Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

.LOCKY nieuwe crypto locker virus

Pagina: 1 2 Laatste
Acties:

  • furian88
  • Registratie: februari 2007
  • Laatst online: 13:33
Misschien handig om te weten, een klant heeft het volgende crypto virus te pakken:

http://www.bleepingcomput...-unmapped-network-shares/

Deze scant en locked dus ook je folders die geshared zijn op een andere pc/server/nas zonder dat een mapping of netwerk share hier aan vast hoeft te zitten ..
Voor alsnog is er geen manier om dit te decrypten! ;w

gelukkig voor de klant is de backup goed geregeld en staat alles al weer terug. O-)

  • looc
  • Registratie: januari 2012
  • Laatst online: 12-11 14:30
Eergisteren nog een klant gehad die dit had gekregen.
Behalve de NAS was alles gebackupped. Laat nou net zijn dat de NAS ook te grazen was genomen...

Enige wat nog gedaan kan worden is de rechten op shares flink inscherpen om schade zoveel mogelijk te voorrkomen.

  • r.hiensch
  • Registratie: november 2011
  • Laatst online: 18-09 14:56
Hier ook een bekend probleem, volledige Windows installatie encrypted incl. alle shares van de server. |:(

  • xleeuwx
  • Registratie: oktober 2009
  • Laatst online: 09:52

xleeuwx

developer Tweakers Elect
Zag vanmorgen ook een blog van @fvdberg voorbijkomen
Howto: .locky ransomware

  • Larrs
  • Registratie: juni 2001
  • Laatst online: 13-11 21:54

Larrs

Ondertitel

Bij mij op het werk was vandaag deze ransomware ook actief.

Stomme was dat ik wel de locky bestanden zag in een openbare map van mij, maar niet direct actie ondernam. Het was mijn taak niet om het op te lossen, maar ik had het al vaak genoeg hier op Tweakers over dit onderwerp gelezen en ik had direct kunnen weten.

Degene die het wel op moesten lossen, kwamen erachter dat het van 1 computer kwam en die werd dan ook direct uit het netwerk gehaald. Ondanks dat al duizenden bestanden versleuteld waren op het netwerk.

Er wordt een backup teruggezet en die ene computer krijgt een nieuwe Windows installatie. Hopelijk dat dit voldoende is.

Bovenvoeter


  • Felyrion
  • Registratie: november 2001
  • Laatst online: 11:28

Felyrion

goodgoan!

Bij ons vandaag ook al de eerste klant voorbij zien komen die deze te pakken had.


Na enig speurwerk lijkt het erop (komt ook terug in de blog van fvdberg) dat het blokkeren van de extentie .locky op al je shares voldoende is om de grootste schade te voorkomen.

Voor de sysadmins: dit is relatief makkelijk te realiseren op Server 2008 of 2012.

Hiervoor moet je op je file server de "File Server Resource Manager" geïnstalleerd hebben staan (Bij 2008: install role service, bij 2012 te vinden als server role onder File and Storage Services).
Dit kan uitgevoerd worden zonder reboot btw.

Na de installatie is "File Server Resource Manager" beschikbaar.

> Start dit op en ga naar File Screening Management > File Groups
Maak hier een nieuwe file group aan, geef het een leuk naampje en voeg *.locky toe aan de include groep.

> Ga naar File Screens en voeg een nieuwe File Screen toe. Blader naar je file share of de disk waarop deze aangeboden worden (uiteraard per share of per disk herhalen).
Kies vervolgens voor custom file screen properties en selecteer daar je net aangemaakte File Group (en maak evt. een template voor andere shares).

Hierna kan de .locky extentie niet meer op je file shares gebruikt of aangemaakt worden.


Tests hier lijken uit te wijzen dat dit de grootste schade voorkomt, maar we hebben het nog niet in de praktijk hoeven testen ;)

edit:
Wellicht is deze omschrijving wat helderder :*)
http://www.alexandreviot....nsions-on-shared-folders/

Felyrion wijzigde deze reactie 18-02-2016 23:16 (6%)

sleep: a completely inadequate substitute for caffeine


  • Stacheldraht
  • Registratie: januari 2008
  • Laatst online: 13:40

Stacheldraht

PSN: Killerfabrik

Tip: Eenvoudige ingrepen zoals deze kunnen al een hoop ellende voorkomen:

https://4sysops.com/archi...cker-and-other-ransomware

Naked Bikes: No other motorcycle design brings you as close to the road. No other style gives you quite the same experience of speed. Strip off all that plastic and chrome and it's just you, the grips, and the asphalt, in perfect harmony.


  • Felyrion
  • Registratie: november 2001
  • Laatst online: 11:28

Felyrion

goodgoan!

quote:
Stacheldraht schreef op donderdag 18 februari 2016 @ 23:29:
Tip: Eenvoudige ingrepen zoals deze kunnen al een hoop ellende voorkomen:

https://4sysops.com/archi...cker-and-other-ransomware
Dat zijn inderdaad goede zaken om geregeld te hebben, maar eenvoudig wil ik ze niet noemen ;)

Wel op technisch vlak, maar als de organisatie gewend is wel alle rechten en mogelijkheden te hebben (hier lopen we regelmatig tegenaan) dan zijn dit zware ingrepen om naar je eindgebruikers te verkopen.

We proberen over het algemeen meer de benadering te hanteren je backend hardened te maken. Leer je gebruikers dat belangrijke data altijd op de fileshare omgeving moet staan en beschouw de werkstations als een soort DMZ, uiteraard nog zoveel mogelijk beschermd.

Binnenkort wordt dit trouwens nog wat makkelijker als een aantal anti-virus producenten met anti-cryptolocker software uitkomen voor de serverkant. Deze zullen encryptie acties vanuit werkstations naar je netwerkshares detecteren en de werkstations blokkeren. Ik weet dat in elk geval Kaspersky daar eind deze maand de technische release van heeft.

sleep: a completely inadequate substitute for caffeine


  • fvdberg
  • Registratie: oktober 2010
  • Laatst online: 13-11 08:03
kaspersky is inderdaad goed bezig op dit vlak. Ze waren ook een van de eersten die dit zeer vroeg al konden detecteren.

tests met applocker aan mijn kant hebben laten zien dat dit de infectie niet voorkomt. enkel de LadyBI.exe kan je er mee stoppen.

een beetje virusscanner die actief meedraait doet dat ook al.

ik zie echt meer waarde in de extensie blokkeren op de shares op de wijze zo als Felyrion beschrijft.

fvdberg wijzigde deze reactie 19-02-2016 08:27 (4%)


  • FlipFluitketel
  • Registratie: juli 2002
  • Laatst online: 17:39

FlipFluitketel

Frontpage Admin
Wat dit soort virussen betreft is er voor virusscanners nog heel veel werk aan de winkel.

2 weken geleden kwam ik bij een klant waar de virusscanner net verlopen was (1 dag). Het eerste wat me opviel was de melding van Teslacrypt dat de bestanden versleuteld waren, zijn reactie "ow ja, die melding krijg ik ook al ruim een week" 7(8)7.

Toen hadden ze dus een mailtje gehad van "een bekende" met een bijlage die ze niet konden openen. Nee, hij zei het verkeerd, de bijlage konden ze wel openen maar er gebeurde niks (zichtbaar). Het mailtje hadden ze nog bewaard, dus even die bijlage opgeslagen en via virustotal.com gescand en daar werd het door maar 10 van de 54 virusscanners als virus gezien, ruim een week na de infectie. :/ 3 dagen later nog eens gescand, 27 van de 54 virusscanners op virustotal gaven het nu aan.

Gelukkig waren bij hem alleen wat mapjes op het bureaublad versleuteld, maar in de documenten/afbeeldingen-mappen stonden wel al de tekst-bestandjes van Teslacrypt. Geen idee waarom dat niet versleuteld was maar het was wel gunstig want een backup was er natuurlijk niet..

Bij een paar klanten heb ik nu Malwarebytes Anti-Ransomware maar geinstalleerd.

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!


  • Methmaniac
  • Registratie: december 2014
  • Laatst online: 04-10 16:52

Methmaniac

Nee, ik gebruik niet...

Ook al een klant die er last van heeft gehad.
Klant de back-up natuuuuuuurlijk niet goed voor elkaar, shadow copies die verwijderd worden.

Na veel geklooi en proberen maar betaald...

Binnen een half uur alles weer unlocked.

Edit: Shadow copies verwijderd door .locky, uiteraard niet door de klant of ons zelf.

Methmaniac wijzigde deze reactie 19-02-2016 12:43 (16%)

‘You could have helped.’
'I’m helping by not helping.’
‘You’re the one with experience of these creatures.’
‘Children, Lobsang. They’re called children.’


  • fvdberg
  • Registratie: oktober 2010
  • Laatst online: 13-11 08:03
ik heb vanuit mijn blog (Howto: .locky ransomware) even een link naar dit topic geplaatst

  • fvdberg
  • Registratie: oktober 2010
  • Laatst online: 13-11 08:03
quote:
Methmaniac schreef op vrijdag 19 februari 2016 @ 08:40:
Ook al een klant die er last van heeft gehad.
Klant de back-up natuuuuuuurlijk niet goed voor elkaar, shadow copies die verwijderd worden.

Na veel geklooi en proberen maar betaald...

Binnen een half uur alles weer unlocked.
Quick fix inderdaad

Echter, Vanuit de community gedacht had je dit niet moeten doen. Je helpt door te betalen direct bij de instandhouding van Cryptoware.

Het is een slecht advies om te betalen. Zelfs bedrijven als Microsoft adviseren niet om te betalen.

De enige reden dat er steeds meer en geavanceerdere cryptoware bestaat is omdat er simpelweg veel geld valt te verdienen. Meer dan eens komt er na betaling geen oplossing. plus je geeft de groeperingen geld om nog een poging te doen door een nieuw kitje aan te schaffen waarmee je ontwikkelaars daarvan weer stimuleert om nog geavanceerdere/betere virussen te ontwikkelen.

en de cirkel is weer rond.

De enige manier om dit soort zaken te stoppen is niet betalen.

Wel ben ik erg benieuwd naar de decrypter die je hebt ontvangen, kan je me die doen toekomen?

  • Methmaniac
  • Registratie: december 2014
  • Laatst online: 04-10 16:52

Methmaniac

Nee, ik gebruik niet...

quote:
fvdberg schreef op vrijdag 19 februari 2016 @ 11:50:
[...]


Quick fix inderdaad

Echter, Vanuit de community gedacht had je dit niet moeten doen. Je helpt door te betalen direct bij de instandhouding van Cryptoware.

