Strategisch: Cryptolocker, stel het is te laat...

Ik las je zin anders dan dat je schreef. Ik ga maar eens naar bed...

Beetje tweaker stelt z'n eigen backuptool wel in die elke 24 uur een rondje doet.

Ik gebruik(te) altijd AKGBackup (Javascript backup tooltje) die met een cron altijd backups maakte. Bestanden die al gedaan waren en niet zijn aangepast waren dan ook niet aan de beurt. Scheelde behoorlijk wat I/O namelijk onder het 'werken' door.

Het is wijselijk om ook backups buiten je PC te behouden, just in case. Want malware kan zich zeer snel verspreiden, en zelfs netwerkschijven aanpakken.

Fiber schreef op zondag 10 april 2016 @ 23:22:
[...]

En zo houdt je die ellende dus zelf in stand omdat het dan dus lonend is. Als niemand zou betalen dan zou het niet lonend zijn en dus vanzelf weer ophouden. Van mij mogen ze betalen strafbaar stellen, net als heling strafbaar is.

Het was dat op 2 dagen backups restoren er waren meer dan 70.000 bestanden versleuteld waaronder veel live data van +/- 40 werknemers.
Het bedrag dat we hebben moeten betalen was 4 Bitcoin. Dus dat was sneller / minder ingrijpend dan van +/- 40 man een hele dag werk weg.

CptChaos schreef op maandag 11 april 2016 @ 02:05:
[...]
Een herstelpunt neemt geen documenten uit je Mijn Documenten mee. Juist die documenten worden dan versleuteld. De bestanden van Windows zelf zijn niet zo heel bijster interessant dan. Voor een cryptolocker is het belangrijk om de bestanden te versleutelen die van waarde kunnen zijn voor jou als persoon of voor een bedrijf.

Jazeker wel. Juist documenten worden meegenomen in de vssadmin. Echter een cryptolocker toont altijd een uac-venster om de vssadmins te verwijderen.

Ik ga hier even een n00b-vraag stellen: wat is nu dan een goede en uitvoerbare manier voor een gemiddelde gebruiker om te backuppen? Hoe voorkom je bijvoorbeeld dat je (sluimerende) ransomware meeneemt in je backup? Kun je Dropbox, OneDrive of Google Drive hiervoor gebruiken?

arnovos schreef op maandag 11 april 2016 @ 09:41:
Ik ga hier even een n00b-vraag stellen: wat is nu dan een goede en uitvoerbare manier voor een gemiddelde gebruiker om te backuppen? Hoe voorkom je bijvoorbeeld dat je (sluimerende) ransomware meeneemt in je backup? Kun je Dropbox, OneDrive of Google Drive hiervoor gebruiken?

Backups van data/files draaien met een interval van x dagen en pas na een dag of 20 de oudste weer overschrijven. Ik doe dit bijvoorbeeld op sd kaartjes of USB sticks en bewaar deze ook op verschillende locaties (ivm brand of inbraak..)

Trommelrem schreef op maandag 11 april 2016 @ 09:29:
[...]

Jazeker wel. Juist documenten worden meegenomen in de vssadmin. Echter een cryptolocker toont altijd een uac-venster om de vssadmins te verwijderen.

Jullie lijken het over schillende zaken te hebben. Shadow copies nemen inderdaad ook je documenten mee, en restore point van system restore terugzetten zal echter niets met je data doen.

Trommelrem schreef op maandag 11 april 2016 @ 00:20:

Betaal hoe dan ook niet, want de sleutel krijg je waarschijnlijk niet. Althans, dat is met de cryptolockers in mijn lab het geval. Ze bieden aan om één bestand gratis te decrypten (en daarna US$ 500 per bestand), maar de gratis decrypt faalt altijd omdat men vermoedelijk de sleutel telkens kwijt is.

Het zal je verbazen, maar betalen is vaak (zeker voor bedrijven zonder correcte backup) helaas een goede optie als je echt niet zonder de data kan. Een aantal klanten van mijn vorige werkgever heeft betaald, maar ook op bijv. sites als Spiceworks komen regelmatig verhalen van bedrijven die betaald hebben en ik heb nog geen geval gezien waarbij na betaling de data niet ontsleuteld werd mits de instructies correct gevolgd werden. Opzich ook niet onlogisch, wanneer de data niet terug zou komen na betaling zou deze business snel stoppen omdat dit snel bekend zou worden

Beste tip: breng je mail onder bij Google Apps. Heb het nog nooit meegemaakt dat Google bij ons iets van een virus doorlaat. Het is goedkoop en compleet onderhoudsvrij. Andere optie is onderbrengen bij Microsoft.

Veel mensen roepen "niet betalen!" En dat is gevoelsmatig ook mijn eerste reactie. Maar ik heb een keer een collega aan mijn burau gehad, met een "defecte" externe harddisk en tranen in zijn ogen: er stonden de enige foto's op van zijn inmiddels overleden kind... Gelukkig bleek de harddisk alleen maar losgeschoten in de behuizing en was het probleem snel verholpen, maar ik kan me dus levendig voorstellen dat mensen betalen.
Natuurlijk moeten we backups maken. Maar de gemiddelde gebruiker snapt pas echt het belang op het moment dat het een keer goed fout gaat en ze (bij wijze van spreken) aan den lijve voelen wat er gebeurt als ze geen backup hebben. Mensen verwijten dat ze geen backups hebben is te gemakkelijk en helpt ook niet: het leed is geschied.

Dus inderdaad, zoals TS al zegt: image maken van de getroffen schijf, herinstalleren en wachten tot de betreffende cryptolocker herkend en verwijderd kan worden met een virusscanner. Meer zit er niet op, vrees ik...

Pietervs schreef op maandag 11 april 2016 @ 10:23:
Dus inderdaad, zoals TS al zegt: image maken van de getroffen schijf, herinstalleren en wachten tot de betreffende cryptolocker herkend en verwijderd kan worden met een virusscanner. Meer zit er niet op, vrees ik...

Maar als je nu al weet dat iemand tegen de lamp gaat lopen, dan kan je toch nu al iedereen die je kent informeren over de belangen van het maken van backups.

Nu is het gewoon afwachten en niks doen terwijl je eigenlijk al vrijwel zeker weet dat je een probleem gaat krijgen.

Desnoods zet je zelf een backup dienst op. Het voorkomt een heleboel ellende en er zijn tal van mogelijkheden om kosten efficient een degelijke backup strategie te bedenken.

Pietervs schreef op maandag 11 april 2016 @ 10:23:
Veel mensen roepen "niet betalen!"

Daarom niet betalen:








Ze zeggen iedere keer "Fuck you" als ik mijn "Very important document" wil decrypten. De failure rate in mijn lab is inmiddels 100%. Als de one-free-decryption service niet werkt, wie gaat er dan uberhaupt betalen?

Dus inderdaad, zoals TS al zegt: image maken van de getroffen schijf, herinstalleren en wachten tot de betreffende cryptolocker herkend en verwijderd kan worden met een virusscanner. Meer zit er niet op, vrees ik...

Virusscanner is geen probleem. Zie boven: 41 van de 57 scanners herkent het gewoon en kan de Cryptolocker ook gewoon verwijderen. Persoonlijk zou ik een herinstallatie doen op een nieuwe schijf en over 5 jaar een supercomputer huren die de decryptie kan doen. Dan kost het maar iets meer, met criminelen wordt niet onderhandeld.

[ Voor 3% gewijzigd door Trommelrem op 11-04-2016 10:31 ]

redfoxert schreef op maandag 11 april 2016 @ 10:25:
[...]


Maar als je nu al weet dat iemand tegen de lamp gaat lopen, dan kan je toch nu al iedereen die je kent informeren over de belangen van het maken van backups.

Nu is het gewoon afwachten en niks doen terwijl je eigenlijk al vrijwel zeker weet dat je een probleem gaat krijgen.

Desnoods zet je zelf een backup dienst op. Het voorkomt een heleboel ellende en er zijn tal van mogelijkheden om kosten efficient een degelijke backup strategie te bedenken.

Vergelijk het met te hard rijden: iedereen wordt gewaarschuwd om niet te hard te rijden, omdat je anders een boete *kunt* krijgen. Het aantal mensen dat ooit een boete heeft gehad voor te hard rijden overstijgt het aantal chauffeurs dst nog nooit een boete heeft gehad...

Natuurlijk waarschuw ik mensen, en blijf ik dat ook doen. Niks doen is uiteraard geen optie. Maar je kent heel veel mensen, ook via-via. En vraag jij aan iedereen die je kent wanneer ze voor het laatst een backup gemaakt hebben?

Dennism schreef op maandag 11 april 2016 @ 10:10:

[...]


Het zal je verbazen, maar betalen is vaak (zeker voor bedrijven zonder correcte backup) helaas een goede optie als je echt niet zonder de data kan. Een aantal klanten van mijn vorige werkgever heeft betaald, maar ook op bijv. sites als Spiceworks komen regelmatig verhalen van bedrijven die betaald hebben en ik heb nog geen geval gezien waarbij na betaling de data niet ontsleuteld werd mits de instructies correct gevolgd werden. Opzich ook niet onlogisch, wanneer de data niet terug zou komen na betaling zou deze business snel stoppen omdat dit snel bekend zou worden

Dat snap ik allemaal wel, en natuurlijk is betalen individueel- of als bedrijf gezien het makkelijkste en het goedkoopste, net zoals het gemakkelijker en veiliger is om als restaurant eigenaar te betalen aan de maffia. Dan accepteer je dit soort praktijken dus gewoon en zie je het als een soort belasting of leergeld.

