OpenDNS denken, ik blokkeer daarmee diverse categorieën zoals parked domains, web spam enz enz.

floorcleaner schreef op woensdag 11 november 2015 @ 22:59:
Extra beveiliging kan nooit veel kwaad doen. Zeker niet bij de oudere mams en paps die van root-rechten, hardening, read-only nog nooit gehoord hebben, en die denken dat warez een spelletje is...

Hoeft ook niet: ik kan voor mijn moeder de boel inrichten incl auto-updates en backupschemas. Het enige waar ze aan moest wennen is dat ze niet gewoon ff dat spelletje kan installeren dat een vage vriend in een mail linkt.

Er is geen zekere beveiliging tegen ransomware - behalve een air gap en geen disk of USB (defacto dus onbruikbaar). Des te belangrijker is het inrichten van verschillende backupschemas naar verschillende (voor de gebruiker readonly) locaties.

Goede realtime virusscanner ontbrak overigens in mijn lijst, al is dat niet bovenaan de lijst.

[ Voor 5% gewijzigd door F_J_K op 11-11-2015 23:14 ]

Wij hadden een maand geleden last van dit virs op ons Schoolnetwerk. Het is een ettertje als ik het zo mag zeggen. Wat een gedoe om dit op te lossen. Wij hadden een hele server die vol zat met dit virus. Een backup je er over en een paar virusscans laten lopen...

De sandbox van Comodo Internet Security is heel goed in staat Cryptolockers in de kiem te smoren. Als tweede laag van veiligheid voerg je de data mappen toe aan de Protected Data Folders zodat deze beschermd worden als een onbekende executable de data in die mappen probeert te veranderen.

Oplossing is pc beter/goed beveiligen, man aan pc opleiden. Backup goed doen, bijv ook een nas met file version.

Voor de rest ligt je altijd achter op virussen, dus elke bescherming is te laat, wat wel helpt is de gebruiker opvoeden.

jan99999 schreef op zondag 15 november 2015 @ 09:21:
Oplossing is pc beter/goed beveiligen, man aan pc opleiden. Backup goed doen, bijv ook een nas met file version.

Voor de rest ligt je altijd achter op virussen, dus elke bescherming is te laat, wat wel helpt is de gebruiker opvoeden.

Dat is nou een typisch antwoord voor iemand die malware als iets mysterieus ziet:
1. Een NAS als back-up medium tegen cryptolockers zal alleen werken als hij niet standaard als netwerkschijf vanaf een besmette pc te benaderen is. Anders wordt je back-up net zo hard versleuteld.
2. Een stukje malware is - in het algemeen - gewoon een executable die naar disk wordt weggeschreven, dus het is onjuist om te stellen dat "elke bescherming (...) te laat [is]".

Een nas met file version, werkt goed, behalve je laatste backup.
Natuurlijk zijn er nog meer manieren om het beter te maken.

Meeste gebruikers weten niet genoeg van pc beveiligen, hoe om te gaan met een pc, hoe een backup maken.
Daarom zie jeveel gebruikers met problemen.

En heel veel hangt af hoe een gebruiker om gaat met een pc, dus wat wel niet niet mag.
Illegale windows, ja maar deze is veilig.
Illegale software, maar deze is al ouder en is veilig(hier geen update natuurlijk naar nieuwere versies),
etc. nog meer dingen wat niet goes is voor je pc tav crypto/virussen.

En als een crypto nog niet bekent is bij virusscanners, dan valt je hele systeem om, en dit kan door een kleine fout gebeuren, en wat ik zie dat gewone gebruikers(die echt niks weten)doen, of zichzelf aandoen, dan is de bescherming tav crypto zeer slecht, en dan is een nas met file version, en natuurlijk meer copien.

@jan lees eens wat bijvoorbeeld hitman pro.alert kan doen om crypto en ransomware al in een vroeg stadium te herkennen Dus je kan je systeem prima overeind houden, mits je weet welke beveiliging hierin gespecialiseerd is!