Het is een slecht advies om te betalen. Zelfs bedrijven als Microsoft adviseren niet om te betalen.

De enige reden dat er steeds meer en geavanceerdere cryptoware bestaat is omdat er simpelweg veel geld valt te verdienen. Meer dan eens komt er na betaling geen oplossing. plus je geeft de groeperingen geld om nog een poging te doen door een nieuw kitje aan te schaffen waarmee je ontwikkelaars daarvan weer stimuleert om nog geavanceerdere/betere virussen te ontwikkelen.

en de cirkel is weer rond.

De enige manier om dit soort zaken te stoppen is niet betalen.

Wel ben ik erg benieuwd naar de decrypter die je hebt ontvangen, kan je me die doen toekomen?
Inderdaad, dit was in de eerste instantie ook niet de bedoeling om te doen.
Maar gezien de stappen die we al ondernomen hadden (zowel intern als daarbuiten) -zoals zelf de bestanden bekijken, internet raadplegen, contact opnemen met het bedrijf dat de security deed van de klant en het indienen van tickets- en de mate waarin de klant afhankelijk was van de server toch maar besloten om het bedrag over te maken.

Zelf hebben we wel al onze andere klanten al ingelicht en zijn we al bezig met het bekijken van de unlocker en hier tests mee uit te voeren om vaker te gebruiken. Danwel bij dezelfde klant als bij anderen.
Op het moment lijkt het erop dat de unlocker alleen werkt met een unieke gegenereerde code die in de bestandsnaam en het bestand zelf opgenomen wordt maar alle bestanden wel scant op de .locky extensie.

Heb je een adres waar het heen kan? (denk aan beveiligde omgeving, hier zelf nog geen last van gehad maar you never know)

Methmaniac wijzigde deze reactie 19-02-2016 12:25 (3%)

‘You could have helped.’
'I’m helping by not helping.’
‘You’re the one with experience of these creatures.’
‘Children, Lobsang. They’re called children.’


  • fvdberg
  • Registratie: oktober 2010
  • Laatst online: 13-11 08:03
Ter info:

Het gaat helemaal los in Duitsland, Heisse heeft het over 5000 besmettingen per uur

http://www.heise.de/newst...n-pro-Stunde-3111774.html

Overigens wordt deze op dit moment verspreid in een duitse mail met als onderwerp Rechnung Nr. 2013_131

En de volgende tekst:
quote:
Sehr geehrte Damen und Herren,

bitte korrigieren Sie auch bei der Rechnung im Anhang den Adressaten:

LFW Ludwigsluster Fleisch- und Wurstspezialitäten
GmbH & Co.KG

Vielen Dank!


Mit freundlichen Grüßen

Anke Füldner

Finanzbuchhaltung

Tel.: 03874-4********
Fax: 03874-4********
E-Mail: fueldner@lfw-l********t.de

  • Methmaniac
  • Registratie: december 2014
  • Laatst online: 04-10 16:52

Methmaniac

Nee, ik gebruik niet...

quote:
fvdberg schreef op vrijdag 19 februari 2016 @ 12:25:
Ter info:

Het gaat helemaal los in Duitsland, Heisse heeft het over 5000 besmettingen per uur

http://www.heise.de/newst...n-pro-Stunde-3111774.html

Overigens wordt deze op dit moment verspreid in een duitse mail met de naam

Rechnung Nr. 2013_131

En de volgende tekst:


[...]
Duitsland was als ik het goed had ook waar de eerste melding binnenkwam.

‘You could have helped.’
'I’m helping by not helping.’
‘You’re the one with experience of these creatures.’
‘Children, Lobsang. They’re called children.’


  • fvdberg
  • Registratie: oktober 2010
  • Laatst online: 13-11 08:03
Nee India, de vermoedelijke oorsprong ligt in Duitsland.

Zie mijn Blog: Howto: .locky ransomware

  • Jism
  • Registratie: juni 2002
  • Niet online
quote:
FlipFluitketel schreef op vrijdag 19 februari 2016 @ 08:37:
Wat dit soort virussen betreft is er voor virusscanners nog heel veel werk aan de winkel.
De meeste 'virussen' of 'nasty code' worden door middel van hashes en dergelijk door virusscanners opgeslagen. Het veranderen van 1 byte veranderd ook de behorende hash naar een compleet andere hash. Hierdoor kunnen de meeste antivirussen de boel niet langer meer detecteren (Denk aan windows defender, die werkt op basis van hashes). De betaalde en vaak goede zoals trend micro herkennen de daadwerkelijke code die erin zit en blokkeren dat.

Ik zou met een bedrijfsomgeving zeker geen risico willen nemen en besparen op een antivirus pakket ofzo. Ik download tegenwoordig ook bijna niets meer van internet (Usenet) waardoor de kans op besmetting nihil is. Op m'n eigen mailserver draait ook de laatste antivirus mee die voorkomt dat ik het uberhaubt ontvang. RBL blocking werkt ook uitstekend.

M'n magische bol werken.


  • fvdberg
  • Registratie: oktober 2010
  • Laatst online: 13-11 08:03
zie ook deze post met waardevolle informatie: http://blog.dynamoo.com/2...-rechnung-nr-2016131.html

  • Tobiasje10
  • Registratie: oktober 2013
  • Laatst online: 10-11 21:43
Heeft er iemand al iets op de Mac ervaren?

(Denk niet dat het voor Mac is vanwege het .exe file die OS X niet kan openen)

Tobiasje10 wijzigde deze reactie 19-02-2016 13:29 (49%)


  • NeFoRcE
  • Registratie: mei 2004
  • Laatst online: 13-11 18:33

NeFoRcE

Hallo? Bent u daar?

Altijd als ik dit soort posts zie wordt ik wat huiverig. Wat kun je als leek (bijv. mijn vader) nou doen om dit te voorkomen? Zelf heb ik wel een virusscanner, maar ook een NAS met daarop tig duizenden foto's en films welke van grote waarde zijn (films die ik zelf gefixt heb en waar maanden/jaren werk in zit). Het staat op een raid 1 setjes, en waarschijnlijk binnenkort ook op een externe HDD off-site. Maar hoe kan ik bijv ontdekken of ik al besmet ben, of mogelijk?

Professioneel Heftruck Syndroom


  • mugen4u1987
  • Registratie: juli 2010
  • Laatst online: 14:24
quote:
NeFoRcE schreef op vrijdag 19 februari 2016 @ 13:29:
Maar hoe kan ik bijv ontdekken of ik al besmet ben mogelijk?
Door te kijken of je bestanden gelocked zijn?

  • fvdberg
  • Registratie: oktober 2010
  • Laatst online: 13-11 08:03
zoek eens op ladybi.exe op je schijf. als die aanwezig is dan ben je besmet

  • u_nix_we_all
  • Registratie: augustus 2002
  • Niet online
quote:
NeFoRcE schreef op vrijdag 19 februari 2016 @ 13:29:
Altijd als ik dit soort posts zie wordt ik wat huiverig. Wat kun je als leek (bijv. mijn vader) nou doen om dit te voorkomen?
Niet op vage links klikken.
quote:
Zelf heb ik wel een virusscanner, maar ook een NAS met daarop tig duizenden foto's en films welke van grote waarde zijn (films die ik zelf gefixt heb en waar maanden/jaren werk in zit). Het staat op een raid 1 setjes, en waarschijnlijk binnenkort ook op een externe HDD off-site.
Best practice is sowieso een off-line backup te hebben. Want het is al zo vaak gezegd, raid is geen backup. Behalve virussen en ransomware zijn er tal van andere situaties waar raid geen bescherming voor biedt.
quote:
Maar hoe kan ik bijv ontdekken of ik al besmet ben mogelijk?
Je merkt het pas als je te laat bent meestal. Dus daarom, backups, backups, backups.

Wie terrabyte zegt, is een neptweaker. Of zeg je ook megga- , gigga- en killo-bytes ? PSN: jaap_10


  • FotW
  • Registratie: juli 2012
  • Laatst online: 06-11 12:33
Hier ook raak op het werk gisteren, gelukkig binnen 10 minuten opgemerkt waardoor de shares eruit gegooid konden worden en het grootste leed voorkomen is. Was gelijk een goeie test voor de backup.

  • Rannasha
  • Registratie: januari 2002
  • Laatst online: 11-11 04:57

Rannasha

aka "Species5618"

quote:
NeFoRcE schreef op vrijdag 19 februari 2016 @ 13:29:
Altijd als ik dit soort posts zie wordt ik wat huiverig. Wat kun je als leek (bijv. mijn vader) nou doen om dit te voorkomen? Zelf heb ik wel een virusscanner, maar ook een NAS met daarop tig duizenden foto's en films welke van grote waarde zijn (films die ik zelf gefixt heb en waar maanden/jaren werk in zit). Het staat op een raid 1 setjes, en waarschijnlijk binnenkort ook op een externe HDD off-site. Maar hoe kan ik bijv ontdekken of ik al besmet ben, of mogelijk?
Offline/readonly backups. Dat is het enige dat gegarandeerd werkt. Oppassen met welke links je klikt en je beveiliging up-to-date houden zullen een heleboel helpen natuurlijk, maar zelfs een zeer oplettende gebruiker loopt risico om een keer slachtoffer te worden.

Daarom heb ik al mijn bestanden met grote waarde (vnl foto's) gebackupped op een NAS met ZFS waar ik regelmatig een (read-only!) snapshot maak en tevens op een externe harddisk die in een kast in mijn kantoor op werk ligt.

Dutch StarCraft League || Vierkant voor Wiskunde || Olympus OM-D E-M1 MkII, 9-18, 12-40, 40-150, 70-300, 50


  • FreshMaker
  • Registratie: december 2003
  • Niet online
quote:
NeFoRcE schreef op vrijdag 19 februari 2016 @ 13:29:
Altijd als ik dit soort posts zie wordt ik wat huiverig. Wat kun je als leek (bijv. mijn vader) nou doen om dit te voorkomen? Zelf heb ik wel een virusscanner, maar ook een NAS met daarop tig duizenden foto's en films welke van grote waarde zijn (films die ik zelf gefixt heb en waar maanden/jaren werk in zit). Het staat op een raid 1 setjes, en waarschijnlijk binnenkort ook op een externe HDD off-site. Maar hoe kan ik bijv ontdekken of ik al besmet ben, of mogelijk?
RAID is GEEN backup !
Bij besmetting is de hele raidset corrupt, de uitspraak 'binnenkort' is ook al verkeerd.
Du het NU, niet straks, maar begin met de eerste backups, desnoods op oudere hdd's

Dan heb je in ieder geval een (schoon) startpunt, en bestel direct 1 of 2 hdd's voor die offsite backup.

