Strategisch: Cryptolocker, stel het is te laat...

redfoxert schreef op maandag 11 april 2016 @ 23:45:
[...]


Drive by infections door root kits verstopt in besmette banners is al heel lang gaande. Advertentie netwerken zijn continu doelwit van hackers. Dit is zeker niks nieuws en je bent vaak alleen at risk als je:

1. browser plugins gebruikt zoals java, flash, air etc etc
2. die browser plugins niet update\
3. geen adblocks gebruikt

Dan blijft er nog dat deel over dat 0day exploits gebruikt maar dat risico is vrij klein.

dat van die rechten heb je deels een punt. De corporate omgevingen die ik beheer hebben ook rechtenstructuren en niet iedereen kan overal bij, gelukkig.

Dan nog moet het voor een simpele ziel wel bruikbaar blijven en als ik door 100 brandende hoepels moet om mijn eigen data te kunnen benaderen dan regel ik wel andere beveiliging.

En dan nog, alles waar je zelf bij kunt komen, kan een virus of cryptolocker ook bij. Het draait immers onder dezelfde user context. Als je alle rechten hebt maakt het geen klap uit of je iets beveiligd denkt te hebben.

Ja, het deel waar het geen klap uitmaakt heeft niet meer met het beheren te maken van waar wij het hierover hebben nu.
Dat is het deel van de hostende websites waar in the first place het je systeem binnen kan komen als je niet goed genoeg beveiligd bent.
Ik heb mezelf wel goed beveiligd met kaspersky, en als ik wil kan ik ook wat tegen komen, ook heb ik een usb stick die zichzelf na 1 dag automatisch op read zet bals er geen schrijfactiviteiten zijn en er niet meer heen geschreven kan worde, wel gelezen, ik kan dat dan zelf weer ongedaan maken.
En omdat een encrypte op bestandsniveau toch een code moet toevoegen aan het bestand die het wil besmetten, is dat dan wel wat je zelf hebt.
Er zijn vele manieren om je data te beveiligen inderdaad, en rechten voor jezelf nemen is je goed recht.
In Windows is dat gewoon wat meer werk, want je zal dan ook geregeld in tabblad beveiliging je zaakjes moeten regelen.
Zo kan jij niet in een standaard geinstalleerd Windows bij je cookies.
Dat komt omdat windows standaard op die systeemmappen op gebruikersniveau de principal Iedereen op Weigeren heeft in gesteld.
En moet je voorstellen, dat jij op die manier de map als een deur open en dicht kan doen, op slot dus, voor iedereen. En dat kan jij als Eigenaar van de map dan in en uitschakelen wanneer jij wil.
Dat is wel iets meer werk.
Dan moet die ransomware ook door die laag van beveiliging heen, als die ransomware je accountbeheer heeft overgenomen, en loopt ransomware zelf tegen encryptie aan.
Dan loopt de ransomware in principe tegen de encryptie van de service Encrypting File System (EFS) aan.
Snap je? Dat is waar je zelf in Windows over beschikt, de ransomware op de servers waar de reclamebanners worden gehost is dan de plek waar je het zoeken moet.
En dat..... hebben wij niet in de hand.

Trommelrem schreef op maandag 11 april 2016 @ 00:20:
Betaal hoe dan ook niet, want de sleutel krijg je waarschijnlijk niet. Althans, dat is met de cryptolockers in mijn lab het geval. Ze bieden aan om één bestand gratis te decrypten (en daarna US$ 500 per bestand), maar de gratis decrypt faalt altijd omdat men vermoedelijk de sleutel telkens kwijt is.

De cryptolockers weke ik gezien heb, vragen niet om een X bedrag per bestand maar om X bitcoin voor alle bestanden... Heb helaas meerdere mensen uit mogen leggen hoe ze aan bitcoins kunnen komen om te betalen.., en ik kan je zeggen dat als je betaald gewoon alles netjes word geencrypt... (zover ik het heb meegemaakt)

Wat die cryptologgers in the firstplace doen is een code naar je bestanden schrijven, dus.

da_PSI schreef op dinsdag 12 april 2016 @ 00:00:
De cryptolockers weke ik gezien heb, vragen niet om een X bedrag per bestand maar om X bitcoin voor alle bestanden... Heb helaas meerdere mensen uit mogen leggen hoe ze aan bitcoins kunnen komen om te betalen.., en ik kan je zeggen dat als je betaald gewoon alles netjes word geencrypt... (zover ik het heb meegemaakt)

Toch zuur om te bedenken dat met die Bitcoins nog betere ransomware wordt gefinancieerd

Verwijderd schreef op dinsdag 12 april 2016 @ 00:03:
[...]

