Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

.LOCKY nieuwe crypto locker virus

Pagina: 1
Acties:

  • xleeuwx
  • Registratie: oktober 2009
  • Nu online

xleeuwx

developer Tweakers Elect
Zag vanmorgen ook een blog van @fvdberg voorbijkomen
Howto: .locky ransomware

  • Felyrion
  • Registratie: november 2001
  • Laatst online: 00:56

Felyrion

goodgoan!

Bij ons vandaag ook al de eerste klant voorbij zien komen die deze te pakken had.


Na enig speurwerk lijkt het erop (komt ook terug in de blog van fvdberg) dat het blokkeren van de extentie .locky op al je shares voldoende is om de grootste schade te voorkomen.

Voor de sysadmins: dit is relatief makkelijk te realiseren op Server 2008 of 2012.

Hiervoor moet je op je file server de "File Server Resource Manager" geïnstalleerd hebben staan (Bij 2008: install role service, bij 2012 te vinden als server role onder File and Storage Services).
Dit kan uitgevoerd worden zonder reboot btw.

Na de installatie is "File Server Resource Manager" beschikbaar.

> Start dit op en ga naar File Screening Management > File Groups
Maak hier een nieuwe file group aan, geef het een leuk naampje en voeg *.locky toe aan de include groep.

> Ga naar File Screens en voeg een nieuwe File Screen toe. Blader naar je file share of de disk waarop deze aangeboden worden (uiteraard per share of per disk herhalen).
Kies vervolgens voor custom file screen properties en selecteer daar je net aangemaakte File Group (en maak evt. een template voor andere shares).

Hierna kan de .locky extentie niet meer op je file shares gebruikt of aangemaakt worden.


Tests hier lijken uit te wijzen dat dit de grootste schade voorkomt, maar we hebben het nog niet in de praktijk hoeven testen ;)

edit:
Wellicht is deze omschrijving wat helderder :*)
http://www.alexandreviot....nsions-on-shared-folders/

Felyrion wijzigde deze reactie 18-02-2016 23:16 (6%)

sleep: a completely inadequate substitute for caffeine


  • Felyrion
  • Registratie: november 2001
  • Laatst online: 00:56

Felyrion

goodgoan!

quote:
Stacheldraht schreef op donderdag 18 februari 2016 @ 23:29:
Tip: Eenvoudige ingrepen zoals deze kunnen al een hoop ellende voorkomen:

https://4sysops.com/archi...cker-and-other-ransomware
Dat zijn inderdaad goede zaken om geregeld te hebben, maar eenvoudig wil ik ze niet noemen ;)

Wel op technisch vlak, maar als de organisatie gewend is wel alle rechten en mogelijkheden te hebben (hier lopen we regelmatig tegenaan) dan zijn dit zware ingrepen om naar je eindgebruikers te verkopen.

We proberen over het algemeen meer de benadering te hanteren je backend hardened te maken. Leer je gebruikers dat belangrijke data altijd op de fileshare omgeving moet staan en beschouw de werkstations als een soort DMZ, uiteraard nog zoveel mogelijk beschermd.

Binnenkort wordt dit trouwens nog wat makkelijker als een aantal anti-virus producenten met anti-cryptolocker software uitkomen voor de serverkant. Deze zullen encryptie acties vanuit werkstations naar je netwerkshares detecteren en de werkstations blokkeren. Ik weet dat in elk geval Kaspersky daar eind deze maand de technische release van heeft.

sleep: a completely inadequate substitute for caffeine


  • FlipFluitketel
  • Registratie: juli 2002
  • Laatst online: 08:05

FlipFluitketel

Frontpage Admin
Wat dit soort virussen betreft is er voor virusscanners nog heel veel werk aan de winkel.

2 weken geleden kwam ik bij een klant waar de virusscanner net verlopen was (1 dag). Het eerste wat me opviel was de melding van Teslacrypt dat de bestanden versleuteld waren, zijn reactie "ow ja, die melding krijg ik ook al ruim een week" 7(8)7.

Toen hadden ze dus een mailtje gehad van "een bekende" met een bijlage die ze niet konden openen. Nee, hij zei het verkeerd, de bijlage konden ze wel openen maar er gebeurde niks (zichtbaar). Het mailtje hadden ze nog bewaard, dus even die bijlage opgeslagen en via virustotal.com gescand en daar werd het door maar 10 van de 54 virusscanners als virus gezien, ruim een week na de infectie. :/ 3 dagen later nog eens gescand, 27 van de 54 virusscanners op virustotal gaven het nu aan.