Bescherming tegen een cryptovirus (mijn manier)

1. Geef uw Standaard Windows-account alleen Standaard rechten (geen Administrator)
a. Zie Configuratiescherm | Gebruikersaccounts | Accounttype wijzigen
b. Dit geeft enige bescherming, maar geen 100% garantie
c. Hierdoor kan een virus geen software installeren
2. Maak een Beheerder-account met Administrator rechten
a. Zie Instellingen | Accounts | Gezin en andere personen
3. Werk Windows zo snel mogelijk bij
a. Zie Instellingen | Bijwerken en beveiligen | Instellingen voor updates : … automatisch …
b. Dit geeft enige bescherming, maar geen 100% garantie
4. Gebruik een virusscanner met bescherming tegen een cryptovirus
a. Een goede scanner is bijvoorbeeld Bitdefender
b. Maar ook die geeft geen 100% garantie!
5. Gebruik een NAS
-. Schakel SMBv1 uit en SMB direct in, zie Configuratiescherm | Programma's | Windows-onderdelen in- of uitschakelen
a. Maak op de NAS een map Back-up met alleen Beheerder-toegang
b. Maak op uw PC geen koppeling naar deze map
c. Laat Windows regelmatig (liefst dagelijks) een back-up naar de map Back-up op de NAS maken
d. Een crypto-virus kan deze back-up op de NAS niet vernielen
6. Als een cryptovirus toeslaat
a. Maak de schijf of schijven van uw PC volledig schoon
b. Laad de gegevens terug van uw NAS

[ Voor 4% gewijzigd door Domstad-Rudie op 07-06-2017 11:56 . Reden: Toevoeging uitschakelen SMBv1 ]

Ik heb niet echt een tip behalve zelf opletten wat je doet en alles goed patchen. Heb zelf ook een vraag (denk dat een topic aanmaken hiervoor niet nodig is)

Ik gebruik Win10 op mijn hoofdsysteem. (up-to-date) en ik heb sinds jaar en dag een interne hdd gedeeld in het netwerk. Op die manier kan ik bestanden op andere pc's bekijken. (NAS-achtig idee) Nu is mijn vraag is dit tricky? (ik snap dat de ene pc de andere kan besmetten, maar ik bedoel meer qua attacks van buitenaf?) Ik weet niet of poort 445 openstaat, ik heb een standaard ziggo router/modem. Als dit te tricky is zet ik dat schijfdelen wel uit (evt samba uitschakelen) Gebruik tegenwoordig ook meer Plex overigens op mijn hoofdpc.

Preventief: doe belangrijke dingen op een Linux PC of Mac, gaming en alles wat je kan missen op een Windows PC die is dichtgetimmerd met 3rd party anti spyware, anti virus.

Reactief: zet backup terug van je Windows PC die op een linux based off site NAS staat

dennis_rsb schreef op woensdag 17 mei 2017 @ 19:01:
Ik heb niet echt een tip behalve zelf opletten wat je doet en alles goed patchen. Heb zelf ook een vraag (denk dat een topic aanmaken hiervoor niet nodig is)

Ik gebruik Win10 op mijn hoofdsysteem. (up-to-date) en ik heb sinds jaar en dag een interne hdd gedeeld in het netwerk. Op die manier kan ik bestanden op andere pc's bekijken. (NAS-achtig idee) Nu is mijn vraag is dit tricky? (ik snap dat de ene pc de andere kan besmetten, maar ik bedoel meer qua attacks van buitenaf?) Ik weet niet of poort 445 openstaat, ik heb een standaard ziggo router/modem. Als dit te tricky is zet ik dat schijfdelen wel uit (evt samba uitschakelen) Gebruik tegenwoordig ook meer Plex overigens op mijn hoofdpc.