Maar als samenleving als geheel is het beter om niet te betalen zodat de misdaad niet meer lonend is.

Zelfde als bij kidnapping: Als niemand betaalt is het niet lonend en stopt het vanzelf, maar als het je eigen kind is dat gekidnapt is dan denk je daar plotseling heel anders over.

Trommelrem schreef op maandag 11 april 2016 @ 10:30:
[...]
Daarom niet betalen:
[afbeelding]
[afbeelding]
[afbeelding]
[afbeelding]
[afbeelding]
[afbeelding]
[afbeelding]

Ze zeggen iedere keer "Fuck you" als ik mijn "Very important document" wil decrypten. De failure rate in mijn lab is inmiddels 100%. Als de one-free-decryption service niet werkt, wie gaat er dan uberhaupt betalen?
[...]
Virusscanner is geen probleem. Zie boven: 41 van de 57 scanners herkent het gewoon en kan de Cryptolocker ook gewoon verwijderen. Persoonlijk zou ik een herinstallatie doen op een nieuwe schijf en over 5 jaar een supercomputer huren die de decryptie kan doen. Dan kost het maar iets meer, met criminelen wordt niet onderhandeld.

Deze test zegt weinig, je test slechts een cryptolocker waarvan je niet weet of deze nog in het wild gebruikt wordt, of de organisatie erachter nog actief is is e.d. Je zou nog kunnen kijken of ze ergens een contact knop hebben, veel Cryptolocker bendes hebben dit, en schijnen vrij volt re reageren bij problemen.

En anders, test eens diverse lockers, het liefst 0day varianten, in mijn ervaring zie je dan hele andere resultaten en werkt het unlocken van de gratis files perfect.

Paar weken terug heb ik bij mijn ouders een NAS(Twee harde schijven met RAID1) geinstalleerd. Dit omdat zij hun foto's op een externe harde schijf hadden staan die van de tafel is getrokken is door de hond. Waardoor deze foto's niet meer bereikbaar waren. Gelukkig hadden ze het meeste nog (per ongeluk) op een andere externe harde schijf staan.

Kunnen cryptolockers ook deze schijven encrypten? En hoe kan ik dit voorkomen?

Gertjuhjan schreef op maandag 11 april 2016 @ 10:47:
Paar weken terug heb ik bij mijn ouders een NAS(Twee harde schijven met RAID1) geinstalleerd. Dit omdat zij hun foto's op een externe harde schijf hadden staan die van de tafel is getrokken is door de hond. Waardoor deze foto's niet meer bereikbaar waren. Gelukkig hadden ze het meeste nog (per ongeluk) op een andere externe harde schijf staan.

Kunnen cryptolockers ook deze schijven encrypten? En hoe kan ik dit voorkomen?

Als je de NAS benadert via drive mappings dan kan een cryptolocker ook die schijven encrypten.

Voorkomen: read only maken (niet praktisch) of enkel via een backup applicatie benaderen, niet via een drive share maar via een applicatie die op de NAS draait. Daarnaast is het verstandig om ook snapshots of previous versions oid op de NAS te enablen (versioning) zodat je terug kunt naar een vorige versie.

Viperke schreef op maandag 11 april 2016 @ 10:17:
Beste tip: breng je mail onder bij Google Apps. Heb het nog nooit meegemaakt dat Google bij ons iets van een virus doorlaat. Het is goedkoop en compleet onderhoudsvrij. Andere optie is onderbrengen bij Microsoft.

Tja, virussen verspreiden zich niet alleen via email. Ook kan een eigen mailserver mits correct ingesteld ook mails met virussen tegenhouden. Ik snap daarom niet helemaal waarom het naar de (Amerikaanse) cloud zou moeten.

Gertjuhjan schreef op maandag 11 april 2016 @ 10:47:
Paar weken terug heb ik bij mijn ouders een NAS(Twee harde schijven met RAID1) geinstalleerd. Dit omdat zij hun foto's op een externe harde schijf hadden staan die van de tafel is getrokken is door de hond. Waardoor deze foto's niet meer bereikbaar waren. Gelukkig hadden ze het meeste nog (per ongeluk) op een andere externe harde schijf staan.

Kunnen cryptolockers ook deze schijven encrypten? En hoe kan ik dit voorkomen?

Helaas wel. Cryptolockers versleutelen overal waar ze kunnen de bestanden, mits ze de rechten hebben om bestanden te wijzigen. Hou er daarbij rekening mee, dat RAID geen vorm van backup is. Maar een vang middel voor hardwarematig falen van de disks!

[ Voor 42% gewijzigd door CH4OS op 11-04-2016 11:36 ]

CptChaos schreef op maandag 11 april 2016 @ 11:32:
[...]
Tja, virussen verspreiden zich niet alleen via email. Ook kan een eigen mailserver mits correct ingesteld ook mails met virussen tegenhouden. Ik snap daarom niet helemaal waarom het naar de (Amerikaanse) cloud zou moeten.

Vanwege versiebeheer.

Echter: Volgens mij worden de meeste virussen nog altijd via Dropbox verspreid en niet via e-mail.

Dennism schreef op maandag 11 april 2016 @ 10:44:
[...]


Deze test zegt weinig, je test slechts een cryptolocker waarvan je niet weet of deze nog in het wild gebruikt wordt, of de organisatie erachter nog actief is is e.d. Je zou nog kunnen kijken of ze ergens een contact knop hebben, veel Cryptolocker bendes hebben dit, en schijnen vrij volt re reageren bij problemen.

En anders, test eens diverse lockers, het liefst 0day varianten, in mijn ervaring zie je dan hele andere resultaten en werkt het unlocken van de gratis files perfect.

Het is een van de cryptolockers in mijn lab. Ze falen echter allemaal. Echter, net kwam een collega met een briljant idee: Als je de firewall uitzet, dan kan de private key gewoon worden opgestuurd naar de server. Waarschijnlijk blokkeert de firewall de verzending van de private key, waardoor die zoekraakt. Als dat zou werken, dan zou je met poortmonitoring wellicht de private keys kunnen onderscheppen in transit, wanneer de infectie start.

[ Voor 53% gewijzigd door Trommelrem op 11-04-2016 11:36 ]

Trommelrem schreef op maandag 11 april 2016 @ 11:34:
Vanwege versiebeheer.

Versiebeheer kan ook op een andere manier en kan vast ook via een eigen server. Ik zie dus nog steeds geen reden waarom zoiets naar een (Amerikaanse) cloud zou moeten...

Het is een van de cryptolockers in mijn lab. Ze falen echter allemaal. Echter, net kwam een collega met een briljant idee: Als je de firewall uitzet, dan kan de private key gewoon worden opgestuurd naar de server. Waarschijnlijk blokkeert de firewall de verzending van de private key, waardoor die zoekraakt. Als dat zou werken, dan zou je met poortmonitoring wellicht de private keys kunnen onderscheppen in transit, wanneer de infectie start.

Mag "hopen" dat cryptolockers hun keys via https / ssl versturen naar hun eigen servers. Poort 443 dus, waar je dus niets aan hebt zonder zelf het certificaat ook te hebben om een man in the middle te kunnen uitvoeren... Anders zouden cryptolockers totaal zinloos zijn.

CptChaos schreef op maandag 11 april 2016 @ 11:41:
[...]
Versiebeheer kan ook op een andere manier en kan vast ook via een eigen server. Ik zie dus nog steeds geen reden waarom zoiets naar een (Amerikaanse) cloud zou moeten...

Omdat Dropbox voor consumenten lekker makkelijk is? Het synchroniseert beter dan Google Drive, SharePoint en andere diensten. Wat heeft Noord-Amerika daarmee te maken? Het zou mij niet verbazen dat de private keys naar Oost-Europa gaan i.p.v. Noord-Amerika. Volgens mij worden daar aardig wat cryptolockers geproduceerd.

Mag hopen dat cryptolockers hun keys via https / ssl versturen naar hun eigen servers. Poort 443 dus, waar je dus niets aan hebt zonder zelf het certificaat ook te hebben om een man in the middle te kunnen uitvoeren...

We gaan het zien. Ik zie niet in waarom ze SSL zouden gebruiken. Dan moeten ze een certificaat aanschaffen en het kost ze moeite. De mensen betalen helaas toch wel. De verzending is toch eenmalig en je moet dan toevallig wel poortmonitoring hebben ingeschakeld en een tool zoals Wireshark hebben draaien. In het wild zal dat nooit voor komen, behalve in een lab omgeving.

Ik ben ook benieuwd wat een geheugendump zal doen. Ergens in het geheugen zal toch iets van unencrypted data van de cryptolocker te vinden zijn?

