Strategisch: Cryptolocker, stel het is te laat...

Ik ga dan toch tegen je draad in. Heb het bij een klant gehad. Centjes betaald en binnen 30min hadden we een decryptor. Werkte perfect. Het ging hierbij om Locky.
Geen idee hoe het met andere zit. Toevallig had een week ervoor een klant van een klant het zelfde. Ook betaald en kreeg ook netjes het tooltje.
Aan de decryptor zit een uniek id, dus je kunt hem niet voor meerdere gevallen gebruiken.

Verder:

Backup, backup, backup en nog erns BACKUP!!!
Dan hebben we nog hoe meer beveiligings lagen hoe beter. Denk bijvoorbeeld aan MBAM Malwarebytes.
Endan nog de gebruiker zelf. Wees alert met mails, advertenties en alles waar je over twijfelt. Vertrouw je het niet of ziet het er te goed uit om waar te zijn. Delete en NIET op klikken. Als het iets is van een bank of provider, dan zullen ze je heus bellen als er wat is of als je nog een factuur open hebt staan. NIET KLIKKEN DUS!!!

[ Voor 38% gewijzigd door Kavaa op 10-04-2016 23:12 ]

Het mag "tegendraads" zijn djkavaa, maar elke keer dat je betaalt zeg je alsmaar weer tegen de criminelen achter de malware "kijk, het is toch rendabel van deze shit te maken".

Vaak genoeg dat mensen ineens inderdaad lijkbleek worden als je zegt "restore gewoon van backup en alles is toch in orde?".

Ik zou niet betalen. Nooit betalen. Ik heb ook zelf de insteek dat als ik ooit beroofd zal worden van mijn GSM of portomenee dat ik deze direct de sloot of iets dergelijks in gooi. (En ja, makkelijk praten nu)

Betalen is aantrekkelijk maken. Niet betalen is de enigste optie om deze mensen wat anders te laten verzinnen. Want dat zullen ze doen.

djkavaa schreef op zondag 10 april 2016 @ 23:08:
Ik ga dan toch tegen je draad in. Heb het bij een klant gehad. Centjes betaald en binnen 30min hadden we een decryptor. Werkte perfect...

En zo houdt je die ellende dus zelf in stand omdat het dan dus lonend is. Als niemand zou betalen dan zou het niet lonend zijn en dus vanzelf weer ophouden. Van mij mogen ze betalen strafbaar stellen, net als heling strafbaar is.

Helaas is de werkelijkheid anders en is het verlies van data in economische termen vaak groter dan de remedie: betalen van het losgeld.

Om nog niet over emotionele waarde te spreken.

Daarom moet het evangelie van backups zo wijdverspreid worden dat het inderdaad niet meer loont omdat dan iedereen een backup kan terugzetten. Wat djkavaa al zegt: backups backups backups. Iets anders gaat gewoon niet helpen.

Als je dan toch hypothetisch bezig bent, zorg ervoor dat iedereen die je kent doordrongen is van het nut van goede backups, no matter what. Kost misschien wat maar voorkomt echt zoveel ellende.

Fiber schreef op zondag 10 april 2016 @ 23:22:
[...]

En zo houdt je die ellende dus zelf in stand omdat het dan dus lonend is. Als niemand zou betalen dan zou het niet lonend zijn en dus vanzelf weer ophouden. Van mij mogen ze betalen strafbaar stellen, net als heling strafbaar is.

Maarja wat wil je dan? Weetje al mijn bestanden weg doordat je uit principe niet wil betalen aan een hacker. Dit werkt twee kanten op natuurlijk....

Uiteindelijk als het bedrag te hoog is kan je het beste gewoon de bestanden wegzetten en wachten op een universele decryptor..

Write once, read only backups. dvd/blueray backups.

Maar stel dat het te laat is,zal ik niet betalen. Puur uit principe zou ik niet meewerken aan het subsidiëren van een groep die mijn data gijzelde.

[ Voor 60% gewijzigd door Biersteker op 10-04-2016 23:41 ]

xFeverr schreef op zondag 10 april 2016 @ 22:50:
Daarna de data als verloren beschouwen

Dat kan als je niks geeft om je data (maar waarom sla je ze dan op?). Er zijn heel veel mensen die meer waarde hechten aan hun dierbare vakantie kiekjes, de video van het toneelstuk van dochterlief en de laatste opnames van oma voor ze stierf.

Dan is niet betalen gewoon geen optie, hoe hard je van te voren ook roept dat je principes heilig zijn. En dat zal, vermoed ik, altijd zo blijven. De backup discipline die nodig is om dit soort dingen voor te blijven zal je bij heeel weinig mensen zien..

Geen backup.. Uithuilen en opnieuw beginnen. pebcac!
Wie in deze tijd geen goede backup heeft geeft niks om zijn/haar data!

Betalen? Nooit!

In mijn persoonlijke omgeving is het een kwestie van afwachten. Ik ken nog twee mensen die, ondanks herhaaldelijk waarschuwen, ieder 1 of 2 laptops hebben die nog op Windows XP draaien, en ja, die daar ook nog vrolijk op internetbankieren, en met oude java en flash versies werken. Uiteraard de hele fotocollectie en wat al niet. Voor zover ik weet ook geen (fatsoenlijke) backups. Het zijn geeneens digibeten, maar ze blijven gewoon hardleers doorgaan, zonder valide redenen.

Natuurlijk wordt er bij mij aangeklopt zodra het misgaat, en ik dank god op mijn blote knieën dat dit nog niet is gebeurd. Mocht er inderdaad ransomware opduiken, of, en ik noem maar wat, identiteitsfraude worden gepleegd, dan zal mijn hulp uit niet meer bestaan dan: "Jammer, dat wordt backups terugzetten (wat niet reëel is), betalen of het verlies voor lief nemen." Met daarbij de opmerking dat ze criminele organisaties financieren als ze betalen.

Ik ga dat niet voor hen beslissen en ik ga er verder ook geen moeite meer insteken. Op een gegeven moment houdt ook mijn geduld op.

Edit: Dit dus:

GerardVanAfoort schreef op maandag 11 april 2016 @ 00:05:
Geen backup.. Uithuilen en opnieuw beginnen. pebcac!
Wie in deze tijd geen goede backup heeft geeft niks om zijn/haar data!

Betalen? Nooit!

[ Voor 11% gewijzigd door jordje op 11-04-2016 00:16 ]

Ik heb een cryptolocker in mijn lab draaien. En voordat je je backups moet terugzetten, heb je als user een hele goede troef in handen: Zolang je op NEE drukt in het UAC venster door vssadmin kun je je data gewoon terugkrijgen zonder je backups uit de kast te halen.

Zolang je maar op NEE drukt (of zolang je simpelweg geen adminrechten hebt) is het voorlopig nog niet te laat.

Dat is echter alleen nog zo met de huidige versie cryptolockers. Er komt een nieuwe generatie aan die eerst alles encrypt, maar ook on the fly decrypt totdat alle bestanden encrypted zijn en totdat de vssadmin ook daadwerkelijk is overschreven en je hele backuphistorie verneukt is. De settings zijn namelijk zonder adminrechten uit te lezen, dus een cryptolocker kan prima uitzoeken hoe lang het vssadmins moet overschrijven.

Betaal hoe dan ook niet, want de sleutel krijg je waarschijnlijk niet. Althans, dat is met de cryptolockers in mijn lab het geval. Ze bieden aan om één bestand gratis te decrypten (en daarna US$ 500 per bestand), maar de gratis decrypt faalt altijd omdat men vermoedelijk de sleutel telkens kwijt is.

Hoe ik mij wapen is simpel en het kost weinig moeite: De maandbackup is altijd offline en gaat altijd op een nieuwe externe harde schijf. De oudere maandbackups blijven bewaard. VSSAdmin is groot genoeg om drie overschrijvingen van de complete schijf op te slaan. Ik heb namelijk de beslissing genomen dat een maand dataverlies (voor privedata) acceptabel is. Met een beetje geluk is de weekbackup of dagbackup gewoon nog in orde, alhoewel de huidige versie van cryptolockers die wel probeert te encrypten.

[ Voor 43% gewijzigd door Trommelrem op 11-04-2016 00:25 ]

Het is een dillema zo oud als de eerste computers thuis, kan je verwachten dat alle mensen vaardig genoeg zijn om zelf systeembeheerder te spelen? Het antwoord daarop is al decennia 'nee'. Het probleem ligt daarom eigenlijk in handen van de leveranciers van software en hardware, een systeem wat verkocht wordt moet eigenlijk voldoende aan basale beveiligingseisen voldoen zoals een virus/malware scanner en (online) backups. Het is zeker met de cloud allemaal niet zo moeilijk te realiseren, zeker als je als leverancier niet je verdien model ophangt aan die cloud en zo er alsnog voor zorgt dat niemand het gebruikt. Introduceer bijvoorbeeld een OS dat je niet koopt maar een abonnement is, waarbij alle online en offline security inbegrepen is.

Tot die tijd maken criminelen nog steeds dankbaar gebruikt van de nog steeds gebrekkige staat van standaard OS beveiliging.

xFeverr schreef op zondag 10 april 2016 @ 22:50:
Let op: het is dus zo bedoeld dat het te laat is. Er zijn geen backups (hoe lomp dan ook) beschikbaar.

Tja, misschien een beetje een inkoppertje, maar het idee is dat je wél backups hebt...

Als je geen backups hebt is het een verloren zaak, tenzij je wil betalen.

---

defiant schreef op maandag 11 april 2016 @ 00:26:
Het is een dillema zo oud als de eerste computers thuis, kan je verwachten dat alle mensen vaardig genoeg zijn om zelf systeembeheerder te spelen? Het antwoord daarop is al decennia 'nee'. Het probleem ligt daarom eigenlijk in handen van de leveranciers van software en hardware, een systeem wat verkocht wordt moet eigenlijk voldoende aan basale beveiligingseisen voldoen zoals een virus/malware scanner en (online) backups. Het is zeker met de cloud allemaal niet zo moeilijk te realiseren, zeker als je als leverancier niet je verdien model ophangt aan die cloud en zo er alsnog voor zorgt dat niemand het gebruikt.

Tot die tijd maken criminelen nog steeds dankbaar gebruikt van de nog steeds gebrekkige staat van standaard OS beveiliging.

Niet geheel mee eens.

Het grootste probleem is educatie van de gemiddelde gebruiker. Beveiligingsmiddelen zoals anti-virus zijn en blijven lapmiddelen: het werkt vaak niet optimaal en houdt lang niet alles tegen. Als het erop aankomt zijn de acties van de gebruiker altijd bepalend voor de beveiliging van een systeem.

Ik vind dus ook niet echt dat het de verantwoordelijkheid van leveranciers moet zijn. Ik denk dat je beter het probleem bij de bron kunt aanpakken, wat in dit geval betekent dat je mensen beter voorlicht over computers en beveiliging (bijvoorbeeld op school).

Introduceer bijvoorbeeld een OS dat je niet koopt maar een abonnement is, waarbij alle online en offline security inbegrepen is.

Dat lijkt me dus geen goed idee. Ten eerste is het onmogelijk om een systeem helemaal waterdicht te maken zonder de gebruiker alle vrijheid te ontnemen. In de praktijk zal dit dus zorgen voor een systeem dat veel vrijheden afpakt, waar de gebruiker geen totale controle heeft. Voor gemiddelde gebruikers misschien geen probleem, maar voor mensen zoals ik wel.

Daarnaast zal dit nog meer ervoor zorgen dat mensen geen flauw benul hebben over computers en beveiliging...

[ Voor 73% gewijzigd door Compizfox op 11-04-2016 01:23 ]

Ik denk dat topicstarter meer technische antwoorden zoekt... Hoe verder te gaan als alles reeds te laat is ....

Ik zelf heb bij enkele mensen 20 tot 30 % kunnen terughalen van externe hdd's door een undelete over de vrije ruimte te laten draaien, als ook helpt het tooltje photorec soms. Dit met zeer wisselende resultaten. Het beschreven gedeelte is echter voorgoed verloren.
Een echte oplossing is er eigenlijk gewoon niet als het al te laat is.

xFeverr schreef op zondag 10 april 2016 @ 22:50:
Wat ik echter nooit zou doen is geld neerleggen. Nooit.