Je vermenigvuldigt de kans dat die gedeelde schrijf wordt besmet x het aantal apparaten in jouw netwerk.
Dus pc's, laptops, smartphones, NAS, ipcamera, apparaten van visite etc.
Voor wat betreft of de poort(en) open staan naar buiten kan je in de firewall van je router kijken, dit zal standaard niet open staan maar dat is dan ook maar 1 manier hoe de nieuwere ransomware binnen kan komen.

Edit:

MrJayMan schreef op woensdag 17 mei 2017 @ 19:07:
Preventief: doe belangrijke dingen op een Linux PC of Mac, gaming en alles wat je kan missen op een Windows PC die is dichtgetimmerd met 3rd party anti spyware, anti virus.

Reactief: zet backup terug van je Windows PC die op een linux based NAS staat

Dit lost helemaal niks op en maakt het alleen maar onnodig ingewikkeld
Je gaat er vanuit dat de ransomware vanaf de Windows pc komt (ondanks dat het ook al op Linux werkt en ongetwijfeld op Mac), de ransomware op je Windows/Linux/Android/Mac/HP-UX... systeem besmet vervolgens je NAS en verwijderd VSS backups...
Enige backup tegen ransomware is een offline backup, een hardeschrijf die je direct na een backup los koppelt en niet meer aansluit op welk systeem dan ook tot de volgende backup.
3rd party anti spyware en antivirus doet ook weinig tegen ransomware, deels omdat het niets extra toevoegt bovenop de standaard W10 beveiliging en deels omdat ransomware ook prima werkt zonder admin rechten.
Het encrypt dan alles waar je als gebruiker bij kan (niemand gaat 3000 keer per dag een admin account invoeren bij het openen van Word documenten etc.) of misbruikt een privilege escalation om admin te worden, daar doet je AV niks tegen, lijkt er zelfs op dat de recente ransomware zelfs AV verwijderd...

[ Voor 36% gewijzigd door RGAT op 17-05-2017 19:12 ]

Domstad-Rudie schreef op woensdag 17 mei 2017 @ 17:50:
Bescherming tegen een cryptovirus (mijn manier)

1. Geef uw Standaard Windows-account alleen Standaard rechten (geen Administrator)
a. Zie Configuratiescherm | Gebruikersaccounts | Accounttype wijzigen
b. Dit geeft enige bescherming, maar geen 100% garantie
c. Hierdoor kan een virus geen software installeren
2. Maak een Beheerder-account met Administrator rechten
a. Zie Instellingen | Accounts | Gezin en andere personen
3. Werk Windows zo snel mogelijk bij
a. Zie Instellingen | Bijwerken en beveiligen | Instellingen voor updates : … automatisch …
b. Dit geeft enige bescherming, maar geen 100% garantie
4. Gebruik een virusscanner met bescherming tegen een cryptovirus
a. Een goede scanner is bijvoorbeeld Bitdefender
b. Maar ook die geeft geen 100% garantie!
5. Gebruik een NAS
a. Maak op de NAS een map Back-up met alleen Beheerder-toegang
b. Maak op uw PC geen koppeling naar deze map
c. Laat Windows regelmatig (liefst dagelijks) een back-up naar de map Back-up op de NAS maken
d. Een crypto-virus kan deze back-up op de NAS niet vernielen
6. Als een cryptovirus toeslaat
a. Maak de schijf of schijven van uw PC volledig schoon
b. Laad de gegevens terug van uw NAS

Tot SMBv1 aanstaat en de NAS ook slachtoffer wordt.

RGAT schreef op woensdag 17 mei 2017 @ 19:07:
[...]


Je vermenigvuldigt de kans dat die gedeelde schrijf wordt besmet x het aantal apparaten in jouw netwerk.
Dus pc's, laptops, smartphones, NAS, ipcamera, apparaten van visite etc.
Voor wat betreft of de poort(en) open staan naar buiten kan je in de firewall van je router kijken, dit zal standaard niet open staan maar dat is dan ook maar 1 manier hoe de nieuwere ransomware binnen kan komen.

Edit:

[...]