Gelukkig waren bij hem alleen wat mapjes op het bureaublad versleuteld, maar in de documenten/afbeeldingen-mappen stonden wel al de tekst-bestandjes van Teslacrypt. Geen idee waarom dat niet versleuteld was maar het was wel gunstig want een backup was er natuurlijk niet..

Bij een paar klanten heb ik nu Malwarebytes Anti-Ransomware maar geinstalleerd.

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!


  • fvdberg
  • Registratie: oktober 2010
  • Laatst online: 11:56
quote:
Methmaniac schreef op vrijdag 19 februari 2016 @ 08:40:
Ook al een klant die er last van heeft gehad.
Klant de back-up natuuuuuuurlijk niet goed voor elkaar, shadow copies die verwijderd worden.

Na veel geklooi en proberen maar betaald...

Binnen een half uur alles weer unlocked.
Quick fix inderdaad

Echter, Vanuit de community gedacht had je dit niet moeten doen. Je helpt door te betalen direct bij de instandhouding van Cryptoware.

Het is een slecht advies om te betalen. Zelfs bedrijven als Microsoft adviseren niet om te betalen.

De enige reden dat er steeds meer en geavanceerdere cryptoware bestaat is omdat er simpelweg veel geld valt te verdienen. Meer dan eens komt er na betaling geen oplossing. plus je geeft de groeperingen geld om nog een poging te doen door een nieuw kitje aan te schaffen waarmee je ontwikkelaars daarvan weer stimuleert om nog geavanceerdere/betere virussen te ontwikkelen.

en de cirkel is weer rond.

De enige manier om dit soort zaken te stoppen is niet betalen.

Wel ben ik erg benieuwd naar de decrypter die je hebt ontvangen, kan je me die doen toekomen?

  • Rannasha
  • Registratie: januari 2002
  • Laatst online: 10:39

Rannasha

aka "Species5618"

quote:
NeFoRcE schreef op vrijdag 19 februari 2016 @ 13:29:
Altijd als ik dit soort posts zie wordt ik wat huiverig. Wat kun je als leek (bijv. mijn vader) nou doen om dit te voorkomen? Zelf heb ik wel een virusscanner, maar ook een NAS met daarop tig duizenden foto's en films welke van grote waarde zijn (films die ik zelf gefixt heb en waar maanden/jaren werk in zit). Het staat op een raid 1 setjes, en waarschijnlijk binnenkort ook op een externe HDD off-site. Maar hoe kan ik bijv ontdekken of ik al besmet ben, of mogelijk?
Offline/readonly backups. Dat is het enige dat gegarandeerd werkt. Oppassen met welke links je klikt en je beveiliging up-to-date houden zullen een heleboel helpen natuurlijk, maar zelfs een zeer oplettende gebruiker loopt risico om een keer slachtoffer te worden.

Daarom heb ik al mijn bestanden met grote waarde (vnl foto's) gebackupped op een NAS met ZFS waar ik regelmatig een (read-only!) snapshot maak en tevens op een externe harddisk die in een kast in mijn kantoor op werk ligt.

Dutch StarCraft League || Vierkant voor Wiskunde || Olympus OM-D E-M1 MkII, 9-18, 12-40, 40-150, 70-300, 50


  • FreshMaker
  • Registratie: december 2003
  • Niet online
quote:
NeFoRcE schreef op vrijdag 19 februari 2016 @ 13:29:
Altijd als ik dit soort posts zie wordt ik wat huiverig. Wat kun je als leek (bijv. mijn vader) nou doen om dit te voorkomen? Zelf heb ik wel een virusscanner, maar ook een NAS met daarop tig duizenden foto's en films welke van grote waarde zijn (films die ik zelf gefixt heb en waar maanden/jaren werk in zit). Het staat op een raid 1 setjes, en waarschijnlijk binnenkort ook op een externe HDD off-site. Maar hoe kan ik bijv ontdekken of ik al besmet ben, of mogelijk?
RAID is GEEN backup !
Bij besmetting is de hele raidset corrupt, de uitspraak 'binnenkort' is ook al verkeerd.
Du het NU, niet straks, maar begin met de eerste backups, desnoods op oudere hdd's

Dan heb je in ieder geval een (schoon) startpunt, en bestel direct 1 of 2 hdd's voor die offsite backup.