[ Voor 12% gewijzigd door Trommelrem op 11-04-2016 11:48 ]

Trommelrem schreef op maandag 11 april 2016 @ 11:45:
Omdat Dropbox voor consumenten lekker makkelijk is? Het synchroniseert beter dan Google Drive, SharePoint en andere diensten. Wat heeft Noord-Amerika daarmee te maken? Het zou mij niet verbazen dat de private keys naar Oost-Europa gaan i.p.v. Noord-Amerika. Volgens mij worden daar aardig wat cryptolockers geproduceerd.

Als Dropbox op de PC is geïnstalleerd, houdt deze een bepaalde map (of mappen) in de gaten en synchroniseert wijzigen naar de cloud. Als cryptolocker langs komt, worden de files ook in de cloud encrypted.

We gaan het zien. Ik zie niet in waarom ze SSL zouden gebruiken.

Je ziet niet in, wat het versleuteld versturen van die private key van belang is voor cryptolockers?

Dan moeten ze een certificaat aanschaffen en het kost ze moeite.

Let's Encrypt geeft gratis SSL certificaten weg, goed genoeg voor zaken als dit als het beveiligd versturen van private keys van slachtoffers. Het is totaal onlogisch voor cryptolockers om dergelijke informatie onversleuteld te versturen. Ik zou het bovendien dom vinden, omdat aftappen dan makkelijk is en de files dus ook heel simpel weer decrypted kunnen worden.

De mensen betalen helaas toch wel.

Tja, soms kun je niet anders, omdat dat dan de goedkoopste oplossing is.

Ik ben ook benieuwd wat een geheugendump zal doen. Ergens in het geheugen zal toch iets van unencrypted data van de cryptolocker te vinden zijn?

De keys zullen dat niet zijn neem ik aan. Die keys zijn van cruciaal belang voor de cryptolocker. Je zult dus hoogstens kunnen achterhalen welke encryptie is gebruikt en welke variabele ze er in hebben gegooid, maar welke hash daar dan uit gekomen is, weet je nooit. Cryptolockers gebruiken overigens vaak (de moderneren althans zeker) meerdere lagen encryptie tegenwoordig.

Als ik hier nuchter op reageer dan zien we toch weer in alle verwarring door die misleiding van nu dus ransomware dat het mensen zo in de problemen brengt, dat het een heel bedrijf kan vernietigen.
En dat is ook het probleem, een thuisgebruiker zal geen zware financiële schade leiden waar jarenlang werken aan vooraf ging.
Op het moment dat een bedrijf besluit te betalen is het ook dubbel, maar op dat moment ben je in paniek,
Je inkomsten staan stil, klanten kan je niet bedienen, kortom, niet betalen kan dan, zoals de praktijk ook al heeft uitgewezen, je compleet van de markt wippen, terwijl betalen ook geen garantie geeft, want ook al betaal je, het zal die ransomwaremakers een worst wezen of jij nog bestaat of niet.

Zoals in Windows veel automatisch gebeurd, zo ook de encryptie.

Vind dit alles altijd plaats op NTFS formats met de Windows service:
Encrypting File System (EFS)

Dit systeem biedt de hoofdfunctionaliteit voor bestandsversleuteling. Deze technologie wordt gebruikt om versleutelde bestanden op NTFS-bestandssysteemvolumes op te slaan. Als deze service is gestopt of is uitgeschakeld, kunnen de toepassingen geen toegang krijgen tot de versleutelde bestanden.

Aangezien ransomware naar mijn mening grip krijgt op deze service.
Deze service werd mogelijk vanaf Windows 2000 en de komst van NTFS.
Dat alles wordt automatisch geregeld door het besturingssysteem Windows.
En dat is het meest gebruikte systeem op computers, dat weten we allemaal.
En dat is op elke Windows machine hetzelfde.
C:\Windows\System32\syskey.exe
Hiermee kan je de encryptie ook nog van een wachtwoord voorzien.
Ik heb geen ervaring er mee of dat ransomware tegen kan houden.

Trommelrem, ik zag dat je ransomware bewust kon starten.
Kan jij ook testen wat er gebeurd als je een encryptie wachtwoord invoert?
En dan die ransomware start?
Ben er wel benieuwd naar.

Of zou dat alleen effect hebben op het starten van Windows?

Verwijderd schreef op maandag 11 april 2016 @ 12:06:
Vind dit alles altijd plaats op NTFS formats met de Windows service:
Encrypting File System (EFS)

Dit systeem biedt de hoofdfunctionaliteit voor bestandsversleuteling. Deze technologie wordt gebruikt om versleutelde bestanden op NTFS-bestandssysteemvolumes op te slaan. Als deze service is gestopt of is uitgeschakeld, kunnen de toepassingen geen toegang krijgen tot de versleutelde bestanden.

Ik denk dat cryptoware eerder een eigen methodiek gebruik tot het versleutelen van bestanden en daarbij meerdere (verschillende) lagen gebruikt. Dat maakt de kans kleiner dat je de bestanden zelf kan decrypten. Een tweede voordeel is dat de cryptolocker niet afhankelijk is van een bepaalde service in Windows, die niet in alle Windows-versies aanwezig zal zijn.

Uiteindelijk is de bedoeling van een cryptolocker immers om de enige te zijn die de versleuteling teniet kan doen bij gebrek aan goede, recente backups.

[ Voor 8% gewijzigd door CH4OS op 11-04-2016 12:30 ]

CptChaos schreef op maandag 11 april 2016 @ 12:25:
[...]
Ik denk dat cryptoware eerder een eigen methodiek gebruik tot het versleutelen van bestanden en daarbij meerdere (verschillende) lagen gebruikt. Dat maakt de kans kleiner dat je de bestanden zelf kan decrypten. Uiteindelijk is de bedoeling van een cryptolocker om de enige te zijn die de versleuteling teniet kan doen bij gebrek aan goede, recente backups.

Ja precies, en dat maakt je als gebruiker dan ook zo machteloos tegen dit soort malafide praktijken.
Dan lijkt het er ook wel op dat de gebruikers door de makers van die malware als een soort makke lammetjes richting slachtbank worden geleidt, waar dus vanaf het moment dat dat begon, de service EFS zich tegen windows gebruikers heeft gekeerd.
Encyptie was nog niet mogelijk toen het nog fat32 was.
Zou de gehele kernel en de format nu dus OTFS kunnen gaan heten, dat NEW nu dus niet meer NEW is, maar OLD.
Wat doet Microsoft op dat gebied om gebruikers daar tegen te beschermen?
Dan zou er weer een soort systeem moeten ontstaan waar geen enkele andere vorm van encryptie toegelaten kan worden. Ik weet niet of het ook andere formats kan treffen, zoals die van Linux of Apple.

Misschien zou er in de toekomst een betere samenwerking moeten komen met de makers van besturingssystemen van dat kaliber en makers van AV software, en dat met elkaar gaan laten integreren.
Zodat alle gebruikers altijd beveiligd zijn, nu kost het ook wel wat, voor 5 euro permaand kan je je goed beschermen, maar dat staat nu nog los van het gebruik van het besturingssysteem, wat dus een groter risico met zich mee brengt.

[ Voor 35% gewijzigd door Verwijderd op 11-04-2016 12:38 ]

Verwijderd schreef op maandag 11 april 2016 @ 12:29:
[...]

Encyptie was nog niet mogelijk toen het nog fat32 was.

Sorry, kan aan mij liggen, maar ik vind je tekst nogal onduidelijk lezen.
MAar wat ik niet begrijp is wat een filesystem te maken heeft met het wel of niet kunnen wegschrijven van een ge-encrypt bestand ?

Verwijderd schreef op maandag 11 april 2016 @ 12:29:
Ja precies, en dat maakt je als gebruiker dan ook zo machteloos tegen dit soort malafide praktijken.
Dan lijkt het er ook wel op dat de gebruikers door de makers van die malware als een soort makke lammetjes richting slachtbank worden geleidt, waar dus vanaf het moment dat dat begon, de service EFS zich tegen windows gebruikers heeft gekeerd.

Ik denk niet dat cryptolockers services als EFS gebruiken. Ze beperken zich hiermee teveel op recentere Windows-versies en heb je dus veel minder potentiële slachtoffers. Daarnaast zal er voor EFS vast ook wel een manier zijn om het te decrypten. Ik ga er daarom vanuit dat cryptolockers géén gebruik maken van services als EFS, maar gewoon hun eigen encryptie gebruiken, over meerdere lagen, met verschillende soorten encrypties. De modernere cryptolockers doen dat sowieso al en slaan diverse keys op diverse servers met diverse versleutelingen op. Daar kom je echt niet zomaar bij.

Encyptie was nog niet mogelijk toen het nog fat32 was.

Het gebeurd dan ook n iet op dat niveau, maar de inhoud van elk bestand wordt gewijzigd. Dan maakt de partitie echt niets uit.

Zou de gehele kernel en de format nu dus OTFS kunnen gaan heten, dat NEW nu dus niet meer NEW is, maar OLD.

Ik begrijp hier even niet wat je bedoeld. Het is een cryptolocker niet te doen om het OS te beschadigen, maar om je bedrijfsvoering flink te vertragen en misschien zelfs stuk te maken, iets wat kwalijker is dan het OS aanpakken.