Toch zuur om te bedenken dat met die Bitcoins nog betere ransomware wordt gefinancieerd

Inderdaad heel zuur.

Ik maak me opzich niet zo heel veel zorgen. Ja, ik heb veel bestanden waar ik écht niet zonder kan (werk-related). Echter zijn die van RAW of TIFF formaat (m'n fotografie) of indesign bestanden, vector bestanden etc. Ik heb werkelijk bijna niks in tekst,doc en andere gangbare formaten staan. En wat ik daar wel van heb, heb ik gewoon online in google docs gegooid.

Verder na meer dan 20+ jaar computernerdervaring heb ik nu wel door hoe je besmettingen voorkomt. Laatste keer was een gmail mailcheckertooltje (notabene van een bedrijfje met goei ratings) die spyware installeerde waar ik toen echt 2 dagen mee bezig was om die de nek om te draaien. Was niet opgepikt door de virusscanner Zo iets hou je niet tegen, maargoed, hopelijk is mijn liefde voor obscure bestandsformaten voldoende

majic schreef op dinsdag 12 april 2016 @ 00:15:
Ik maak me opzich niet zo heel veel zorgen. Ja, ik heb veel bestanden waar ik écht niet zonder kan (werk-related). Echter zijn die van RAW of TIFF formaat (m'n fotografie) of indesign bestanden, vector bestanden etc. Ik heb werkelijk bijna niks in tekst,doc en andere gangbare formaten staan. [...] hopelijk is mijn liefde voor obscure bestandsformaten voldoende

Het lijkt me, eerlijk gezegd, nogal een riskante gok

[ Voor 14% gewijzigd door Verwijderd op 12-04-2016 00:17 ]

Als ik nadenk zelf over hoe dit in de toekomst te voorkomen, ben ik niet technish genoeg om zelf zoiets te bouwen, maar een bestandssysteem waarbij automatisch op elk bestand wanneer bijvoorbeeld na 5 minuten niet naar toegeschreven is een alleen lezen recht op komt te staan, gestuurd vanuit de beveiliging.
En bij het wegschrijven van welk type data dan ook, eerst een wachtwoord ingevoerd moet worden.
verder hoop je niet dat het in de diepere lagen terrecht komt en het je kernel aantast, wanneer het om rootkits gaat.
Rootkits die gebruikt worden in welke laag?
De TS had het over een rootkit, waarbij je je als je jezelf wil beveiligen daartegen, het ook wel handig is te weten in welke laag dat te vinden is, zoals een rootkit op gebruikersniveau, of een rootkit op kernel niveau.
De aller eerste rootkit was van sony als kopieer beveiliging ontwikkeld, en was eigenlijk het installeren van een kernel naast de kernel van Windows.
En wanneer dat gebeurd heb je een rootkit op kernel niveau, en dan wordt het in die laag een ander verhaal, en je al weer de zware noodzaak inziet dat niet in je systeem te krijgen.
Een Rootkit op kernel niveau zal drivers in je map driver plaatsen zonder enig probleem, omdat de beveiliging van Windows opgebouwd is vanuit de kernel van Windows.
Ook zal jij die rootkit niet zien wanneer je windows hebt gestart op je schijf, omdat die niet is opgenomen in je bestandsysteem, de drivers communiceren met de kernel van Windows in de systeemmap drivers, en in die map onbekende bestanden met de extensie .sys zouden een indicatie kunnen zijn van een rootkit.
En die neemt dan gewoon je systeem over.
Ook zullen er dll bestanden bijkomen, die je dan offline zou moeten vinden.
De rootkit zal zich op de niveau verborgen houden, en je zou het verschil misschien kunnen merken ook door te kijken naar de grootte van de data op een station, en vervolgens kijken hoeveel data er gebruikt word in de eigenschappen van alle mappen en bestanden op dat zelfde station, in de mapopties kan je alle bestanden zichtbaar maken in tabblad Weergave.
Conficker nestelde zich ook als rootkit rond 2004.
die besmette veel computers in een botnet, om via die computers verder hun activieteiten uit te breiden, echt wat de bedoeling van de makers ooit was geweest, is nooit echt duidelijk geworden.
Een Rootkit op gebruikers niveau, zal je ook in de map drivers in de vorm van een *. sys bestand herkennen, mocht je ooit een systeem hebben waar je met een extern systeem de data kan bekijken.
Dus dat over rootkits, en set off tools die met je hardware aan de haal gaan.

majic schreef op dinsdag 12 april 2016 @ 00:15:
Ik maak me opzich niet zo heel veel zorgen. Ja, ik heb veel bestanden waar ik écht niet zonder kan (werk-related). Echter zijn die van RAW of TIFF formaat (m'n fotografie) of indesign bestanden, vector bestanden etc. Ik heb werkelijk bijna niks in tekst,doc en andere gangbare formaten staan. En wat ik daar wel van heb, heb ik gewoon online in google docs gegooid.