* FreshMaker heeft er één in de bedrijfskluis liggen, en in de meterkast bij ouders.
Mijn PC en NAS hebben de "werk-kopieën"
( en de standaard uploadkwaliteit van google photo's, onbeperkte opslag met acceptabele loss in resolutie, voor als het ECHT misgegaan is )

  • Dirtbiter
  • Registratie: maart 2002
  • Laatst online: 09-10 20:01
Is er ook een eenvoudige manier om het creëren van .locky bestanden te blokkeren op een Synology NAS?

  • Morph3u55
  • Registratie: juli 2006
  • Laatst online: 13-11 22:51
quote:
Dirtbiter schreef op vrijdag 19 februari 2016 @ 16:09:
Is er ook een eenvoudige manier om het creëren van .locky bestanden te blokkeren op een Synology NAS?
Daar ben ik ook benieuwd naar.
Misschien tips voor Synology of andere NAS gebruikers?

  • thalantis
  • Registratie: augustus 1999
  • Laatst online: 12:18

thalantis

7220 Wp

Configuratie scherm
Bestandservices
Geavanceerde instellingen van windows bestandservice
Daar staat een optie bestanden blokkeren

ik weet alleen niet precies wat je daar in moet vullen

Jsunnyreports


  • Morph3u55
  • Registratie: juli 2006
  • Laatst online: 13-11 22:51
Volgens de help verbergt deze alleen de bestanden.

Bestanden blokkeren: verbergt bestanden volgens specifieke criteria. De criteria kunnen jokertekens (*) bevatten en meerdere items moeten met een schuine streep (/) worden gescheiden. Bijvoorbeeld: /abc*/*.txt/*.conf/. Inschakelen van deze optie zal de systeemprestaties beïnvloeden.

  • Mirage
  • Registratie: februari 2001
  • Laatst online: 13-11 11:38
Voor het blokkeren van dit bestandstype op je synology:

Log in op de synology web interface en open het configuratiescherm en ga naar bestandsservices ga dan naar geavanceerde instellingen.

vink daar bestanden blokkeren aan en voeg de volgende extensie toe. /*.locky/

Ik heb dit getest en dit bestand mag vervolgens niet meer opgeslagen worden met deze extensie.
Bestanden die al met deze extensie opgeslagen zijn worden zover ik kon zien verwijderd. daar het test bestand wat ik aangemaakt had voordat ik dit aanzette verdwenen was.

Verder moet je erop letten dat dit de netwerkservices op de synology herstart en je dus even je netwerkverbinding kwijt raakt gedurende een aantal seconden/minuut.

Mirage wijzigde deze reactie 19-02-2016 17:28 (5%)

https://www.zuidafrikareisopmaat.nl


  • masauri
  • Registratie: juli 2005
  • Laatst online: 13-11 17:45

masauri

aka qwybyte

Hier in België bij men werk vermoedelijk ook last van gehad. Zal komende tijd is meer info vragen.

De Grote GoT FG Kettingbrief - Deel 11 (Spinoff)


  • erikloman
  • Registratie: maart 2012
  • Laatst online: 13-11 11:25
HitmanPro.Alert met CryptoGuard voorkomt dat je bestanden en masse versleuteld raken. Deze software is in 2013 uitgebracht:
https://www.security.nl/p...chermt+tegen+CryptoLocker

Inmiddels zit Alert op versie 3.1 maar zelfs de 2 jaar oude versie voorkomt dat Locky je bestanden versleuteld:
https://twitter.com/markloman/status/699853365019279360

Hier nog een filmpje hoe het werkt:
YouTube: CryptoWall 3 and CTB-Locker defeated by HitmanPro.Alert

Alert beschermt ook je file shares tegen onbeschermde endpoints die je gedeelde bestanden op de share willen versleutelen.

erikloman wijzigde deze reactie 19-02-2016 18:30 (10%)


  • Dirtbiter
  • Registratie: maart 2002
  • Laatst online: 09-10 20:01
quote:
Mirage schreef op vrijdag 19 februari 2016 @ 17:27:
Ik heb dit getest en dit bestand mag vervolgens niet meer opgeslagen worden met deze extensie.
Bestanden die al met deze extensie opgeslagen zijn worden zover ik kon zien verwijderd. daar het test bestand wat ik aangemaakt had voordat ik dit aanzette verdwenen was.
Ik heb het ook even getest.

Je mag via Windows dan geen bestand meer aanmaken of naar je NAS kopiëren met die extensie.
In File Explorer van Synology mag het wel.
Bestaande bestanden met die extensie verdwijnen, maar komen terug wanneer je deze optie weer uitschakelt.

Voor Windows Verkenner is dit genoeg om te voorkomen dat je een bestand aanmaakt, hernoemt, of kopieert met de opgegeven extensie, omdat die acties mislukken.
De vraag is of het het virus ook tegenhoudt.

  • joi-c
  • Registratie: december 2010
  • Niet online
Is er een manier om thuis op een windows machine bepaalde bestandsextensies te blokkeren?

  • Alpha Bootis
  • Registratie: maart 2003
  • Laatst online: 15-07-2016
quote:
Felyrion schreef op donderdag 18 februari 2016 @ 23:10:
Bij ons vandaag ook al de eerste klant voorbij zien komen die deze te pakken had.


Na enig speurwerk lijkt het erop (komt ook terug in de blog van fvdberg) dat het blokkeren van de extentie .locky op al je shares voldoende is om de grootste schade te voorkomen.

Voor de sysadmins: dit is relatief makkelijk te realiseren op Server 2008 of 2012.

Hiervoor moet je op je file server de "File Server Resource Manager" geïnstalleerd hebben staan (Bij 2008: install role service, bij 2012 te vinden als server role onder File and Storage Services).
Dit kan uitgevoerd worden zonder reboot btw.

Na de installatie is "File Server Resource Manager" beschikbaar.

> Start dit op en ga naar File Screening Management > File Groups
Maak hier een nieuwe file group aan, geef het een leuk naampje en voeg *.locky toe aan de include groep.

> Ga naar File Screens en voeg een nieuwe File Screen toe. Blader naar je file share of de disk waarop deze aangeboden worden (uiteraard per share of per disk herhalen).
Kies vervolgens voor custom file screen properties en selecteer daar je net aangemaakte File Group (en maak evt. een template voor andere shares).

Hierna kan de .locky extentie niet meer op je file shares gebruikt of aangemaakt worden.


Tests hier lijken uit te wijzen dat dit de grootste schade voorkomt, maar we hebben het nog niet in de praktijk hoeven testen ;)

edit:
Wellicht is deze omschrijving wat helderder :*)
http://www.alexandreviot....nsions-on-shared-folders/
In Samba kan je /*.locky/ toevoegen aan de veto regel in je smb.conf om hetzelfde te bereiken.
Handig als je geen Windows servers hebt. :)
Denk dat dit opgaat voor veruit de meeste NAS systemen?

Praktijkvoorbeeld:
quote:
[sharebladieblanaam]

path = /home/sharebladieblanaammap
comment = blaat
browseable = Yes
read only = No
guest ok = No
veto files = /*.locky/
Samba behoeft wel even een cycle om je verandering op te pakken.

Alpha Bootis wijzigde deze reactie 19-02-2016 18:54 (8%)


  • erikloman
  • Registratie: maart 2012
  • Laatst online: 13-11 11:25
Blokkeren op bestandsextensie gaat beperkt werken tegen ransomware.

Voornamelijk omdat verschillende ransomware families (1) random extensies kiezen of (2) bekende extensies gebruiken:
1) http://www.bleepingcomput...-as-encrypted-file-names/
2) http://www.bleepingcomput...w-uses-the-mp3-extension/

  • fvdberg
  • Registratie: oktober 2010
  • Laatst online: 13-11 08:03
klopt, maar bij .locky is dit een vaststaand kenmerk, dus locky werkt het goed voor.

  • Alpha Bootis
  • Registratie: maart 2003
  • Laatst online: 15-07-2016
quote:
erikloman schreef op vrijdag 19 februari 2016 @ 19:10:
Blokkeren op bestandsextensie gaat beperkt werken tegen ransomware.

Voornamelijk omdat verschillende ransomware families (1) random extensies kiezen of (2) bekende extensies gebruiken:
1) http://www.bleepingcomput...-as-encrypted-file-names/
2) http://www.bleepingcomput...w-uses-the-mp3-extension/
Dit lijkt mij redelijk vanzelfsprekend. :)
Wellicht zijn alle maatregelen uiteindelijk dweilen met de kraan open echter als je de tijd kan vergroten voor antivirusboeren om hun definities bij te werken is dat op de korte termijn wellicht alsnog nuttig om even te doen. De effort die het kost is niet bepaald schokkend.

  • NTAuthority
  • Registratie: juli 2006
  • Laatst online: 13-11 21:13
Mja, bij mij kwam een paar dagen geleden zo'n e-mail met zeer verdachte .docm door mijn GApps-spamfilter in de inbox terecht... nu wordt vandaag de bijlage wel geblokkeerd door Google, maar toen deze mail eerst aankwam toch niet zo gauw, dus snap ik ook wel dat mensen denken 'oh, een document voor mij?'

De mijne claimde overigens van een of andere Britse overheidsinstantie te zijn...
quote:
Fixed Penalty Office
Driver and Vehicle Standards Agency | The Ellipse, Padley Road, Swansea,
SA1 8AN
Phone: 0300 123 9000
... met een 'receipt' voor mij.

  • MBV
  • Registratie: februari 2002
  • Laatst online: 13-11 22:47
Een slachtoffer heeft via mijn vader met mij contact gezocht. Een 80+ vrouw die instructie had gekregen van de computerwinkel dat de externe backup-schijf gewoon aan de computer kan blijven zitten :')
Ze heeft besloten dat ze gaat betalen voor decryptie. Mijn vader gaat haar vanmiddag helpen, en ik heb hem instructies gegeven de gegevens op de externe schijf te zetten, computer opnieuw te installeren, en mij de schijf te geven.

Wat moet ik doen om te zorgen dat die schijf niet hetzelfde virus verspreid? For obvious reasons ga ik hem niet aan een windows-installatie koppelen, dus hoe vind ik Locky met OS/X of Linux?

