.LOCKY nieuwe crypto locker virus

Eergisteren nog een klant gehad die dit had gekregen.
Behalve de NAS was alles gebackupped. Laat nou net zijn dat de NAS ook te grazen was genomen...

Enige wat nog gedaan kan worden is de rechten op shares flink inscherpen om schade zoveel mogelijk te voorrkomen.

Hier ook een bekend probleem, volledige Windows installatie encrypted incl. alle shares van de server.

Zag vanmorgen ook een blog van @fvdberg voorbijkomen
Howto: .locky ransomware

Bij mij op het werk was vandaag deze ransomware ook actief.

Stomme was dat ik wel de locky bestanden zag in een openbare map van mij, maar niet direct actie ondernam. Het was mijn taak niet om het op te lossen, maar ik had het al vaak genoeg hier op Tweakers over dit onderwerp gelezen en ik had direct kunnen weten.

Degene die het wel op moesten lossen, kwamen erachter dat het van 1 computer kwam en die werd dan ook direct uit het netwerk gehaald. Ondanks dat al duizenden bestanden versleuteld waren op het netwerk.

Er wordt een backup teruggezet en die ene computer krijgt een nieuwe Windows installatie. Hopelijk dat dit voldoende is.

Bij ons vandaag ook al de eerste klant voorbij zien komen die deze te pakken had.


Na enig speurwerk lijkt het erop (komt ook terug in de blog van fvdberg) dat het blokkeren van de extentie .locky op al je shares voldoende is om de grootste schade te voorkomen.

Voor de sysadmins: dit is relatief makkelijk te realiseren op Server 2008 of 2012.

Hiervoor moet je op je file server de "File Server Resource Manager" geïnstalleerd hebben staan (Bij 2008: install role service, bij 2012 te vinden als server role onder File and Storage Services).
Dit kan uitgevoerd worden zonder reboot btw.

Na de installatie is "File Server Resource Manager" beschikbaar.

> Start dit op en ga naar File Screening Management > File Groups
Maak hier een nieuwe file group aan, geef het een leuk naampje en voeg *.locky toe aan de include groep.

> Ga naar File Screens en voeg een nieuwe File Screen toe. Blader naar je file share of de disk waarop deze aangeboden worden (uiteraard per share of per disk herhalen).
Kies vervolgens voor custom file screen properties en selecteer daar je net aangemaakte File Group (en maak evt. een template voor andere shares).

Hierna kan de .locky extentie niet meer op je file shares gebruikt of aangemaakt worden.


Tests hier lijken uit te wijzen dat dit de grootste schade voorkomt, maar we hebben het nog niet in de praktijk hoeven testen

edit:
Wellicht is deze omschrijving wat helderder
http://www.alexandreviot....nsions-on-shared-folders/

[ Voor 6% gewijzigd door Felyrion op 18-02-2016 23:16 ]

Tip: Eenvoudige ingrepen zoals deze kunnen al een hoop ellende voorkomen:

https://4sysops.com/archi...cker-and-other-ransomware

Verwijderd schreef op donderdag 18 februari 2016 @ 23:29:
Tip: Eenvoudige ingrepen zoals deze kunnen al een hoop ellende voorkomen:

https://4sysops.com/archi...cker-and-other-ransomware

Dat zijn inderdaad goede zaken om geregeld te hebben, maar eenvoudig wil ik ze niet noemen

Wel op technisch vlak, maar als de organisatie gewend is wel alle rechten en mogelijkheden te hebben (hier lopen we regelmatig tegenaan) dan zijn dit zware ingrepen om naar je eindgebruikers te verkopen.

We proberen over het algemeen meer de benadering te hanteren je backend hardened te maken. Leer je gebruikers dat belangrijke data altijd op de fileshare omgeving moet staan en beschouw de werkstations als een soort DMZ, uiteraard nog zoveel mogelijk beschermd.

Binnenkort wordt dit trouwens nog wat makkelijker als een aantal anti-virus producenten met anti-cryptolocker software uitkomen voor de serverkant. Deze zullen encryptie acties vanuit werkstations naar je netwerkshares detecteren en de werkstations blokkeren. Ik weet dat in elk geval Kaspersky daar eind deze maand de technische release van heeft.

kaspersky is inderdaad goed bezig op dit vlak. Ze waren ook een van de eersten die dit zeer vroeg al konden detecteren.

tests met applocker aan mijn kant hebben laten zien dat dit de infectie niet voorkomt. enkel de LadyBI.exe kan je er mee stoppen.

een beetje virusscanner die actief meedraait doet dat ook al.

ik zie echt meer waarde in de extensie blokkeren op de shares op de wijze zo als Felyrion beschrijft.

[ Voor 4% gewijzigd door fvdberg op 19-02-2016 08:27 ]

Wat dit soort virussen betreft is er voor virusscanners nog heel veel werk aan de winkel.

2 weken geleden kwam ik bij een klant waar de virusscanner net verlopen was (1 dag). Het eerste wat me opviel was de melding van Teslacrypt dat de bestanden versleuteld waren, zijn reactie "ow ja, die melding krijg ik ook al ruim een week" .

Toen hadden ze dus een mailtje gehad van "een bekende" met een bijlage die ze niet konden openen. Nee, hij zei het verkeerd, de bijlage konden ze wel openen maar er gebeurde niks (zichtbaar). Het mailtje hadden ze nog bewaard, dus even die bijlage opgeslagen en via virustotal.com gescand en daar werd het door maar 10 van de 54 virusscanners als virus gezien, ruim een week na de infectie. 3 dagen later nog eens gescand, 27 van de 54 virusscanners op virustotal gaven het nu aan.

Gelukkig waren bij hem alleen wat mapjes op het bureaublad versleuteld, maar in de documenten/afbeeldingen-mappen stonden wel al de tekst-bestandjes van Teslacrypt. Geen idee waarom dat niet versleuteld was maar het was wel gunstig want een backup was er natuurlijk niet..

Bij een paar klanten heb ik nu Malwarebytes Anti-Ransomware maar geinstalleerd.

Ook al een klant die er last van heeft gehad.
Klant de back-up natuuuuuuurlijk niet goed voor elkaar, shadow copies die verwijderd worden.

Na veel geklooi en proberen maar betaald...

Binnen een half uur alles weer unlocked.

Edit: Shadow copies verwijderd door .locky, uiteraard niet door de klant of ons zelf.

[ Voor 16% gewijzigd door Methmaniac op 19-02-2016 12:43 ]

ik heb vanuit mijn blog (Howto: .locky ransomware) even een link naar dit topic geplaatst

Methmaniac schreef op vrijdag 19 februari 2016 @ 08:40:
Ook al een klant die er last van heeft gehad.
Klant de back-up natuuuuuuurlijk niet goed voor elkaar, shadow copies die verwijderd worden.

Na veel geklooi en proberen maar betaald...

Binnen een half uur alles weer unlocked.

Quick fix inderdaad

Echter, Vanuit de community gedacht had je dit niet moeten doen. Je helpt door te betalen direct bij de instandhouding van Cryptoware.

Het is een slecht advies om te betalen. Zelfs bedrijven als Microsoft adviseren niet om te betalen.

De enige reden dat er steeds meer en geavanceerdere cryptoware bestaat is omdat er simpelweg veel geld valt te verdienen. Meer dan eens komt er na betaling geen oplossing. plus je geeft de groeperingen geld om nog een poging te doen door een nieuw kitje aan te schaffen waarmee je ontwikkelaars daarvan weer stimuleert om nog geavanceerdere/betere virussen te ontwikkelen.

en de cirkel is weer rond.

De enige manier om dit soort zaken te stoppen is niet betalen.

Wel ben ik erg benieuwd naar de decrypter die je hebt ontvangen, kan je me die doen toekomen?

fvdberg schreef op vrijdag 19 februari 2016 @ 11:50:
[...]


Quick fix inderdaad

Echter, Vanuit de community gedacht had je dit niet moeten doen. Je helpt door te betalen direct bij de instandhouding van Cryptoware.

Het is een slecht advies om te betalen. Zelfs bedrijven als Microsoft adviseren niet om te betalen.

De enige reden dat er steeds meer en geavanceerdere cryptoware bestaat is omdat er simpelweg veel geld valt te verdienen. Meer dan eens komt er na betaling geen oplossing. plus je geeft de groeperingen geld om nog een poging te doen door een nieuw kitje aan te schaffen waarmee je ontwikkelaars daarvan weer stimuleert om nog geavanceerdere/betere virussen te ontwikkelen.

en de cirkel is weer rond.