Het zal wel verschillen per cryptolocker.
Maar ik weet dat er iig 1 is die ook 3d max, en default C++ bestanden vernaggelt. Bedrijf van een maat van mij is daar door geraakt, en die waren een halve dag productie kwijt.

Verwijderd schreef op dinsdag 12 april 2016 @ 00:31:
<enorm verhaal>

, maar een bestandssysteem waarbij automatisch op elk bestand wanneer bijvoorbeeld na 5 minuten niet naar toegeschreven is een alleen lezen recht op komt te staan, gestuurd vanuit de beveiliging.

Je snapt hopelijk dat je dan om de 2 minuten een paswoord aan het ingeven bent ?
Dat soort draconische beveiligingen werken voor een uur, en dan
slopen de meer geavanceerde gebruikers alles eruit. (zie de eerste versie van UAC)
en de rest Vullen klakkeloos overal hun paswoord in zonder te kijken.

[ Voor 31% gewijzigd door heuveltje op 12-04-2016 08:56 ]

Verwijderd schreef op dinsdag 12 april 2016 @ 00:17:
[...]

Het lijkt me, eerlijk gezegd, nogal een riskante gok

Ik zeg niet dat ik voor de rest geen voorzorgmaatregelen neem hé! Echter lijkt het me dat ik niet een favoriete doelgroep ben - al mijn bestanden zijn enorm groot. Verder heb ik nog een beveiliging : Mijn laptop gaat bij de minste CPU belasting al veel herrie maken ... En ik controleer dan altijd meteen gepikeerd task manager en kijk wel kreng er nou weer 20+% cpu aan het snoepen is...

majic schreef op dinsdag 12 april 2016 @ 09:40:
[...]


Ik zeg niet dat ik voor de rest geen voorzorgmaatregelen neem hé! Echter lijkt het me dat ik niet een favoriete doelgroep ben - al mijn bestanden zijn enorm groot. Verder heb ik nog een beveiliging : Mijn laptop gaat bij de minste CPU belasting al veel herrie maken ... En ik controleer dan altijd meteen gepikeerd task manager en kijk wel kreng er nou weer 20+% cpu aan het snoepen is...

Dat is inderdaad goed van je om je bronnen in de gaten te houden. Dat doe ik ook altijd.
In Windows 7 zit ook een bureaublad gadget die processor en ram weergeven met metertjes.
Volgens mij in Windows 10 niet meer.

Er komt een heleboel voorbij hier.

Ik ben het gaan lezen omdat ik op zoek ben naar een simpele methode om iemand die niet zoveel met computers heeft, maar er net als iedereen wel gewoon gebruik van maakt en er van afhankelijk is, tegen dit soort grappen te beschermen. Oplossingen als het branden van DVDs, en synchronisatie naar allerei cloud dingen zijn goed, maar vergen discipline en enig begrip.

Hoe klinkt het volgende idee; stop alles (wat belanrijk is, foto's enzo dus) in Git (of ander versie beheer) en doe automatische commits met een scriptje naar een externe repo. In dat geval kan het crypto virus lekker zijn gang gaan, je kunt altijd terug naar de nog leesbare versie.

Dit werkt natuurlijk niet als je bestanden hebt die gewijzigd zijn terwijl ze op de achtergrond al versleuteld worden, maar met de vakantie kiekjes en de laatste foto's van oma ben je veilig (plus je kan een leuk alarm laten afgaan als er ineens veel veranderd is). Voordeel is dat degene voor wie het bedoeld is niks bijzonders hoeft te doen en nergens aan hoeft te denken, want voor de gemiddelde thuis gebruiker zijn al die draconische backup oplossingen niet te doen.

Beun de Haas schreef op dinsdag 12 april 2016 @ 20:06:
Voordeel is dat degene voor wie het bedoeld is niks bijzonders hoeft te doen en nergens aan hoeft te denken, want voor de gemiddelde thuis gebruiker zijn al die draconische backup oplossingen niet te doen.