Neem jij zulke beslissingen als een vriend/familielid/bekende onvervangbare bestanden dreigt te verliezen? Denk dan aan trouwfoto's, eerste foto's van hun kind, etc. Mooie vriend ben je dan. Ik zou zo'n beslissing aan het slachtoffer overlaten. Het is hun data en hun geld. Dus ook hun beslissing.

Ik heb een paar keer in mijn Virtualbox in Windows 7 flink te keer gegaan om besmet te raken, en was een paar keer de door Rasnomware gelocked.
Ik deed het een keer met een AV en een keer zonder.
Feit is dat die na het terugzetten van een snapshot gewoon nooit heeft bestaan.
Ik kan dat zo vaak doen als ik wil, aangezien ik die virtualbox heb geïnstalleerd in 1 van de 3 Windows 7 in een Multiboot.
Mocht je virussen willen testen, dan zijn dat ideale manieren om dat veilig te doen kwam ik achter.
Ook ben ik een keer in XP in een virualbox naar de meeste besmette website op aarde gegaan, waar diegene die dat heeft gemaakt rekent op typfoutjes, want die site was goggle ipv google.
ga daar niet heen in je werkstation, want die kan je dan echt gedag zeggen.
Wat er gebeurde?
Het hostsyteem had als AV Norton Internet Security, en sloeg hoog alarm omdat die het netwerkverkeer scande.
Aangezien Norton niet in de gaten had dat het in een virtual box gebeurde, wilde die zelfs zwaardere tools draaien in plaats van de gewone scanner, zo ernstig vervuild was die data die Norton scande in het netwerkverkeer wat richting XP ging in de Virtualbox.
Nadat ik XP had uitgeschakeld en een snapshot had terug gezet, is er niks gevonden in het hostsysteem.

Ik las dat de TS zelfs in geval van een nasty rootkit een nieuwe schijf het beste vond, wat natuurlijk wel zo is, maar Formateren overleefd een rootkit niet, daarbij kan je ook eventueel je MBR fixen.
Dus een nieuwe schijf kopen, is mijns inziens wel erg paniekerig.

Ik heb ook ooit een rootkit binnengehaald in 1 systeem die deel uitmaakte van een multiboot, waarbij ik wilde kijken wat er gebeurde als ik de drivers van norton verwijderde, de taakbalk verdween bijna direct, hele toestanden, systeem had een rootkit op kernel niveau en die deed dan ook vrijwel niks meer.
Daarna heb ik een ander systeem gestart in de multiboot, en ben gaan kijken wat er gebeurde als ik vanuit dat systeem die partitie wilde formateren.
In taakbeheer kreeg ik eerst de melding dat formateren niet kon, omdat er een actieve kernel bezig leek, en Windows vroeg om een HARDE FORMAT.
Die heb ik toen gedaan, en nooit meer iets vernomen van deze Rootkit.

Wat we in de ontwikkeling nu zien gebeuren dankzij het fenomeen Ransomware, is dat men steeds meer zich gaat richten op unlockers.
Want als je de boel zelf weer kan unlocken, hebben de lockers ook niks meer, toch?
Maar dan wordt er wel weer meer software ontwikkeld om mee te unlocken, en kan dat misschien ook in de toekomst weer verkeerd ingezet worden, wanneer het juist gaat om iets wat dus was begonnen om de data te beschermen.
Dus wat zien we bijna in elke ontwikkeling terug?
Dat elke vorm van ontwikkeling zowel GOED als KWAAD ingezet kan worden, maar het zijn de mensen die het uitvoeren.

Het spreekwoord voorkomen is beter als genezen, en je gezonde verstand, kortom, zorg er voor dat je een beetje op de hoogte bent van die ontwikkelingen, de goeie AV's, daar kunnen die ransomware virussen weinig meer tegen uitrichten, net als rootkit.
Ik wil nog wel een keer deze week virtueel op zoek gaan naar ransomware voor de TS, het lastig is wel dat ik geen multiboot aanlegde in mijn virtualbox, want in een multiboot kan je namelijk een besmet systeem onderzoeken zonder dat het systeem is gestart.
Ik wil best wel op zoek gaan als het mogelijk is in een door ransomware besmet systeem als het me lukt in de systeemmappen te komen, maar ik ga er geen hostsysteem voor gebruiken, dat is me te veel werk.

Kijk eens op youtube wat filmpjes van rogueamp

Dus in de volgende lijn zou het dan zijn in de tijdlijnen:
Good guys ontwikkelen encryptie om data te beschermen
bad guys gebruiken nu dezelfde techniek om je data te kapen
Wat kan gebeuren =
Good guys ontwikkelen unlock tools om datalockers kansloos te maken.
Bad guys hebben tools om data te unlocken.

Ik weet niet of zo een scenario realistisch is, maar in die loop wordt volgens mij alles ontwikkeld.
Net als een wapenwedloop.... koude cyberwar.
digitaal territoriumdirft van de mens.... eerst waren ze jagers, en toen werden ze boeren....

[ Voor 6% gewijzigd door Verwijderd op 11-04-2016 01:45 ]

GuntherDW schreef op zondag 10 april 2016 @ 23:16:
Het mag "tegendraads" zijn djkavaa, maar elke keer dat je betaalt zeg je alsmaar weer tegen de criminelen achter de malware "kijk, het is toch rendabel van deze shit te maken".

Vaak genoeg dat mensen ineens inderdaad lijkbleek worden als je zegt "restore gewoon van backup en alles is toch in orde?".

Daarom richten dergelijke cryptoware zich vooral op bedrijven. Als ze een slechte backup strategie hebben, kan het nog wel eens goedkoper zijn om 'gewoon' te betalen dan een (veel te oude) backup te restoren.

xFeverr schreef op zondag 10 april 2016 @ 22:50:
Wat ik echter nooit zou doen is geld neerleggen. Nooit.

Tja, voor bedrijven zonder goede backups kan het wel eens interessanter zijn om 'gewoon' te betalen, omdat een restore ze wellicht te ver terugzet in de tijd, waardoor dat herstellen te veel tijd (en dus geld) kost. Daarom richt cryptoware zich vooral op bedrijven en niet zozeer op de consument, al is het altijd wel mooi meegenomen natuurlijk voor die cryptolocker.

[ Voor 29% gewijzigd door CH4OS op 11-04-2016 02:01 ]

Ja, thuis gebruikers die formateren vaak gewoon, die gaan echt niet betalen.
thuisgebruikers worden trouwens ook wel steeds slimmer.
Als je maar een paar keer "geraakt" bent, dan wil je wel.

Als ik zou merken dat ik geraakt ben door cryptolocker software, dan zou ik instant in een reflex mijn resetknop indrukken. Vervolgens stroom eraf, en de disk afkoppelen.

Met een nood-OS (linux bijv) eerst proberen te redden wat er te redden valt. Ik zou nooit betalen wederom voor zo'n service als dat om m'n eigen files te unlocken. Zolang je betaald zal die business blijvend rendabel blijven voor criminelen, en zullen ze toe blijven slaan op zeer gewiekste manieren.

Aan de andere kant; zou het al te laat zijn? Dan is het een afweging of de data daadwerkelijk belangrijk voor me was ofniet.. Of afwachten voor een fix. Meestal kan zoiets een half jaar tot 2 jaar duren voordat men iets kant en klaar heeft. Je weet het nooit.

Altijd backups maken, is er altijd nog een restore-point. Dan blijft de schade ook minimaal.

Verwijderd schreef op maandag 11 april 2016 @ 02:03:
Altijd backups maken, is er altijd nog een restore-point. Dan blijft de schade ook minimaal.

Een herstelpunt neemt geen documenten uit je Mijn Documenten mee. Juist die documenten worden dan versleuteld. De bestanden van Windows zelf zijn niet zo heel bijster interessant dan. Voor een cryptolocker is het belangrijk om de bestanden te versleutelen die van waarde kunnen zijn voor jou als persoon of voor een bedrijf.

[ Voor 33% gewijzigd door CH4OS op 11-04-2016 02:06 ]

Ik doelde niet op Windows herstel ofzo, als je dat als serieus backupprogramma acht dan ... wtf

Ik las je zin anders dan dat je schreef. Ik ga maar eens naar bed...

Beetje tweaker stelt z'n eigen backuptool wel in die elke 24 uur een rondje doet.

Ik gebruik(te) altijd AKGBackup (Javascript backup tooltje) die met een cron altijd backups maakte. Bestanden die al gedaan waren en niet zijn aangepast waren dan ook niet aan de beurt. Scheelde behoorlijk wat I/O namelijk onder het 'werken' door.

Het is wijselijk om ook backups buiten je PC te behouden, just in case. Want malware kan zich zeer snel verspreiden, en zelfs netwerkschijven aanpakken.

Fiber schreef op zondag 10 april 2016 @ 23:22:
[...]

En zo houdt je die ellende dus zelf in stand omdat het dan dus lonend is. Als niemand zou betalen dan zou het niet lonend zijn en dus vanzelf weer ophouden. Van mij mogen ze betalen strafbaar stellen, net als heling strafbaar is.

Het was dat op 2 dagen backups restoren er waren meer dan 70.000 bestanden versleuteld waaronder veel live data van +/- 40 werknemers.
Het bedrag dat we hebben moeten betalen was 4 Bitcoin. Dus dat was sneller / minder ingrijpend dan van +/- 40 man een hele dag werk weg.

CptChaos schreef op maandag 11 april 2016 @ 02:05:
[...]
Een herstelpunt neemt geen documenten uit je Mijn Documenten mee. Juist die documenten worden dan versleuteld. De bestanden van Windows zelf zijn niet zo heel bijster interessant dan. Voor een cryptolocker is het belangrijk om de bestanden te versleutelen die van waarde kunnen zijn voor jou als persoon of voor een bedrijf.

Jazeker wel. Juist documenten worden meegenomen in de vssadmin. Echter een cryptolocker toont altijd een uac-venster om de vssadmins te verwijderen.

Ik ga hier even een n00b-vraag stellen: wat is nu dan een goede en uitvoerbare manier voor een gemiddelde gebruiker om te backuppen? Hoe voorkom je bijvoorbeeld dat je (sluimerende) ransomware meeneemt in je backup? Kun je Dropbox, OneDrive of Google Drive hiervoor gebruiken?

arnovos schreef op maandag 11 april 2016 @ 09:41:
Ik ga hier even een n00b-vraag stellen: wat is nu dan een goede en uitvoerbare manier voor een gemiddelde gebruiker om te backuppen? Hoe voorkom je bijvoorbeeld dat je (sluimerende) ransomware meeneemt in je backup? Kun je Dropbox, OneDrive of Google Drive hiervoor gebruiken?

Backups van data/files draaien met een interval van x dagen en pas na een dag of 20 de oudste weer overschrijven. Ik doe dit bijvoorbeeld op sd kaartjes of USB sticks en bewaar deze ook op verschillende locaties (ivm brand of inbraak..)

Trommelrem schreef op maandag 11 april 2016 @ 09:29:
[...]

Jazeker wel. Juist documenten worden meegenomen in de vssadmin. Echter een cryptolocker toont altijd een uac-venster om de vssadmins te verwijderen.

Jullie lijken het over schillende zaken te hebben. Shadow copies nemen inderdaad ook je documenten mee, en restore point van system restore terugzetten zal echter niets met je data doen.

Trommelrem schreef op maandag 11 april 2016 @ 00:20:

Betaal hoe dan ook niet, want de sleutel krijg je waarschijnlijk niet. Althans, dat is met de cryptolockers in mijn lab het geval. Ze bieden aan om één bestand gratis te decrypten (en daarna US$ 500 per bestand), maar de gratis decrypt faalt altijd omdat men vermoedelijk de sleutel telkens kwijt is.