  • looc
  • Registratie: januari 2012
  • Laatst online: 12-11 14:30
quote:
MBV schreef op zaterdag 20 februari 2016 @ 12:02:
Een slachtoffer heeft via mijn vader met mij contact gezocht. Een 80+ vrouw die instructie had gekregen van de computerwinkel dat de externe backup-schijf gewoon aan de computer kan blijven zitten :')
Ze heeft besloten dat ze gaat betalen voor decryptie. Mijn vader gaat haar vanmiddag helpen, en ik heb hem instructies gegeven de gegevens op de externe schijf te zetten, computer opnieuw te installeren, en mij de schijf te geven.

Wat moet ik doen om te zorgen dat die schijf niet hetzelfde virus verspreid? For obvious reasons ga ik hem niet aan een windows-installatie koppelen, dus hoe vind ik Locky met OS/X of Linux?
Kans is groot dat alleen de bestanden een encrypted stand staat en dat voor de rest het virus niet op de USB zelf staat.In ieder geval gewoon geen *.exe dubbelklikken of inderdaad in linux bekijken.
Als de 'backup' gewoon het domweg kopieren van bestanden naar de schijf is, dan is het al heel snel gameover. Maar als er een echte backup werd gebruikt die een eigen container heeft, dan kan met relatief gemak de bestanden teruggehaald worden.

  • RobIII
  • Registratie: december 2001
  • Laatst online: 18:18

RobIII

Moderator Devschuur®

^ Romeinse 3 ja!

quote:
Jism schreef op vrijdag 19 februari 2016 @ 12:30:
[...]


De meeste 'virussen' of 'nasty code' worden door middel van hashes en dergelijk door virusscanners opgeslagen. Het veranderen van 1 byte veranderd ook de behorende hash naar een compleet andere hash. Hierdoor kunnen de meeste antivirussen de boel niet langer meer detecteren
Wat een klinkklare onzin. Zo'n beetje elk zichzelf respecterend antiviruspakket gebruikt op z'n minst een bepaalde vorm van heuristics en zelfs al is 't alleen maar gebaseerd op hashes* dan is 't op delen van de (virus)file, niet op complete files 8)7

* En die 'hashes' zijn dan vaak geen 'hashes' waar we 't doorgaans over hebben zoals SHA1 of MD5 (1 bit veranderen = compleet andere hash) maar 'fingerprints' / 'signatures' die een bepaalde mate van tolerantie ('afwijking') toestaan.

Ik ga er verder geen epistels over schrijven maar ik denk dat je je schromelijk verkijkt op hoe (zelfs de simpelste) virusscanners werken. Back in the 80's had je misschien nog een punt gehad.
quote:
Jism schreef op vrijdag 19 februari 2016 @ 12:30:
(Denk aan windows defender, die werkt op basis van hashes).
Bron?

RobIII wijzigde deze reactie 20-02-2016 16:37 (15%)

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Roses are red Violets are blue, Unexpected ‘{‘ on line 32.

Over mij


  • MBV
  • Registratie: februari 2002
  • Laatst online: 13-11 22:47
quote:
looc schreef op zaterdag 20 februari 2016 @ 16:09:
[...]

Kans is groot dat alleen de bestanden een encrypted stand staat en dat voor de rest het virus niet op de USB zelf staat.In ieder geval gewoon geen *.exe dubbelklikken of inderdaad in linux bekijken.
Als de 'backup' gewoon het domweg kopieren van bestanden naar de schijf is, dan is het al heel snel gameover. Maar als er een echte backup werd gebruikt die een eigen container heeft, dan kan met relatief gemak de bestanden teruggehaald worden.
80+ vrouw, dus ik verwacht het wel ja ;)
En trouwens: mijn eigen backups zijn niet heel veel anders. En als de backup-tool een .locky 'ondersteunde' extentie gebruikt doet je backup-programma er niks tegen.

[edit]
Niet goed geld weg. Bitcoin geld overgemaakt, 2 uur later geen link om te decrypten. Dus daarom: nooit geld overmaken naar criminelen. Dat wisten we al... :(

[edit2]
Kennelijk vond de bitcoin bank (hoe heet zo'n ding) iets niet goed genoeg gevalideerd, transactie staat 'on hold'. Dus misschien komt het nog goed. Helaas stijgt de bitcoin-koers nu als een malle, dus als ze dan de nieuwe wisselkoers gaan rekenen kost dat nog weer een paar tientjes meer :X Ik zie een grafiekje dat 1 BTC vandaag van $420 naar $450 is gegaan. Heeft hier vast niks mee te maken :+

MBV wijzigde deze reactie 20-02-2016 21:20 (26%)


  • Alpha Bootis
  • Registratie: maart 2003
  • Laatst online: 15-07-2016
quote:
MBV schreef op zaterdag 20 februari 2016 @ 12:02:
Een slachtoffer heeft via mijn vader met mij contact gezocht. Een 80+ vrouw die instructie had gekregen van de computerwinkel dat de externe backup-schijf gewoon aan de computer kan blijven zitten :')
8)7

Ik zou er serieus wakker van liggen als mensen data verliezen omdat ik ze zo'n halfbakken instructie geef. Vraag me echt af wat je malfunction is als je dat soort dingen gewoon roept. :')

  • MBV
  • Registratie: februari 2002
  • Laatst online: 13-11 22:47
Nog leuker: ze heeft een bedrijf betaald om de computer in te richten, en die heeft dat zo geadviseerd, dus niet eens de computerboer om de hoek 8)7. En ze hebben dus de waarschuwing uitgezet dat je een recovery-schijfje moet maken, zonder die ook aan te maken 8)7 Medion vond het niet nodig om een windows 8 licentie-sticker op de pc te plakken, bij de upgrade is er natuurlijk niks genoteerd wat de windows 10 licentiecode is, dus eens kijken hoe we dat gaan oplossen. Die PC gaat zonder Format C: niet meer gebruikt worden (en was niet te gebruiken, crashte bij zo ongeveer alles).

De Bitcoin-betaling is nu wel doorgelaten, en de decryptie is aan de gang. Het lijkt allemaal goed te gaan.

  • FlipFluitketel
  • Registratie: juli 2002
  • Laatst online: 17:39

FlipFluitketel

Frontpage Admin
quote:
MBV schreef op zondag 21 februari 2016 @ 18:27:
Nog leuker: ze heeft een bedrijf betaald om de computer in te richten, en die heeft dat zo geadviseerd, dus niet eens de computerboer om de hoek 8)7. En ze hebben dus de waarschuwing uitgezet dat je een recovery-schijfje moet maken, zonder die ook aan te maken 8)7 Medion vond het niet nodig om een windows 8 licentie-sticker op de pc te plakken, bij de upgrade is er natuurlijk niks genoteerd wat de windows 10 licentiecode is, dus eens kijken hoe we dat gaan oplossen. Die PC gaat zonder Format C: niet meer gebruikt worden (en was niet te gebruiken, crashte bij zo ongeveer alles).

De Bitcoin-betaling is nu wel doorgelaten, en de decryptie is aan de gang. Het lijkt allemaal goed te gaan.
offtopic:
Merk-pc's hebben over het algemeen geen Windows 8/10 licentie-sticker meer, die key zit in de bios/uefi/hoe je het wilt noemen. Kwestie van de juiste dvd gebruiken en het wordt zonder problemen geinstalleerd (als er oorspronkelijk 8 op stond kun je dus niet zomaar 8.1 installeren, hoe het precies zit met Windows 10 installeren op een origineel Windows 8(.1)-systeem durf ik zo niet te zeggen).

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!


  • MBV
  • Registratie: februari 2002
  • Laatst online: 13-11 22:47
offtopic:
Ik heb inmiddels begrepen dat dat veranderd is ja. Dat is heel handig: bij PC's zit geen Windows-installatiemedium meer. In de meeste computers past geen schijfje meer, en op een DVD past geen 16GB voor windows 10. Vroegâh, 10 jaar geleden, toen ik nog in een Paradigit-winkel stond...


[edit]
offtopic:
Sorry voor de rant richting M$, dat 'handige' systeem van geen installatie-schijfjes meer en geen licentiestickers komt gewoon gratis bij dit soort ongein erbij. Het is uiteraard met een half uurtje googlen wel te vinden hoe je aan je huidige licentie-code kan komen, en dan hoef je alleen maar even 16GB te downloaden.
En uiteraard staat dat compleet los van locky.

MBV wijzigde deze reactie 21-02-2016 19:49 (52%)


  • Wietsee.
  • Registratie: april 2010
  • Laatst online: 15:28
quote:
MBV schreef op zondag 21 februari 2016 @ 19:19:
offtopic:
Ik heb inmiddels begrepen dat dat veranderd is ja. Dat is heel handig: bij PC's zit geen Windows-installatiemedium meer. In de meeste computers past geen schijfje meer, en op een DVD past geen 16GB voor windows 10. Vroegâh, 10 jaar geleden, toen ik nog in een Paradigit-winkel stond...
Een Windows 8.1 productcode is eenvoudigweg gewoon uit te lezen op de desbetreffende computer met tal van programma's.

Web Enrichment - regenthet.in - Vakantiehuisje Vasse


  • Vermeulen
  • Registratie: april 2010
  • Niet online

Vermeulen

Stomp niet af, blijf slijpen

Als het een upgrade naar 10 betreft is de originele key omgezet naar een Win 10 licentie. Deze blijft legitiem als je beperkt hardware upgrade. Installeer gewoon een schone 10 Home of Pro, 32- of 64-bit (afhankelijk van oorspronkelijke systeem) en binnen 24 uur heeft er altijd een legitimiteits check plaatsgevonden en ben je weer geactiveerd.

Ja wat betreft de rest van de data en het missen van gebackupte bestanden.... Wijze les.
Een bedrijf betalen om je systeem goed in te richten zegt niet alles helaas! Vergelijk het maar de autohandel en garagisten.. Kom je soms ook beroerd van z'n plek na een dure reparatie, en als je voor garantie komt schoppen ze je van de dam..

Do whatever you love and you'll be free (Outlandish - Warrior // Worrier)


  • EricJH
  • Registratie: november 2003
  • Laatst online: 04:36
De sandbox van Comodo Internet Security suite is een goede beveiliging tegen cryptolockers. Als je daarnaast je data mappen onder Protected Data Folders zet dan kom je meer dan goed beslagen ten ijs.

  • Camacha
  • Registratie: april 2006
  • Laatst online: 03-07-2017

Camacha

Herder of bits.

quote:
Wietsee. schreef op zondag 21 februari 2016 @ 19:36:
Een Windows 8.1 productcode is eenvoudigweg gewoon uit te lezen op de desbetreffende computer met tal van programma's.
Ook als de computer grondig aan diggelen is geholpen door een virus?

Persuader of bytes.