De enige manier om dit soort zaken te stoppen is niet betalen.

Wel ben ik erg benieuwd naar de decrypter die je hebt ontvangen, kan je me die doen toekomen?

Inderdaad, dit was in de eerste instantie ook niet de bedoeling om te doen.
Maar gezien de stappen die we al ondernomen hadden (zowel intern als daarbuiten) -zoals zelf de bestanden bekijken, internet raadplegen, contact opnemen met het bedrijf dat de security deed van de klant en het indienen van tickets- en de mate waarin de klant afhankelijk was van de server toch maar besloten om het bedrag over te maken.

Zelf hebben we wel al onze andere klanten al ingelicht en zijn we al bezig met het bekijken van de unlocker en hier tests mee uit te voeren om vaker te gebruiken. Danwel bij dezelfde klant als bij anderen.
Op het moment lijkt het erop dat de unlocker alleen werkt met een unieke gegenereerde code die in de bestandsnaam en het bestand zelf opgenomen wordt maar alle bestanden wel scant op de .locky extensie.

Heb je een adres waar het heen kan? (denk aan beveiligde omgeving, hier zelf nog geen last van gehad maar you never know)

[ Voor 3% gewijzigd door Methmaniac op 19-02-2016 12:25 ]

Ter info:

Het gaat helemaal los in Duitsland, Heisse heeft het over 5000 besmettingen per uur

http://www.heise.de/newst...n-pro-Stunde-3111774.html

Overigens wordt deze op dit moment verspreid in een duitse mail met als onderwerp Rechnung Nr. 2013_131

En de volgende tekst:

Sehr geehrte Damen und Herren,

bitte korrigieren Sie auch bei der Rechnung im Anhang den Adressaten:

LFW Ludwigsluster Fleisch- und Wurstspezialitäten
GmbH & Co.KG

Vielen Dank!


Mit freundlichen Grüßen

Anke Füldner

Finanzbuchhaltung

Tel.: 03874-4********
Fax: 03874-4********
E-Mail: fueldner@lfw-l********t.de

fvdberg schreef op vrijdag 19 februari 2016 @ 12:25:
Ter info:

Het gaat helemaal los in Duitsland, Heisse heeft het over 5000 besmettingen per uur

http://www.heise.de/newst...n-pro-Stunde-3111774.html

Overigens wordt deze op dit moment verspreid in een duitse mail met de naam

Rechnung Nr. 2013_131

En de volgende tekst:


[...]

Duitsland was als ik het goed had ook waar de eerste melding binnenkwam.

Nee India, de vermoedelijke oorsprong ligt in Duitsland.

Zie mijn Blog: Howto: .locky ransomware

FlipFluitketel schreef op vrijdag 19 februari 2016 @ 08:37:
Wat dit soort virussen betreft is er voor virusscanners nog heel veel werk aan de winkel.

De meeste 'virussen' of 'nasty code' worden door middel van hashes en dergelijk door virusscanners opgeslagen. Het veranderen van 1 byte veranderd ook de behorende hash naar een compleet andere hash. Hierdoor kunnen de meeste antivirussen de boel niet langer meer detecteren (Denk aan windows defender, die werkt op basis van hashes). De betaalde en vaak goede zoals trend micro herkennen de daadwerkelijke code die erin zit en blokkeren dat.

Ik zou met een bedrijfsomgeving zeker geen risico willen nemen en besparen op een antivirus pakket ofzo. Ik download tegenwoordig ook bijna niets meer van internet (Usenet) waardoor de kans op besmetting nihil is. Op m'n eigen mailserver draait ook de laatste antivirus mee die voorkomt dat ik het uberhaubt ontvang. RBL blocking werkt ook uitstekend.

zie ook deze post met waardevolle informatie: http://blog.dynamoo.com/2...-rechnung-nr-2016131.html

Heeft er iemand al iets op de Mac ervaren?

(Denk niet dat het voor Mac is vanwege het .exe file die OS X niet kan openen)

[ Voor 49% gewijzigd door Tobiasje10 op 19-02-2016 13:29 ]

Altijd als ik dit soort posts zie wordt ik wat huiverig. Wat kun je als leek (bijv. mijn vader) nou doen om dit te voorkomen? Zelf heb ik wel een virusscanner, maar ook een NAS met daarop tig duizenden foto's en films welke van grote waarde zijn (films die ik zelf gefixt heb en waar maanden/jaren werk in zit). Het staat op een raid 1 setjes, en waarschijnlijk binnenkort ook op een externe HDD off-site. Maar hoe kan ik bijv ontdekken of ik al besmet ben, of mogelijk?

NeFoRcE schreef op vrijdag 19 februari 2016 @ 13:29:
Maar hoe kan ik bijv ontdekken of ik al besmet ben mogelijk?

Door te kijken of je bestanden gelocked zijn?

zoek eens op ladybi.exe op je schijf. als die aanwezig is dan ben je besmet

NeFoRcE schreef op vrijdag 19 februari 2016 @ 13:29:
Altijd als ik dit soort posts zie wordt ik wat huiverig. Wat kun je als leek (bijv. mijn vader) nou doen om dit te voorkomen?

Niet op vage links klikken.

Zelf heb ik wel een virusscanner, maar ook een NAS met daarop tig duizenden foto's en films welke van grote waarde zijn (films die ik zelf gefixt heb en waar maanden/jaren werk in zit). Het staat op een raid 1 setjes, en waarschijnlijk binnenkort ook op een externe HDD off-site.

Best practice is sowieso een off-line backup te hebben. Want het is al zo vaak gezegd, raid is geen backup. Behalve virussen en ransomware zijn er tal van andere situaties waar raid geen bescherming voor biedt.

Maar hoe kan ik bijv ontdekken of ik al besmet ben mogelijk?

Je merkt het pas als je te laat bent meestal. Dus daarom, backups, backups, backups.

Hier ook raak op het werk gisteren, gelukkig binnen 10 minuten opgemerkt waardoor de shares eruit gegooid konden worden en het grootste leed voorkomen is. Was gelijk een goeie test voor de backup.

NeFoRcE schreef op vrijdag 19 februari 2016 @ 13:29:
Altijd als ik dit soort posts zie wordt ik wat huiverig. Wat kun je als leek (bijv. mijn vader) nou doen om dit te voorkomen? Zelf heb ik wel een virusscanner, maar ook een NAS met daarop tig duizenden foto's en films welke van grote waarde zijn (films die ik zelf gefixt heb en waar maanden/jaren werk in zit). Het staat op een raid 1 setjes, en waarschijnlijk binnenkort ook op een externe HDD off-site. Maar hoe kan ik bijv ontdekken of ik al besmet ben, of mogelijk?

Offline/readonly backups. Dat is het enige dat gegarandeerd werkt. Oppassen met welke links je klikt en je beveiliging up-to-date houden zullen een heleboel helpen natuurlijk, maar zelfs een zeer oplettende gebruiker loopt risico om een keer slachtoffer te worden.

Daarom heb ik al mijn bestanden met grote waarde (vnl foto's) gebackupped op een NAS met ZFS waar ik regelmatig een (read-only!) snapshot maak en tevens op een externe harddisk die in een kast in mijn kantoor op werk ligt.

NeFoRcE schreef op vrijdag 19 februari 2016 @ 13:29:
Altijd als ik dit soort posts zie wordt ik wat huiverig. Wat kun je als leek (bijv. mijn vader) nou doen om dit te voorkomen? Zelf heb ik wel een virusscanner, maar ook een NAS met daarop tig duizenden foto's en films welke van grote waarde zijn (films die ik zelf gefixt heb en waar maanden/jaren werk in zit). Het staat op een raid 1 setjes, en waarschijnlijk binnenkort ook op een externe HDD off-site. Maar hoe kan ik bijv ontdekken of ik al besmet ben, of mogelijk?

RAID is GEEN backup !
Bij besmetting is de hele raidset corrupt, de uitspraak 'binnenkort' is ook al verkeerd.
Du het NU, niet straks, maar begin met de eerste backups, desnoods op oudere hdd's

Dan heb je in ieder geval een (schoon) startpunt, en bestel direct 1 of 2 hdd's voor die offsite backup.

* FreshMaker heeft er één in de bedrijfskluis liggen, en in de meterkast bij ouders.
Mijn PC en NAS hebben de "werk-kopieën"
( en de standaard uploadkwaliteit van google photo's, onbeperkte opslag met acceptabele loss in resolutie, voor als het ECHT misgegaan is )

Is er ook een eenvoudige manier om het creëren van .locky bestanden te blokkeren op een Synology NAS?