Wat doet Microsoft op dat gebied om gebruikers daar tegen te beschermen?

Waarom moet Microsoft daar tegen beschermen? En wie moeten zij dan beschermen? Bedrijven (wat toch het primaire doelgroep is voor cryptolockers) hebben meestal wel hun beveiliging op orde en zorgen ervoor dat medewerkers alleen bij de bestanden kunnen, waar ze bij zouden moeten kunnen, niets meer, niets minder. Dan is de werking van een cryptolocker zéér beperkt, maar niet waterdicht. En natuurlijk is een goede backup héél belangrijk.

Dan zou er weer een soort systeem moeten ontstaan waar geen enkele andere vorm van encryptie toegelaten kan worden.

En hoe had je dat precies in gedachten? Nietsvermoedende of nietwetende gebruikers hou je helaas toch wel, helemaal uitbannen van virussen (in welke vorm dan ook) gaat gewoon nooit lukken. De files worden namelijk aangepast. Dan kun je encryptie niet toestaan zoveel als dat je wilt, het weerhoudt een cryptolocker er niet van om een bestand te openen en vervolgens de inhoud te versleutelen naar wat anders en weer weg te schrijven op disk.

Ik weet niet of het ook andere formats kan treffen, zoals die van Linux of Apple.

Ook op Linux / OSX zijn er (helaas) cryptolockers; zie bijvoorbeeld Synology NAS besmet met ransomware synolocker en/of nieuws: Officiële versie Mac-app Transmission bevatte ransomware. En je kan natuurlijk op een dergelijke machine een share hebben, waar je met je Windows machine volledige toegang toe hebt, dan kan de cryptolocker ook al zijn ding doen.

[ Voor 10% gewijzigd door CH4OS op 11-04-2016 12:48 ]

heuveltje schreef op maandag 11 april 2016 @ 12:41:
[...]
Sorry, kan aan mij liggen, maar ik vind je tekst nogal onduidelijk lezen.
MAar wat ik niet begrijp is wat een filesystem te maken heeft met het wel of niet kunnen wegschrijven van een ge-encrypt bestand ?

Nee het ligt niet aan jou
Dat heeft te maken met hoe dat ooit tot stand is gekomen.
Encryptie is ontstaan om bestanden beter te beveiligen, dat werd mogelijk gemaakt vanaf Windows 2000 met een vernieuwde format en een nieuwe kernel die werd gebruikt vanaf Windows 2000.
Microsoft heeft toen dat mogelijk gemaakt om encryptie te kunnen gebruiken.
Systemen werden toen ook stabieler.
Alleen nu lijkt die techniek zich tegen gebruikers te keren met de komst van ransomware. dus die ransomware gebruikt niet specifiek die service van Windows, maar gebruiken diezelfde techniek.
net als je met verschillende programma's beeld kan bewerken.
Dan lijkt het alsof er een antwoord moet komen daarop.
NTFS en encryptie is toen ontwikkeld om mensen beter te beschermen.
Maar die mogelijkheid geeft dan nu ook ransomware die kans.
Om met hun eigen manieren encryptie in te zetten.

Een goeie AV zal direct ransomware herkennen aan de vorm van die techniek, en daar zou Microsoft eigenlijk voor moeten zorgen.
Nu is het als ik het vergelijk alsof je een auto koopt zonder sloten.
En je na de aanschaf van je auto naar een andere fabrikant toe moet om er nog sloten in te laten plaatsen, dat lijkt me niet de bedoeling...

[ Voor 29% gewijzigd door Verwijderd op 11-04-2016 12:55 ]

__R__ schreef op zondag 10 april 2016 @ 23:17:
Ik zou niet betalen. Nooit betalen. Ik heb ook zelf de insteek dat als ik ooit beroofd zal worden van mijn GSM of portomenee dat ik deze direct de sloot of iets dergelijks in gooi. (En ja, makkelijk praten nu)

Betalen is aantrekkelijk maken. Niet betalen is de enigste optie om deze mensen wat anders te laten verzinnen. Want dat zullen ze doen.

Je hebt makkelijk praten. Ik zou ook niet betalen, maar ik heb in tegenstelling tot het uitgangspunt van OP van al mijn belangrijke bestanden meerdere backups, incluysief offline backups.

Ik ken echter bedrijven waarvan ik weet dat de backups niet afdoende zijn en als ze door een locker worden getroffen het betekent : betalen of bedrijf failliet. Reken maar dat je dan betaalt (en een dure les leert).

Wat ik dus nog steeds niet begrijp is dat er nog bedrijven zijn die periodiek een kopie van een netwerkschijf maken naar een andere netwerkschijf een backup noemen. Dat beschermt je hoogstens tegen een hardware defect, maar dan heb je het wel gehad.

Verwijderd schreef op maandag 11 april 2016 @ 12:29:
[...]
Encyptie was nog niet mogelijk toen het nog fat32 was.

Je weet toch dat je hier opnzin loopt te spuien? Er is geen enkel probleem met fat32 dat je belet om file level encryptie toe te passen en een driver te installeren zodat de bestanden zolang je nog bezig bent met encrypten transparant te decrypten.

Dat transparant decrypten is overigens het gevaar, daardoor kan het zijn als je de locker een tijdje niet ontdekt dat je bestanden hebt waarvan zelfs nooit een niet encrypted exemplaar is opgeslagen!.

Ik test zelf mijn externe backups op een linux pc, als je dan de bestanden kan openen heb je iig geen encrypted zooi lopen backuppen.

[ Voor 25% gewijzigd door Verwijderd op 11-04-2016 13:03 ]

Verwijderd schreef op maandag 11 april 2016 @ 12:56:
[...]

Je hebt makkelijk praten. Ik zou ook niet betalen, maar ik heb in tegenstelling tot het uitgangspunt van OP van al mijn belangrijke bestanden meerdere backups, incluysief offline backups.

Ik ken echter bedrijven waarvan ik weet dat de backups niet afdoende zijn en als ze door een locker worden getroffen het betekent : betalen of bedrijf failliet. Reken maar dat je dan betaalt (en een dure les leert).

Wat ik dus nog steeds niet begrijp is dat er nog bedrijven zijn die periodiek een kopie van een netwerkschijf maken naar een andere netwerkschijf een backup noemen. Dat beschermt je hoogstens tegen een hardware defect, maar dan heb je het wel gehad.

Daar heb je ook gelijk in hoor, ligt er net aan in welke positie je verkeerd.
Als je gehele inkomsten er van af hangt, of je zit thuis en installeerd windows op nieuw, wat wel weer wat werk is maar geen economische schade, dan zit er inderdaad verschil in.

Verwijderd schreef op maandag 11 april 2016 @ 12:48:
Nee het ligt niet aan jou
Dat heeft te maken met hoe dat ooit tot stand is gekomen.
Encryptie is ontstaan om bestanden beter te beveiligen, dat werd mogelijk gemaakt vanaf Windows 2000 met een vernieuwde format en een nieuwe kernel die werd gebruikt vanaf Windows 2000.
Microsoft heeft toen dat mogelijk gemaakt om encryptie te kunnen gebruiken.
Systemen werden toen ook stabieler.

Geen idee wat stabiliteit te maken heeft hiermee of wat je ermee bedoeld. Dat de techniek er is, is niet alleen dankzij Microsoft natuurlijk. Het oplopen van een crypto- of ransomeware virus natuurlijk ook niet. Je kan dus ook niet zomaar wijzen naar Microsoft, alsof zij de schuldigen zijn. Zo laat je het nu wel overkomen namelijk.

Alleen nu lijkt die techniek zich tegen gebruikers te keren met de komst van ransomware. dus die ransomware gebruikt niet specifiek die service van Windows, maar gebruiken diezelfde techniek.

Als het dezelfde techniek zou gebruiken, zou het ook op dezelfde manier te beheren en decrypten moeten zijn. Dat doet het niet, want het werkt veel geavanceerder. Ze gaan misschien op dezelfde wijze te werk, maar gebruiken totaal andere technieken om dat te bewerkstelligen. En het kost nu natuurlijk weinig tot geen resources meer. Dus de impact is nu veel groter, doordat er meer in minder tijd versleuteld kan worden.

net als je met verschillende programma's beeld kan bewerken.

Ja, maar dat is precies wat ik dus eerder ook al zei.

Dan lijkt het alsof er een antwoord moet komen daarop.
NTFS en encryptie is toen ontwikkeld om mensen beter te beschermen.

Wat heeft NTFS hiermee van doen? De gebruikte partities en de indeling ervan staat totaal los van wat deze crypto- en ransomeware virussen doen. Alles is ontwikkeld met een reden, al dan niet om mensen beter te beschermen.

Maar die mogelijkheid geeft dan nu ook ransomware die kans.
Om met hun eigen manieren encryptie in te zetten.

Tja, dat is met alles natuurlijk zo, dus ik zie het punt niet helemaal wat je hier probeert te maken.

Een goeie AV zal direct ransomware herkennen aan de vorm van die techniek, en daar zou Microsoft eigenlijk voor moeten zorgen.