  • Wim-Bart
  • Registratie: mei 2004
  • Laatst online: 13-11 22:35

Wim-Bart

Zie signature voor een baan.

quote:
Camacha schreef op maandag 22 februari 2016 @ 04:56:
[...]

Ook als de computer grondig aan diggelen is geholpen door een virus?
Ja ook dan. Gewoon Windows opnieuw installeren, met Windows 8, 8.1 en 10 kan je code vraag overslaan.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.


  • MBV
  • Registratie: februari 2002
  • Laatst online: 13-11 22:47
quote:
EricJH schreef op maandag 22 februari 2016 @ 04:13:
De sandbox van Comodo Internet Security suite is een goede beveiliging tegen cryptolockers. Als je daarnaast je data mappen onder Protected Data Folders zet dan kom je meer dan goed beslagen ten ijs.
Ik geloof best dat als je iets draait in een sandbox, dat je dan veilig bent. En ik geloof best dat ik hiervoor sowieso niet vatbaar ben, iets met common sense. Maar een 80+ vrouw kreeg irritante reclame (van Eneco of zoiets), en heeft op unsubscribe geklikt, waarna de hel is losgebarsten. Hoe gaat Comodo's Sandbox daartegen helpen, op een manier dat ze nog wel gewenste bijlages kan opslaan, en foto's van het grote boze internet (dropbox van een kleinkind) kan opslaan in haar 'mijn documenten' of zoiets?
quote:
Wim-Bart schreef op maandag 22 februari 2016 @ 05:05:
[...]


Ja ook dan. Gewoon Windows opnieuw installeren, met Windows 8, 8.1 en 10 kan je code vraag overslaan.
Dus gewoon Windows 10 downloaden, op een USB-stick zetten, en daarvan booten is genoeg? Hij zal niet vragen om de licentiecode omdat die in het Bios is opgeslagen? Dat zou mooi zijn.

MBV wijzigde deze reactie 22-02-2016 10:47 (21%)


  • Marc3l
  • Registratie: december 2005
  • Laatst online: 13-11 22:13
Op mijn werk ook een computer met dit virus. Ook met een invoice mailtje. Is geopend in Openoffice.

We hebben een gezamenlijke Dropbox dus ook onze bestanden daarin waren versleuteld.
Gelukkig heeft Dropbox versie beheer (en hebben een backupje kunnen maken van een computer die nog niet aan het netwerk heeft gehangen).

AVG heeft 3 detecties gedaan (2x wm/download en 1x js/downloader)
Net ook een scan gedaan met Ani Rooktkit maar die heeft niets gevonden.

Is het toch verstandig om Windows opnieuw te installeren?

  • RobIII
  • Registratie: december 2001
  • Laatst online: 18:18

RobIII

Moderator Devschuur®

^ Romeinse 3 ja!

quote:
Marc3l schreef op maandag 22 februari 2016 @ 12:23:


Is het toch verstandig om Windows opnieuw te installeren?
Het antwoord daarop is altijd ja. Na een infectie kun je (of je antivirus) altijd nog een "restje" over het hoofd zien. Een geïnfecteerd systeem is niet meer betrouwbaar, end of story.

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Roses are red Violets are blue, Unexpected ‘{‘ on line 32.

Over mij


  • carbidsjitter
  • Registratie: oktober 2009
  • Laatst online: 27-09 20:45
Windows iso's kun je hier downloaden, hoef je hun hulp programma ook niet te gebruiken:
https://www.microsoft.com/en-us/software-download/techbench

  • Marc3l
  • Registratie: december 2005
  • Laatst online: 13-11 22:13
quote:
RobIII schreef op maandag 22 februari 2016 @ 12:42:
[...]

Het antwoord daarop is altijd ja. Na een infectie kun je (of je antivirus) altijd nog een "restje" over het hoofd zien. Een geïnfecteerd systeem is niet meer betrouwbaar, end of story.
Bedankt voor je antwoord :)

  • Marcel1953
  • Registratie: februari 2016
  • Laatst online: 23-03-2018
What does this virus do with hidden shares with managed active directory user priveliges?

  • looc
  • Registratie: januari 2012
  • Laatst online: 12-11 14:30
quote:
Marcel1953 schreef op woensdag 24 februari 2016 @ 13:54:
What does this virus do with hidden shares with managed active directory user priveliges?
In case the infected user doesn't have permission to the share, nothing happens.
If the user has r/w rights, then naturally the files on the share will also be encrypted

  • Major 7
  • Registratie: augustus 2001
  • Laatst online: 21-10 15:06

Major 7

BOFH!

Gisteren een email binnen gekregen met als afzender:
admin
en als onderwerp:
Scanned Image
en een kleine bijlage van ca. 7KB.
De bijlage heeft de PKZIP header en dan de rest van het virus.
Technisch gezien een knap staaltje werk, denk ik dan als betrekkelijke leek op dit gebied.

Even later een kennis aan de telefoon, maar daar was het dus al te laat: alles versleuteld.

Het aparte was dat de afzender in mijn email een email adres gebrukte dat onder mijn eigen domein valt, dus:

admin@<mijn-eigen-domein.blah

Een andere kennis had het ook gekregen maar die had het gewist.

Het is dus nog steeds aan de gang en zolang mensen blijven betalen aan deze criminelen die dit equivalent van chemische oorlogsvoering gebruiken zal het ook niet stoppen.

De anti-virus boeren verantwoordelijk houden is niet waar de oplossing gezocht moet worden, maar in het gedrag van de mensen. (Backuppen en nooit betalen.)

UNFAQ --- Unfrequently Answered Question


  • redfoxert
  • Registratie: december 2000
  • Niet online
quote:
looc schreef op donderdag 25 februari 2016 @ 08:31:
[...]

In case the infected user doesn't have permission to the share, nothing happens.
If the user has r/w rights, then naturally the files on the share will also be encrypted
Hidden shares that are not mounted through a drive letter are not visible to users and/or the "virus". Hidden shares should not be affected.

Intel i5-2500K/GB Z68X-UD3H-B3/GB R9 290/2x8096MB Crucial Ballistix DDR3-1600/Crucial MX200 500GB/25" Dell 2515H


  • FlipFluitketel
  • Registratie: juli 2002
  • Laatst online: 17:39

FlipFluitketel

Frontpage Admin
quote:
redfoxert schreef op donderdag 25 februari 2016 @ 11:28:
[...]


Hidden shares that are not mounted through a drive letter are not visible to users and/or the "virus". Hidden shares should not be affected.
Helaas, ook "unmapped"-netwerkshares worden door dit virus te grazen genomen.

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!


  • redfoxert
  • Registratie: december 2000
  • Niet online
quote:
FlipFluitketel schreef op donderdag 25 februari 2016 @ 11:48:
[...]

Helaas, ook "unmapped"-netwerkshares worden door dit virus te grazen genomen.
Klopt, unmapped shares. Maar die worden vanaf het netwerk enumerated. Hidden shares kan je op die manier niet zien en zullen dan dus ook niet geraakt worden. Ik heb nog geen bewijs gezien dat ook unmapped hidden shares geraakt worden.

Intel i5-2500K/GB Z68X-UD3H-B3/GB R9 290/2x8096MB Crucial Ballistix DDR3-1600/Crucial MX200 500GB/25" Dell 2515H


  • looc
  • Registratie: januari 2012
  • Laatst online: 12-11 14:30
quote:
redfoxert schreef op donderdag 25 februari 2016 @ 11:28:
[...]


Hidden shares that are not mounted through a drive letter are not visible to users and/or the "virus". Hidden shares should not be affected.
Oh, hidden shares, yeah thought he meamt unmounted shares.
Although in theory, such a virus could try some well known hidden shares (C$), but probably with less luck.

  • Camacha
  • Registratie: april 2006
  • Laatst online: 03-07-2017

Camacha

Herder of bits.

quote:
looc schreef op donderdag 25 februari 2016 @ 17:43:
Although in theory, such a virus could try some well known hidden shares (C$), but probably with less luck.
Sommige bedrijfsnetwerken zouden weleens grote problemen kunnen krijgen als Locky dat probeert.

Persuader of bytes.


  • Alpha Bootis
  • Registratie: maart 2003
  • Laatst online: 15-07-2016
quote:
Camacha schreef op donderdag 25 februari 2016 @ 17:48:
[...]

Sommige bedrijfsnetwerken zouden weleens grote problemen kunnen krijgen als Locky dat probeert.
Volgens mij is er wel iets best wel goed stuk in je policy's als een random user zomaar een ander werkstations c drive kan benaderen EN schrijf rechten heeft...

  • Camacha
  • Registratie: april 2006
  • Laatst online: 03-07-2017

Camacha

Herder of bits.

quote:
Alpha Bootis schreef op donderdag 25 februari 2016 @ 18:38:
Volgens mij is er wel iets best wel goed stuk in je policy's als een random user zomaar een ander werkstations c drive kan benaderen EN schrijf rechten heeft...
Het hoort inderdaad niet, maar dat betekent niet dat het niet gebeurt :P

Persuader of bytes.


  • redfoxert
  • Registratie: december 2000
  • Niet online
quote:
Alpha Bootis schreef op donderdag 25 februari 2016 @ 18:38:
[...]


Volgens mij is er wel iets best wel goed stuk in je policy's als een random user zomaar een ander werkstations c drive kan benaderen EN schrijf rechten heeft...
In een klein bedrijf hoeft een (domain) admin maar de zooi binnen te krijgen en niet opletten en al je systemen zijn de sjaak. Ik heb het zien recent zien gebeuren met een malware, geen ransomware gelukkig.

Intel i5-2500K/GB Z68X-UD3H-B3/GB R9 290/2x8096MB Crucial Ballistix DDR3-1600/Crucial MX200 500GB/25" Dell 2515H


  • looc
  • Registratie: januari 2012
  • Laatst online: 12-11 14:30
quote:
Alpha Bootis schreef op donderdag 25 februari 2016 @ 18:38:
[...]


Volgens mij is er wel iets best wel goed stuk in je policy's als een random user zomaar een ander werkstations c drive kan benaderen EN schrijf rechten heeft...
Ik heb bedrijven gezien waarbij iedereen in een security group zit.
En deze security group had op alle domein pc en laptops local administrator rechten 8)7

looc wijzigde deze reactie 26-02-2016 09:47 (24%)
Reden: verkeerde persoon gequote


  • Alpha Bootis
  • Registratie: maart 2003
  • Laatst online: 15-07-2016
quote:
redfoxert schreef op donderdag 25 februari 2016 @ 20:26:
[...]