Dirtbiter schreef op vrijdag 19 februari 2016 @ 16:09:
Is er ook een eenvoudige manier om het creëren van .locky bestanden te blokkeren op een Synology NAS?

Daar ben ik ook benieuwd naar.
Misschien tips voor Synology of andere NAS gebruikers?

Configuratie scherm
Bestandservices
Geavanceerde instellingen van windows bestandservice
Daar staat een optie bestanden blokkeren

ik weet alleen niet precies wat je daar in moet vullen

Volgens de help verbergt deze alleen de bestanden.

Bestanden blokkeren: verbergt bestanden volgens specifieke criteria. De criteria kunnen jokertekens (*) bevatten en meerdere items moeten met een schuine streep (/) worden gescheiden. Bijvoorbeeld: /abc*/*.txt/*.conf/. Inschakelen van deze optie zal de systeemprestaties beïnvloeden.

Voor het blokkeren van dit bestandstype op je synology:

Log in op de synology web interface en open het configuratiescherm en ga naar bestandsservices ga dan naar geavanceerde instellingen.

vink daar bestanden blokkeren aan en voeg de volgende extensie toe. /*.locky/

Ik heb dit getest en dit bestand mag vervolgens niet meer opgeslagen worden met deze extensie.
Bestanden die al met deze extensie opgeslagen zijn worden zover ik kon zien verwijderd. daar het test bestand wat ik aangemaakt had voordat ik dit aanzette verdwenen was.

Verder moet je erop letten dat dit de netwerkservices op de synology herstart en je dus even je netwerkverbinding kwijt raakt gedurende een aantal seconden/minuut.

[ Voor 5% gewijzigd door Mirage op 19-02-2016 17:28 ]

Hier in België bij men werk vermoedelijk ook last van gehad. Zal komende tijd is meer info vragen.

HitmanPro.Alert met CryptoGuard voorkomt dat je bestanden en masse versleuteld raken. Deze software is in 2013 uitgebracht:
https://www.security.nl/p...chermt+tegen+CryptoLocker

Inmiddels zit Alert op versie 3.1 maar zelfs de 2 jaar oude versie voorkomt dat Locky je bestanden versleuteld:
https://twitter.com/markloman/status/699853365019279360

Hier nog een filmpje hoe het werkt:
YouTube: CryptoWall 3 and CTB-Locker defeated by HitmanPro.Alert

Alert beschermt ook je file shares tegen onbeschermde endpoints die je gedeelde bestanden op de share willen versleutelen.

[ Voor 10% gewijzigd door erikloman op 19-02-2016 18:30 ]

Mirage schreef op vrijdag 19 februari 2016 @ 17:27:
Ik heb dit getest en dit bestand mag vervolgens niet meer opgeslagen worden met deze extensie.
Bestanden die al met deze extensie opgeslagen zijn worden zover ik kon zien verwijderd. daar het test bestand wat ik aangemaakt had voordat ik dit aanzette verdwenen was.

Ik heb het ook even getest.

Je mag via Windows dan geen bestand meer aanmaken of naar je NAS kopiëren met die extensie.
In File Explorer van Synology mag het wel.
Bestaande bestanden met die extensie verdwijnen, maar komen terug wanneer je deze optie weer uitschakelt.

Voor Windows Verkenner is dit genoeg om te voorkomen dat je een bestand aanmaakt, hernoemt, of kopieert met de opgegeven extensie, omdat die acties mislukken.
De vraag is of het het virus ook tegenhoudt.

Is er een manier om thuis op een windows machine bepaalde bestandsextensies te blokkeren?

Felyrion schreef op donderdag 18 februari 2016 @ 23:10:
Bij ons vandaag ook al de eerste klant voorbij zien komen die deze te pakken had.


Na enig speurwerk lijkt het erop (komt ook terug in de blog van fvdberg) dat het blokkeren van de extentie .locky op al je shares voldoende is om de grootste schade te voorkomen.

Voor de sysadmins: dit is relatief makkelijk te realiseren op Server 2008 of 2012.

Hiervoor moet je op je file server de "File Server Resource Manager" geïnstalleerd hebben staan (Bij 2008: install role service, bij 2012 te vinden als server role onder File and Storage Services).
Dit kan uitgevoerd worden zonder reboot btw.

Na de installatie is "File Server Resource Manager" beschikbaar.

> Start dit op en ga naar File Screening Management > File Groups
Maak hier een nieuwe file group aan, geef het een leuk naampje en voeg *.locky toe aan de include groep.

> Ga naar File Screens en voeg een nieuwe File Screen toe. Blader naar je file share of de disk waarop deze aangeboden worden (uiteraard per share of per disk herhalen).
Kies vervolgens voor custom file screen properties en selecteer daar je net aangemaakte File Group (en maak evt. een template voor andere shares).

Hierna kan de .locky extentie niet meer op je file shares gebruikt of aangemaakt worden.


Tests hier lijken uit te wijzen dat dit de grootste schade voorkomt, maar we hebben het nog niet in de praktijk hoeven testen

edit:
Wellicht is deze omschrijving wat helderder
http://www.alexandreviot....nsions-on-shared-folders/

In Samba kan je /*.locky/ toevoegen aan de veto regel in je smb.conf om hetzelfde te bereiken.
Handig als je geen Windows servers hebt.
Denk dat dit opgaat voor veruit de meeste NAS systemen?

Praktijkvoorbeeld:

[sharebladieblanaam]

path = /home/sharebladieblanaammap
comment = blaat
browseable = Yes
read only = No
guest ok = No
veto files = /*.locky/

Samba behoeft wel even een cycle om je verandering op te pakken.

[ Voor 8% gewijzigd door Verwijderd op 19-02-2016 18:54 ]

Blokkeren op bestandsextensie gaat beperkt werken tegen ransomware.

Voornamelijk omdat verschillende ransomware families (1) random extensies kiezen of (2) bekende extensies gebruiken:
1) http://www.bleepingcomput...-as-encrypted-file-names/
2) http://www.bleepingcomput...w-uses-the-mp3-extension/

klopt, maar bij .locky is dit een vaststaand kenmerk, dus locky werkt het goed voor.

erikloman schreef op vrijdag 19 februari 2016 @ 19:10:
Blokkeren op bestandsextensie gaat beperkt werken tegen ransomware.

Voornamelijk omdat verschillende ransomware families (1) random extensies kiezen of (2) bekende extensies gebruiken:
1) http://www.bleepingcomput...-as-encrypted-file-names/
2) http://www.bleepingcomput...w-uses-the-mp3-extension/

Dit lijkt mij redelijk vanzelfsprekend.
Wellicht zijn alle maatregelen uiteindelijk dweilen met de kraan open echter als je de tijd kan vergroten voor antivirusboeren om hun definities bij te werken is dat op de korte termijn wellicht alsnog nuttig om even te doen. De effort die het kost is niet bepaald schokkend.

Mja, bij mij kwam een paar dagen geleden zo'n e-mail met zeer verdachte .docm door mijn GApps-spamfilter in de inbox terecht... nu wordt vandaag de bijlage wel geblokkeerd door Google, maar toen deze mail eerst aankwam toch niet zo gauw, dus snap ik ook wel dat mensen denken 'oh, een document voor mij?'

De mijne claimde overigens van een of andere Britse overheidsinstantie te zijn...

Fixed Penalty Office
Driver and Vehicle Standards Agency | The Ellipse, Padley Road, Swansea,
SA1 8AN
Phone: 0300 123 9000

... met een 'receipt' voor mij.

Een slachtoffer heeft via mijn vader met mij contact gezocht. Een 80+ vrouw die instructie had gekregen van de computerwinkel dat de externe backup-schijf gewoon aan de computer kan blijven zitten
Ze heeft besloten dat ze gaat betalen voor decryptie. Mijn vader gaat haar vanmiddag helpen, en ik heb hem instructies gegeven de gegevens op de externe schijf te zetten, computer opnieuw te installeren, en mij de schijf te geven.

Wat moet ik doen om te zorgen dat die schijf niet hetzelfde virus verspreid? For obvious reasons ga ik hem niet aan een windows-installatie koppelen, dus hoe vind ik Locky met OS/X of Linux?

MBV schreef op zaterdag 20 februari 2016 @ 12:02:
Een slachtoffer heeft via mijn vader met mij contact gezocht. Een 80+ vrouw die instructie had gekregen van de computerwinkel dat de externe backup-schijf gewoon aan de computer kan blijven zitten
Ze heeft besloten dat ze gaat betalen voor decryptie. Mijn vader gaat haar vanmiddag helpen, en ik heb hem instructies gegeven de gegevens op de externe schijf te zetten, computer opnieuw te installeren, en mij de schijf te geven.