Herkennen is het punt niet, het probleem de uitdaging is de ontsleuteling (decryption) van bestanden wanneer het te laat is.

Verwijderd schreef op maandag 11 april 2016 @ 12:48:
[...]

Nee het ligt niet aan jou
Dat heeft te maken met hoe dat ooit tot stand is gekomen.
Encryptie is ontstaan om bestanden beter te beveiligen, dat werd mogelijk gemaakt vanaf Windows 2000 met een vernieuwde format en een nieuwe kernel die werd gebruikt vanaf Windows 2000.
Microsoft heeft toen dat mogelijk gemaakt om encryptie te kunnen gebruiken.
Systemen werden toen ook stabieler.
me niet de bedoeling...

Ik denk dat jij denkt dat encryptie iets is dat door MS geintroduceerd.
Dit is incorrect, bestanden versleutelen met een paswoord is echt al velen jaren ouder
ALleen toen koste het nog genoeg cpu dat dat onwerkbaar was.
Voor zover ik weet is bv een .rar met paswoord ook nog steeds onkraakbaar met een normale pc.

Alleen het gemak van het internet, zowel kwa ontraceerbare betalingen, als verspreiding maakt dit momenteel een veel groter probleem dan zeg 10 jaar geleden.

[ Voor 8% gewijzigd door heuveltje op 11-04-2016 13:04 ]

Nee, ik denk niet dat encryptie in de vorm van NTFS de eerste was, maar het is toen in de format openomen.
Zo was er geen tabblad beveiliging wanneer je bijvoorbeeld XP installeerd op een fat32, daar moest je inderdaad zelf voor zorgen.
het hele machtigingenbeleid van Windows is op een NTFS op gebruikersniveau toen begonnen.
Ik kan toch ook via het machtigingenbeleid in Windows door de encryptie mezelf de toegang tot bepaalde mappen en bestaan ontzeggen, of de machtiging overnemen van een object.
Daarom is het ook mogelijk om als administrator of als beperkte gebruiker in te loggen.
Het gaat steeds met name er om dat wanneer ransomware eenmaal binnen is en niet tegen gehouden worden door een goeie AV, je dat probleem hebt.
En voor bedrijven kan dat de strop zijn wanneer er geen back ups zijn.
Als een bedrijf als Kaspersky, Norton deze zaken tegen kunnen houden, is het naar mijn idee ook wel zo dat die markt daar toch bepaald ook.
Stel dat er een besturingssysteem zou zijn die niet aangevallen zou kunnen worden (dat is natuurlijk niet zo) dan had je ook die markt niet gehad.
Want dom zijn die jongens die dat maken niet.
Je moet nogal wat weten om ransomware te kunnen maken,
Dat is het zelfde niveau programmeurs die werken bij bedrijven zoals Microsoft.
Dus wij gebruikers, die niet tot op dat niveau programmeurs zijn, hebben dan wel een probleem indien we ons niet goed beschermen.
De banken worden ook op die manier beroofd, in 2012 was dat bedrag rond de 484 miljard wereldwijd las ik.als ik me niet vergis.

CptChaos schreef op maandag 11 april 2016 @ 11:32:
[...]
Tja, virussen verspreiden zich niet alleen via email. Ook kan een eigen mailserver mits correct ingesteld ook mails met virussen tegenhouden. Ik snap daarom niet helemaal waarom het naar de (Amerikaanse) cloud zou moeten.

Zover ik heb kunnen zien zijn deze cryptolockers wel degelijk enkel via mail verspreidt. Ik gok dat je als je een enquete houdt over waar mensen de cryptolocker vandaan hebben. Je op bijna, zoniet 100% non google/microsoft mail servers uitkomt. Ik heb shitloads aan cryptolocker mails op mijn ziggo en tweak mail gehad. Allemaal met de attachment er nog aan. Onbegrijpelijk dat, dat nog doorgelaten wordt.

Verwijderd schreef op maandag 11 april 2016 @ 13:21:
Nee, ik denk niet dat encryptie in de vorm van NTFS de eerste was, maar het is toen in de format openomen.

NTFS is gewoon een filesystem, geen idee wat encryptie daarmee van doen heeft. Dan zijn alle andere filesystems namelijk óók encryptie.

Zo was er geen tabblad beveiliging wanneer je bijvoorbeeld XP installeerd op een fat32, daar moest je inderdaad zelf voor zorgen.

Dat betekend niet dat bestanden niet te versleutelen zijn op een FAT32 partitie. Nogmaals; een filesystem zorgt alleen dát je bestanden kan opslaan. Vervolgens kan je alles doen en laten met zo'n file. Ja, je kan filesystems óók nog eens versleutelen, maar dat betekend niet, dat de files inhoudelijk dan niet meer te versleutelen zijn.

het hele machtigingenbeleid van Windows is op een NTFS op gebruikersniveau toen begonnen.

Euh...? Ik volg je hier echt niet. Het is niet dat NTFS het enige filesystem is waarmee het mogelijk is om rechtenbeheer te kunnen doen, laat staan dat NTFS het eerste filesystem is waarmee zoiets kan.

Ik kan toch ook via het machtigingenbeleid in Windows door de encryptie mezelf de toegang tot bepaalde mappen en bestaan ontzeggen, of de machtiging overnemen van een object.

Daarom dat een cryptolocker alleen toeslaat op bestanden waar het bij kan?

Daarom is het ook mogelijk om als administrator of als beperkte gebruiker in te loggen.

Het maakt niet uit als wie je inlogt. De cryptolocker draait altijd onder de huidig ingelogde gebruiker en doet dan zijn ding, waar hij bij kan... Jiust om meldingen van UAC te voorkomen en zodat het op de achtergrond (onzichtbaar dus) actief kan zijn.

Het gaat steeds met name er om dat wanneer ransomware eenmaal binnen is en niet tegen gehouden worden door een goeie AV, je dat probleem hebt.
En voor bedrijven kan dat de strop zijn wanneer er geen back ups zijn.
Als een bedrijf als Kaspersky, Norton deze zaken tegen kunnen houden, is het naar mijn idee ook wel zo dat die markt daar toch bepaald ook.

Je kan 100% nooit voorkomen. Hoe goed je virusscanner ook is. Dat is juist het kat en muis spelletje wat al jaren gespeeld wordt.

Stel dat er een besturingssysteem zou zijn die niet aangevallen zou kunnen worden (dat is natuurlijk niet zo) dan had je ook die markt niet gehad.

Er zullen altijd flaws en dergelijken zitten. Bedenk je wel, dat alle programmatuur en ook besturingssystemen worden gemaakt door programmeurs. Dat zijn vaak gewoon mensen. Ook die kunnen fouten maken. Wil je echt altijd 100% veilig zijn, dan zeg je jouw internet abonnement op en zet je jouw PC uit. Dat is de enige manier waarop je 100% veilig bent.

zitten we in het proces van genezen als we het niet weten te voorkomen?
Ik gebruik Kaspersky, in windows 7 en 10, dus ik hoef me persoonlijk geen zorgen te maken.
Maar ik kan me voorstellen dat als je een bedrijf hebt en je op de kosten moet letten qua omzet en winst,
ransomware dus in staat is een bedrijf ecomonisch te vermoorden.
Daar moeten we als eindgebruikers ook steeds rekening mee houden.
En dat ziet ook niet iedereen aankomen.
Mark Russinovich van Microsoft heeft daar ook op youtube filmpjes over gemaakt, waar hij uitlegt met geavanceerde tools hoe het hackers lukte om 1 poort op te houden door een machtiging te plaatsen voor zichzelf waardoor ze steeds weer binnen konden komen wanneer alle malware weer was verwijderd.
Want ik denk ook niet dat stel een bedrijf betaald, ze elke maand een melding van ransomware willen krijgen en per maand moeten gaan betalen om hun data te mogen gebruiken, toch?
hij legde ook uit dat er op een gegeven moment mensen van Microsoft daar een tijd mee bezig moesten voor dat dat ontdekt werd.
Malware is al lang een groot probleem. het neemt steeds grovere vormen aan.

Verwijderd schreef op maandag 11 april 2016 @ 13:32:
zitten we in het proces van genezen als we het niet weten te voorkomen?
Ik gebruik Kaspersky, in windows 7 en 10, dus ik hoef me persoonlijk geen zorgen te maken.

Dat is best naïef.. Op het moment dat een cryptolocker voor het eerst in het wild gesignaleerd wordt door een antivirusboer heeft hij waarschijnlijk al vele slachtoffers gemaakt, want die antivirusmakers hebben ook geen glazen bol waarin ze zien wat er op dit moment allemaal door kwaadwillende uitgedokterd wordt.

Anti-virus is leuk voor misschien 90% van de gevallen, maar is slechts een hulpmiddel en geen wondermiddel tegen alles.

Als het allemaal zo simpel was geweest had elk bedrijf nu Kaspersky gedraaid en waren er niet steeds bedrijven die geraakt worden door cryptolockers in het nieuws.

Radiant schreef op maandag 11 april 2016 @ 13:39:
[...]