Het zal je verbazen, maar betalen is vaak (zeker voor bedrijven zonder correcte backup) helaas een goede optie als je echt niet zonder de data kan. Een aantal klanten van mijn vorige werkgever heeft betaald, maar ook op bijv. sites als Spiceworks komen regelmatig verhalen van bedrijven die betaald hebben en ik heb nog geen geval gezien waarbij na betaling de data niet ontsleuteld werd mits de instructies correct gevolgd werden. Opzich ook niet onlogisch, wanneer de data niet terug zou komen na betaling zou deze business snel stoppen omdat dit snel bekend zou worden

Beste tip: breng je mail onder bij Google Apps. Heb het nog nooit meegemaakt dat Google bij ons iets van een virus doorlaat. Het is goedkoop en compleet onderhoudsvrij. Andere optie is onderbrengen bij Microsoft.

Veel mensen roepen "niet betalen!" En dat is gevoelsmatig ook mijn eerste reactie. Maar ik heb een keer een collega aan mijn burau gehad, met een "defecte" externe harddisk en tranen in zijn ogen: er stonden de enige foto's op van zijn inmiddels overleden kind... Gelukkig bleek de harddisk alleen maar losgeschoten in de behuizing en was het probleem snel verholpen, maar ik kan me dus levendig voorstellen dat mensen betalen.
Natuurlijk moeten we backups maken. Maar de gemiddelde gebruiker snapt pas echt het belang op het moment dat het een keer goed fout gaat en ze (bij wijze van spreken) aan den lijve voelen wat er gebeurt als ze geen backup hebben. Mensen verwijten dat ze geen backups hebben is te gemakkelijk en helpt ook niet: het leed is geschied.

Dus inderdaad, zoals TS al zegt: image maken van de getroffen schijf, herinstalleren en wachten tot de betreffende cryptolocker herkend en verwijderd kan worden met een virusscanner. Meer zit er niet op, vrees ik...

Pietervs schreef op maandag 11 april 2016 @ 10:23:
Dus inderdaad, zoals TS al zegt: image maken van de getroffen schijf, herinstalleren en wachten tot de betreffende cryptolocker herkend en verwijderd kan worden met een virusscanner. Meer zit er niet op, vrees ik...

Maar als je nu al weet dat iemand tegen de lamp gaat lopen, dan kan je toch nu al iedereen die je kent informeren over de belangen van het maken van backups.

Nu is het gewoon afwachten en niks doen terwijl je eigenlijk al vrijwel zeker weet dat je een probleem gaat krijgen.

Desnoods zet je zelf een backup dienst op. Het voorkomt een heleboel ellende en er zijn tal van mogelijkheden om kosten efficient een degelijke backup strategie te bedenken.

Pietervs schreef op maandag 11 april 2016 @ 10:23:
Veel mensen roepen "niet betalen!"

Daarom niet betalen:








Ze zeggen iedere keer "Fuck you" als ik mijn "Very important document" wil decrypten. De failure rate in mijn lab is inmiddels 100%. Als de one-free-decryption service niet werkt, wie gaat er dan uberhaupt betalen?

Dus inderdaad, zoals TS al zegt: image maken van de getroffen schijf, herinstalleren en wachten tot de betreffende cryptolocker herkend en verwijderd kan worden met een virusscanner. Meer zit er niet op, vrees ik...

Virusscanner is geen probleem. Zie boven: 41 van de 57 scanners herkent het gewoon en kan de Cryptolocker ook gewoon verwijderen. Persoonlijk zou ik een herinstallatie doen op een nieuwe schijf en over 5 jaar een supercomputer huren die de decryptie kan doen. Dan kost het maar iets meer, met criminelen wordt niet onderhandeld.

[ Voor 3% gewijzigd door Trommelrem op 11-04-2016 10:31 ]

redfoxert schreef op maandag 11 april 2016 @ 10:25:
[...]


Maar als je nu al weet dat iemand tegen de lamp gaat lopen, dan kan je toch nu al iedereen die je kent informeren over de belangen van het maken van backups.

Nu is het gewoon afwachten en niks doen terwijl je eigenlijk al vrijwel zeker weet dat je een probleem gaat krijgen.

Desnoods zet je zelf een backup dienst op. Het voorkomt een heleboel ellende en er zijn tal van mogelijkheden om kosten efficient een degelijke backup strategie te bedenken.

Vergelijk het met te hard rijden: iedereen wordt gewaarschuwd om niet te hard te rijden, omdat je anders een boete *kunt* krijgen. Het aantal mensen dat ooit een boete heeft gehad voor te hard rijden overstijgt het aantal chauffeurs dst nog nooit een boete heeft gehad...

Natuurlijk waarschuw ik mensen, en blijf ik dat ook doen. Niks doen is uiteraard geen optie. Maar je kent heel veel mensen, ook via-via. En vraag jij aan iedereen die je kent wanneer ze voor het laatst een backup gemaakt hebben?

Dennism schreef op maandag 11 april 2016 @ 10:10:

[...]


Het zal je verbazen, maar betalen is vaak (zeker voor bedrijven zonder correcte backup) helaas een goede optie als je echt niet zonder de data kan. Een aantal klanten van mijn vorige werkgever heeft betaald, maar ook op bijv. sites als Spiceworks komen regelmatig verhalen van bedrijven die betaald hebben en ik heb nog geen geval gezien waarbij na betaling de data niet ontsleuteld werd mits de instructies correct gevolgd werden. Opzich ook niet onlogisch, wanneer de data niet terug zou komen na betaling zou deze business snel stoppen omdat dit snel bekend zou worden

Dat snap ik allemaal wel, en natuurlijk is betalen individueel- of als bedrijf gezien het makkelijkste en het goedkoopste, net zoals het gemakkelijker en veiliger is om als restaurant eigenaar te betalen aan de maffia. Dan accepteer je dit soort praktijken dus gewoon en zie je het als een soort belasting of leergeld.

Maar als samenleving als geheel is het beter om niet te betalen zodat de misdaad niet meer lonend is.

Zelfde als bij kidnapping: Als niemand betaalt is het niet lonend en stopt het vanzelf, maar als het je eigen kind is dat gekidnapt is dan denk je daar plotseling heel anders over.

Trommelrem schreef op maandag 11 april 2016 @ 10:30:
[...]
Daarom niet betalen:
[afbeelding]
[afbeelding]
[afbeelding]
[afbeelding]
[afbeelding]
[afbeelding]
[afbeelding]

Ze zeggen iedere keer "Fuck you" als ik mijn "Very important document" wil decrypten. De failure rate in mijn lab is inmiddels 100%. Als de one-free-decryption service niet werkt, wie gaat er dan uberhaupt betalen?
[...]
Virusscanner is geen probleem. Zie boven: 41 van de 57 scanners herkent het gewoon en kan de Cryptolocker ook gewoon verwijderen. Persoonlijk zou ik een herinstallatie doen op een nieuwe schijf en over 5 jaar een supercomputer huren die de decryptie kan doen. Dan kost het maar iets meer, met criminelen wordt niet onderhandeld.

Deze test zegt weinig, je test slechts een cryptolocker waarvan je niet weet of deze nog in het wild gebruikt wordt, of de organisatie erachter nog actief is is e.d. Je zou nog kunnen kijken of ze ergens een contact knop hebben, veel Cryptolocker bendes hebben dit, en schijnen vrij volt re reageren bij problemen.

En anders, test eens diverse lockers, het liefst 0day varianten, in mijn ervaring zie je dan hele andere resultaten en werkt het unlocken van de gratis files perfect.

Paar weken terug heb ik bij mijn ouders een NAS(Twee harde schijven met RAID1) geinstalleerd. Dit omdat zij hun foto's op een externe harde schijf hadden staan die van de tafel is getrokken is door de hond. Waardoor deze foto's niet meer bereikbaar waren. Gelukkig hadden ze het meeste nog (per ongeluk) op een andere externe harde schijf staan.

Kunnen cryptolockers ook deze schijven encrypten? En hoe kan ik dit voorkomen?

Gertjuhjan schreef op maandag 11 april 2016 @ 10:47:
Paar weken terug heb ik bij mijn ouders een NAS(Twee harde schijven met RAID1) geinstalleerd. Dit omdat zij hun foto's op een externe harde schijf hadden staan die van de tafel is getrokken is door de hond. Waardoor deze foto's niet meer bereikbaar waren. Gelukkig hadden ze het meeste nog (per ongeluk) op een andere externe harde schijf staan.

Kunnen cryptolockers ook deze schijven encrypten? En hoe kan ik dit voorkomen?

Als je de NAS benadert via drive mappings dan kan een cryptolocker ook die schijven encrypten.

Voorkomen: read only maken (niet praktisch) of enkel via een backup applicatie benaderen, niet via een drive share maar via een applicatie die op de NAS draait. Daarnaast is het verstandig om ook snapshots of previous versions oid op de NAS te enablen (versioning) zodat je terug kunt naar een vorige versie.

Viperke schreef op maandag 11 april 2016 @ 10:17:
Beste tip: breng je mail onder bij Google Apps. Heb het nog nooit meegemaakt dat Google bij ons iets van een virus doorlaat. Het is goedkoop en compleet onderhoudsvrij. Andere optie is onderbrengen bij Microsoft.

Tja, virussen verspreiden zich niet alleen via email. Ook kan een eigen mailserver mits correct ingesteld ook mails met virussen tegenhouden. Ik snap daarom niet helemaal waarom het naar de (Amerikaanse) cloud zou moeten.

Gertjuhjan schreef op maandag 11 april 2016 @ 10:47:
Paar weken terug heb ik bij mijn ouders een NAS(Twee harde schijven met RAID1) geinstalleerd. Dit omdat zij hun foto's op een externe harde schijf hadden staan die van de tafel is getrokken is door de hond. Waardoor deze foto's niet meer bereikbaar waren. Gelukkig hadden ze het meeste nog (per ongeluk) op een andere externe harde schijf staan.

Kunnen cryptolockers ook deze schijven encrypten? En hoe kan ik dit voorkomen?

Helaas wel. Cryptolockers versleutelen overal waar ze kunnen de bestanden, mits ze de rechten hebben om bestanden te wijzigen. Hou er daarbij rekening mee, dat RAID geen vorm van backup is. Maar een vang middel voor hardwarematig falen van de disks!

[ Voor 42% gewijzigd door CH4OS op 11-04-2016 11:36 ]

CptChaos schreef op maandag 11 april 2016 @ 11:32:
[...]
Tja, virussen verspreiden zich niet alleen via email. Ook kan een eigen mailserver mits correct ingesteld ook mails met virussen tegenhouden. Ik snap daarom niet helemaal waarom het naar de (Amerikaanse) cloud zou moeten.

Vanwege versiebeheer.

Echter: Volgens mij worden de meeste virussen nog altijd via Dropbox verspreid en niet via e-mail.

Dennism schreef op maandag 11 april 2016 @ 10:44:
[...]


Deze test zegt weinig, je test slechts een cryptolocker waarvan je niet weet of deze nog in het wild gebruikt wordt, of de organisatie erachter nog actief is is e.d. Je zou nog kunnen kijken of ze ergens een contact knop hebben, veel Cryptolocker bendes hebben dit, en schijnen vrij volt re reageren bij problemen.

En anders, test eens diverse lockers, het liefst 0day varianten, in mijn ervaring zie je dan hele andere resultaten en werkt het unlocken van de gratis files perfect.

Het is een van de cryptolockers in mijn lab. Ze falen echter allemaal. Echter, net kwam een collega met een briljant idee: Als je de firewall uitzet, dan kan de private key gewoon worden opgestuurd naar de server. Waarschijnlijk blokkeert de firewall de verzending van de private key, waardoor die zoekraakt. Als dat zou werken, dan zou je met poortmonitoring wellicht de private keys kunnen onderscheppen in transit, wanneer de infectie start.

[ Voor 53% gewijzigd door Trommelrem op 11-04-2016 11:36 ]

Trommelrem schreef op maandag 11 april 2016 @ 11:34:
Vanwege versiebeheer.

Versiebeheer kan ook op een andere manier en kan vast ook via een eigen server. Ik zie dus nog steeds geen reden waarom zoiets naar een (Amerikaanse) cloud zou moeten...