Wat moet ik doen om te zorgen dat die schijf niet hetzelfde virus verspreid? For obvious reasons ga ik hem niet aan een windows-installatie koppelen, dus hoe vind ik Locky met OS/X of Linux?

Kans is groot dat alleen de bestanden een encrypted stand staat en dat voor de rest het virus niet op de USB zelf staat.In ieder geval gewoon geen *.exe dubbelklikken of inderdaad in linux bekijken.
Als de 'backup' gewoon het domweg kopieren van bestanden naar de schijf is, dan is het al heel snel gameover. Maar als er een echte backup werd gebruikt die een eigen container heeft, dan kan met relatief gemak de bestanden teruggehaald worden.

Verwijderd schreef op vrijdag 19 februari 2016 @ 12:30:
[...]


De meeste 'virussen' of 'nasty code' worden door middel van hashes en dergelijk door virusscanners opgeslagen. Het veranderen van 1 byte veranderd ook de behorende hash naar een compleet andere hash. Hierdoor kunnen de meeste antivirussen de boel niet langer meer detecteren

Wat een klinkklare onzin. Zo'n beetje elk zichzelf respecterend antiviruspakket gebruikt op z'n minst een bepaalde vorm van heuristics en zelfs al is 't alleen maar gebaseerd op hashes* dan is 't op delen van de (virus)file, niet op complete files

* En die 'hashes' zijn dan vaak geen 'hashes' waar we 't doorgaans over hebben zoals SHA1 of MD5 (1 bit veranderen = compleet andere hash) maar 'fingerprints' / 'signatures' die een bepaalde mate van tolerantie ('afwijking') toestaan.

Ik ga er verder geen epistels over schrijven maar ik denk dat je je schromelijk verkijkt op hoe (zelfs de simpelste) virusscanners werken. Back in the 80's had je misschien nog een punt gehad.

Verwijderd schreef op vrijdag 19 februari 2016 @ 12:30:
(Denk aan windows defender, die werkt op basis van hashes).

Bron?

[ Voor 15% gewijzigd door RobIII op 20-02-2016 16:37 ]

looc schreef op zaterdag 20 februari 2016 @ 16:09:
[...]

Kans is groot dat alleen de bestanden een encrypted stand staat en dat voor de rest het virus niet op de USB zelf staat.In ieder geval gewoon geen *.exe dubbelklikken of inderdaad in linux bekijken.
Als de 'backup' gewoon het domweg kopieren van bestanden naar de schijf is, dan is het al heel snel gameover. Maar als er een echte backup werd gebruikt die een eigen container heeft, dan kan met relatief gemak de bestanden teruggehaald worden.

80+ vrouw, dus ik verwacht het wel ja
En trouwens: mijn eigen backups zijn niet heel veel anders. En als de backup-tool een .locky 'ondersteunde' extentie gebruikt doet je backup-programma er niks tegen.

[edit]
Niet goed geld weg. Bitcoin geld overgemaakt, 2 uur later geen link om te decrypten. Dus daarom: nooit geld overmaken naar criminelen. Dat wisten we al...

[edit2]
Kennelijk vond de bitcoin bank (hoe heet zo'n ding) iets niet goed genoeg gevalideerd, transactie staat 'on hold'. Dus misschien komt het nog goed. Helaas stijgt de bitcoin-koers nu als een malle, dus als ze dan de nieuwe wisselkoers gaan rekenen kost dat nog weer een paar tientjes meer Ik zie een grafiekje dat 1 BTC vandaag van $420 naar $450 is gegaan. Heeft hier vast niks mee te maken

[ Voor 26% gewijzigd door MBV op 20-02-2016 21:20 ]

MBV schreef op zaterdag 20 februari 2016 @ 12:02:
Een slachtoffer heeft via mijn vader met mij contact gezocht. Een 80+ vrouw die instructie had gekregen van de computerwinkel dat de externe backup-schijf gewoon aan de computer kan blijven zitten

Ik zou er serieus wakker van liggen als mensen data verliezen omdat ik ze zo'n halfbakken instructie geef. Vraag me echt af wat je malfunction is als je dat soort dingen gewoon roept.

Nog leuker: ze heeft een bedrijf betaald om de computer in te richten, en die heeft dat zo geadviseerd, dus niet eens de computerboer om de hoek . En ze hebben dus de waarschuwing uitgezet dat je een recovery-schijfje moet maken, zonder die ook aan te maken Medion vond het niet nodig om een windows 8 licentie-sticker op de pc te plakken, bij de upgrade is er natuurlijk niks genoteerd wat de windows 10 licentiecode is, dus eens kijken hoe we dat gaan oplossen. Die PC gaat zonder Format C: niet meer gebruikt worden (en was niet te gebruiken, crashte bij zo ongeveer alles).

De Bitcoin-betaling is nu wel doorgelaten, en de decryptie is aan de gang. Het lijkt allemaal goed te gaan.

MBV schreef op zondag 21 februari 2016 @ 18:27:
Nog leuker: ze heeft een bedrijf betaald om de computer in te richten, en die heeft dat zo geadviseerd, dus niet eens de computerboer om de hoek . En ze hebben dus de waarschuwing uitgezet dat je een recovery-schijfje moet maken, zonder die ook aan te maken Medion vond het niet nodig om een windows 8 licentie-sticker op de pc te plakken, bij de upgrade is er natuurlijk niks genoteerd wat de windows 10 licentiecode is, dus eens kijken hoe we dat gaan oplossen. Die PC gaat zonder Format C: niet meer gebruikt worden (en was niet te gebruiken, crashte bij zo ongeveer alles).

De Bitcoin-betaling is nu wel doorgelaten, en de decryptie is aan de gang. Het lijkt allemaal goed te gaan.

[edit]

[ Voor 52% gewijzigd door MBV op 21-02-2016 19:49 ]

MBV schreef op zondag 21 februari 2016 @ 19:19:

offtopic:
Ik heb inmiddels begrepen dat dat veranderd is ja. Dat is heel handig: bij PC's zit geen Windows-installatiemedium meer. In de meeste computers past geen schijfje meer, en op een DVD past geen 16GB voor windows 10. Vroegâh, 10 jaar geleden, toen ik nog in een Paradigit-winkel stond...

Een Windows 8.1 productcode is eenvoudigweg gewoon uit te lezen op de desbetreffende computer met tal van programma's.

Als het een upgrade naar 10 betreft is de originele key omgezet naar een Win 10 licentie. Deze blijft legitiem als je beperkt hardware upgrade. Installeer gewoon een schone 10 Home of Pro, 32- of 64-bit (afhankelijk van oorspronkelijke systeem) en binnen 24 uur heeft er altijd een legitimiteits check plaatsgevonden en ben je weer geactiveerd.

Ja wat betreft de rest van de data en het missen van gebackupte bestanden.... Wijze les.
Een bedrijf betalen om je systeem goed in te richten zegt niet alles helaas! Vergelijk het maar de autohandel en garagisten.. Kom je soms ook beroerd van z'n plek na een dure reparatie, en als je voor garantie komt schoppen ze je van de dam..

De sandbox van Comodo Internet Security suite is een goede beveiliging tegen cryptolockers. Als je daarnaast je data mappen onder Protected Data Folders zet dan kom je meer dan goed beslagen ten ijs.

Wietsee. schreef op zondag 21 februari 2016 @ 19:36:
Een Windows 8.1 productcode is eenvoudigweg gewoon uit te lezen op de desbetreffende computer met tal van programma's.

Ook als de computer grondig aan diggelen is geholpen door een virus?

Verwijderd schreef op maandag 22 februari 2016 @ 04:56:
[...]

Ook als de computer grondig aan diggelen is geholpen door een virus?

Ja ook dan. Gewoon Windows opnieuw installeren, met Windows 8, 8.1 en 10 kan je code vraag overslaan.

EricJH schreef op maandag 22 februari 2016 @ 04:13:
De sandbox van Comodo Internet Security suite is een goede beveiliging tegen cryptolockers. Als je daarnaast je data mappen onder Protected Data Folders zet dan kom je meer dan goed beslagen ten ijs.