Dat is best naïef.. Op het moment dat een cryptolocker voor het eerst in het wild gesignaleerd wordt door een antivirusboer heeft hij waarschijnlijk al vele slachtoffers gemaakt, want die antivirusmakers hebben ook geen glazen bol waarin ze zien wat er op dit moment allemaal door kwaadwillende uitgedokterd wordt.

Anti-virus is leuk voor misschien 90% van de gevallen, maar is slechts een hulpmiddel en geen wondermiddel tegen alles.

Als het allemaal zo simpel was geweest had elk bedrijf nu Kaspersky gedraaid en waren er niet steeds bedrijven die geraakt worden door cryptolockers in het nieuws.

Mwha Naief wil ik mezelf niet noemen, ik ben geen type gebruiker die snel ergens instinkt, tuurlijk heb je gelijk, we kunnen er allemaal door besmet raken, maar daar heb ik wel alles back-up, dus mocht dat gebeuren ben ik daar op voorbereidt, maar goed, ik heb geen hele netwerken te beheren waar meer mensen in het netwerk werken.
En net zoals de banken kwamen met de mogelijkheid tot 25 Euro zonder pin met je telefoon te kunnen betalen (lekker snel en makkelijk) was de eerste digitale zak afgelopen maanden dan ook gerold.
Dus eerst bedenken ze een techniek, en met de beveiliging hobbelt het er achter aan.
Ik vraag me ook af waarom daar dan geen rekening mee is gehouden, en het dus schijnbaar simpel was voor bepaalde lieden naast iemand te gaan staan en een telefoon te rollen.
het enige voordeel wat het jouw oplevert dat rovers je niet fysiek aan hoeven te raken, en dat is ook tevens weer het nadeel. Linux is toch meer zich al in de ontwikkeling zich gaan richten op veiligheid.
En Microsoft richtte zich op gebruiksvriendelijkheid.

Het is basisfunctionaliteit van een computer (je kan een bestand lezen, en schrijven). Een cryptolocker is daarin niet anders dan Word, Powerpoint, etc. Daar valt niet echt tegen te beveiligen in de basis.

Ben ook benieuwd hoe je denkt dat Linux je daartegen beschermt, want behalve dat het niet interessant is voor makers van cryptolockers (want kleine user base op workstations), zit daar totaal geen verschil in.

[ Voor 5% gewijzigd door Radiant op 11-04-2016 14:15 ]

Ik heb niet getypt dat linux mij daar tegen beschermd, kwaadwillende zijn tot van alles in staat, ik typte meer over waar de bouwers van die systemen zich toen op richtte, meer niet.

Radiant schreef op maandag 11 april 2016 @ 13:39:
[...]

Dat is best naïef.. Op het moment dat een cryptolocker voor het eerst in het wild gesignaleerd wordt door een antivirusboer heeft hij waarschijnlijk al vele slachtoffers gemaakt, want die antivirusmakers hebben ook geen glazen bol waarin ze zien wat er op dit moment allemaal door kwaadwillende uitgedokterd wordt.

Anti-virus is leuk voor misschien 90% van de gevallen, maar is slechts een hulpmiddel en geen wondermiddel tegen alles.

Als het allemaal zo simpel was geweest had elk bedrijf nu Kaspersky gedraaid en waren er niet steeds bedrijven die geraakt worden door cryptolockers in het nieuws.

Een antivirus werkt in 90% van de gevallen?
Het is waarschijnlijk meer, maar het zet mij aan het denken: waarom zou ik nog een anti-virus kopen? Ik kijk naar afzender, bestandsextentie, klik niet op reclame etc. 90% van de virussen houd ik daarmee al tegen. Ik hoef in principe alleen nog maar dagelijks te back-uppen om mij tegen die 10% nieuwe virussen (lockers tegenwoordig) te wapenen. Waarom zie ik dan nog nergens reclame voor back-up software? Ik zou deze hele locker epidemie aangrijpen om op elk billboard mijn back-up programma te adverteren als ik bij zo'n bedrijf zou werken

Erik kan je alsjeblieft stoppen met het posten van incorrecte aannames over cryptolockers, EFS en encryptie want wat je post klopt van geen kanten en leest behoorlijk onprettig.

ok

Tehh schreef op maandag 11 april 2016 @ 14:19:
[...]


Een antivirus werkt in 90% van de gevallen?
Het is waarschijnlijk meer, maar het zet mij aan het denken: waarom zou ik nog een anti-virus kopen? Ik kijk naar afzender, bestandsextentie, klik niet op reclame etc. 90% van de virussen houd ik daarmee al tegen. Ik hoef in principe alleen nog maar dagelijks te back-uppen om mij tegen die 10% nieuwe virussen (lockers tegenwoordig) te wapenen. Waarom zie ik dan nog nergens reclame voor back-up software? Ik zou deze hele locker epidemie aangrijpen om op elk billboard mijn back-up programma te adverteren als ik bij zo'n bedrijf zou werken

Het is natuurlijk niet lineair. Je hebt inderdaad al minder kans om een virus op te lopen als je op die manier bewust je PC gebruikt en daarnaast zou je nog kunnen kiezen om een anti-virus te draaien mocht er toch iets tussendoor slippen. Dan dek je nog steeds geen 100%, maar je hebt de kans al heel erg verkleind.

xFeverr schreef op maandag 11 april 2016 @ 14:26:
Je hebt de data nog, versleuteld, en kan het beste even wachten op een unlocker. Kan soms inderdaad een jaar duren, maar dan loont de misdaad niet in jou geval.

Unlockers komen er alleen als de makers/gebruikers van de ransomware domme fouten hebben gemaakt of de sleutels op een of andere manier uitlekken. Dat is inderdaad een paar keer gebeurt, maar er is alles behalve een garantie dat er voor elke locker op enige termijn een unlocker komt (naja, tenzij je wilt wachten op het tijdperk dat we AES simpel kunnen bruteforcen).

xFeverr schreef op maandag 11 april 2016 @ 14:33:
[...]


Dat is inderdaad wel zo. Dan zou je achteraf alsnog kunnen betalen naturlijk

Jij hebt nog geen Cryptolocker gezien? Na een xx periode worden de encryption keys van een betreffende "infectie" weggegooid van de C&C servers en kan er geen decryptie meer plaatsvinden omdat de private keys niet meer beschikbaar zijn. Vaak heb je maar een week of wat om te reageren waarna je alles gewoon kwijt bent. Dus wachten ... slecht idee.

De shit van betalen is de zelfde cirkel als fietsendiefstal in beland is: oh m'n fiets is gejat, koop er wel eentje van een junk.

En ik snap dat betalen en leren van je fout voor bedrijven meestal de beste optie is, maar het is inmiddels een flinke business waarmee je direct criminele en/of terroristische doelen mee steunt. Je zou er dus goed aan doen je er (nog) beter tegen te wapenen, al is ook dat in de praktijk niet 100% mogelijk

xFeverr schreef op maandag 11 april 2016 @ 14:42:
[...]


Dat zeggen ze wel, maar als je alsnog met een zak geld over de brug komt, denk je dat ze je dan echt niet kunnen helpen?

Ik ga er van uit dat die keys echt weggegooid worden, dus Ja.
Encryptie werkt 2 kanten op
Zijzelf kunnen het namelijk ook niet kraken zonder die keys.

De kans dat ze je zak geld aannemen, en er vervolgens doodleuk "te laat" terugmailen lijkt me wel vrij groot. Het is niet of jij ze kunt aanklagen ofzo

[ Voor 5% gewijzigd door heuveltje op 11-04-2016 14:46 ]

Laatst nog wel een mooie meegemaakt, een goeie vriend van mij heeft een eigen bedrijf met software dat helemaal op maat is gebouwd voor dat bedrijf.
Door een fout van de secretaresse (waarschijnlijk) kregen ze een cryptolocker binnen via de pc die op de balie staat, en diverse netwerkdrives werden ook aangeraakt.
Deze cryptolocker was echter zo dom om alleen bestanden te encrypten zoals .doc .xls .jpg e.d..
Bijna hun hele systeem gebruikt totaal andere bestandstypes, dus alleen een paar flyers/reclame posters die in Word waren gemaakt die werden geencrypt.
Was een kwestie van alle pc's opnieuw installeren, softwarepakket er weer opzetten en toen was er niets meer aan de hand.

Ik neem aan dat de cryptolockers tegenwoordig hier wel slimmer in zijn? Anders is het gewoon een kwestie om al je belangrijke .doc .jpg bestanden te hernoemen naar .ditiseenfotobestand en .ditiseentekstbestand

heuveltje schreef op maandag 11 april 2016 @ 14:45:
[...]


Ik ga er van uit dat die keys echt weggegooid worden, dus Ja.
Encryptie werkt 2 kanten op
Zijzelf kunnen het namelijk ook niet kraken zonder die keys.

De kans dat ze je zak geld aannemen, en er vervolgens doodleuk "te laat" terugmailen lijkt me wel vrij groot. Het is niet of jij ze kunt aanklagen ofzo

Je loopt natuurlijk altijd risico door te betalen maar hoe gek het ook klinkt, die criminelen hebben er baat bij dat ze een 'goede' naam opbouwen. Als mensen er op vertrouwen dat betalen zinvol is, betalen er meer mensen. En die slachtoffers zal het over het algemeen een worst wezen of ze criminele praktijken in stand houden door te betalen.