Het is een van de cryptolockers in mijn lab. Ze falen echter allemaal. Echter, net kwam een collega met een briljant idee: Als je de firewall uitzet, dan kan de private key gewoon worden opgestuurd naar de server. Waarschijnlijk blokkeert de firewall de verzending van de private key, waardoor die zoekraakt. Als dat zou werken, dan zou je met poortmonitoring wellicht de private keys kunnen onderscheppen in transit, wanneer de infectie start.

Mag "hopen" dat cryptolockers hun keys via https / ssl versturen naar hun eigen servers. Poort 443 dus, waar je dus niets aan hebt zonder zelf het certificaat ook te hebben om een man in the middle te kunnen uitvoeren... Anders zouden cryptolockers totaal zinloos zijn.

CptChaos schreef op maandag 11 april 2016 @ 11:41:
[...]
Versiebeheer kan ook op een andere manier en kan vast ook via een eigen server. Ik zie dus nog steeds geen reden waarom zoiets naar een (Amerikaanse) cloud zou moeten...

Omdat Dropbox voor consumenten lekker makkelijk is? Het synchroniseert beter dan Google Drive, SharePoint en andere diensten. Wat heeft Noord-Amerika daarmee te maken? Het zou mij niet verbazen dat de private keys naar Oost-Europa gaan i.p.v. Noord-Amerika. Volgens mij worden daar aardig wat cryptolockers geproduceerd.

Mag hopen dat cryptolockers hun keys via https / ssl versturen naar hun eigen servers. Poort 443 dus, waar je dus niets aan hebt zonder zelf het certificaat ook te hebben om een man in the middle te kunnen uitvoeren...

We gaan het zien. Ik zie niet in waarom ze SSL zouden gebruiken. Dan moeten ze een certificaat aanschaffen en het kost ze moeite. De mensen betalen helaas toch wel. De verzending is toch eenmalig en je moet dan toevallig wel poortmonitoring hebben ingeschakeld en een tool zoals Wireshark hebben draaien. In het wild zal dat nooit voor komen, behalve in een lab omgeving.

Ik ben ook benieuwd wat een geheugendump zal doen. Ergens in het geheugen zal toch iets van unencrypted data van de cryptolocker te vinden zijn?

[ Voor 12% gewijzigd door Trommelrem op 11-04-2016 11:48 ]

Trommelrem schreef op maandag 11 april 2016 @ 11:45:
Omdat Dropbox voor consumenten lekker makkelijk is? Het synchroniseert beter dan Google Drive, SharePoint en andere diensten. Wat heeft Noord-Amerika daarmee te maken? Het zou mij niet verbazen dat de private keys naar Oost-Europa gaan i.p.v. Noord-Amerika. Volgens mij worden daar aardig wat cryptolockers geproduceerd.

Als Dropbox op de PC is geïnstalleerd, houdt deze een bepaalde map (of mappen) in de gaten en synchroniseert wijzigen naar de cloud. Als cryptolocker langs komt, worden de files ook in de cloud encrypted.

We gaan het zien. Ik zie niet in waarom ze SSL zouden gebruiken.

Je ziet niet in, wat het versleuteld versturen van die private key van belang is voor cryptolockers?

Dan moeten ze een certificaat aanschaffen en het kost ze moeite.

Let's Encrypt geeft gratis SSL certificaten weg, goed genoeg voor zaken als dit als het beveiligd versturen van private keys van slachtoffers. Het is totaal onlogisch voor cryptolockers om dergelijke informatie onversleuteld te versturen. Ik zou het bovendien dom vinden, omdat aftappen dan makkelijk is en de files dus ook heel simpel weer decrypted kunnen worden.

De mensen betalen helaas toch wel.

Tja, soms kun je niet anders, omdat dat dan de goedkoopste oplossing is.

Ik ben ook benieuwd wat een geheugendump zal doen. Ergens in het geheugen zal toch iets van unencrypted data van de cryptolocker te vinden zijn?

De keys zullen dat niet zijn neem ik aan. Die keys zijn van cruciaal belang voor de cryptolocker. Je zult dus hoogstens kunnen achterhalen welke encryptie is gebruikt en welke variabele ze er in hebben gegooid, maar welke hash daar dan uit gekomen is, weet je nooit. Cryptolockers gebruiken overigens vaak (de moderneren althans zeker) meerdere lagen encryptie tegenwoordig.

Als ik hier nuchter op reageer dan zien we toch weer in alle verwarring door die misleiding van nu dus ransomware dat het mensen zo in de problemen brengt, dat het een heel bedrijf kan vernietigen.
En dat is ook het probleem, een thuisgebruiker zal geen zware financiële schade leiden waar jarenlang werken aan vooraf ging.
Op het moment dat een bedrijf besluit te betalen is het ook dubbel, maar op dat moment ben je in paniek,
Je inkomsten staan stil, klanten kan je niet bedienen, kortom, niet betalen kan dan, zoals de praktijk ook al heeft uitgewezen, je compleet van de markt wippen, terwijl betalen ook geen garantie geeft, want ook al betaal je, het zal die ransomwaremakers een worst wezen of jij nog bestaat of niet.

Zoals in Windows veel automatisch gebeurd, zo ook de encryptie.

Vind dit alles altijd plaats op NTFS formats met de Windows service:
Encrypting File System (EFS)

Dit systeem biedt de hoofdfunctionaliteit voor bestandsversleuteling. Deze technologie wordt gebruikt om versleutelde bestanden op NTFS-bestandssysteemvolumes op te slaan. Als deze service is gestopt of is uitgeschakeld, kunnen de toepassingen geen toegang krijgen tot de versleutelde bestanden.

Aangezien ransomware naar mijn mening grip krijgt op deze service.
Deze service werd mogelijk vanaf Windows 2000 en de komst van NTFS.
Dat alles wordt automatisch geregeld door het besturingssysteem Windows.
En dat is het meest gebruikte systeem op computers, dat weten we allemaal.
En dat is op elke Windows machine hetzelfde.
C:\Windows\System32\syskey.exe
Hiermee kan je de encryptie ook nog van een wachtwoord voorzien.
Ik heb geen ervaring er mee of dat ransomware tegen kan houden.

Trommelrem, ik zag dat je ransomware bewust kon starten.
Kan jij ook testen wat er gebeurd als je een encryptie wachtwoord invoert?
En dan die ransomware start?
Ben er wel benieuwd naar.

Of zou dat alleen effect hebben op het starten van Windows?

Verwijderd schreef op maandag 11 april 2016 @ 12:06:
Vind dit alles altijd plaats op NTFS formats met de Windows service:
Encrypting File System (EFS)

Dit systeem biedt de hoofdfunctionaliteit voor bestandsversleuteling. Deze technologie wordt gebruikt om versleutelde bestanden op NTFS-bestandssysteemvolumes op te slaan. Als deze service is gestopt of is uitgeschakeld, kunnen de toepassingen geen toegang krijgen tot de versleutelde bestanden.

Ik denk dat cryptoware eerder een eigen methodiek gebruik tot het versleutelen van bestanden en daarbij meerdere (verschillende) lagen gebruikt. Dat maakt de kans kleiner dat je de bestanden zelf kan decrypten. Een tweede voordeel is dat de cryptolocker niet afhankelijk is van een bepaalde service in Windows, die niet in alle Windows-versies aanwezig zal zijn.

Uiteindelijk is de bedoeling van een cryptolocker immers om de enige te zijn die de versleuteling teniet kan doen bij gebrek aan goede, recente backups.

[ Voor 8% gewijzigd door CH4OS op 11-04-2016 12:30 ]

CptChaos schreef op maandag 11 april 2016 @ 12:25:
[...]
Ik denk dat cryptoware eerder een eigen methodiek gebruik tot het versleutelen van bestanden en daarbij meerdere (verschillende) lagen gebruikt. Dat maakt de kans kleiner dat je de bestanden zelf kan decrypten. Uiteindelijk is de bedoeling van een cryptolocker om de enige te zijn die de versleuteling teniet kan doen bij gebrek aan goede, recente backups.

Ja precies, en dat maakt je als gebruiker dan ook zo machteloos tegen dit soort malafide praktijken.
Dan lijkt het er ook wel op dat de gebruikers door de makers van die malware als een soort makke lammetjes richting slachtbank worden geleidt, waar dus vanaf het moment dat dat begon, de service EFS zich tegen windows gebruikers heeft gekeerd.
Encyptie was nog niet mogelijk toen het nog fat32 was.
Zou de gehele kernel en de format nu dus OTFS kunnen gaan heten, dat NEW nu dus niet meer NEW is, maar OLD.
Wat doet Microsoft op dat gebied om gebruikers daar tegen te beschermen?
Dan zou er weer een soort systeem moeten ontstaan waar geen enkele andere vorm van encryptie toegelaten kan worden. Ik weet niet of het ook andere formats kan treffen, zoals die van Linux of Apple.

Misschien zou er in de toekomst een betere samenwerking moeten komen met de makers van besturingssystemen van dat kaliber en makers van AV software, en dat met elkaar gaan laten integreren.
Zodat alle gebruikers altijd beveiligd zijn, nu kost het ook wel wat, voor 5 euro permaand kan je je goed beschermen, maar dat staat nu nog los van het gebruik van het besturingssysteem, wat dus een groter risico met zich mee brengt.

[ Voor 35% gewijzigd door Verwijderd op 11-04-2016 12:38 ]

Verwijderd schreef op maandag 11 april 2016 @ 12:29:
[...]

Encyptie was nog niet mogelijk toen het nog fat32 was.

Sorry, kan aan mij liggen, maar ik vind je tekst nogal onduidelijk lezen.
MAar wat ik niet begrijp is wat een filesystem te maken heeft met het wel of niet kunnen wegschrijven van een ge-encrypt bestand ?

Verwijderd schreef op maandag 11 april 2016 @ 12:29:
Ja precies, en dat maakt je als gebruiker dan ook zo machteloos tegen dit soort malafide praktijken.
Dan lijkt het er ook wel op dat de gebruikers door de makers van die malware als een soort makke lammetjes richting slachtbank worden geleidt, waar dus vanaf het moment dat dat begon, de service EFS zich tegen windows gebruikers heeft gekeerd.

Ik denk niet dat cryptolockers services als EFS gebruiken. Ze beperken zich hiermee teveel op recentere Windows-versies en heb je dus veel minder potentiële slachtoffers. Daarnaast zal er voor EFS vast ook wel een manier zijn om het te decrypten. Ik ga er daarom vanuit dat cryptolockers géén gebruik maken van services als EFS, maar gewoon hun eigen encryptie gebruiken, over meerdere lagen, met verschillende soorten encrypties. De modernere cryptolockers doen dat sowieso al en slaan diverse keys op diverse servers met diverse versleutelingen op. Daar kom je echt niet zomaar bij.

Encyptie was nog niet mogelijk toen het nog fat32 was.

Het gebeurd dan ook n iet op dat niveau, maar de inhoud van elk bestand wordt gewijzigd. Dan maakt de partitie echt niets uit.

Zou de gehele kernel en de format nu dus OTFS kunnen gaan heten, dat NEW nu dus niet meer NEW is, maar OLD.

Ik begrijp hier even niet wat je bedoeld. Het is een cryptolocker niet te doen om het OS te beschadigen, maar om je bedrijfsvoering flink te vertragen en misschien zelfs stuk te maken, iets wat kwalijker is dan het OS aanpakken.

Wat doet Microsoft op dat gebied om gebruikers daar tegen te beschermen?

Waarom moet Microsoft daar tegen beschermen? En wie moeten zij dan beschermen? Bedrijven (wat toch het primaire doelgroep is voor cryptolockers) hebben meestal wel hun beveiliging op orde en zorgen ervoor dat medewerkers alleen bij de bestanden kunnen, waar ze bij zouden moeten kunnen, niets meer, niets minder. Dan is de werking van een cryptolocker zéér beperkt, maar niet waterdicht. En natuurlijk is een goede backup héél belangrijk.

Dan zou er weer een soort systeem moeten ontstaan waar geen enkele andere vorm van encryptie toegelaten kan worden.

En hoe had je dat precies in gedachten? Nietsvermoedende of nietwetende gebruikers hou je helaas toch wel, helemaal uitbannen van virussen (in welke vorm dan ook) gaat gewoon nooit lukken. De files worden namelijk aangepast. Dan kun je encryptie niet toestaan zoveel als dat je wilt, het weerhoudt een cryptolocker er niet van om een bestand te openen en vervolgens de inhoud te versleutelen naar wat anders en weer weg te schrijven op disk.