In een klein bedrijf hoeft een (domain) admin maar de zooi binnen te krijgen en niet opletten en al je systemen zijn de sjaak. Ik heb het zien recent zien gebeuren met een malware, geen ransomware gelukkig.
Je moet jezelf gewoon niet als Administrator inloggen op een werkstation, daar heeft bedrijfsomvang in de basis natuurlijk niet zo veel mee van doen.
Je heb administrator credentials als het goed is dus als er wat geinstalleerd of gedaan moet worden kan dat gewoon opgegeven worden op een per-case basis.

Sommige IT'ers lijken zichzelf door hun kennis tot een zeker niveau immuun te beschouwen en dan een beetje arrogant te worden met rechten die ze zichzelf geven maar ik vind dat hoogst onverstandig.
Ik ben een admin in een MKB bedrijf maar mijn "productie" account heeft niet meer rechten dan noodzakelijk om te voorzien in basistaken.
Ik maak helaas ook wel eens fouten, en daar moet gewoon rekening mee gehouden worden waar mogelijk.
quote:
looc schreef op vrijdag 26 februari 2016 @ 09:46:
[...]


Ik heb bedrijven gezien waarbij iedereen in een security group zit.
En deze security group had op alle domein pc en laptops local administrator rechten 8)7
Effectieve manier om jezelf als IT'er bij een uitbraak te voorzien van een lekkere migraineaanval. :)

Alpha Bootis wijzigde deze reactie 26-02-2016 10:18 (19%)


  • Qwerty-273
  • Registratie: oktober 2001
  • Laatst online: 18:42

Qwerty-273

Meukposter

Drobanir is de held!

Is er ergens een lijst met messagesubjects beschikbaar? We zien dat Locky bij ons ook binnenkomt en zouden graag zien wie het ontvangt op basis van onze mail gateway - de anti-virus zit verder dieper in de mail flow infra laag en pikt er een aantal uit. De rest wordt voornamelijk gedetecteerd door de av op de client (met 1 client die het toch voor elkaar kreeg om zichzelf te encrypten). Daarom willen we proberen te zien op basis van de mail logs zelf, waar we aandacht aan moeten besteden

Voorbeelden van subjects die we voorbij zien komen:
  • ATTN: Invoice J-78022281
  • VAT Invoice - Quote Ref: ES0142570
  • Order Conf. 3360069
  • [name] , Here is your VAT Invoice - Quote Reference: 0128020
  • [name] , Here is your VAT Invoice - Quote Ref: 0176850
  • [name], Here is your VAT Invoice - Quote Reference: 0174370ount today.|Ignoring this account hurts you and your company.|I want to remind you about your payment obligation|Information on your account|Disregarding this account hurts you|Unfortunately, you have an outstanding issue requiring your attention}

Ohh mooie meid, Erzsébet Bathory
iPod mini met 16GB


  • MBV
  • Registratie: februari 2002
  • Laatst online: 13-11 22:47
Ik zou zelf naar de vervolgstap kijken: hoe zorgt de mail ervoor dat de client wordt geinfecteerd, is dat via een attachment of via een link?
De eerste lijkt me simpel: als er een invoice of order met een word-document als attachment langskomt, zorg dat het wordt gecontroleerd
De tweede eigenlijk ook: als er een URL naar een IP-adres instaat (of misschien oostblok-domeinnaam) is het waarschijnlijk dat virus, normaal wordt er altijd naar een domein gebruikt voor serieuze applicaties. Dus als de regex http://[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+ matcht, is het waarschijnlijk gevaarlijk.

[captain-obvious]Clienten opvoeden lijkt me beter werken dan dit soort filters :+ [/]

  • Qwerty-273
  • Registratie: oktober 2001
  • Laatst online: 18:42

Qwerty-273

Meukposter

Drobanir is de held!

De mail is alleen maar drager van een methode om de daadwerkelijke cryptolocker te downloaden. Tot zover waren dat een Word document met macro's, een .js bestand en zelfs een .bat bestand.

https://www.microsoft.com...Name=Ransom:Win32/Locky.A
https://www.microsoft.com....aspx?Name=W97M/Bartallex
https://www.microsoft.com...janDownloader:BAT/Locky.A
https://www.microsoft.com...ojanDownloader:JS/Locky.A

De vervolgstap is inderdaad veel belangrijker, ie filtering/auditing van client traffic naar het internet, en natuurlijk een up to date av op de client zelf.

De analyse op de mail flow zelf is eerder om in kaart te brengen welke machines/gebruikers de inititele mail hebben kunnen ontvangen, ie de methode om vervolgens de cryptolocker te downloaden. Zodat daar gerichter actie op ondernomen kan worden door lokale teams. Vooral om de eerste uren te analyseren, waarbij waarschijnlijk de client av nog niet voldoende bescherming bood.

--edit
We zien trouwens ook de volgende "downloaders" terug aan onze kant. Aangezien dat Locky gerelateerd is aan Dridex, wellicht een recycle van de deployment tools oid.

https://www.microsoft.com...Downloader%3aO97M%2fAdnel
https://www.microsoft.com...n%3aO97M%2fMadeba.A%21det

https://www.microsoft.com...ry.aspx?Name=Win32/Drixed

Qwerty-273 wijzigde deze reactie 29-02-2016 11:51 (17%)

Ohh mooie meid, Erzsébet Bathory
iPod mini met 16GB


  • 2dope
  • Registratie: juni 2006
  • Laatst online: 17:41
quote:
Qwerty-273 schreef op vrijdag 26 februari 2016 @ 16:45:
Is er ergens een lijst met messagesubjects beschikbaar? We zien dat Locky bij ons ook binnenkomt en zouden graag zien wie het ontvangt op basis van onze mail gateway - de anti-virus zit verder dieper in de mail flow infra laag en pikt er een aantal uit. De rest wordt voornamelijk gedetecteerd door de av op de client (met 1 client die het toch voor elkaar kreeg om zichzelf te encrypten). Daarom willen we proberen te zien op basis van de mail logs zelf, waar we aandacht aan moeten besteden

Voorbeelden van subjects die we voorbij zien komen:
  • ATTN: Invoice J-78022281
  • VAT Invoice - Quote Ref: ES0142570
  • Order Conf. 3360069
  • [name] , Here is your VAT Invoice - Quote Reference: 0128020
  • [name] , Here is your VAT Invoice - Quote Ref: 0176850
  • [name], Here is your VAT Invoice - Quote Reference: 0174370ount today.|Ignoring this account hurts you and your company.|I want to remind you about your payment obligation|Information on your account|Disregarding this account hurts you|Unfortunately, you have an outstanding issue requiring your attention}
Ik heb ze bij een kennis ook in de Nederlandse variant voorbij zien komen, dus met 'factuur' in het onderwerp en in de bijlage een .ZIP-bestand. Berichten werden middels phishing verstuurd, dus ogenschijnlijk afkomstig vanuit het eigen e-maildomein.

Overigens lees ik her en der dat de meeste mensen een bedrag van 0,5 BTC moeten betalen voor de decryptor. Is dat nog ergens op gebaseerd of uit de lucht gegrepen? Op de geïnfecteerde laptop die ik in handen heb gehad wordt gevraagd om 3.00 BTC, dat is nogal exorbitant veel meer..

2dope wijzigde deze reactie 03-03-2016 14:21 (8%)


  • MBV
  • Registratie: februari 2002
  • Laatst online: 13-11 22:47
Mijn vader heeft het vorig weekend overgemaakt, nadat de BTC-'bank' de transactie goedkeurde kwam de decryptie op gang. Alles doet het nu weer.

3 BTC is wel een grove gok van die criminelen. Voor 0.5 BTC = €200 is het nog wel een moeilijke afweging, maar voor €1200 hadden we het nooit gedaan: de echt belangrijke gegevens waren ook ergens anders te vinden. Ze had USB-sticks als een soort foto-albums gemaakt, dat soort dingen.

  • Methmaniac
  • Registratie: december 2014
  • Laatst online: 04-10 16:52

Methmaniac

Nee, ik gebruik niet...

quote:
2dope schreef op donderdag 03 maart 2016 @ 14:08:

Overigens lees ik her en der dat de meeste mensen een bedrag van 0,5 BTC moeten betalen voor de decryptor. Is dat nog ergens op gebaseerd of uit de lucht gegrepen? Op de geïnfecteerde laptop die ik in handen heb gehad wordt gevraagd om 3.00 BTC, dat is nogal exorbitant veel meer..
Wij hebben al weer een aantal klanten met dit probleem gehad:
De eerste werd gevraagd om ~850 euro, de 2de om 2700 en de 3de om 4000.
Het is voor ons ook nog een beetje in het wilde weg gokken.
Het lijkt niet aan het aantal ge-encrypte bestanden of de totale grootte te liggen.
Ook het aantal ge-encrypte shares lijkt het niet te zijn.
Wat bij ons dan overblijft is dat deze manier succes heeft en het dus mogelijk kan zijn dat de prijs handmatig wordt verhoogt om meer geld binnen te krijgen.

‘You could have helped.’
'I’m helping by not helping.’
‘You’re the one with experience of these creatures.’
‘Children, Lobsang. They’re called children.’


  • Camacha
  • Registratie: april 2006
  • Laatst online: 03-07-2017

Camacha

Herder of bits.

quote:
MBV schreef op donderdag 03 maart 2016 @ 15:05:
Mijn vader heeft het vorig weekend overgemaakt, nadat de BTC-'bank' de transactie goedkeurde kwam de decryptie op gang. Alles doet het nu weer.
Hebben jullie alles daarna wel opnieuw geïnstalleerd?

Persuader of bytes.


  • MBV
  • Registratie: februari 2002
  • Laatst online: 13-11 22:47
quote:
Camacha schreef op donderdag 03 maart 2016 @ 16:22:
[...]

Hebben jullie alles daarna wel opnieuw geïnstalleerd?
Kleine verspreking: alle bestanden waren weer te lezen, de computer werkte sowieso voor geen meter meer :P Windows backup z'n werk laten doen, harde schijf geformatteerd, en from scratch opnieuw geinstalleerd.

Enige probleem nu nog: hoe laat je windows backup een backup herstellen op een verse installatie, geen standaard mogelijkheid :F

  • Methmaniac
  • Registratie: december 2014
  • Laatst online: 04-10 16:52

Methmaniac

Nee, ik gebruik niet...

Jaaaaaa, het is alweer raak... :F

Edit: Deze keer weer +-850 euro

Methmaniac wijzigde deze reactie 04-03-2016 13:08 (34%)

‘You could have helped.’
'I’m helping by not helping.’
‘You’re the one with experience of these creatures.’
‘Children, Lobsang. They’re called children.’