Ik geloof best dat als je iets draait in een sandbox, dat je dan veilig bent. En ik geloof best dat ik hiervoor sowieso niet vatbaar ben, iets met common sense. Maar een 80+ vrouw kreeg irritante reclame (van Eneco of zoiets), en heeft op unsubscribe geklikt, waarna de hel is losgebarsten. Hoe gaat Comodo's Sandbox daartegen helpen, op een manier dat ze nog wel gewenste bijlages kan opslaan, en foto's van het grote boze internet (dropbox van een kleinkind) kan opslaan in haar 'mijn documenten' of zoiets?

Wim-Bart schreef op maandag 22 februari 2016 @ 05:05:
[...]


Ja ook dan. Gewoon Windows opnieuw installeren, met Windows 8, 8.1 en 10 kan je code vraag overslaan.

Dus gewoon Windows 10 downloaden, op een USB-stick zetten, en daarvan booten is genoeg? Hij zal niet vragen om de licentiecode omdat die in het Bios is opgeslagen? Dat zou mooi zijn.

[ Voor 21% gewijzigd door MBV op 22-02-2016 10:47 ]

Op mijn werk ook een computer met dit virus. Ook met een invoice mailtje. Is geopend in Openoffice.

We hebben een gezamenlijke Dropbox dus ook onze bestanden daarin waren versleuteld.
Gelukkig heeft Dropbox versie beheer (en hebben een backupje kunnen maken van een computer die nog niet aan het netwerk heeft gehangen).

AVG heeft 3 detecties gedaan (2x wm/download en 1x js/downloader)
Net ook een scan gedaan met Ani Rooktkit maar die heeft niets gevonden.

Is het toch verstandig om Windows opnieuw te installeren?

Marc3l schreef op maandag 22 februari 2016 @ 12:23:


Is het toch verstandig om Windows opnieuw te installeren?

Het antwoord daarop is altijd ja. Na een infectie kun je (of je antivirus) altijd nog een "restje" over het hoofd zien. Een geïnfecteerd systeem is niet meer betrouwbaar, end of story.

Windows iso's kun je hier downloaden, hoef je hun hulp programma ook niet te gebruiken:
https://www.microsoft.com/en-us/software-download/techbench

RobIII schreef op maandag 22 februari 2016 @ 12:42:
[...]

Het antwoord daarop is altijd ja. Na een infectie kun je (of je antivirus) altijd nog een "restje" over het hoofd zien. Een geïnfecteerd systeem is niet meer betrouwbaar, end of story.

Bedankt voor je antwoord

What does this virus do with hidden shares with managed active directory user priveliges?

Marcel1953 schreef op woensdag 24 februari 2016 @ 13:54:
What does this virus do with hidden shares with managed active directory user priveliges?

In case the infected user doesn't have permission to the share, nothing happens.
If the user has r/w rights, then naturally the files on the share will also be encrypted

Gisteren een email binnen gekregen met als afzender:
admin
en als onderwerp:
Scanned Image
en een kleine bijlage van ca. 7KB.
De bijlage heeft de PKZIP header en dan de rest van het virus.
Technisch gezien een knap staaltje werk, denk ik dan als betrekkelijke leek op dit gebied.

Even later een kennis aan de telefoon, maar daar was het dus al te laat: alles versleuteld.

Het aparte was dat de afzender in mijn email een email adres gebrukte dat onder mijn eigen domein valt, dus:

admin@<mijn-eigen-domein.blah

Een andere kennis had het ook gekregen maar die had het gewist.

Het is dus nog steeds aan de gang en zolang mensen blijven betalen aan deze criminelen die dit equivalent van chemische oorlogsvoering gebruiken zal het ook niet stoppen.

De anti-virus boeren verantwoordelijk houden is niet waar de oplossing gezocht moet worden, maar in het gedrag van de mensen. (Backuppen en nooit betalen.)

looc schreef op donderdag 25 februari 2016 @ 08:31:
[...]

In case the infected user doesn't have permission to the share, nothing happens.
If the user has r/w rights, then naturally the files on the share will also be encrypted

Hidden shares that are not mounted through a drive letter are not visible to users and/or the "virus". Hidden shares should not be affected.

redfoxert schreef op donderdag 25 februari 2016 @ 11:28:
[...]


Hidden shares that are not mounted through a drive letter are not visible to users and/or the "virus". Hidden shares should not be affected.

Helaas, ook "unmapped"-netwerkshares worden door dit virus te grazen genomen.

FlipFluitketel schreef op donderdag 25 februari 2016 @ 11:48:
[...]

Helaas, ook "unmapped"-netwerkshares worden door dit virus te grazen genomen.

Klopt, unmapped shares. Maar die worden vanaf het netwerk enumerated. Hidden shares kan je op die manier niet zien en zullen dan dus ook niet geraakt worden. Ik heb nog geen bewijs gezien dat ook unmapped hidden shares geraakt worden.

redfoxert schreef op donderdag 25 februari 2016 @ 11:28:
[...]


Hidden shares that are not mounted through a drive letter are not visible to users and/or the "virus". Hidden shares should not be affected.

Oh, hidden shares, yeah thought he meamt unmounted shares.
Although in theory, such a virus could try some well known hidden shares (C$), but probably with less luck.

looc schreef op donderdag 25 februari 2016 @ 17:43:
Although in theory, such a virus could try some well known hidden shares (C$), but probably with less luck.

Sommige bedrijfsnetwerken zouden weleens grote problemen kunnen krijgen als Locky dat probeert.

Verwijderd schreef op donderdag 25 februari 2016 @ 17:48:
[...]

Sommige bedrijfsnetwerken zouden weleens grote problemen kunnen krijgen als Locky dat probeert.

Volgens mij is er wel iets best wel goed stuk in je policy's als een random user zomaar een ander werkstations c drive kan benaderen EN schrijf rechten heeft...

Verwijderd schreef op donderdag 25 februari 2016 @ 18:38:
Volgens mij is er wel iets best wel goed stuk in je policy's als een random user zomaar een ander werkstations c drive kan benaderen EN schrijf rechten heeft...

Het hoort inderdaad niet, maar dat betekent niet dat het niet gebeurt

Verwijderd schreef op donderdag 25 februari 2016 @ 18:38:
[...]


Volgens mij is er wel iets best wel goed stuk in je policy's als een random user zomaar een ander werkstations c drive kan benaderen EN schrijf rechten heeft...

In een klein bedrijf hoeft een (domain) admin maar de zooi binnen te krijgen en niet opletten en al je systemen zijn de sjaak. Ik heb het zien recent zien gebeuren met een malware, geen ransomware gelukkig.

Verwijderd schreef op donderdag 25 februari 2016 @ 18:38:
[...]


Volgens mij is er wel iets best wel goed stuk in je policy's als een random user zomaar een ander werkstations c drive kan benaderen EN schrijf rechten heeft...

Ik heb bedrijven gezien waarbij iedereen in een security group zit.
En deze security group had op alle domein pc en laptops local administrator rechten

[ Voor 24% gewijzigd door looc op 26-02-2016 09:47 . Reden: verkeerde persoon gequote ]

redfoxert schreef op donderdag 25 februari 2016 @ 20:26:
[...]


In een klein bedrijf hoeft een (domain) admin maar de zooi binnen te krijgen en niet opletten en al je systemen zijn de sjaak. Ik heb het zien recent zien gebeuren met een malware, geen ransomware gelukkig.

Je moet jezelf gewoon niet als Administrator inloggen op een werkstation, daar heeft bedrijfsomvang in de basis natuurlijk niet zo veel mee van doen.
Je heb administrator credentials als het goed is dus als er wat geinstalleerd of gedaan moet worden kan dat gewoon opgegeven worden op een per-case basis.

Sommige IT'ers lijken zichzelf door hun kennis tot een zeker niveau immuun te beschouwen en dan een beetje arrogant te worden met rechten die ze zichzelf geven maar ik vind dat hoogst onverstandig.
Ik ben een admin in een MKB bedrijf maar mijn "productie" account heeft niet meer rechten dan noodzakelijk om te voorzien in basistaken.
Ik maak helaas ook wel eens fouten, en daar moet gewoon rekening mee gehouden worden waar mogelijk.

looc schreef op vrijdag 26 februari 2016 @ 09:46:
[...]


Ik heb bedrijven gezien waarbij iedereen in een security group zit.
En deze security group had op alle domein pc en laptops local administrator rechten

Effectieve manier om jezelf als IT'er bij een uitbraak te voorzien van een lekkere migraineaanval.