Ik weet niet of het ook andere formats kan treffen, zoals die van Linux of Apple.

Ook op Linux / OSX zijn er (helaas) cryptolockers; zie bijvoorbeeld Synology NAS besmet met ransomware synolocker en/of nieuws: Officiële versie Mac-app Transmission bevatte ransomware. En je kan natuurlijk op een dergelijke machine een share hebben, waar je met je Windows machine volledige toegang toe hebt, dan kan de cryptolocker ook al zijn ding doen.

[ Voor 10% gewijzigd door CH4OS op 11-04-2016 12:48 ]

heuveltje schreef op maandag 11 april 2016 @ 12:41:
[...]
Sorry, kan aan mij liggen, maar ik vind je tekst nogal onduidelijk lezen.
MAar wat ik niet begrijp is wat een filesystem te maken heeft met het wel of niet kunnen wegschrijven van een ge-encrypt bestand ?

Nee het ligt niet aan jou
Dat heeft te maken met hoe dat ooit tot stand is gekomen.
Encryptie is ontstaan om bestanden beter te beveiligen, dat werd mogelijk gemaakt vanaf Windows 2000 met een vernieuwde format en een nieuwe kernel die werd gebruikt vanaf Windows 2000.
Microsoft heeft toen dat mogelijk gemaakt om encryptie te kunnen gebruiken.
Systemen werden toen ook stabieler.
Alleen nu lijkt die techniek zich tegen gebruikers te keren met de komst van ransomware. dus die ransomware gebruikt niet specifiek die service van Windows, maar gebruiken diezelfde techniek.
net als je met verschillende programma's beeld kan bewerken.
Dan lijkt het alsof er een antwoord moet komen daarop.
NTFS en encryptie is toen ontwikkeld om mensen beter te beschermen.
Maar die mogelijkheid geeft dan nu ook ransomware die kans.
Om met hun eigen manieren encryptie in te zetten.

Een goeie AV zal direct ransomware herkennen aan de vorm van die techniek, en daar zou Microsoft eigenlijk voor moeten zorgen.
Nu is het als ik het vergelijk alsof je een auto koopt zonder sloten.
En je na de aanschaf van je auto naar een andere fabrikant toe moet om er nog sloten in te laten plaatsen, dat lijkt me niet de bedoeling...

[ Voor 29% gewijzigd door Verwijderd op 11-04-2016 12:55 ]

__R__ schreef op zondag 10 april 2016 @ 23:17:
Ik zou niet betalen. Nooit betalen. Ik heb ook zelf de insteek dat als ik ooit beroofd zal worden van mijn GSM of portomenee dat ik deze direct de sloot of iets dergelijks in gooi. (En ja, makkelijk praten nu)

Betalen is aantrekkelijk maken. Niet betalen is de enigste optie om deze mensen wat anders te laten verzinnen. Want dat zullen ze doen.

Je hebt makkelijk praten. Ik zou ook niet betalen, maar ik heb in tegenstelling tot het uitgangspunt van OP van al mijn belangrijke bestanden meerdere backups, incluysief offline backups.

Ik ken echter bedrijven waarvan ik weet dat de backups niet afdoende zijn en als ze door een locker worden getroffen het betekent : betalen of bedrijf failliet. Reken maar dat je dan betaalt (en een dure les leert).

Wat ik dus nog steeds niet begrijp is dat er nog bedrijven zijn die periodiek een kopie van een netwerkschijf maken naar een andere netwerkschijf een backup noemen. Dat beschermt je hoogstens tegen een hardware defect, maar dan heb je het wel gehad.

Verwijderd schreef op maandag 11 april 2016 @ 12:29:
[...]
Encyptie was nog niet mogelijk toen het nog fat32 was.

Je weet toch dat je hier opnzin loopt te spuien? Er is geen enkel probleem met fat32 dat je belet om file level encryptie toe te passen en een driver te installeren zodat de bestanden zolang je nog bezig bent met encrypten transparant te decrypten.

Dat transparant decrypten is overigens het gevaar, daardoor kan het zijn als je de locker een tijdje niet ontdekt dat je bestanden hebt waarvan zelfs nooit een niet encrypted exemplaar is opgeslagen!.

Ik test zelf mijn externe backups op een linux pc, als je dan de bestanden kan openen heb je iig geen encrypted zooi lopen backuppen.

[ Voor 25% gewijzigd door Verwijderd op 11-04-2016 13:03 ]

Verwijderd schreef op maandag 11 april 2016 @ 12:56:
[...]

Je hebt makkelijk praten. Ik zou ook niet betalen, maar ik heb in tegenstelling tot het uitgangspunt van OP van al mijn belangrijke bestanden meerdere backups, incluysief offline backups.

Ik ken echter bedrijven waarvan ik weet dat de backups niet afdoende zijn en als ze door een locker worden getroffen het betekent : betalen of bedrijf failliet. Reken maar dat je dan betaalt (en een dure les leert).

Wat ik dus nog steeds niet begrijp is dat er nog bedrijven zijn die periodiek een kopie van een netwerkschijf maken naar een andere netwerkschijf een backup noemen. Dat beschermt je hoogstens tegen een hardware defect, maar dan heb je het wel gehad.

Daar heb je ook gelijk in hoor, ligt er net aan in welke positie je verkeerd.
Als je gehele inkomsten er van af hangt, of je zit thuis en installeerd windows op nieuw, wat wel weer wat werk is maar geen economische schade, dan zit er inderdaad verschil in.

Verwijderd schreef op maandag 11 april 2016 @ 12:48:
Nee het ligt niet aan jou
Dat heeft te maken met hoe dat ooit tot stand is gekomen.
Encryptie is ontstaan om bestanden beter te beveiligen, dat werd mogelijk gemaakt vanaf Windows 2000 met een vernieuwde format en een nieuwe kernel die werd gebruikt vanaf Windows 2000.
Microsoft heeft toen dat mogelijk gemaakt om encryptie te kunnen gebruiken.
Systemen werden toen ook stabieler.

Geen idee wat stabiliteit te maken heeft hiermee of wat je ermee bedoeld. Dat de techniek er is, is niet alleen dankzij Microsoft natuurlijk. Het oplopen van een crypto- of ransomeware virus natuurlijk ook niet. Je kan dus ook niet zomaar wijzen naar Microsoft, alsof zij de schuldigen zijn. Zo laat je het nu wel overkomen namelijk.

Alleen nu lijkt die techniek zich tegen gebruikers te keren met de komst van ransomware. dus die ransomware gebruikt niet specifiek die service van Windows, maar gebruiken diezelfde techniek.

Als het dezelfde techniek zou gebruiken, zou het ook op dezelfde manier te beheren en decrypten moeten zijn. Dat doet het niet, want het werkt veel geavanceerder. Ze gaan misschien op dezelfde wijze te werk, maar gebruiken totaal andere technieken om dat te bewerkstelligen. En het kost nu natuurlijk weinig tot geen resources meer. Dus de impact is nu veel groter, doordat er meer in minder tijd versleuteld kan worden.

net als je met verschillende programma's beeld kan bewerken.

Ja, maar dat is precies wat ik dus eerder ook al zei.

Dan lijkt het alsof er een antwoord moet komen daarop.
NTFS en encryptie is toen ontwikkeld om mensen beter te beschermen.

Wat heeft NTFS hiermee van doen? De gebruikte partities en de indeling ervan staat totaal los van wat deze crypto- en ransomeware virussen doen. Alles is ontwikkeld met een reden, al dan niet om mensen beter te beschermen.

Maar die mogelijkheid geeft dan nu ook ransomware die kans.
Om met hun eigen manieren encryptie in te zetten.

Tja, dat is met alles natuurlijk zo, dus ik zie het punt niet helemaal wat je hier probeert te maken.

Een goeie AV zal direct ransomware herkennen aan de vorm van die techniek, en daar zou Microsoft eigenlijk voor moeten zorgen.

Herkennen is het punt niet, het probleem de uitdaging is de ontsleuteling (decryption) van bestanden wanneer het te laat is.

Verwijderd schreef op maandag 11 april 2016 @ 12:48:
[...]

Nee het ligt niet aan jou
Dat heeft te maken met hoe dat ooit tot stand is gekomen.
Encryptie is ontstaan om bestanden beter te beveiligen, dat werd mogelijk gemaakt vanaf Windows 2000 met een vernieuwde format en een nieuwe kernel die werd gebruikt vanaf Windows 2000.
Microsoft heeft toen dat mogelijk gemaakt om encryptie te kunnen gebruiken.
Systemen werden toen ook stabieler.
me niet de bedoeling...

Ik denk dat jij denkt dat encryptie iets is dat door MS geintroduceerd.
Dit is incorrect, bestanden versleutelen met een paswoord is echt al velen jaren ouder
ALleen toen koste het nog genoeg cpu dat dat onwerkbaar was.
Voor zover ik weet is bv een .rar met paswoord ook nog steeds onkraakbaar met een normale pc.

Alleen het gemak van het internet, zowel kwa ontraceerbare betalingen, als verspreiding maakt dit momenteel een veel groter probleem dan zeg 10 jaar geleden.

[ Voor 8% gewijzigd door heuveltje op 11-04-2016 13:04 ]

Nee, ik denk niet dat encryptie in de vorm van NTFS de eerste was, maar het is toen in de format openomen.
Zo was er geen tabblad beveiliging wanneer je bijvoorbeeld XP installeerd op een fat32, daar moest je inderdaad zelf voor zorgen.
het hele machtigingenbeleid van Windows is op een NTFS op gebruikersniveau toen begonnen.
Ik kan toch ook via het machtigingenbeleid in Windows door de encryptie mezelf de toegang tot bepaalde mappen en bestaan ontzeggen, of de machtiging overnemen van een object.
Daarom is het ook mogelijk om als administrator of als beperkte gebruiker in te loggen.
Het gaat steeds met name er om dat wanneer ransomware eenmaal binnen is en niet tegen gehouden worden door een goeie AV, je dat probleem hebt.
En voor bedrijven kan dat de strop zijn wanneer er geen back ups zijn.
Als een bedrijf als Kaspersky, Norton deze zaken tegen kunnen houden, is het naar mijn idee ook wel zo dat die markt daar toch bepaald ook.
Stel dat er een besturingssysteem zou zijn die niet aangevallen zou kunnen worden (dat is natuurlijk niet zo) dan had je ook die markt niet gehad.
Want dom zijn die jongens die dat maken niet.
Je moet nogal wat weten om ransomware te kunnen maken,
Dat is het zelfde niveau programmeurs die werken bij bedrijven zoals Microsoft.
Dus wij gebruikers, die niet tot op dat niveau programmeurs zijn, hebben dan wel een probleem indien we ons niet goed beschermen.
De banken worden ook op die manier beroofd, in 2012 was dat bedrag rond de 484 miljard wereldwijd las ik.als ik me niet vergis.

CptChaos schreef op maandag 11 april 2016 @ 11:32:
[...]
Tja, virussen verspreiden zich niet alleen via email. Ook kan een eigen mailserver mits correct ingesteld ook mails met virussen tegenhouden. Ik snap daarom niet helemaal waarom het naar de (Amerikaanse) cloud zou moeten.

Zover ik heb kunnen zien zijn deze cryptolockers wel degelijk enkel via mail verspreidt. Ik gok dat je als je een enquete houdt over waar mensen de cryptolocker vandaan hebben. Je op bijna, zoniet 100% non google/microsoft mail servers uitkomt. Ik heb shitloads aan cryptolocker mails op mijn ziggo en tweak mail gehad. Allemaal met de attachment er nog aan. Onbegrijpelijk dat, dat nog doorgelaten wordt.

Verwijderd schreef op maandag 11 april 2016 @ 13:21:
Nee, ik denk niet dat encryptie in de vorm van NTFS de eerste was, maar het is toen in de format openomen.

NTFS is gewoon een filesystem, geen idee wat encryptie daarmee van doen heeft. Dan zijn alle andere filesystems namelijk óók encryptie.