Backups kan je ook automatisch laten verlopen. Een fatsoenlijk backup ding naar een cloud kan ook file versioning voorzien. Crashplan bijvoorbeeld maar zo zijn er nog genoeg andere tools (ik gebruik Crashplan dus vandaar de vermelding).

Als je 1 folder hebt waar je backups van maakt en je zorgt dat daar alles in staat, dan zorg je dat de backups automatisch gaan en hoef je de gebruiker maar te instrueren om ALLES in die folder te dumpen.

Klaar, opgelost, elke noob kan een backup maken. Het gaat immers automatisch.

En inderdaad, al het handwerk levert ellende op, daarom: AUTOMATISEREN. Alleen dan kan je de uitkomst voorspellen.

Je zou zeggen, je kan niet genoeg maatregelen nemen bij dit probleem.
Als een bedrijf qua inkomsten afhankelijk is van netwerken van computers, dan kan je misschien een scheidingslijn inbrengen als netwerkbeheerder van het zakelijke en het prive gebruik.
Wanneer in een bedrijf op internet gesurft wordt door 1 van de computers in het netwerk en daardoor Ransomware grip kan krijgen op je hele hebben en houden, is het van belang om te weten dat het surfen nergens meer veilig is.
Ik kan me zo voorstellen dat je naast een computer waar je mee werkt en toegang hebt tot bedrijfsbestanden, die systemen uit moet sluiten om mee te surfen, met die systemen puur en alleen dat wat zakelijk is, scheiden van systemen voor publiek en privé gebruik, dat kan goed mogelijk zijn toch?
Je kan dan surfen op systemen die je wel toegang geeft tot internet maar niet tot het bedrijf.
Dus alle gebruikers van computers in dat netwerk zouden eigenlijk die regels strikt moeten hanteren.
En dan het beleid om verwisselbare datadragers veilig te houden.
.

Verwijderd schreef op woensdag 13 april 2016 @ 13:20:
Je zou zeggen, je kan niet genoeg maatregelen nemen bij dit probleem.
Als een bedrijf qua inkomsten afhankelijk is van netwerken van computers, dan kan je misschien een scheidingslijn inbrengen als netwerkbeheerder van het zakelijke en het prive gebruik.
Wanneer in een bedrijf op internet gesurft wordt door 1 van de computers in het netwerk en daardoor Ransomware grip kan krijgen op je hele hebben en houden, is het van belang om te weten dat het surfen nergens meer veilig is.
Ik kan me zo voorstellen dat je naast een computer waar je mee werkt en toegang hebt tot bedrijfsbestanden, die systemen uit moet sluiten om mee te surfen, met die systemen puur en alleen dat wat zakelijk is, scheiden van systemen voor publiek en privé gebruik, dat kan goed mogelijk zijn toch?
Je kan dan surfen op systemen die je wel toegang geeft tot internet maar niet tot het bedrijf.
Dus alle gebruikers van computers in dat netwerk zouden eigenlijk die regels strikt moeten hanteren.
En dan het beleid om verwisselbare datadragers veilig te houden.
.

Vergeet het maar. Niet alleen heb je dan 2 infrastructuren nodig (iedereen 2 computers), met een boel extra kosten, maar het simpele onderscheid tussen zakelijk en privé bestaat in de praktijk helemaal niet. Veel internetgebruik is tegenwoordig zakelijk en op welke computer doe je dat dan? En hoe krijg je informatie uit je mailbox of vanaf een website op je "zakelijke" computer?

Daarnaast bestaan er alleen in een ideale wereld gebruikers die regels strikt hanteren. Je kunt verbieden wat je wilt, maar gebruikers maken hun eigen inschattingen, en overtreden regels omdat ze menen dat ze anders hun werk niet kunnen doen, of omdat ze de regeltjes maar overdreven vinden en de systeembeheerder een zeur.
Zelfs beheerders doen dat. Het trieste verhaal van DigiNotar, waar ze wel gescheiden systemen en goede regels kenden, maar waar ze vervolgens alle systemen gewoon aan elkaar koppelden omdat dat handiger was, laat zien waarom er geen simpele oplossingen zijn.

xFeverr schreef op zondag 10 april 2016 @ 22:50:
Dit topic is vooral bedoeld om van verschillende mensen te horen wat zij zouden doen als je getroffen wordt door een Cryptolocker. Of iemand proberen te helpen die getroffen is.