Remy!!!! schreef op maandag 11 april 2016 @ 14:48:
Laatst nog wel een mooie meegemaakt, een goeie vriend van mij heeft een eigen bedrijf met software dat helemaal op maat is gebouwd voor dat bedrijf.
Door een fout van de secretaresse (waarschijnlijk) kregen ze een cryptolocker binnen via de pc die op de balie staat, en diverse netwerkdrives werden ook aangeraakt.
Deze cryptolocker was echter zo dom om alleen bestanden te encrypten zoals .doc .xls .jpg e.d..
Bijna hun hele systeem gebruikt totaal andere bestandstypes, dus alleen een paar flyers/reclame posters die in Word waren gemaakt die werden geencrypt.
Was een kwestie van alle pc's opnieuw installeren, softwarepakket er weer opzetten en toen was er niets meer aan de hand.

Ik neem aan dat de cryptolockers tegenwoordig hier wel slimmer in zijn? Anders is het gewoon een kwestie om al je belangrijke .doc .jpg bestanden te hernoemen naar .ditiseenfotobestand en .ditiseentekstbestand

Dat is niet "dom" van de cryptolocker, maar een afgewogen keuze. De bestandstypes die een dergelijke cryptolocker versleutelt zijn voor de meeste mensen en bedrijven juist de bestandstypes met de belangrijke en moeilijk vervangbare bestanden (documenten, foto's, enz...). Als de cryptolocker rucksichtlos alle bestanden zou gaan versleutelen dan zou deze waarschijnlijk veel eerder worden opgemerkt, en heeft het slachtoffer mogelijk de tijd om de computer uit te schakelen voordat er meer schade toegebracht kan worden.

Dat er af en toe een situatie voorkomt zoals in dat bedrijf waar je het over hebt, waar alle belangrijke documenten in custom bestandstypes opgeslagen zijn, moeten de makers van de ransomware dan maar voor lief nemen. Er zullen ongetwijfeld varianten zijn die een stuk agressiever zijn in de keuze van bestanden om te versleutelen.

Remy!!!! schreef op maandag 11 april 2016 @ 14:48:


Ik neem aan dat de cryptolockers tegenwoordig hier wel slimmer in zijn? Anders is het gewoon een kwestie om al je belangrijke .doc .jpg bestanden te hernoemen naar .ditiseenfotobestand en .ditiseentekstbestand

Ik denk dat dat wel meevalt.
Hackers schieten met grove hagel. maakt niet uit hoeveel ze missen als er maar 1 raak is.
Bovenstaande procedure werkt voor 9 van de 10 klanten

Alle bestanden encrypten duurt veel langer, en je hebt veel meer kans dat iemand het proces onderbreekt voordat je klaar bent.

xFeverr schreef op maandag 11 april 2016 @ 14:54:
[...]


Hoewel je natuurlijk gelijk heb, heb je nog steeds geen enkele garantie als je wel binnen de gestelde termijn betaald.

Klopt, maar ik bedoelde specifiek in gevallen waarbij de opgegeven tijd verstreken is.
Want zoals .snifram al opmerkte. Ook de hackers zijn gebaat bij een goede naam, zolang mensen denken dat ze in 95% van de gevallen een key terugkrijgen zullen ze overwegen te betalen. *
En het is een kleine risicovrije moeite voor de hacker om dan ook even daadwerkelijk de key op te sturen.
Dus ik verwacht ook wel dat ze dat doen.

Ik verwacht echter weinig hackers met genoeg ethische bezwaren om geen geld aan te nemen als ze weten dat dat ze het niet meer kunnen de-crypten.

*Dit gemodeleerd naar het businessmodel van de latijns-amerikaanse bendes die kidnappingen bijna tot een normale bedrijfstak omgevormd hebben..

Een van de redenen waarom dit zo'n vlucht neemt is IMHO dat het door middel van bitcoins veel simpeler is geworden iemand af te persen zonder een spoor achter te laten.

[ Voor 8% gewijzigd door heuveltje op 11-04-2016 15:17 ]

Tja je gaat hier al uit van een situatie waarin je geen backup én geen goede virusscanner hebt.

De enige relevante vraag is dan nog of je gaat betalen of niet. Ligt er maar net aan hoeveel je data je waard is.

.SnifraM schreef op maandag 11 april 2016 @ 14:50:
[...]

Je loopt natuurlijk altijd risico door te betalen maar hoe gek het ook klinkt, die criminelen hebben er baat bij dat ze een 'goede' naam opbouwen. Als mensen er op vertrouwen dat betalen zinvol is, betalen er meer mensen. En die slachtoffers zal het over het algemeen een worst wezen of ze criminele praktijken in stand houden door te betalen.

Tjah wij mensen geven nu eenmaal weinig om wat er met het geld wordt gedaan. Pas als terroristen aanslagen (zoals zaventem) gaan claimen met spreuken als "mede mogelijk gemaakt door eenieder die betaalde voor zijn cryptolocker" zullen mensen gaan nadenken over of ze betalen of niet. Tot die tijd is het: IK wil mijn spullen terug dus IK doe wat IK wil. En heus waar, ik zal het niet nog een keer doen. Of toch wel, dat maak ik lekker zelf uit.

Remy!!!! schreef op maandag 11 april 2016 @ 14:48:
Laatst nog wel een mooie meegemaakt, een goeie vriend van mij heeft een eigen bedrijf met software dat helemaal op maat is gebouwd voor dat bedrijf.
Door een fout van de secretaresse (waarschijnlijk) kregen ze een cryptolocker binnen via de pc die op de balie staat, en diverse netwerkdrives werden ook aangeraakt.
Deze cryptolocker was echter zo dom om alleen bestanden te encrypten zoals .doc .xls .jpg e.d..
Bijna hun hele systeem gebruikt totaal andere bestandstypes, dus alleen een paar flyers/reclame posters die in Word waren gemaakt die werden geencrypt.
Was een kwestie van alle pc's opnieuw installeren, softwarepakket er weer opzetten en toen was er niets meer aan de hand.

Ik neem aan dat de cryptolockers tegenwoordig hier wel slimmer in zijn? Anders is het gewoon een kwestie om al je belangrijke .doc .jpg bestanden te hernoemen naar .ditiseenfotobestand en .ditiseentekstbestand

Dat gedrag van die cryptolockers is niet dom, het is juist slim. Je kunt namelijk niet alle files encrypten zonder dat de gebruiker daar wat van merkt. Als cryptolockers dat zouden doen dan merk je dat waarschijnlijk vrij vroeg op aan het CPU-gebruik en kun je het waarschijnlijk nog stoppen voordat al je data encrypted is. Honderden gigabytes aan data encrypten duurt namelijk wel even.

In plaats daarvan encrypten dit soort virussen dus alleen dat soort bestanden die jij al opnoemde. Waarom? Nou, die bestanden zijn vaak direct belangrijk voor de gebruiker en bijna altijd relatief klein (slechts enkele MB of nog kleiner), waardoor ze een relatief klein gedeelte van de totale data innemen.

EDIT: Spuit 11...

Dus naast een goede virusscanner + backup is het handig om je belangrijke bestanden te hernoemen. Er zijn vast wel tooltjes voor waarmee je dat makkelijk kan doen, en met een paar klikken koppel je de nieuwe extensies weer aan Word e.d.. Waarom zie ik dan dit soort tips dan zo snel niet op internet, of denk ik nu te makkelijk?

Als ik zelf getroffen wordt door zo'n crypto malware en ik heb geen backup (onwaarschijnlijk) beschouw ik mijn data als verloren.
Ik heb er bijzonder weinig behoefte aan dat business model in stand te houden en ook gewoon uit dom plat principe dat ik mij niet willens en wetens laat lichten door een zooitje digicriminelen.

Bij een ander zou ik hetzelfde adviseren, maar daar heb je uiteindelijk geen regie over. Ik wil verder niemand in de weg zitten dus ik zou (onder luid protest) ook nog uitleggen hoe bitcoin werkt om er aan te eis kunnen voldoen maar er zou wel een stukje van mezelf doodgaan.
Ik heb een behoorlijk intense haat tegen de mensen, wie dat ook zijn, die dergelijk smerige software in elkaar fietsen. Ik gun niet snel iemand een klaplong, maar ik maak voor dergelijke lieden graag een uitzondering.

Remy!!!! schreef op maandag 11 april 2016 @ 18:50:
Dus naast een goede virusscanner + backup is het handig om je belangrijke bestanden te hernoemen. Er zijn vast wel tooltjes voor waarmee je dat makkelijk kan doen, en met een paar klikken koppel je de nieuwe extensies weer aan Word e.d.. Waarom zie ik dan dit soort tips dan zo snel niet op internet, of denk ik nu te makkelijk?

Als je een kloppende backup strategie hebt waarom zou je dan nog zo'n draak van een oplossing voeren?