[ Voor 19% gewijzigd door Verwijderd op 26-02-2016 10:18 ]

Is er ergens een lijst met messagesubjects beschikbaar? We zien dat Locky bij ons ook binnenkomt en zouden graag zien wie het ontvangt op basis van onze mail gateway - de anti-virus zit verder dieper in de mail flow infra laag en pikt er een aantal uit. De rest wordt voornamelijk gedetecteerd door de av op de client (met 1 client die het toch voor elkaar kreeg om zichzelf te encrypten). Daarom willen we proberen te zien op basis van de mail logs zelf, waar we aandacht aan moeten besteden

Voorbeelden van subjects die we voorbij zien komen:

• ATTN: Invoice J-78022281
• VAT Invoice - Quote Ref: ES0142570
• Order Conf. 3360069
• [name] , Here is your VAT Invoice - Quote Reference: 0128020
• [name] , Here is your VAT Invoice - Quote Ref: 0176850
• [name], Here is your VAT Invoice - Quote Reference: 0174370ount today.|Ignoring this account hurts you and your company.|I want to remind you about your payment obligation|Information on your account|Disregarding this account hurts you|Unfortunately, you have an outstanding issue requiring your attention}

Ik zou zelf naar de vervolgstap kijken: hoe zorgt de mail ervoor dat de client wordt geinfecteerd, is dat via een attachment of via een link?
De eerste lijkt me simpel: als er een invoice of order met een word-document als attachment langskomt, zorg dat het wordt gecontroleerd
De tweede eigenlijk ook: als er een URL naar een IP-adres instaat (of misschien oostblok-domeinnaam) is het waarschijnlijk dat virus, normaal wordt er altijd naar een domein gebruikt voor serieuze applicaties. Dus als de regex http://[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+ matcht, is het waarschijnlijk gevaarlijk.

[captain-obvious]Clienten opvoeden lijkt me beter werken dan dit soort filters [/]

De mail is alleen maar drager van een methode om de daadwerkelijke cryptolocker te downloaden. Tot zover waren dat een Word document met macro's, een .js bestand en zelfs een .bat bestand.

https://www.microsoft.com...Name=Ransom:Win32/Locky.A
https://www.microsoft.com....aspx?Name=W97M/Bartallex
https://www.microsoft.com...janDownloader:BAT/Locky.A
https://www.microsoft.com...ojanDownloader:JS/Locky.A

De vervolgstap is inderdaad veel belangrijker, ie filtering/auditing van client traffic naar het internet, en natuurlijk een up to date av op de client zelf.

De analyse op de mail flow zelf is eerder om in kaart te brengen welke machines/gebruikers de inititele mail hebben kunnen ontvangen, ie de methode om vervolgens de cryptolocker te downloaden. Zodat daar gerichter actie op ondernomen kan worden door lokale teams. Vooral om de eerste uren te analyseren, waarbij waarschijnlijk de client av nog niet voldoende bescherming bood.

--edit
We zien trouwens ook de volgende "downloaders" terug aan onze kant. Aangezien dat Locky gerelateerd is aan Dridex, wellicht een recycle van de deployment tools oid.

https://www.microsoft.com...Downloader%3aO97M%2fAdnel
https://www.microsoft.com...n%3aO97M%2fMadeba.A%21det

https://www.microsoft.com...ry.aspx?Name=Win32/Drixed

[ Voor 17% gewijzigd door Qwerty-273 op 29-02-2016 11:51 ]

Qwerty-273 schreef op vrijdag 26 februari 2016 @ 16:45:
Is er ergens een lijst met messagesubjects beschikbaar? We zien dat Locky bij ons ook binnenkomt en zouden graag zien wie het ontvangt op basis van onze mail gateway - de anti-virus zit verder dieper in de mail flow infra laag en pikt er een aantal uit. De rest wordt voornamelijk gedetecteerd door de av op de client (met 1 client die het toch voor elkaar kreeg om zichzelf te encrypten). Daarom willen we proberen te zien op basis van de mail logs zelf, waar we aandacht aan moeten besteden

Voorbeelden van subjects die we voorbij zien komen:

• ATTN: Invoice J-78022281
• VAT Invoice - Quote Ref: ES0142570
• Order Conf. 3360069
• [name] , Here is your VAT Invoice - Quote Reference: 0128020
• [name] , Here is your VAT Invoice - Quote Ref: 0176850
• [name], Here is your VAT Invoice - Quote Reference: 0174370ount today.|Ignoring this account hurts you and your company.|I want to remind you about your payment obligation|Information on your account|Disregarding this account hurts you|Unfortunately, you have an outstanding issue requiring your attention}

Ik heb ze bij een kennis ook in de Nederlandse variant voorbij zien komen, dus met 'factuur' in het onderwerp en in de bijlage een .ZIP-bestand. Berichten werden middels phishing verstuurd, dus ogenschijnlijk afkomstig vanuit het eigen e-maildomein.

Overigens lees ik her en der dat de meeste mensen een bedrag van 0,5 BTC moeten betalen voor de decryptor. Is dat nog ergens op gebaseerd of uit de lucht gegrepen? Op de geïnfecteerde laptop die ik in handen heb gehad wordt gevraagd om 3.00 BTC, dat is nogal exorbitant veel meer..

[ Voor 8% gewijzigd door 2dope op 03-03-2016 14:21 ]

Mijn vader heeft het vorig weekend overgemaakt, nadat de BTC-'bank' de transactie goedkeurde kwam de decryptie op gang. Alles doet het nu weer.

3 BTC is wel een grove gok van die criminelen. Voor 0.5 BTC = €200 is het nog wel een moeilijke afweging, maar voor €1200 hadden we het nooit gedaan: de echt belangrijke gegevens waren ook ergens anders te vinden. Ze had USB-sticks als een soort foto-albums gemaakt, dat soort dingen.

2dope schreef op donderdag 03 maart 2016 @ 14:08:

Overigens lees ik her en der dat de meeste mensen een bedrag van 0,5 BTC moeten betalen voor de decryptor. Is dat nog ergens op gebaseerd of uit de lucht gegrepen? Op de geïnfecteerde laptop die ik in handen heb gehad wordt gevraagd om 3.00 BTC, dat is nogal exorbitant veel meer..

Wij hebben al weer een aantal klanten met dit probleem gehad:
De eerste werd gevraagd om ~850 euro, de 2de om 2700 en de 3de om 4000.
Het is voor ons ook nog een beetje in het wilde weg gokken.
Het lijkt niet aan het aantal ge-encrypte bestanden of de totale grootte te liggen.
Ook het aantal ge-encrypte shares lijkt het niet te zijn.
Wat bij ons dan overblijft is dat deze manier succes heeft en het dus mogelijk kan zijn dat de prijs handmatig wordt verhoogt om meer geld binnen te krijgen.

MBV schreef op donderdag 03 maart 2016 @ 15:05:
Mijn vader heeft het vorig weekend overgemaakt, nadat de BTC-'bank' de transactie goedkeurde kwam de decryptie op gang. Alles doet het nu weer.

Hebben jullie alles daarna wel opnieuw geïnstalleerd?

Verwijderd schreef op donderdag 03 maart 2016 @ 16:22:
[...]

Hebben jullie alles daarna wel opnieuw geïnstalleerd?

Kleine verspreking: alle bestanden waren weer te lezen, de computer werkte sowieso voor geen meter meer Windows backup z'n werk laten doen, harde schijf geformatteerd, en from scratch opnieuw geinstalleerd.

_{Enige probleem nu nog: hoe laat je windows backup een backup herstellen op een verse installatie, geen standaard mogelijkheid}

Jaaaaaa, het is alweer raak...

Edit: Deze keer weer +-850 euro

[ Voor 34% gewijzigd door Methmaniac op 04-03-2016 13:08 ]

Ik kreeg vandaag een rare mail van een onbekend iemand. De naam klonk wel Russisch (Anna Pomeshkina Anna.pomes hkina@gmail.com).

Er was geen inleiding of zo vrij direct kreeg ik in de mail de bijlage te zien. Het was een online bijlage, een link naar docusign om daar een document te bekijken en te 'ondertekenen'. Laat ik nou beroepshalve overeenkomsten met potentiële opdrachtgevers tekenen, en hun bijlages openen. Maar deze vertrouwde ik niet omdat ik de naam niet herkende en nooit mijn diensten heb aangeboden aan zo iemand laat staan op het punt zijn een samenwerkingsovereenkomst te sluiten. Ik opende daarom het bestand niet. Maar ik kan goed begrijpen hoe andere mensen dat zouden doen, zelfs ik op een veel minder oplettend moment zou blindelings erop geklikt kunnen hebben zonder de naam te controleren of de (het gebrek aan) inhoud.