Dat verschilt van persoon tot persoon.
De vraag die iedereen in zo'n situatie moet stellen: "is mijn data meer waard dan de kosten om het terug te krijgen"

Gaat een bedrijf ten onder kan gaan als er niet word betaald, dan is de keuze snel gemaakt.
Gaat het om een gaming pc die verder helemaal niks op heeft staan, dan is de keuze ook snel gemaakt.
Alles wat tussen de bovenste 2 extremen valt, vergt wat denkwerk van de gedupeerde voordat er een keuze gemaakt kan worden

Inderdaad verschilt het per persoon, ik werk zelf in een multiboot systeem en kan stations van systemen scheiden via machtigingen, waarbij alles in verschillende systemen op 1 computer blijft werken.
Dat zal in een netwerk meer werk zijn, dat geef ik toe.

Beun de Haas schreef op dinsdag 12 april 2016 @ 20:06:
Er komt een heleboel voorbij hier.

Ik ben het gaan lezen omdat ik op zoek ben naar een simpele methode om iemand die niet zoveel met computers heeft, maar er net als iedereen wel gewoon gebruik van maakt en er van afhankelijk is, tegen dit soort grappen te beschermen. Oplossingen als het branden van DVDs, en synchronisatie naar allerei cloud dingen zijn goed, maar vergen discipline en enig begrip.

Hoe klinkt het volgende idee; stop alles (wat belanrijk is, foto's enzo dus) in Git (of ander versie beheer) en doe automatische commits met een scriptje naar een externe repo. In dat geval kan het crypto virus lekker zijn gang gaan, je kunt altijd terug naar de nog leesbare versie.

Dit werkt natuurlijk niet als je bestanden hebt die gewijzigd zijn terwijl ze op de achtergrond al versleuteld worden, maar met de vakantie kiekjes en de laatste foto's van oma ben je veilig (plus je kan een leuk alarm laten afgaan als er ineens veel veranderd is). Voordeel is dat degene voor wie het bedoeld is niks bijzonders hoeft te doen en nergens aan hoeft te denken, want voor de gemiddelde thuis gebruiker zijn al die draconische backup oplossingen niet te doen.

Git kan enorm slecht met binaire bestanden om. Dus alles text-based kan perfect, maar van zodra je met veel non-plaintext bestanden (inclusief office-bestanden: word, excel, ...) aan de slag gaat, wordt je repo enorm traag en inefficiënt.

Verwijderd schreef op zaterdag 16 april 2016 @ 02:14:
Inderdaad verschilt het per persoon, ik werk zelf in een multiboot systeem en kan stations van systemen scheiden via machtigingen, waarbij alles in verschillende systemen op 1 computer blijft werken.
Dat zal in een netwerk meer werk zijn, dat geef ik toe.

Toch ben je dan nog steeds de sjaak als je een cryptolocker als Petya tegenkomt die gewoon je hele schijf pakt op het laagste niveau.

Radiant schreef op zaterdag 16 april 2016 @ 08:33:
[...]

Toch ben je dan nog steeds de sjaak als je een cryptolocker als Petya tegenkomt die gewoon je hele schijf pakt op het laagste niveau.

Ik ben het helemaal met je eens dat je dan de Sjaak bent.
dit virus, ook wanneer verwijderd, laat je sowieso achter met bestanden die gecodeerd zijn, ook al zo je het systeem helemaal ontdoen van de ransomware malware.
Daarom zien we ook de vraag naar tools om die encryptie weer ongedaan te maken.
In dat geval is het weer een strijd tussen die 2 tools, en wie de encryptie weer zo veranderd, zodat je weer andere tools nodig hebt om het te kunnen kraken.
Wel met het feit dat je je eigen bestanden terug moet zien te kraken.
Dan blijft voorkomen dat die software in je systeem terecht komt de beste, dus de manier van verspreiden is dan belangrijk om te weten, en dat is niet altijd makkelijk, zeker niet wanneer we lazen dat deze onder reclamebanners van grote websites verborgen zaten.
Dat betekend dan weer dat de content van die banners op servers gehost worden waar de ransomware software aanwezig is, of verder linkt naar andere servers.
Dus op welke computer van een server waar de bron staat met de installatie bestanden van die malware....
Dat weten we, dat we daar als gebruiker geen zicht op hebben, dat ligt bij diegene die websites hosten.
De beheerders van die grote websites hebben die content van reclame uit handen gegeven?
Via die weg zou het wel zo moeten blijven dat je die software pas treft als je minder frisse dingen doet in plaats van naar grote nieuws sites surft.