Dit lost helemaal niks op en maakt het alleen maar onnodig ingewikkeld
Je gaat er vanuit dat de ransomware vanaf de Windows pc komt (ondanks dat het ook al op Linux werkt en ongetwijfeld op Mac), de ransomware op je Windows/Linux/Android/Mac/HP-UX... systeem besmet vervolgens je NAS en verwijderd VSS backups...
Enige backup tegen ransomware is een offline backup, een hardeschrijf die je direct na een backup los koppelt en niet meer aansluit op welk systeem dan ook tot de volgende backup.
3rd party anti spyware en antivirus doet ook weinig tegen ransomware, deels omdat het niets extra toevoegt bovenop de standaard W10 beveiliging en deels omdat ransomware ook prima werkt zonder admin rechten.
Het encrypt dan alles waar je als gebruiker bij kan (niemand gaat 3000 keer per dag een admin account invoeren bij het openen van Word documenten etc.) of misbruikt een privilege escalation om admin te worden, daar doet je AV niks tegen, lijkt er zelfs op dat de recente ransomware zelfs AV verwijderd...

3rd party anti spyware kan een hash bijhouden van al je files en daarmee manipulatie detecteren/voorkomen.
ook aan te raden: 3rd party firewall software.
iig nooit de standaard beveiliging van windows vertrouwen.

MrJayMan schreef op woensdag 17 mei 2017 @ 19:21:
[...]


3rd party anti spyware kan een hash bijhouden van al je files en daarmee manipulatie detecteren/voorkomen.
ook aan te raden: 3rd party firewall software.
iig nooit de standaard beveiliging van windows vertrouwen.

Hier de standaard beveiliging van Windows en nog geen ransomware infecties hier, deels omdat Microsoft lang voor de SMB1 exploit al een update had uitgebracht en vooral omdat het veilig zat is.
Er is al jarenlang geen reden meer om bijv. Kaspersky te gebruiken, voegt niks toe.
FSRM beschermt tegen ransomware op je Windows netwerk en offline backup met disaster recovery (welke regelmatig getest wordt) betekent dat elke infectie hooguit een ongemak is.
3rd party firewall was leuk in de Windows XP dagen maar die zijn al lang voorbij, verder zit niemand te wachten op dagelijkse emails met een lijst van alle bestanden die die dag zijn aangepast.
Leuk als je even je SD kaart op je computer leegt, even driehonderd bestanden door bladeren om te dubbelchecken of alles wel klopt, nee dan heb ik liever de standaard Windows tools welke dat automatisch doen zodat ik de pc kan gebruiken waar ik m voor heb

Als ik een ransomware infectie krijg is het een kwestie van alles offline gooien, hypervisor recovery opstarten en zodra die klaar is mijn laptops, desktop etc. van het netwerk opstarten, images worden met MDT terug gezet en de backup software zet de data terug uit offline backups en klaar.

[ Voor 10% gewijzigd door RGAT op 17-05-2017 19:28 ]

RGAT schreef op woensdag 17 mei 2017 @ 19:07:
[...]


Je vermenigvuldigt de kans dat die gedeelde schrijf wordt besmet x het aantal apparaten in jouw netwerk.
Dus pc's, laptops, smartphones, NAS, ipcamera, apparaten van visite etc.
Voor wat betreft of de poort(en) open staan naar buiten kan je in de firewall van je router kijken, dit zal standaard niet open staan maar dat is dan ook maar 1 manier hoe de nieuwere ransomware binnen kan komen.

Dank voor je reactie. Ik ben me er van bewust dat meer machines getroffen thuis kunnen worden als er één besmet is. Ik heb mijn gedeelde schijf echter wel lees-only rechten gegeven voor andere machines. Dus als ik op een andere laptop bijv zit kan ik alleen lezen en niet wijzigen.

Ik zal wel eens inloggen op het Cisco gevalletje en eens checken. Ik wil gewoon weten dat ik niet verhoogde kans heb om besmet te raken doordat ik gebruik maak van gedeelde schijf. (buiten het feit dat als een machine is huis besmet is het risico dat andere machines besmet zijn groter is) maar ik doel meer op als ze echt gaan scannen die cybercriminelen dat ze op deze manier makkelijk binnen komen?