Zo was er geen tabblad beveiliging wanneer je bijvoorbeeld XP installeerd op een fat32, daar moest je inderdaad zelf voor zorgen.

Dat betekend niet dat bestanden niet te versleutelen zijn op een FAT32 partitie. Nogmaals; een filesystem zorgt alleen dát je bestanden kan opslaan. Vervolgens kan je alles doen en laten met zo'n file. Ja, je kan filesystems óók nog eens versleutelen, maar dat betekend niet, dat de files inhoudelijk dan niet meer te versleutelen zijn.

het hele machtigingenbeleid van Windows is op een NTFS op gebruikersniveau toen begonnen.

Euh...? Ik volg je hier echt niet. Het is niet dat NTFS het enige filesystem is waarmee het mogelijk is om rechtenbeheer te kunnen doen, laat staan dat NTFS het eerste filesystem is waarmee zoiets kan.

Ik kan toch ook via het machtigingenbeleid in Windows door de encryptie mezelf de toegang tot bepaalde mappen en bestaan ontzeggen, of de machtiging overnemen van een object.

Daarom dat een cryptolocker alleen toeslaat op bestanden waar het bij kan?

Daarom is het ook mogelijk om als administrator of als beperkte gebruiker in te loggen.

Het maakt niet uit als wie je inlogt. De cryptolocker draait altijd onder de huidig ingelogde gebruiker en doet dan zijn ding, waar hij bij kan... Jiust om meldingen van UAC te voorkomen en zodat het op de achtergrond (onzichtbaar dus) actief kan zijn.

Het gaat steeds met name er om dat wanneer ransomware eenmaal binnen is en niet tegen gehouden worden door een goeie AV, je dat probleem hebt.
En voor bedrijven kan dat de strop zijn wanneer er geen back ups zijn.
Als een bedrijf als Kaspersky, Norton deze zaken tegen kunnen houden, is het naar mijn idee ook wel zo dat die markt daar toch bepaald ook.

Je kan 100% nooit voorkomen. Hoe goed je virusscanner ook is. Dat is juist het kat en muis spelletje wat al jaren gespeeld wordt.

Stel dat er een besturingssysteem zou zijn die niet aangevallen zou kunnen worden (dat is natuurlijk niet zo) dan had je ook die markt niet gehad.

Er zullen altijd flaws en dergelijken zitten. Bedenk je wel, dat alle programmatuur en ook besturingssystemen worden gemaakt door programmeurs. Dat zijn vaak gewoon mensen. Ook die kunnen fouten maken. Wil je echt altijd 100% veilig zijn, dan zeg je jouw internet abonnement op en zet je jouw PC uit. Dat is de enige manier waarop je 100% veilig bent.

zitten we in het proces van genezen als we het niet weten te voorkomen?
Ik gebruik Kaspersky, in windows 7 en 10, dus ik hoef me persoonlijk geen zorgen te maken.
Maar ik kan me voorstellen dat als je een bedrijf hebt en je op de kosten moet letten qua omzet en winst,
ransomware dus in staat is een bedrijf ecomonisch te vermoorden.
Daar moeten we als eindgebruikers ook steeds rekening mee houden.
En dat ziet ook niet iedereen aankomen.
Mark Russinovich van Microsoft heeft daar ook op youtube filmpjes over gemaakt, waar hij uitlegt met geavanceerde tools hoe het hackers lukte om 1 poort op te houden door een machtiging te plaatsen voor zichzelf waardoor ze steeds weer binnen konden komen wanneer alle malware weer was verwijderd.
Want ik denk ook niet dat stel een bedrijf betaald, ze elke maand een melding van ransomware willen krijgen en per maand moeten gaan betalen om hun data te mogen gebruiken, toch?
hij legde ook uit dat er op een gegeven moment mensen van Microsoft daar een tijd mee bezig moesten voor dat dat ontdekt werd.
Malware is al lang een groot probleem. het neemt steeds grovere vormen aan.

Verwijderd schreef op maandag 11 april 2016 @ 13:32:
zitten we in het proces van genezen als we het niet weten te voorkomen?
Ik gebruik Kaspersky, in windows 7 en 10, dus ik hoef me persoonlijk geen zorgen te maken.

Dat is best naïef.. Op het moment dat een cryptolocker voor het eerst in het wild gesignaleerd wordt door een antivirusboer heeft hij waarschijnlijk al vele slachtoffers gemaakt, want die antivirusmakers hebben ook geen glazen bol waarin ze zien wat er op dit moment allemaal door kwaadwillende uitgedokterd wordt.

Anti-virus is leuk voor misschien 90% van de gevallen, maar is slechts een hulpmiddel en geen wondermiddel tegen alles.

Als het allemaal zo simpel was geweest had elk bedrijf nu Kaspersky gedraaid en waren er niet steeds bedrijven die geraakt worden door cryptolockers in het nieuws.

Radiant schreef op maandag 11 april 2016 @ 13:39:
[...]


Dat is best naïef.. Op het moment dat een cryptolocker voor het eerst in het wild gesignaleerd wordt door een antivirusboer heeft hij waarschijnlijk al vele slachtoffers gemaakt, want die antivirusmakers hebben ook geen glazen bol waarin ze zien wat er op dit moment allemaal door kwaadwillende uitgedokterd wordt.

Anti-virus is leuk voor misschien 90% van de gevallen, maar is slechts een hulpmiddel en geen wondermiddel tegen alles.

Als het allemaal zo simpel was geweest had elk bedrijf nu Kaspersky gedraaid en waren er niet steeds bedrijven die geraakt worden door cryptolockers in het nieuws.

Mwha Naief wil ik mezelf niet noemen, ik ben geen type gebruiker die snel ergens instinkt, tuurlijk heb je gelijk, we kunnen er allemaal door besmet raken, maar daar heb ik wel alles back-up, dus mocht dat gebeuren ben ik daar op voorbereidt, maar goed, ik heb geen hele netwerken te beheren waar meer mensen in het netwerk werken.
En net zoals de banken kwamen met de mogelijkheid tot 25 Euro zonder pin met je telefoon te kunnen betalen (lekker snel en makkelijk) was de eerste digitale zak afgelopen maanden dan ook gerold.
Dus eerst bedenken ze een techniek, en met de beveiliging hobbelt het er achter aan.
Ik vraag me ook af waarom daar dan geen rekening mee is gehouden, en het dus schijnbaar simpel was voor bepaalde lieden naast iemand te gaan staan en een telefoon te rollen.
het enige voordeel wat het jouw oplevert dat rovers je niet fysiek aan hoeven te raken, en dat is ook tevens weer het nadeel. Linux is toch meer zich al in de ontwikkeling zich gaan richten op veiligheid.
En Microsoft richtte zich op gebruiksvriendelijkheid.

Het is basisfunctionaliteit van een computer (je kan een bestand lezen, en schrijven). Een cryptolocker is daarin niet anders dan Word, Powerpoint, etc. Daar valt niet echt tegen te beveiligen in de basis.

Ben ook benieuwd hoe je denkt dat Linux je daartegen beschermt, want behalve dat het niet interessant is voor makers van cryptolockers (want kleine user base op workstations), zit daar totaal geen verschil in.

[ Voor 5% gewijzigd door Radiant op 11-04-2016 14:15 ]

Ik heb niet getypt dat linux mij daar tegen beschermd, kwaadwillende zijn tot van alles in staat, ik typte meer over waar de bouwers van die systemen zich toen op richtte, meer niet.

Radiant schreef op maandag 11 april 2016 @ 13:39:
[...]

Dat is best naïef.. Op het moment dat een cryptolocker voor het eerst in het wild gesignaleerd wordt door een antivirusboer heeft hij waarschijnlijk al vele slachtoffers gemaakt, want die antivirusmakers hebben ook geen glazen bol waarin ze zien wat er op dit moment allemaal door kwaadwillende uitgedokterd wordt.

Anti-virus is leuk voor misschien 90% van de gevallen, maar is slechts een hulpmiddel en geen wondermiddel tegen alles.

Als het allemaal zo simpel was geweest had elk bedrijf nu Kaspersky gedraaid en waren er niet steeds bedrijven die geraakt worden door cryptolockers in het nieuws.

Een antivirus werkt in 90% van de gevallen?
Het is waarschijnlijk meer, maar het zet mij aan het denken: waarom zou ik nog een anti-virus kopen? Ik kijk naar afzender, bestandsextentie, klik niet op reclame etc. 90% van de virussen houd ik daarmee al tegen. Ik hoef in principe alleen nog maar dagelijks te back-uppen om mij tegen die 10% nieuwe virussen (lockers tegenwoordig) te wapenen. Waarom zie ik dan nog nergens reclame voor back-up software? Ik zou deze hele locker epidemie aangrijpen om op elk billboard mijn back-up programma te adverteren als ik bij zo'n bedrijf zou werken

Erik kan je alsjeblieft stoppen met het posten van incorrecte aannames over cryptolockers, EFS en encryptie want wat je post klopt van geen kanten en leest behoorlijk onprettig.

ok

Tehh schreef op maandag 11 april 2016 @ 14:19:
[...]


Een antivirus werkt in 90% van de gevallen?
Het is waarschijnlijk meer, maar het zet mij aan het denken: waarom zou ik nog een anti-virus kopen? Ik kijk naar afzender, bestandsextentie, klik niet op reclame etc. 90% van de virussen houd ik daarmee al tegen. Ik hoef in principe alleen nog maar dagelijks te back-uppen om mij tegen die 10% nieuwe virussen (lockers tegenwoordig) te wapenen. Waarom zie ik dan nog nergens reclame voor back-up software? Ik zou deze hele locker epidemie aangrijpen om op elk billboard mijn back-up programma te adverteren als ik bij zo'n bedrijf zou werken

Het is natuurlijk niet lineair. Je hebt inderdaad al minder kans om een virus op te lopen als je op die manier bewust je PC gebruikt en daarnaast zou je nog kunnen kiezen om een anti-virus te draaien mocht er toch iets tussendoor slippen. Dan dek je nog steeds geen 100%, maar je hebt de kans al heel erg verkleind.

xFeverr schreef op maandag 11 april 2016 @ 14:26:
Je hebt de data nog, versleuteld, en kan het beste even wachten op een unlocker. Kan soms inderdaad een jaar duren, maar dan loont de misdaad niet in jou geval.

Unlockers komen er alleen als de makers/gebruikers van de ransomware domme fouten hebben gemaakt of de sleutels op een of andere manier uitlekken. Dat is inderdaad een paar keer gebeurt, maar er is alles behalve een garantie dat er voor elke locker op enige termijn een unlocker komt (naja, tenzij je wilt wachten op het tijdperk dat we AES simpel kunnen bruteforcen).

xFeverr schreef op maandag 11 april 2016 @ 14:33:
[...]


Dat is inderdaad wel zo. Dan zou je achteraf alsnog kunnen betalen naturlijk

Jij hebt nog geen Cryptolocker gezien? Na een xx periode worden de encryption keys van een betreffende "infectie" weggegooid van de C&C servers en kan er geen decryptie meer plaatsvinden omdat de private keys niet meer beschikbaar zijn. Vaak heb je maar een week of wat om te reageren waarna je alles gewoon kwijt bent. Dus wachten ... slecht idee.

De shit van betalen is de zelfde cirkel als fietsendiefstal in beland is: oh m'n fiets is gejat, koop er wel eentje van een junk.

En ik snap dat betalen en leren van je fout voor bedrijven meestal de beste optie is, maar het is inmiddels een flinke business waarmee je direct criminele en/of terroristische doelen mee steunt. Je zou er dus goed aan doen je er (nog) beter tegen te wapenen, al is ook dat in de praktijk niet 100% mogelijk

xFeverr schreef op maandag 11 april 2016 @ 14:42:
[...]


Dat zeggen ze wel, maar als je alsnog met een zak geld over de brug komt, denk je dat ze je dan echt niet kunnen helpen?

Ik ga er van uit dat die keys echt weggegooid worden, dus Ja.
Encryptie werkt 2 kanten op
Zijzelf kunnen het namelijk ook niet kraken zonder die keys.