  • aardebewoner
  • Registratie: augustus 2012
  • Laatst online: 17-01-2018
Ik kreeg vandaag een rare mail van een onbekend iemand. De naam klonk wel Russisch (Anna Pomeshkina Anna.pomes hkina@gmail.com).

Er was geen inleiding of zo vrij direct kreeg ik in de mail de bijlage te zien. Het was een online bijlage, een link naar docusign om daar een document te bekijken en te 'ondertekenen'. Laat ik nou beroepshalve overeenkomsten met potentiële opdrachtgevers tekenen, en hun bijlages openen. Maar deze vertrouwde ik niet omdat ik de naam niet herkende en nooit mijn diensten heb aangeboden aan zo iemand laat staan op het punt zijn een samenwerkingsovereenkomst te sluiten. Ik opende daarom het bestand niet. Maar ik kan goed begrijpen hoe andere mensen dat zouden doen, zelfs ik op een veel minder oplettend moment zou blindelings erop geklikt kunnen hebben zonder de naam te controleren of de (het gebrek aan) inhoud.

Ik verwijderde vervolgens de mail door hem bij google als phishing/spam te rapporteren. Wat voor effect dat zal sorteren valt nog te bezien, in google rapporteren heb ik ervaringsgewijs niet zoveel vertrouwen in.

Ik ben vooral verbaasd/lichtelijk geschokt door het feit dat zo iemand aan mijn mailadres is gekomen. Ik bedoel waarom mij? Ik geloof niet dat ik mij ingelaten heb met rare internetfiguren de laatste tijd. Wel heb ik overigens voortdurend last van mailspam maar dat wordt voor mij netjes door google in het spamvak gefilterd- al zou ik liever hebben dat het fysiek afgeslagen wordt en daardoor mijn box niet eens bereikt, maar dat terzijde. Ik ben eerder bang dat zulke mensen ook in de toekomst kunnen proberen mij te slachtofferen met deze ongewenste mails want ze hebben nu eenmaal mijn mailadres. Hoera zeg. :F

De enige oplossing voor alle problemen is niet naar één oplossing te zoeken.


  • Vermeulen
  • Registratie: april 2010
  • Niet online

Vermeulen

Stomp niet af, blijf slijpen

Juist het markeren als spam/phishing zal eerder resulteren dat eenzelfde mail bij anderen eerder in de spambox verdwijnt. Uiteraard kan bij een volgende mail het voorkomen dat anderen deze juist markeren en dat jij hem dus niet eens ziet.

Hoe komen ze aan je mail adres? Gelekte database, slecht beveiligde webshop, mailinglist gekaapt enz. enz.
Geef of laat alleen wanneer hoognodig je mail adres af. En in geval van Android, tsja kwam ik van het weekend achter door iets voor iemand te installeren, je gmail adres staat al vooringevuld in een veld in de app, hopelijk wordt dit niet zomaar naar de servers van de app maker gestuurd! Want er zijn ook talloze apps die alleen maar uit zijn op data mining

Do whatever you love and you'll be free (Outlandish - Warrior // Worrier)


  • h199
  • Registratie: juli 2003
  • Laatst online: 05-03 20:15
Nu specifiek voor dit LOCKY virus :

Zijn er mensen die betaald hebben en de decrypt sleutel hebben gekregen ?
Ik heb een systeem die prijs heeft en de back-up niet in orde is.
Men vraagt 0,5 bitcoin wat nu wel nog te doen is, als je geen andere optie hebt.

  • MBV
  • Registratie: februari 2002
  • Laatst online: 13-11 22:47
Ja, toen de bitcoin-bank de transactie goedkeurde werd het systeem de dag erna ontsleuteld.

  • Ircghost
  • Registratie: februari 2010
  • Laatst online: 18:07

Ircghost

Moderator Spielerij

Honeybadger doesn't care!

quote:
Qwerty-273 schreef op vrijdag 26 februari 2016 @ 16:45:
Is er ergens een lijst met messagesubjects beschikbaar? We zien dat Locky bij ons ook binnenkomt en zouden graag zien wie het ontvangt op basis van onze mail gateway - de anti-virus zit verder dieper in de mail flow infra laag en pikt er een aantal uit. De rest wordt voornamelijk gedetecteerd door de av op de client (met 1 client die het toch voor elkaar kreeg om zichzelf te encrypten). Daarom willen we proberen te zien op basis van de mail logs zelf, waar we aandacht aan moeten besteden

Voorbeelden van subjects die we voorbij zien komen:
  • ATTN: Invoice J-78022281
  • VAT Invoice - Quote Ref: ES0142570
  • Order Conf. 3360069
  • [name] , Here is your VAT Invoice - Quote Reference: 0128020
  • [name] , Here is your VAT Invoice - Quote Ref: 0176850
  • [name], Here is your VAT Invoice - Quote Reference: 0174370ount today.|Ignoring this account hurts you and your company.|I want to remind you about your payment obligation|Information on your account|Disregarding this account hurts you|Unfortunately, you have an outstanding issue requiring your attention}
Ik heb er zo'n 20 gehad bij ons, ik zal eens kijken of een lijstje kan maken.
  • FW: Payment #119807
  • FW: Payment #237911
  • RE: Refund RF-574457
  • FW: Refund RF-574457
  • FW: Refund RF-251575
  • FW: Order F-326805
  • FW: Payment ACCEPTED M-972762
  • FW: Payment 16-03-#215269
  • FW: Invoice 2016-M#638432
  • FW: Invoice 2016-M#538645
  • FW: Invoice 2016-M#032657
  • RE: Unpaid Invoice #900460
  • FW: Shipping Information - Your Order #234-3877
  • Shipping Information - Your Order #534-6228
  • Ihre Paket ist am lager.
  • Transaction and Payment Confirmation
  • scanned image (gespoofed van ons eigen domein nog wel)
Dat was het een beetje voor nu. Dit zijn slechts enkele inboxen. Ik wil niet weten hoeveel er in de rest staat. Wij hebben ons spamhoster ook een extra filter aan laten zetten met betere scans op .zip's, maar dat lijkt nog weinig resultaat te hebben.

Ircghost wijzigde deze reactie 18-03-2016 11:00 (3%)


  • Web-Brielle
  • Registratie: februari 2011
  • Laatst online: 13-11 11:04
Hier maandag een klant in paniek..
CrySiS ransomware.
2,5 BTC moeten betalen, hierna nog niet alle bestanden terug..
Klein MKB met 7 werkstations, allemaal versleuteld.
Backup was al maanden niet gemaakt ("ja, HDD is kwijt en leek niet zo belangrijk").
Oude IT partij is direct de laan uitgestuurd (ook vanwege 3 jaar geen update te hebben uitgevoerd maar wel betalen).
Je krijgt na betaling een programma (decrypter), systeem laten scannen, weer mailen met de code en dan weer afwachten op een code terug.
Gelukkig netjes reactie elke keer gekregen.

  • Cereal
  • Registratie: maart 2001
  • Laatst online: 18:31
Bij een bekende is 't ook raak. Er wordt 3 BTC gevraagd. Er lijken dus nu maar een paar opties:

-Take your losses
-Wachten op evt decrypt tool van bonafide bedrijven.
-Betalen en decrypt tool krijgen
-Betalen en nooit meer wat van ze horen.

Hoe dan ook een pc reinstall.

Leuk weekeinde zo.

  • MBV
  • Registratie: februari 2002
  • Laatst online: 13-11 22:47
optie 2 lijkt me onmogelijk: ze houden ergens centraal bij met welke private key het encrypted is, ik kan me slecht voorstellen dat een bonafide bedrijf bij die centrale database kan komen.
optie 4 lijkt niet echt het geval.

Dus dan blijven er 2 opties over: take your losses, of zorg ervoor dat criminelen een financiele stimulans krijgen om dit soort dingen te ontwikkelen. Betalen lijkt me om die reden een slechte keuze, zeker als het om zoveel geld gaat.

  • Kuusj
  • Registratie: april 2012
  • Laatst online: 16:04

Kuusj

Ofwel varken in 't Limburgs

Laatst belde een oom me op met de vraag of ik wist wat met zijn PC aan de hand was, hij "kon geen programma's openen" en er verscheen een melding in beeld. Ik vermoedde al het ergste en stond binnen een half uur op de stoep. Na 5 seconden had ik het al gezien, alles gelocked...

Hoe het binnen is gekomen? Mijn nichtjes zoeken van alles op dat ding op, en ook vaak "antwoorden van huiswerk" en zulke zaken, waarschijnlijk is hij hierdoor of door een email-bijlage geïnfecteerd. Niets blijkt minder waar te zijn, want eenmaal daar vertelde mijn oom dat zijn werk-laptop met duizenden werk-gerelateerde bestanden eerder die week dezelfde melding had gekregen. Mijn tante kwam erbij staan, zegt dat bij haar op het werk ook een groot aandeel PC's eenzelfde soort "melding" kregen. Hoe, wat en waar alles precies is ge-encrypt zal dus nooit duidelijk worden, maar gelukkig heb ik er zelf een jaar geleden met klem op gehamerd dat ze zich alle foto's moesten back-uppen. De foto's vallen mij opeens in, en dan krijg ik te horen "ja, maar zo erg zal het toch wel niet zijn, of wel dan?"...

Een jaar aan niet back-upped foto's weg, werkbestanden weg, veel ellende voor mij erbij, en een wijze les. Ze waren op mijn oom zijn werk juist die week aan bezig om alles in de cloud te zetten, maar nu was er natuurlijk geen enkele backup.

Ouders in paniek, andere familieleden in paniek, paniek paniek en nog eens paniek, en wie mag weer voor een "oplossing" zorgen die niet bestaat? Juist...
Opeens wordt er na een RTL-nieuws aflevering aan mij gevraagd door diverse mensen om een back-up te maken, dit te doen, dat te doen en zus te doen. Jammer, ik heb wel meer te doen dan uren stressen 8)7 .

Laatste tijd trouwens echt een shit-load aan spamberichten in m'n mail, enkele kansenpareltjes met vermoedelijk cryptolockers van de afgelopen paar dagen:
- Invoice XEINV00659 from Tip Top Delivery
- RE: BACANORA MINERALS LTD - Order Number 69781/286466/64 status updated to order processing

Kuusj wijzigde deze reactie 20-03-2016 18:46 (8%)

R7 3700X - GTX1080 - Kever '74 - 5,025kWp (15x SunPower X21-335BLK & SolarEdge SE5000HD)


  • Vermeulen
  • Registratie: april 2010
  • Niet online

Vermeulen

Stomp niet af, blijf slijpen

quote:
kuusj98 schreef op zondag 20 maart 2016 @ 18:41:
Laatst belde een oom me op met de vraag of ik wist wat met zijn PC aan de hand was, hij "kon geen programma's openen" en er verscheen een melding in beeld. Ik vermoedde al het ergste en stond binnen een half uur op de stoep. Na 5 seconden had ik het al gezien, alles gelocked...