Bitdefender stuurde trots een mail dat ze met hun Cryptoware-bescherming succesvol PC hadden beschermt tegen die laatste, dus misschien Bitdefender?

floorcleaner schreef op woensdag 11 november 2015 @ 22:59:
F_J_K , ik snap je verhaal, correct,, en voor ons tweakers perfect uitvoerbaar. Maar, probeer dat lijstje allemaal maar eens aan je ouders van 67 jaar en meer uit te leggen ! Je gaat snel passen denk ik.

Wat plep wil zeggen denk ik, is dat hij een EXTRA tool zoekt die de uitvoering van de cryptoware opvangt of op zijn minst kan detecteren.
Extra beveiliging kan nooit veel kwaad doen. Zeker niet bij de oudere mams en paps die van root-rechten, hardening, read-only nog nooit gehoord hebben, en die denken dat warez een spelletje is...

Toch ergens een interessante vraag imo.. Ik zoek toch even mee.

BTW...
Ik dacht tot nu toe Chrome of beter nog ChromeOS is voor 'digibeten' optimaal...
Mooi niet dus:
http://defensecode.com/news_article.php?id=21

MiliaanR schreef op woensdag 17 mei 2017 @ 19:54:
Bitdefender stuurde trots een mail dat ze met hun Cryptoware-bescherming succesvol PC hadden beschermt tegen die laatste, dus misschien Bitdefender?

Dit durf ik te betwijfelen. Zo wat alle antivirus fabrikanten zijn met deze mails gekomen. De ransomware bescherming van Bitdefender (welke zelf een zeer goede AV oplossing is) stelt op het moment nog niet veel voor.

Er is geen 100% oplossing. Enkele tools die wel werken zijn:

• Winpatrol WAR (maar dit is meer een anti-exe dan anti ransomware, je zult gek worden van de meldingen).
• Hitmanpro.Alert (Werkt goed tegen ransomware en exploits, lijkt wel problemen te geven met o.a. games en wat exotische software).
• Malwarebytes (De ransomware bescherming is not niet top-notch, maar het werkt redelijk en wordt met elke update beter).
• Ransomfree van Cyberreason (Gratis, werkt redelijk en lijkt de meeste varianten te vangen, is puur anti ransomware)
• RanStop van Themasoft (werkt erg goed, is wel aan de prijs voor puur anti ransomware)
• RansomOff BETA (Veel belovend, laatste versie werkt erg goed)

[ Voor 3% gewijzigd door eltweako op 22-05-2017 18:05 ]

Ik wil aan het rijtje de sandbox van Comodo Internet Security (CIS) toevoegen die voorkomt dat de ransomware zijn schadelijke werk kan doen.

Daarnaast is met de laatste update van de cryptolocker recognizer van de behaviour blocker van CIS gedragsdetectie van 59 ransomware families bij gekomen. Dit brengt detectie naast de sandbox die de ransomwares begrenst.

Ik zie dat er heel veel nuttige dingen worden genoemd zoals backups en voorzichtig zijn, maar een heel belangrijk ding mis ik: snapshots.

Juist snapshots maken dat je vrij makkelijk en kort terug kunt naar een onbesmette versie en snapshots zijn immutable. Zie bijvoorbeeld hoe FreeNAS dat heeft geregeld:

https://doc.freenas.org/9...l#periodic-snapshot-tasks

Het is zeer zinvol ook backups te maken, liefst buitenshuis maar net als bij snapshots, volledig geautomatiseerd anders ga je het vergeten.

xh3adshotx schreef op woensdag 17 mei 2017 @ 19:20:
[...]


Tot SMBv1 aanstaat en de NAS ook slachtoffer wordt.

Dank! Uitschakelen SMBv1 toegevoegd aan mijn beschrijving