De kans dat ze je zak geld aannemen, en er vervolgens doodleuk "te laat" terugmailen lijkt me wel vrij groot. Het is niet of jij ze kunt aanklagen ofzo

[ Voor 5% gewijzigd door heuveltje op 11-04-2016 14:46 ]

Laatst nog wel een mooie meegemaakt, een goeie vriend van mij heeft een eigen bedrijf met software dat helemaal op maat is gebouwd voor dat bedrijf.
Door een fout van de secretaresse (waarschijnlijk) kregen ze een cryptolocker binnen via de pc die op de balie staat, en diverse netwerkdrives werden ook aangeraakt.
Deze cryptolocker was echter zo dom om alleen bestanden te encrypten zoals .doc .xls .jpg e.d..
Bijna hun hele systeem gebruikt totaal andere bestandstypes, dus alleen een paar flyers/reclame posters die in Word waren gemaakt die werden geencrypt.
Was een kwestie van alle pc's opnieuw installeren, softwarepakket er weer opzetten en toen was er niets meer aan de hand.

Ik neem aan dat de cryptolockers tegenwoordig hier wel slimmer in zijn? Anders is het gewoon een kwestie om al je belangrijke .doc .jpg bestanden te hernoemen naar .ditiseenfotobestand en .ditiseentekstbestand

heuveltje schreef op maandag 11 april 2016 @ 14:45:
[...]


Ik ga er van uit dat die keys echt weggegooid worden, dus Ja.
Encryptie werkt 2 kanten op
Zijzelf kunnen het namelijk ook niet kraken zonder die keys.

De kans dat ze je zak geld aannemen, en er vervolgens doodleuk "te laat" terugmailen lijkt me wel vrij groot. Het is niet of jij ze kunt aanklagen ofzo

Je loopt natuurlijk altijd risico door te betalen maar hoe gek het ook klinkt, die criminelen hebben er baat bij dat ze een 'goede' naam opbouwen. Als mensen er op vertrouwen dat betalen zinvol is, betalen er meer mensen. En die slachtoffers zal het over het algemeen een worst wezen of ze criminele praktijken in stand houden door te betalen.

Remy!!!! schreef op maandag 11 april 2016 @ 14:48:
Laatst nog wel een mooie meegemaakt, een goeie vriend van mij heeft een eigen bedrijf met software dat helemaal op maat is gebouwd voor dat bedrijf.
Door een fout van de secretaresse (waarschijnlijk) kregen ze een cryptolocker binnen via de pc die op de balie staat, en diverse netwerkdrives werden ook aangeraakt.
Deze cryptolocker was echter zo dom om alleen bestanden te encrypten zoals .doc .xls .jpg e.d..
Bijna hun hele systeem gebruikt totaal andere bestandstypes, dus alleen een paar flyers/reclame posters die in Word waren gemaakt die werden geencrypt.
Was een kwestie van alle pc's opnieuw installeren, softwarepakket er weer opzetten en toen was er niets meer aan de hand.

Ik neem aan dat de cryptolockers tegenwoordig hier wel slimmer in zijn? Anders is het gewoon een kwestie om al je belangrijke .doc .jpg bestanden te hernoemen naar .ditiseenfotobestand en .ditiseentekstbestand

Dat is niet "dom" van de cryptolocker, maar een afgewogen keuze. De bestandstypes die een dergelijke cryptolocker versleutelt zijn voor de meeste mensen en bedrijven juist de bestandstypes met de belangrijke en moeilijk vervangbare bestanden (documenten, foto's, enz...). Als de cryptolocker rucksichtlos alle bestanden zou gaan versleutelen dan zou deze waarschijnlijk veel eerder worden opgemerkt, en heeft het slachtoffer mogelijk de tijd om de computer uit te schakelen voordat er meer schade toegebracht kan worden.

Dat er af en toe een situatie voorkomt zoals in dat bedrijf waar je het over hebt, waar alle belangrijke documenten in custom bestandstypes opgeslagen zijn, moeten de makers van de ransomware dan maar voor lief nemen. Er zullen ongetwijfeld varianten zijn die een stuk agressiever zijn in de keuze van bestanden om te versleutelen.

Remy!!!! schreef op maandag 11 april 2016 @ 14:48:


Ik neem aan dat de cryptolockers tegenwoordig hier wel slimmer in zijn? Anders is het gewoon een kwestie om al je belangrijke .doc .jpg bestanden te hernoemen naar .ditiseenfotobestand en .ditiseentekstbestand

Ik denk dat dat wel meevalt.
Hackers schieten met grove hagel. maakt niet uit hoeveel ze missen als er maar 1 raak is.
Bovenstaande procedure werkt voor 9 van de 10 klanten

Alle bestanden encrypten duurt veel langer, en je hebt veel meer kans dat iemand het proces onderbreekt voordat je klaar bent.

xFeverr schreef op maandag 11 april 2016 @ 14:54:
[...]


Hoewel je natuurlijk gelijk heb, heb je nog steeds geen enkele garantie als je wel binnen de gestelde termijn betaald.

Klopt, maar ik bedoelde specifiek in gevallen waarbij de opgegeven tijd verstreken is.
Want zoals .snifram al opmerkte. Ook de hackers zijn gebaat bij een goede naam, zolang mensen denken dat ze in 95% van de gevallen een key terugkrijgen zullen ze overwegen te betalen. *
En het is een kleine risicovrije moeite voor de hacker om dan ook even daadwerkelijk de key op te sturen.
Dus ik verwacht ook wel dat ze dat doen.

Ik verwacht echter weinig hackers met genoeg ethische bezwaren om geen geld aan te nemen als ze weten dat dat ze het niet meer kunnen de-crypten.

*Dit gemodeleerd naar het businessmodel van de latijns-amerikaanse bendes die kidnappingen bijna tot een normale bedrijfstak omgevormd hebben..

Een van de redenen waarom dit zo'n vlucht neemt is IMHO dat het door middel van bitcoins veel simpeler is geworden iemand af te persen zonder een spoor achter te laten.

[ Voor 8% gewijzigd door heuveltje op 11-04-2016 15:17 ]

Tja je gaat hier al uit van een situatie waarin je geen backup én geen goede virusscanner hebt.

De enige relevante vraag is dan nog of je gaat betalen of niet. Ligt er maar net aan hoeveel je data je waard is.

.SnifraM schreef op maandag 11 april 2016 @ 14:50:
[...]

Je loopt natuurlijk altijd risico door te betalen maar hoe gek het ook klinkt, die criminelen hebben er baat bij dat ze een 'goede' naam opbouwen. Als mensen er op vertrouwen dat betalen zinvol is, betalen er meer mensen. En die slachtoffers zal het over het algemeen een worst wezen of ze criminele praktijken in stand houden door te betalen.

Tjah wij mensen geven nu eenmaal weinig om wat er met het geld wordt gedaan. Pas als terroristen aanslagen (zoals zaventem) gaan claimen met spreuken als "mede mogelijk gemaakt door eenieder die betaalde voor zijn cryptolocker" zullen mensen gaan nadenken over of ze betalen of niet. Tot die tijd is het: IK wil mijn spullen terug dus IK doe wat IK wil. En heus waar, ik zal het niet nog een keer doen. Of toch wel, dat maak ik lekker zelf uit.

Remy!!!! schreef op maandag 11 april 2016 @ 14:48:
Laatst nog wel een mooie meegemaakt, een goeie vriend van mij heeft een eigen bedrijf met software dat helemaal op maat is gebouwd voor dat bedrijf.
Door een fout van de secretaresse (waarschijnlijk) kregen ze een cryptolocker binnen via de pc die op de balie staat, en diverse netwerkdrives werden ook aangeraakt.
Deze cryptolocker was echter zo dom om alleen bestanden te encrypten zoals .doc .xls .jpg e.d..
Bijna hun hele systeem gebruikt totaal andere bestandstypes, dus alleen een paar flyers/reclame posters die in Word waren gemaakt die werden geencrypt.
Was een kwestie van alle pc's opnieuw installeren, softwarepakket er weer opzetten en toen was er niets meer aan de hand.

Ik neem aan dat de cryptolockers tegenwoordig hier wel slimmer in zijn? Anders is het gewoon een kwestie om al je belangrijke .doc .jpg bestanden te hernoemen naar .ditiseenfotobestand en .ditiseentekstbestand

Dat gedrag van die cryptolockers is niet dom, het is juist slim. Je kunt namelijk niet alle files encrypten zonder dat de gebruiker daar wat van merkt. Als cryptolockers dat zouden doen dan merk je dat waarschijnlijk vrij vroeg op aan het CPU-gebruik en kun je het waarschijnlijk nog stoppen voordat al je data encrypted is. Honderden gigabytes aan data encrypten duurt namelijk wel even.

In plaats daarvan encrypten dit soort virussen dus alleen dat soort bestanden die jij al opnoemde. Waarom? Nou, die bestanden zijn vaak direct belangrijk voor de gebruiker en bijna altijd relatief klein (slechts enkele MB of nog kleiner), waardoor ze een relatief klein gedeelte van de totale data innemen.

EDIT: Spuit 11...

Dus naast een goede virusscanner + backup is het handig om je belangrijke bestanden te hernoemen. Er zijn vast wel tooltjes voor waarmee je dat makkelijk kan doen, en met een paar klikken koppel je de nieuwe extensies weer aan Word e.d.. Waarom zie ik dan dit soort tips dan zo snel niet op internet, of denk ik nu te makkelijk?

Als ik zelf getroffen wordt door zo'n crypto malware en ik heb geen backup (onwaarschijnlijk) beschouw ik mijn data als verloren.
Ik heb er bijzonder weinig behoefte aan dat business model in stand te houden en ook gewoon uit dom plat principe dat ik mij niet willens en wetens laat lichten door een zooitje digicriminelen.

Bij een ander zou ik hetzelfde adviseren, maar daar heb je uiteindelijk geen regie over. Ik wil verder niemand in de weg zitten dus ik zou (onder luid protest) ook nog uitleggen hoe bitcoin werkt om er aan te eis kunnen voldoen maar er zou wel een stukje van mezelf doodgaan.
Ik heb een behoorlijk intense haat tegen de mensen, wie dat ook zijn, die dergelijk smerige software in elkaar fietsen. Ik gun niet snel iemand een klaplong, maar ik maak voor dergelijke lieden graag een uitzondering.

Remy!!!! schreef op maandag 11 april 2016 @ 18:50:
Dus naast een goede virusscanner + backup is het handig om je belangrijke bestanden te hernoemen. Er zijn vast wel tooltjes voor waarmee je dat makkelijk kan doen, en met een paar klikken koppel je de nieuwe extensies weer aan Word e.d.. Waarom zie ik dan dit soort tips dan zo snel niet op internet, of denk ik nu te makkelijk?

Als je een kloppende backup strategie hebt waarom zou je dan nog zo'n draak van een oplossing voeren?