Ik verwijderde vervolgens de mail door hem bij google als phishing/spam te rapporteren. Wat voor effect dat zal sorteren valt nog te bezien, in google rapporteren heb ik ervaringsgewijs niet zoveel vertrouwen in.

Ik ben vooral verbaasd/lichtelijk geschokt door het feit dat zo iemand aan mijn mailadres is gekomen. Ik bedoel waarom mij? Ik geloof niet dat ik mij ingelaten heb met rare internetfiguren de laatste tijd. Wel heb ik overigens voortdurend last van mailspam maar dat wordt voor mij netjes door google in het spamvak gefilterd- al zou ik liever hebben dat het fysiek afgeslagen wordt en daardoor mijn box niet eens bereikt, maar dat terzijde. Ik ben eerder bang dat zulke mensen ook in de toekomst kunnen proberen mij te slachtofferen met deze ongewenste mails want ze hebben nu eenmaal mijn mailadres. Hoera zeg.

Juist het markeren als spam/phishing zal eerder resulteren dat eenzelfde mail bij anderen eerder in de spambox verdwijnt. Uiteraard kan bij een volgende mail het voorkomen dat anderen deze juist markeren en dat jij hem dus niet eens ziet.

Hoe komen ze aan je mail adres? Gelekte database, slecht beveiligde webshop, mailinglist gekaapt enz. enz.
Geef of laat alleen wanneer hoognodig je mail adres af. En in geval van Android, tsja kwam ik van het weekend achter door iets voor iemand te installeren, je gmail adres staat al vooringevuld in een veld in de app, hopelijk wordt dit niet zomaar naar de servers van de app maker gestuurd! Want er zijn ook talloze apps die alleen maar uit zijn op data mining

Nu specifiek voor dit LOCKY virus :

Zijn er mensen die betaald hebben en de decrypt sleutel hebben gekregen ?
Ik heb een systeem die prijs heeft en de back-up niet in orde is.
Men vraagt 0,5 bitcoin wat nu wel nog te doen is, als je geen andere optie hebt.

Ja, toen de bitcoin-bank de transactie goedkeurde werd het systeem de dag erna ontsleuteld.

Qwerty-273 schreef op vrijdag 26 februari 2016 @ 16:45:
Is er ergens een lijst met messagesubjects beschikbaar? We zien dat Locky bij ons ook binnenkomt en zouden graag zien wie het ontvangt op basis van onze mail gateway - de anti-virus zit verder dieper in de mail flow infra laag en pikt er een aantal uit. De rest wordt voornamelijk gedetecteerd door de av op de client (met 1 client die het toch voor elkaar kreeg om zichzelf te encrypten). Daarom willen we proberen te zien op basis van de mail logs zelf, waar we aandacht aan moeten besteden

Voorbeelden van subjects die we voorbij zien komen:

• ATTN: Invoice J-78022281
• VAT Invoice - Quote Ref: ES0142570
• Order Conf. 3360069
• [name] , Here is your VAT Invoice - Quote Reference: 0128020
• [name] , Here is your VAT Invoice - Quote Ref: 0176850
• [name], Here is your VAT Invoice - Quote Reference: 0174370ount today.|Ignoring this account hurts you and your company.|I want to remind you about your payment obligation|Information on your account|Disregarding this account hurts you|Unfortunately, you have an outstanding issue requiring your attention}

Ik heb er zo'n 20 gehad bij ons, ik zal eens kijken of een lijstje kan maken.

• FW: Payment #119807
• FW: Payment #237911
• RE: Refund RF-574457
• FW: Refund RF-574457
• FW: Refund RF-251575
• FW: Order F-326805
• FW: Payment ACCEPTED M-972762
• FW: Payment 16-03-#215269
• FW: Invoice 2016-M#638432
• FW: Invoice 2016-M#538645
• FW: Invoice 2016-M#032657
• RE: Unpaid Invoice #900460
• FW: Shipping Information - Your Order #234-3877
• Shipping Information - Your Order #534-6228
• Ihre Paket ist am lager.
• Transaction and Payment Confirmation
• scanned image (gespoofed van ons eigen domein nog wel)

Dat was het een beetje voor nu. Dit zijn slechts enkele inboxen. Ik wil niet weten hoeveel er in de rest staat. Wij hebben ons spamhoster ook een extra filter aan laten zetten met betere scans op .zip's, maar dat lijkt nog weinig resultaat te hebben.

[ Voor 3% gewijzigd door Ircghost op 18-03-2016 11:00 ]

Hier maandag een klant in paniek..
CrySiS ransomware.
2,5 BTC moeten betalen, hierna nog niet alle bestanden terug..
Klein MKB met 7 werkstations, allemaal versleuteld.
Backup was al maanden niet gemaakt ("ja, HDD is kwijt en leek niet zo belangrijk").
Oude IT partij is direct de laan uitgestuurd (ook vanwege 3 jaar geen update te hebben uitgevoerd maar wel betalen).
Je krijgt na betaling een programma (decrypter), systeem laten scannen, weer mailen met de code en dan weer afwachten op een code terug.
Gelukkig netjes reactie elke keer gekregen.

Bij een bekende is 't ook raak. Er wordt 3 BTC gevraagd. Er lijken dus nu maar een paar opties:

-Take your losses
-Wachten op evt decrypt tool van bonafide bedrijven.
-Betalen en decrypt tool krijgen
-Betalen en nooit meer wat van ze horen.

Hoe dan ook een pc reinstall.

Leuk weekeinde zo.

optie 2 lijkt me onmogelijk: ze houden ergens centraal bij met welke private key het encrypted is, ik kan me slecht voorstellen dat een bonafide bedrijf bij die centrale database kan komen.
optie 4 lijkt niet echt het geval.

Dus dan blijven er 2 opties over: take your losses, of zorg ervoor dat criminelen een financiele stimulans krijgen om dit soort dingen te ontwikkelen. Betalen lijkt me om die reden een slechte keuze, zeker als het om zoveel geld gaat.

Laatst belde een oom me op met de vraag of ik wist wat met zijn PC aan de hand was, hij "kon geen programma's openen" en er verscheen een melding in beeld. Ik vermoedde al het ergste en stond binnen een half uur op de stoep. Na 5 seconden had ik het al gezien, alles gelocked...

Hoe het binnen is gekomen? Mijn nichtjes zoeken van alles op dat ding op, en ook vaak "antwoorden van huiswerk" en zulke zaken, waarschijnlijk is hij hierdoor of door een email-bijlage geïnfecteerd. Niets blijkt minder waar te zijn, want eenmaal daar vertelde mijn oom dat zijn werk-laptop met duizenden werk-gerelateerde bestanden eerder die week dezelfde melding had gekregen. Mijn tante kwam erbij staan, zegt dat bij haar op het werk ook een groot aandeel PC's eenzelfde soort "melding" kregen. Hoe, wat en waar alles precies is ge-encrypt zal dus nooit duidelijk worden, maar gelukkig heb ik er zelf een jaar geleden met klem op gehamerd dat ze zich alle foto's moesten back-uppen. De foto's vallen mij opeens in, en dan krijg ik te horen "ja, maar zo erg zal het toch wel niet zijn, of wel dan?"...

Een jaar aan niet back-upped foto's weg, werkbestanden weg, veel ellende voor mij erbij, en een wijze les. Ze waren op mijn oom zijn werk juist die week aan bezig om alles in de cloud te zetten, maar nu was er natuurlijk geen enkele backup.

Ouders in paniek, andere familieleden in paniek, paniek paniek en nog eens paniek, en wie mag weer voor een "oplossing" zorgen die niet bestaat? Juist...
Opeens wordt er na een RTL-nieuws aflevering aan mij gevraagd door diverse mensen om een back-up te maken, dit te doen, dat te doen en zus te doen. Jammer, ik heb wel meer te doen dan uren stressen .

Laatste tijd trouwens echt een shit-load aan spamberichten in m'n mail, enkele kansenpareltjes met vermoedelijk cryptolockers van de afgelopen paar dagen:
- Invoice XEINV00659 from Tip Top Delivery
- RE: BACANORA MINERALS LTD - Order Number 69781/286466/64 status updated to order processing

[ Voor 8% gewijzigd door Kuusj op 20-03-2016 18:46 ]

kuusj98 schreef op zondag 20 maart 2016 @ 18:41:
Laatst belde een oom me op met de vraag of ik wist wat met zijn PC aan de hand was, hij "kon geen programma's openen" en er verscheen een melding in beeld. Ik vermoedde al het ergste en stond binnen een half uur op de stoep. Na 5 seconden had ik het al gezien, alles gelocked...