* FreshMaker heeft er één in de bedrijfskluis liggen, en in de meterkast bij ouders.
Mijn PC en NAS hebben de "werk-kopieën"
( en de standaard uploadkwaliteit van google photo's, onbeperkte opslag met acceptabele loss in resolutie, voor als het ECHT misgegaan is )

https://qfire.nl


  • Mirage
  • Registratie: februari 2001
  • Laatst online: 15-07 14:25
Voor het blokkeren van dit bestandstype op je synology:

Log in op de synology web interface en open het configuratiescherm en ga naar bestandsservices ga dan naar geavanceerde instellingen.

vink daar bestanden blokkeren aan en voeg de volgende extensie toe. /*.locky/

Ik heb dit getest en dit bestand mag vervolgens niet meer opgeslagen worden met deze extensie.
Bestanden die al met deze extensie opgeslagen zijn worden zover ik kon zien verwijderd. daar het test bestand wat ik aangemaakt had voordat ik dit aanzette verdwenen was.

Verder moet je erop letten dat dit de netwerkservices op de synology herstart en je dus even je netwerkverbinding kwijt raakt gedurende een aantal seconden/minuut.

Mirage wijzigde deze reactie 19-02-2016 17:28 (5%)

https://www.zuidafrikareisopmaat.nl


  • erikloman
  • Registratie: maart 2012
  • Laatst online: 12-07 13:09
HitmanPro.Alert met CryptoGuard voorkomt dat je bestanden en masse versleuteld raken. Deze software is in 2013 uitgebracht:
https://www.security.nl/p...chermt+tegen+CryptoLocker

Inmiddels zit Alert op versie 3.1 maar zelfs de 2 jaar oude versie voorkomt dat Locky je bestanden versleuteld:
https://twitter.com/markloman/status/699853365019279360

Hier nog een filmpje hoe het werkt:
YouTube: CryptoWall 3 and CTB-Locker defeated by HitmanPro.Alert

Alert beschermt ook je file shares tegen onbeschermde endpoints die je gedeelde bestanden op de share willen versleutelen.

erikloman wijzigde deze reactie 19-02-2016 18:30 (10%)


  • Alpha Bootis
  • Registratie: maart 2003
  • Laatst online: 15-07-2016
quote:
Felyrion schreef op donderdag 18 februari 2016 @ 23:10:
Bij ons vandaag ook al de eerste klant voorbij zien komen die deze te pakken had.


Na enig speurwerk lijkt het erop (komt ook terug in de blog van fvdberg) dat het blokkeren van de extentie .locky op al je shares voldoende is om de grootste schade te voorkomen.

Voor de sysadmins: dit is relatief makkelijk te realiseren op Server 2008 of 2012.

Hiervoor moet je op je file server de "File Server Resource Manager" geïnstalleerd hebben staan (Bij 2008: install role service, bij 2012 te vinden als server role onder File and Storage Services).
Dit kan uitgevoerd worden zonder reboot btw.

Na de installatie is "File Server Resource Manager" beschikbaar.

> Start dit op en ga naar File Screening Management > File Groups
Maak hier een nieuwe file group aan, geef het een leuk naampje en voeg *.locky toe aan de include groep.

> Ga naar File Screens en voeg een nieuwe File Screen toe. Blader naar je file share of de disk waarop deze aangeboden worden (uiteraard per share of per disk herhalen).
Kies vervolgens voor custom file screen properties en selecteer daar je net aangemaakte File Group (en maak evt. een template voor andere shares).

Hierna kan de .locky extentie niet meer op je file shares gebruikt of aangemaakt worden.


Tests hier lijken uit te wijzen dat dit de grootste schade voorkomt, maar we hebben het nog niet in de praktijk hoeven testen ;)

edit:
Wellicht is deze omschrijving wat helderder :*)
http://www.alexandreviot....nsions-on-shared-folders/
In Samba kan je /*.locky/ toevoegen aan de veto regel in je smb.conf om hetzelfde te bereiken.
Handig als je geen Windows servers hebt. :)
Denk dat dit opgaat voor veruit de meeste NAS systemen?