[ Voor 58% gewijzigd door Verwijderd op 11-04-2016 18:59 ]

belangrijke data die echt onvervangbaar is.. staat op 3 plekken in de cloud inmiddels.. syncen doen ze nooit tegelijk.. altijd met 3 dagen er tussen.. vandaag naar cloud 1 over 3 dagen naar 2 en over 6 dagen dus naar cloud 3.. en dan weer naar 1.. mocht er iets gebeuren acceptabel verlies..
en een grote kans dat de data nog wel te recoveren is vanaf een andere bron..

vervangbare data? gewoon backup op een ext HDD naast een kopie op de NAS

Ik wil niemand ergeren, en als het te laat is wat je dan nog moet doen....
Maar dat is denk ik ook het probleem bij Ransomware, het is echt het type virus wat je nu voor moet zijn.
Ik las ook al dat je NAS ook niet altijd veilig is, ik snap dat ik soms op een manier schrijf waar ik niet altijd mee op 1 lijn zit, en dat is echt niet mijn intentie
Vandaag las ik dit op teletekst, zie onderstaande TT pagina.
waar ik me altijd op focuste op mijn systemen was zo veel mogelijk naar de bron gaan.
Is ook makkelijk gezegd, want ik weet hoe moeilijk het kan zijn.
Achteraf kan je alleen maar balen, als je dat overkomt, op dit moment.
Om je software zelf terug te willen halen zou je je eigen data moeten gaan kraken van een encryptie op hoog niveau, daar moeten we ons denk ik wel van bewust zijn.
De computers waar de servers op draaien waarvan de websites gehost worden.
Dat is dan het portaal waar het vandaan kwam als jij er mee besmet wordt.
Daar heb je verder geen sturing over.
Het is best beangstigend dat deze mensen zo ver gaan om zo veel geld te verdienen.
Als het vanuit een arm deel van de wereld zou worden uitgevoerd waarin men denkt dat die rijke westerlingen dat verdient hebben vanuit een andere positie, en ik wil hiermee echt niemand kwetsen, maar dan zien we in deze tijd toch dat het een probleem van de mensen is.
En als jou dat probleem treft, het ineens jouw probleem is, ik had pas gelezen dat er bedrijven door failliet zijn gegaan, die niet wilde betalen, dus dan is het economisch gezien dat je nog veel meer betaald.
Daar wil ik niemand mee kwetsen, maar ik probeer het in de goede context te zetten, omdat het ook wel maatschappelijke gevolgen heeft. Wanneer de motieven van diegene die er achter zitten gerechtvaardigd worden door gedachtegangen in hun eigen denkwijzen, is dat de bron en de wortels waarom je bent getroffen, dat het wanneer je online gaat dus eigenlijk al voor je voordeur staat, en je hoeft alleen nog maar online te gaan en te surfen naar websites waarvan je dacht dat het veilig was.
Dus dan heb je met mensen te maken ook, en waar ligt dan de drempel in wat je niet kan zien. Ik snap dat de wereld niet simpel in elkaar zit, en zo ook dit probleem niet. Hier een vraag stellen wat te doen als je bestanden gelocked zijn door ransomware, = gelijk aan vragen hoe een encryptie te kraken op dat hoge niveau.

Remy!!!! schreef op maandag 11 april 2016 @ 18:50:
Dus naast een goede virusscanner + backup is het handig om je belangrijke bestanden te hernoemen. Er zijn vast wel tooltjes voor waarmee je dat makkelijk kan doen, en met een paar klikken koppel je de nieuwe extensies weer aan Word e.d.. Waarom zie ik dan dit soort tips dan zo snel niet op internet, of denk ik nu te makkelijk?

Dat lijkt me een wat draconische maatregel. Als je bewust genoeg bent van het risico om dat te doen dan lijkt het me dat je ook wel gewoon kunt uitkijken dat je geen shady attachements uitvoert en zorgen dat je backups hebt...

SMSfreakie schreef op maandag 11 april 2016 @ 19:22:
belangrijke data die echt onvervangbaar is.. staat op 3 plekken in de cloud inmiddels.. syncen doen ze nooit tegelijk.. altijd met 3 dagen er tussen.. vandaag naar cloud 1 over 3 dagen naar 2 en over 6 dagen dus naar cloud 3.. en dan weer naar 1.. mocht er iets gebeuren acceptabel verlies..
en een grote kans dat de data nog wel te recoveren is vanaf een andere bron..

vervangbare data? gewoon backup op een ext HDD naast een kopie op de NAS

Ik hoop dat je dit dan ook wijzigt als je een weekje of langer op vakantie gaat

Edgarz schreef op maandag 11 april 2016 @ 20:00:
[...]

Ik hoop dat je dit dan ook wijzigt als je een weekje of langer op vakantie gaat

Dan valt er weinig te syncen ( wordt geen data geproduceerd ) en verder staat ze dan inderdaad "uit"

Remy!!!! schreef op maandag 11 april 2016 @ 14:48:

Ik neem aan dat de cryptolockers tegenwoordig hier wel slimmer in zijn? Anders is het gewoon een kwestie om al je belangrijke .doc .jpg bestanden te hernoemen naar .ditiseenfotobestand en .ditiseentekstbestand

Het duurt denk ik even om alle mogelijke bestandsformaten om te moeten gaan zetten. Ik denk dat ze snel voor jpg / .doc kiezen omdat dat de meest voorkomende documenten op een PC zijn.

Als zo'n cryptolocker een uur bezig is en je nog niet de resetknop of power-off gedrukt hebt dan vraag je er wel om ja.

Verwijderd schreef op maandag 11 april 2016 @ 20:15:
[...]


Het duurt denk ik even om alle mogelijke bestandsformaten om te moeten gaan zetten. Ik denk dat ze snel voor jpg / .doc kiezen omdat dat de meest voorkomende documenten op een PC zijn.

Als zo'n cryptolocker een uur bezig is en je nog niet de resetknop of power-off gedrukt hebt dan vraag je er wel om ja.

verhul dat achter het "update" scherm van je OS smaakje..

verander de hoeveelheid updates naar een stuk of 100.. en laat hem op willekeurige tijd verspringen naar de volgende.. dan valt t echt niet zo snel op als dat ding ineens +2u bezig is met stiekum al je files te encrypten.. en als je het helemaal "netjes" wil doen zou je het grapje kunnen voortzetten bij de eerst volgende boot.. gezien er dan vaak nog een Fase 2 / 3 van updates zijn.. en ook dan heb je weer enige tijd vrij spel voor een gebruiker uberhaubt iets door heeft..

moet je wel de screens goed namaken en in de taal van het OS zelf kunnen laten zien

Je kan wel in Windows home en hoger de machtigingen van mappen veranderen zodat er geen schrijfrechten zijn voor de bestanden zolang ze in de door jou gemachtigde map staan.
Eigenschappen > Tabblad Beveiliging > geavanceerd in Windows, je kan daarmee mappen en bestanden aanmaken waarin je data dus veiliger is door je account en andere accounts.
Je ziet je eigen account terug onder de principals.
Wanneer je een map aan maakt, heeft de map te maken met onderliggende en bovenliggende objecten in de welbekende boomstructuur.
Daarmee kan je op mappen en bestandsniveau je eigen beveiliging in Windows regelen, en voorkomen ook dat wanneer dit gebeurd je erg veel data kwijt bent.
Vergeet niet dat je JPG bestanden en je DOC bestanden makkelijker doelwit zijn dan je systeem bestanden omdat die anders ingesteld zijn in deze laag van de beveiliging.
Want dat is wat mappen en bestanden beveiliging op NTFS niveau dan, met die encryptie, mogelijk vanaf Windows 2000. Nu dus nog steeds, in 2016 in Windows 10, en ik raad mensen aan die instellingen te gebruiken die in Windows werken.
Bekijk rogueamp die laat zien hoe Ransomware zich gedraagd.
Dus er wordt wat afgehost, op de servers waar de advertenties op staan, dat zijn dan de computers waar het vandaan komt, waar je mee in contact komt dus nu blijkt via websites op dat niveau.

Removal+by+Britec

[ Voor 18% gewijzigd door Verwijderd op 11-04-2016 22:21 ]

Verwijderd schreef op maandag 11 april 2016 @ 19:42:
**knip**

man man, offtopic, maar vooral onleesbaar..

Ben je een Linux gebruiker Vermeulen?
128-bit versleuteling kraken?
als de titel is:
Strategisch: Cryptolocker, stel het is te laat...
ja dan ben je ook te laat.
je zal het wel moeten voorkomen, of die 128-bits versleuteling kraken die waarschijnlijk gebruikt werd.
En het tast de MBR aan, MBRFIX

[ Voor 93% gewijzigd door Verwijderd op 11-04-2016 23:08 ]

Verwijderd schreef op maandag 11 april 2016 @ 21:06:
Je kan wel in Windows home en hoger de machtigingen van mappen veranderen zodat er geen schrijfrechten zijn voor de bestanden zolang ze in de door jou gemachtigde map staan.
Eigenschappen > Tabblad Beveiliging > geavanceerd in Windows, je kan daarmee mappen en bestanden aanmaken waarin je data dus veiliger is door je account en andere accounts.
Je ziet je eigen account terug onder de principals.
Wanneer je een map aan maakt, heeft de map te maken met onderliggende en bovenliggende objecten in de welbekende boomstructuur.
Daarmee kan je op mappen en bestandsniveau je eigen beveiliging in Windows regelen, en voorkomen ook dat wanneer dit gebeurd je erg veel data kwijt bent.
Vergeet niet dat je JPG bestanden en je DOC bestanden makkelijker doelwit zijn dan je systeem bestanden omdat die anders ingesteld zijn in deze laag van de beveiliging.
Want dat is wat mappen en bestanden beveiliging op NTFS niveau dan, met die encryptie, mogelijk vanaf Windows 2000. Nu dus nog steeds, in 2016 in Windows 10, en ik raad mensen aan die instellingen te gebruiken die in Windows werken.

Onzin. Ransomware draait onder hetzelfde account als waarmee jij die permissies instelt. Als jij erbij kunt, kan de ransomware dat ook.

Verwijderd schreef op maandag 11 april 2016 @ 22:38:
Ben je een Linux gebruiker Vermeulen?
128-bit versleuteling kraken?
als de titel is:
Strategisch: Cryptolocker, stel het is te laat...
ja dan ben je ook te laat.
je zal het wel moeten voorkomen, of die 128-bits versleuteling kraken die waarschijnlijk gebruikt werd.
En het tast de MBR aan, MBRFIX

128bit? Wat dacht je van 4096 bit AES encryptie. Met alle computing power in de wereld kom je daar niet snel omheen. Lees je eens in hoe een cryptolocker werkt voordat je onzin begint neer te pennen.

Verwijderd schreef op maandag 11 april 2016 @ 23:27:
Daarom had ik ook verteld over tabblad beveiliging in een eerder bericht.

Er zijn betere manieren om je te beschermen. En backups om het terug te draaien.

JA zekers, dat was ook al genoemd, back-ups zijn zeer zeker erg belangrijk, maar je wil ook niet elke keer zulke troep in je systeem he, die virussen zijn ook nasty voor je systeem hoor.
Want als je kan voorkomen in je systeem zelf door de rechten toe te passen op de mappen waar jij je bestanden bewaard, de schade daarmee beperkt kan worden.
Je bestanden terug zien te krijgen is dan 1 punt, en je systeem in de soep is punt 2
Voorkomen dat je die exe van ransomware in je systeem kreeg, nu volgens de NOS via advertenties op grote websites, dan moet je je wel beseffen dat je elke dag met je apparaten op zulke site komt, en een verkeerde klik je systeem kan vervuilen.
Dus je zit met 2 verschillende problemen ook met deze software, want stel je stalt je data veilig via gebruikersrechten, kan jij als eigenaar dan bepalen.
Ik heb stations waar ik niet via alle systemen in kan, en eigenlijk alle data die bewaard moeten worden via een ander systeem in een multiboot benaderd kunnen worden.
Stel ik zou nu gehacked worden en mijn bestanden staan in mappen die geen schrijfrechten hebben, zal er ook niks worden gelocked.
Wanneer jij als gebruiker constant volledig beheer hebt over al je bestanden in een database, dan kan je de type bestanden die je alleen leest gaan onderscheiden van de bestanden die je bewerken wil.

[ Voor 3% gewijzigd door Verwijderd op 11-04-2016 23:37 ]

redfoxert schreef op maandag 11 april 2016 @ 23:24:
[...]


128bit? Wat dacht je van 4096 bit AES encryptie. Met alle computing power in de wereld kom je daar niet snel omheen. Lees je eens in hoe een cryptolocker werkt voordat je onzin begint neer te pennen.

4096-bit AES? Volgens mij haal je nu RSA (asymmetrische encryptie) en AES (symmetrisch encryptie) door elkaar. Voor RSA heb je veel grotere keys nodig dan voor AES. Voor RSA is momenteel 2048-bit gebruikelijk en 4096-bit wordt gezien als zeer sterk (misschien zelf nog wat overkill).

4096-bit AES wordt nergens in de praktijk gebruikt. Ik vraag me af of er überhaupt implementaties van zijn. Meestal houdt het bij AES-256 wel op... Sterker nog, het bestaat helemaal niet. AES ondersteunt alleen key sizes van 128-bit, 192-bit en 256-bit.

[ Voor 18% gewijzigd door Compizfox op 11-04-2016 23:44 ]