Hoe het binnen is gekomen? Mijn nichtjes zoeken van alles op dat ding op, en ook vaak "antwoorden van huiswerk" en zulke zaken, waarschijnlijk is hij hierdoor of door een email-bijlage geïnfecteerd. Niets blijkt minder waar te zijn, want eenmaal daar vertelde mijn oom dat zijn werk-laptop met duizenden werk-gerelateerde bestanden eerder die week dezelfde melding had gekregen. Mijn tante kwam erbij staan, zegt dat bij haar op het werk ook een groot aandeel PC's eenzelfde soort "melding" kregen. Hoe, wat en waar alles precies is ge-encrypt zal dus nooit duidelijk worden, maar gelukkig heb ik er zelf een jaar geleden met klem op gehamerd dat ze zich alle foto's moesten back-uppen. De foto's vallen mij opeens in, en dan krijg ik te horen "ja, maar zo erg zal het toch wel niet zijn, of wel dan?"...

Een jaar aan niet back-upped foto's weg, werkbestanden weg, veel ellende voor mij erbij, en een wijze les. Ze waren op mijn oom zijn werk juist die week aan bezig om alles in de cloud te zetten, maar nu was er natuurlijk geen enkele backup.

Ouders in paniek, andere familieleden in paniek, paniek paniek en nog eens paniek, en wie mag weer voor een "oplossing" zorgen die niet bestaat? Juist...
Opeens wordt er na een RTL-nieuws aflevering aan mij gevraagd door diverse mensen om een back-up te maken, dit te doen, dat te doen en zus te doen. Jammer, ik heb wel meer te doen dan uren stressen .

Laatste tijd trouwens echt een shit-load aan spamberichten in m'n mail, enkele kansenpareltjes met vermoedelijk cryptolockers van de afgelopen paar dagen:
- Invoice XEINV00659 from Tip Top Delivery
- RE: BACANORA MINERALS LTD - Order Number 69781/286466/64 status updated to order processing

Je moet ook niet stressen en je van de wijs laten brengen. Gewoon meenemen die hap goed geld vragen, dat is een les. Familie of niet tips gegeven, genegeerd, blaren...

Eerlijk, ik doe ook veel onderhoud, herstel of installs voor weinig of ook vaak gratis. Maar deze ellende en kop in het zand mentaliteit pas ik een beetje voor. Uiteraard zorg ik wel voor behoorlijke beveiliging.

GerardVanAfoort schreef op zondag 20 maart 2016 @ 19:34:
[...]

Je moet ook niet stressen en je van de wijs laten brengen. Gewoon meenemen die hap goed geld vragen, dat is een les. Familie of niet tips gegeven, genegeerd, blaren...

Eerlijk, ik doe ook veel onderhoud, herstel of installs voor weinig of ook vaak gratis. Maar deze ellende en kop in het zand mentaliteit pas ik een beetje voor. Uiteraard zorg ik wel voor behoorlijke beveiliging.

Wellicht ben ik te zorgzaam voor anderen hun spullen, en dan ben ik ook nog iemand die niet zomaar geld wil krijgen voor een klusje hier of daar. Helaas krijg je als systeembouwer al snel mensen aan de telefoon als er ook maar iets is wat niet 100% werkt, terwijl ik er natuurlijk niks aan kan doen dat ze niet weten hoe een printer werkt of dat ze geen "meek joer windhoos 1000% fastur wit wan klik!!1one!" software moeten installeren.

Zelfde met die verdomde cryptolockers, de mensen kunnen niks met hun PC, hebben geen backup gemaakt en vertrouwen vervolgens op de goedheid en kennis van hun neefje of vriend om voor een tientje even een hoop uren arbeid te leveren. In de zogenaamde computerwinkel betalen ze het tienvoudige en ik heb de ballen niet om te zeggen: "ja, dáág! Eigen schuld, dikke bult!"

Zolang virusscanners hun werk niet goed doen, mainstream-gebruikers blijven doen alsof hun verstand nog niet tot het einde van hun neus reikt en cryptolockers geld blijven krijgen van mensen die geen back-up hebben maar toch hun hele hebben en houden op dat ding hebben staan ben ik bang dat er voor iedere Tweaker nog méér dan genoeg werk is.

kuusj98 schreef op zondag 20 maart 2016 @ 19:44:
[...]

Wellicht ben ik te zorgzaam voor anderen hun spullen, en dan ben ik ook nog iemand die niet zomaar geld wil krijgen voor een klusje hier of daar. Helaas krijg je als systeembouwer al snel mensen aan de telefoon als er ook maar iets is wat niet 100% werkt, terwijl ik er natuurlijk niks aan kan doen dat ze niet weten hoe een printer werkt of dat ze geen "meek joer windhoos 1000% fastur wit wan klik!!1one!" software moeten installeren.

Zelfde met die verdomde cryptolockers, de mensen kunnen niks met hun PC, hebben geen backup gemaakt en vertrouwen vervolgens op de goedheid en kennis van hun neefje of vriend om voor een tientje even een hoop uren arbeid te leveren. In de zogenaamde computerwinkel betalen ze het tienvoudige en ik heb de ballen niet om te zeggen: "ja, dáág! Eigen schuld, dikke bult!"

Zolang virusscanners hun werk niet goed doen, mainstream-gebruikers blijven doen alsof hun verstand nog niet tot het einde van hun neus reikt en cryptolockers geld blijven krijgen van mensen die geen back-up hebben maar toch hun hele hebben en houden op dat ding hebben staan ben ik bang dat er voor iedere Tweaker nog méér dan genoeg werk is.

Naar familieleden kan je je het beste opstellen als een consultant. Zo zal een familielid dat in de financiële beleggingswereld ook nooit geld van familieleden beleggen. Hij kan wel advies geven maar zal het nooit uitvoeren voor de familieleden.

Zo moet je ook omgaan met de computers van familieleden.

Het blijft bij ons ook nog regelmatig voorkomen.
Je kunt je systeem dichtspijkeren wat je wilt maar het is altijd nog de mens die in dit geval de fout maakt.
En aangezien je je klanten ook niet altijd tegen hunzelf kunt beschermen zal dit nog wel vaker voorkomen (sommige klanten willen hier niets van weten want 'ze weten wel wat ze doen'. Totdat ze geïnfecteerd zijn en bij ons aankloppen: 'Het was ineens zo').
Het enige waardoor je de schade zoveel mogelijk beperkt is je back-up voor elkaar hebben en een plan hebben voor als het fout gaat.

De laatste week heb ik hier 3 infecties gehad..., de ene vroeg om 0.5 de andere twee om 2 bitcoin. Het lulligste is dat 2 geen backups hebben en dus de foto's als verloren beschouwen...., de andere maakt een backup iedere week en heeft dus wel wat meer geluk...

Ik installeer eigenlijk altijd EMET op iedere welke ik ontvang, gezamelijk met Kaspersky Internet Security, maar in hoeverre beschermt dit het nu?

Wat is een extra manier om te controleren of je systeem niet onderhuids wordt aangetast? Hashes maken van de hele schijf en die periodiek vergelijken? Zoeken naar *lock* in bestandsnamen? Iets anders?

Op m'n mailserver bemerkt ik een vrij forse stijging in geinfecteerde mails. Helaas niet omdat m'n virusscanner ze eruit pakt, sterker nog met een analyse met virustotal.com: https://www.virustotal.co...ca89/analysis/1458594289/ lijkt het merendeel van de virusscanners niet op te pakken. (oa de virusscanners (clamav en f-prot) op mijn mailserver)

Keiichi schreef op maandag 21 maart 2016 @ 22:34:
Op m'n mailserver bemerkt ik een vrij forse stijging in geinfecteerde mails. Helaas niet omdat m'n virusscanner ze eruit pakt, sterker nog met een analyse met virustotal.com: https://www.virustotal.co...ca89/analysis/1458594289/ lijkt het merendeel van de virusscanners niet op te pakken. (oa de virusscanners (clamav en f-prot) op mijn mailserver)

Hoe ontdek je nu dat het geïnfecteerde mails zijn?

Order_details.zip zegt wel genoeg.
Kun je gewoon op filteren.

Verwijderd schreef op maandag 21 maart 2016 @ 22:35:
[...]

Hoe ontdek je nu dat het geïnfecteerde mails zijn?

Bestand opslaan, uploaden naar virustotal.com . En ik denk als ik 10x binnen een paar uur een zelfde mail krijg met m'n 'order status' (subjects als 'FW: Order Status #590365') dat ik ook ergens mag aanneme dat niet iemand per ongeluk zip files met echte informatie toestuurt.