Praktijkvoorbeeld:
quote:
[sharebladieblanaam]

path = /home/sharebladieblanaammap
comment = blaat
browseable = Yes
read only = No
guest ok = No
veto files = /*.locky/
Samba behoeft wel even een cycle om je verandering op te pakken.

Alpha Bootis wijzigde deze reactie 19-02-2016 18:54 (8%)


  • erikloman
  • Registratie: maart 2012
  • Laatst online: 12-07 13:09
Blokkeren op bestandsextensie gaat beperkt werken tegen ransomware.

Voornamelijk omdat verschillende ransomware families (1) random extensies kiezen of (2) bekende extensies gebruiken:
1) http://www.bleepingcomput...-as-encrypted-file-names/
2) http://www.bleepingcomput...w-uses-the-mp3-extension/

  • FlipFluitketel
  • Registratie: juli 2002
  • Laatst online: 08:05

FlipFluitketel

Frontpage Admin
quote:
MBV schreef op zondag 21 februari 2016 @ 18:27:
Nog leuker: ze heeft een bedrijf betaald om de computer in te richten, en die heeft dat zo geadviseerd, dus niet eens de computerboer om de hoek 8)7. En ze hebben dus de waarschuwing uitgezet dat je een recovery-schijfje moet maken, zonder die ook aan te maken 8)7 Medion vond het niet nodig om een windows 8 licentie-sticker op de pc te plakken, bij de upgrade is er natuurlijk niks genoteerd wat de windows 10 licentiecode is, dus eens kijken hoe we dat gaan oplossen. Die PC gaat zonder Format C: niet meer gebruikt worden (en was niet te gebruiken, crashte bij zo ongeveer alles).

De Bitcoin-betaling is nu wel doorgelaten, en de decryptie is aan de gang. Het lijkt allemaal goed te gaan.
offtopic:
Merk-pc's hebben over het algemeen geen Windows 8/10 licentie-sticker meer, die key zit in de bios/uefi/hoe je het wilt noemen. Kwestie van de juiste dvd gebruiken en het wordt zonder problemen geinstalleerd (als er oorspronkelijk 8 op stond kun je dus niet zomaar 8.1 installeren, hoe het precies zit met Windows 10 installeren op een origineel Windows 8(.1)-systeem durf ik zo niet te zeggen).

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!


  • Vermeulen
  • Registratie: april 2010
  • Niet online

Vermeulen

Stomp niet af, blijf slijpen

Als het een upgrade naar 10 betreft is de originele key omgezet naar een Win 10 licentie. Deze blijft legitiem als je beperkt hardware upgrade. Installeer gewoon een schone 10 Home of Pro, 32- of 64-bit (afhankelijk van oorspronkelijke systeem) en binnen 24 uur heeft er altijd een legitimiteits check plaatsgevonden en ben je weer geactiveerd.

Ja wat betreft de rest van de data en het missen van gebackupte bestanden.... Wijze les.
Een bedrijf betalen om je systeem goed in te richten zegt niet alles helaas! Vergelijk het maar de autohandel en garagisten.. Kom je soms ook beroerd van z'n plek na een dure reparatie, en als je voor garantie komt schoppen ze je van de dam..

Do whatever you love and you'll be free (Outlandish - Warrior // Worrier)


  • RobIII
  • Registratie: december 2001
  • Laatst online: 12:58

RobIII

Moderator Devschuur®

^ Romeinse 3 ja!

quote:
Marc3l schreef op maandag 22 februari 2016 @ 12:23:


Is het toch verstandig om Windows opnieuw te installeren?
Het antwoord daarop is altijd ja. Na een infectie kun je (of je antivirus) altijd nog een "restje" over het hoofd zien. Een geïnfecteerd systeem is niet meer betrouwbaar, end of story.

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Roses are red Violets are blue, Unexpected ‘{‘ on line 32.

Over mij


  • Alpha Bootis
  • Registratie: maart 2003
  • Laatst online: 15-07-2016
quote:
Camacha schreef op donderdag 25 februari 2016 @ 17:48:
[...]

Sommige bedrijfsnetwerken zouden weleens grote problemen kunnen krijgen als Locky dat probeert.
Volgens mij is er wel iets best wel goed stuk in je policy's als een random user zomaar een ander werkstations c drive kan benaderen EN schrijf rechten heeft...
Pagina: 1


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True