Hoe het binnen is gekomen? Mijn nichtjes zoeken van alles op dat ding op, en ook vaak "antwoorden van huiswerk" en zulke zaken, waarschijnlijk is hij hierdoor of door een email-bijlage geïnfecteerd. Niets blijkt minder waar te zijn, want eenmaal daar vertelde mijn oom dat zijn werk-laptop met duizenden werk-gerelateerde bestanden eerder die week dezelfde melding had gekregen. Mijn tante kwam erbij staan, zegt dat bij haar op het werk ook een groot aandeel PC's eenzelfde soort "melding" kregen. Hoe, wat en waar alles precies is ge-encrypt zal dus nooit duidelijk worden, maar gelukkig heb ik er zelf een jaar geleden met klem op gehamerd dat ze zich alle foto's moesten back-uppen. De foto's vallen mij opeens in, en dan krijg ik te horen "ja, maar zo erg zal het toch wel niet zijn, of wel dan?"...

Een jaar aan niet back-upped foto's weg, werkbestanden weg, veel ellende voor mij erbij, en een wijze les. Ze waren op mijn oom zijn werk juist die week aan bezig om alles in de cloud te zetten, maar nu was er natuurlijk geen enkele backup.

Ouders in paniek, andere familieleden in paniek, paniek paniek en nog eens paniek, en wie mag weer voor een "oplossing" zorgen die niet bestaat? Juist...
Opeens wordt er na een RTL-nieuws aflevering aan mij gevraagd door diverse mensen om een back-up te maken, dit te doen, dat te doen en zus te doen. Jammer, ik heb wel meer te doen dan uren stressen 8)7 .

Laatste tijd trouwens echt een shit-load aan spamberichten in m'n mail, enkele kansenpareltjes met vermoedelijk cryptolockers van de afgelopen paar dagen:
- Invoice XEINV00659 from Tip Top Delivery
- RE: BACANORA MINERALS LTD - Order Number 69781/286466/64 status updated to order processing
Je moet ook niet stressen en je van de wijs laten brengen. Gewoon meenemen die hap goed geld vragen, dat is een les. Familie of niet tips gegeven, genegeerd, blaren...

Eerlijk, ik doe ook veel onderhoud, herstel of installs voor weinig of ook vaak gratis. Maar deze ellende en kop in het zand mentaliteit pas ik een beetje voor. Uiteraard zorg ik wel voor behoorlijke beveiliging.

Do whatever you love and you'll be free (Outlandish - Warrior // Worrier)


  • Kuusj
  • Registratie: april 2012
  • Laatst online: 16:04

Kuusj

Ofwel varken in 't Limburgs

quote:
Vermeulen schreef op zondag 20 maart 2016 @ 19:34:
[...]

Je moet ook niet stressen en je van de wijs laten brengen. Gewoon meenemen die hap goed geld vragen, dat is een les. Familie of niet tips gegeven, genegeerd, blaren...

Eerlijk, ik doe ook veel onderhoud, herstel of installs voor weinig of ook vaak gratis. Maar deze ellende en kop in het zand mentaliteit pas ik een beetje voor. Uiteraard zorg ik wel voor behoorlijke beveiliging.
Wellicht ben ik te zorgzaam voor anderen hun spullen, en dan ben ik ook nog iemand die niet zomaar geld wil krijgen voor een klusje hier of daar. Helaas krijg je als systeembouwer al snel mensen aan de telefoon als er ook maar iets is wat niet 100% werkt, terwijl ik er natuurlijk niks aan kan doen dat ze niet weten hoe een printer werkt of dat ze geen "meek joer windhoos 1000% fastur wit wan klik!!1one!" software moeten installeren.

Zelfde met die verdomde cryptolockers, de mensen kunnen niks met hun PC, hebben geen backup gemaakt en vertrouwen vervolgens op de goedheid en kennis van hun neefje of vriend om voor een tientje even een hoop uren arbeid te leveren. In de zogenaamde computerwinkel betalen ze het tienvoudige en ik heb de ballen niet om te zeggen: "ja, dáág! Eigen schuld, dikke bult!"

Zolang virusscanners hun werk niet goed doen, mainstream-gebruikers blijven doen alsof hun verstand nog niet tot het einde van hun neus reikt en cryptolockers geld blijven krijgen van mensen die geen back-up hebben maar toch hun hele hebben en houden op dat ding hebben staan ben ik bang dat er voor iedere Tweaker nog méér dan genoeg werk is.

R7 3700X - GTX1080 - Kever '74 - 5,025kWp (15x SunPower X21-335BLK & SolarEdge SE5000HD)


  • Brilsmurfffje
  • Registratie: december 2007
  • Niet online

Brilsmurfffje

Parttime Prutser

quote:
kuusj98 schreef op zondag 20 maart 2016 @ 19:44:
[...]

Wellicht ben ik te zorgzaam voor anderen hun spullen, en dan ben ik ook nog iemand die niet zomaar geld wil krijgen voor een klusje hier of daar. Helaas krijg je als systeembouwer al snel mensen aan de telefoon als er ook maar iets is wat niet 100% werkt, terwijl ik er natuurlijk niks aan kan doen dat ze niet weten hoe een printer werkt of dat ze geen "meek joer windhoos 1000% fastur wit wan klik!!1one!" software moeten installeren.

Zelfde met die verdomde cryptolockers, de mensen kunnen niks met hun PC, hebben geen backup gemaakt en vertrouwen vervolgens op de goedheid en kennis van hun neefje of vriend om voor een tientje even een hoop uren arbeid te leveren. In de zogenaamde computerwinkel betalen ze het tienvoudige en ik heb de ballen niet om te zeggen: "ja, dáág! Eigen schuld, dikke bult!"

Zolang virusscanners hun werk niet goed doen, mainstream-gebruikers blijven doen alsof hun verstand nog niet tot het einde van hun neus reikt en cryptolockers geld blijven krijgen van mensen die geen back-up hebben maar toch hun hele hebben en houden op dat ding hebben staan ben ik bang dat er voor iedere Tweaker nog méér dan genoeg werk is.
Naar familieleden kan je je het beste opstellen als een consultant. Zo zal een familielid dat in de financiële beleggingswereld ook nooit geld van familieleden beleggen. Hij kan wel advies geven maar zal het nooit uitvoeren voor de familieleden.

Zo moet je ook omgaan met de computers van familieleden.

  • Methmaniac
  • Registratie: december 2014
  • Laatst online: 04-10 16:52

Methmaniac

Nee, ik gebruik niet...

Het blijft bij ons ook nog regelmatig voorkomen.
Je kunt je systeem dichtspijkeren wat je wilt maar het is altijd nog de mens die in dit geval de fout maakt.
En aangezien je je klanten ook niet altijd tegen hunzelf kunt beschermen zal dit nog wel vaker voorkomen (sommige klanten willen hier niets van weten want 'ze weten wel wat ze doen'. Totdat ze geïnfecteerd zijn en bij ons aankloppen: 'Het was ineens zo').
Het enige waardoor je de schade zoveel mogelijk beperkt is je back-up voor elkaar hebben en een plan hebben voor als het fout gaat.

‘You could have helped.’
'I’m helping by not helping.’
‘You’re the one with experience of these creatures.’
‘Children, Lobsang. They’re called children.’


  • da_PSI
  • Registratie: december 2003
  • Laatst online: 17:21
De laatste week heb ik hier 3 infecties gehad..., de ene vroeg om 0.5 de andere twee om 2 bitcoin. Het lulligste is dat 2 geen backups hebben en dus de foto's als verloren beschouwen...., de andere maakt een backup iedere week en heeft dus wel wat meer geluk...

Ik installeer eigenlijk altijd EMET op iedere welke ik ontvang, gezamelijk met Kaspersky Internet Security, maar in hoeverre beschermt dit het nu?

  • Camacha
  • Registratie: april 2006
  • Laatst online: 03-07-2017

Camacha

Herder of bits.

Wat is een extra manier om te controleren of je systeem niet onderhuids wordt aangetast? Hashes maken van de hele schijf en die periodiek vergelijken? Zoeken naar *lock* in bestandsnamen? Iets anders?

Persuader of bytes.


  • Keiichi
  • Registratie: juni 2005
  • Laatst online: 16:19
Op m'n mailserver bemerkt ik een vrij forse stijging in geinfecteerde mails. Helaas niet omdat m'n virusscanner ze eruit pakt, sterker nog met een analyse met virustotal.com: https://www.virustotal.co...ca89/analysis/1458594289/ lijkt het merendeel van de virusscanners niet op te pakken. (oa de virusscanners (clamav en f-prot) op mijn mailserver)

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/


  • Camacha
  • Registratie: april 2006
  • Laatst online: 03-07-2017

Camacha

Herder of bits.

quote:
Keiichi schreef op maandag 21 maart 2016 @ 22:34:
Op m'n mailserver bemerkt ik een vrij forse stijging in geinfecteerde mails. Helaas niet omdat m'n virusscanner ze eruit pakt, sterker nog met een analyse met virustotal.com: https://www.virustotal.co...ca89/analysis/1458594289/ lijkt het merendeel van de virusscanners niet op te pakken. (oa de virusscanners (clamav en f-prot) op mijn mailserver)
Hoe ontdek je nu dat het geïnfecteerde mails zijn?

Persuader of bytes.


  • dutchgio
  • Registratie: april 2012
  • Laatst online: 18:35
Order_details.zip zegt wel genoeg.
Kun je gewoon op filteren.

| Apple iPad 3rd generation 16GB | Synology DS112J | iOcean X7 | ZTE Nubia Z7 Mini | Xiaomi Redmi Note 3 | ZTE Axon 7 | XDA Recognized developer |


  • Keiichi
  • Registratie: juni 2005
  • Laatst online: 16:19
quote:
Camacha schreef op maandag 21 maart 2016 @ 22:35:
[...]

Hoe ontdek je nu dat het geïnfecteerde mails zijn?
Bestand opslaan, uploaden naar virustotal.com . En ik denk als ik 10x binnen een paar uur een zelfde mail krijg met m'n 'order status' (subjects als 'FW: Order Status #590365') dat ik ook ergens mag aanneme dat niet iemand per ongeluk zip files met echte informatie toestuurt.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

Pagina: 1 2 Laatste


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True