[ Voor 58% gewijzigd door Verwijderd op 11-04-2016 18:59 ]

belangrijke data die echt onvervangbaar is.. staat op 3 plekken in de cloud inmiddels.. syncen doen ze nooit tegelijk.. altijd met 3 dagen er tussen.. vandaag naar cloud 1 over 3 dagen naar 2 en over 6 dagen dus naar cloud 3.. en dan weer naar 1.. mocht er iets gebeuren acceptabel verlies..
en een grote kans dat de data nog wel te recoveren is vanaf een andere bron..

vervangbare data? gewoon backup op een ext HDD naast een kopie op de NAS

Ik wil niemand ergeren, en als het te laat is wat je dan nog moet doen....
Maar dat is denk ik ook het probleem bij Ransomware, het is echt het type virus wat je nu voor moet zijn.
Ik las ook al dat je NAS ook niet altijd veilig is, ik snap dat ik soms op een manier schrijf waar ik niet altijd mee op 1 lijn zit, en dat is echt niet mijn intentie
Vandaag las ik dit op teletekst, zie onderstaande TT pagina.
waar ik me altijd op focuste op mijn systemen was zo veel mogelijk naar de bron gaan.
Is ook makkelijk gezegd, want ik weet hoe moeilijk het kan zijn.
Achteraf kan je alleen maar balen, als je dat overkomt, op dit moment.
Om je software zelf terug te willen halen zou je je eigen data moeten gaan kraken van een encryptie op hoog niveau, daar moeten we ons denk ik wel van bewust zijn.
De computers waar de servers op draaien waarvan de websites gehost worden.
Dat is dan het portaal waar het vandaan kwam als jij er mee besmet wordt.
Daar heb je verder geen sturing over.
Het is best beangstigend dat deze mensen zo ver gaan om zo veel geld te verdienen.
Als het vanuit een arm deel van de wereld zou worden uitgevoerd waarin men denkt dat die rijke westerlingen dat verdient hebben vanuit een andere positie, en ik wil hiermee echt niemand kwetsen, maar dan zien we in deze tijd toch dat het een probleem van de mensen is.
En als jou dat probleem treft, het ineens jouw probleem is, ik had pas gelezen dat er bedrijven door failliet zijn gegaan, die niet wilde betalen, dus dan is het economisch gezien dat je nog veel meer betaald.
Daar wil ik niemand mee kwetsen, maar ik probeer het in de goede context te zetten, omdat het ook wel maatschappelijke gevolgen heeft. Wanneer de motieven van diegene die er achter zitten gerechtvaardigd worden door gedachtegangen in hun eigen denkwijzen, is dat de bron en de wortels waarom je bent getroffen, dat het wanneer je online gaat dus eigenlijk al voor je voordeur staat, en je hoeft alleen nog maar online te gaan en te surfen naar websites waarvan je dacht dat het veilig was.
Dus dan heb je met mensen te maken ook, en waar ligt dan de drempel in wat je niet kan zien. Ik snap dat de wereld niet simpel in elkaar zit, en zo ook dit probleem niet. Hier een vraag stellen wat te doen als je bestanden gelocked zijn door ransomware, = gelijk aan vragen hoe een encryptie te kraken op dat hoge niveau.

Remy!!!! schreef op maandag 11 april 2016 @ 18:50:
Dus naast een goede virusscanner + backup is het handig om je belangrijke bestanden te hernoemen. Er zijn vast wel tooltjes voor waarmee je dat makkelijk kan doen, en met een paar klikken koppel je de nieuwe extensies weer aan Word e.d.. Waarom zie ik dan dit soort tips dan zo snel niet op internet, of denk ik nu te makkelijk?

Dat lijkt me een wat draconische maatregel. Als je bewust genoeg bent van het risico om dat te doen dan lijkt het me dat je ook wel gewoon kunt uitkijken dat je geen shady attachements uitvoert en zorgen dat je backups hebt...

SMSfreakie schreef op maandag 11 april 2016 @ 19:22:
belangrijke data die echt onvervangbaar is.. staat op 3 plekken in de cloud inmiddels.. syncen doen ze nooit tegelijk.. altijd met 3 dagen er tussen.. vandaag naar cloud 1 over 3 dagen naar 2 en over 6 dagen dus naar cloud 3.. en dan weer naar 1.. mocht er iets gebeuren acceptabel verlies..
en een grote kans dat de data nog wel te recoveren is vanaf een andere bron..

vervangbare data? gewoon backup op een ext HDD naast een kopie op de NAS

Ik hoop dat je dit dan ook wijzigt als je een weekje of langer op vakantie gaat

Edgarz schreef op maandag 11 april 2016 @ 20:00:
[...]

Ik hoop dat je dit dan ook wijzigt als je een weekje of langer op vakantie gaat

Dan valt er weinig te syncen ( wordt geen data geproduceerd ) en verder staat ze dan inderdaad "uit"

Remy!!!! schreef op maandag 11 april 2016 @ 14:48:

Ik neem aan dat de cryptolockers tegenwoordig hier wel slimmer in zijn? Anders is het gewoon een kwestie om al je belangrijke .doc .jpg bestanden te hernoemen naar .ditiseenfotobestand en .ditiseentekstbestand

Het duurt denk ik even om alle mogelijke bestandsformaten om te moeten gaan zetten. Ik denk dat ze snel voor jpg / .doc kiezen omdat dat de meest voorkomende documenten op een PC zijn.

Als zo'n cryptolocker een uur bezig is en je nog niet de resetknop of power-off gedrukt hebt dan vraag je er wel om ja.

Verwijderd schreef op maandag 11 april 2016 @ 20:15:
[...]


Het duurt denk ik even om alle mogelijke bestandsformaten om te moeten gaan zetten. Ik denk dat ze snel voor jpg / .doc kiezen omdat dat de meest voorkomende documenten op een PC zijn.

Als zo'n cryptolocker een uur bezig is en je nog niet de resetknop of power-off gedrukt hebt dan vraag je er wel om ja.

verhul dat achter het "update" scherm van je OS smaakje..

verander de hoeveelheid updates naar een stuk of 100.. en laat hem op willekeurige tijd verspringen naar de volgende.. dan valt t echt niet zo snel op als dat ding ineens +2u bezig is met stiekum al je files te encrypten.. en als je het helemaal "netjes" wil doen zou je het grapje kunnen voortzetten bij de eerst volgende boot.. gezien er dan vaak nog een Fase 2 / 3 van updates zijn.. en ook dan heb je weer enige tijd vrij spel voor een gebruiker uberhaubt iets door heeft..

moet je wel de screens goed namaken en in de taal van het OS zelf kunnen laten zien

Je kan wel in Windows home en hoger de machtigingen van mappen veranderen zodat er geen schrijfrechten zijn voor de bestanden zolang ze in de door jou gemachtigde map staan.
Eigenschappen > Tabblad Beveiliging > geavanceerd in Windows, je kan daarmee mappen en bestanden aanmaken waarin je data dus veiliger is door je account en andere accounts.
Je ziet je eigen account terug onder de principals.
Wanneer je een map aan maakt, heeft de map te maken met onderliggende en bovenliggende objecten in de welbekende boomstructuur.
Daarmee kan je op mappen en bestandsniveau je eigen beveiliging in Windows regelen, en voorkomen ook dat wanneer dit gebeurd je erg veel data kwijt bent.
Vergeet niet dat je JPG bestanden en je DOC bestanden makkelijker doelwit zijn dan je systeem bestanden omdat die anders ingesteld zijn in deze laag van de beveiliging.
Want dat is wat mappen en bestanden beveiliging op NTFS niveau dan, met die encryptie, mogelijk vanaf Windows 2000. Nu dus nog steeds, in 2016 in Windows 10, en ik raad mensen aan die instellingen te gebruiken die in Windows werken.
Bekijk rogueamp die laat zien hoe Ransomware zich gedraagd.
Dus er wordt wat afgehost, op de servers waar de advertenties op staan, dat zijn dan de computers waar het vandaan komt, waar je mee in contact komt dus nu blijkt via websites op dat niveau.

Removal+by+Britec

[ Voor 18% gewijzigd door Verwijderd op 11-04-2016 22:21 ]

Verwijderd schreef op maandag 11 april 2016 @ 19:42:
**knip**

man man, offtopic, maar vooral onleesbaar..

Ben je een Linux gebruiker Vermeulen?
128-bit versleuteling kraken?
als de titel is:
Strategisch: Cryptolocker, stel het is te laat...
ja dan ben je ook te laat.
je zal het wel moeten voorkomen, of die 128-bits versleuteling kraken die waarschijnlijk gebruikt werd.
En het tast de MBR aan, MBRFIX

[ Voor 93% gewijzigd door Verwijderd op 11-04-2016 23:08 ]

Verwijderd schreef op maandag 11 april 2016 @ 21:06:
Je kan wel in Windows home en hoger de machtigingen van mappen veranderen zodat er geen schrijfrechten zijn voor de bestanden zolang ze in de door jou gemachtigde map staan.
Eigenschappen > Tabblad Beveiliging > geavanceerd in Windows, je kan daarmee mappen en bestanden aanmaken waarin je data dus veiliger is door je account en andere accounts.
Je ziet je eigen account terug onder de principals.
Wanneer je een map aan maakt, heeft de map te maken met onderliggende en bovenliggende objecten in de welbekende boomstructuur.
Daarmee kan je op mappen en bestandsniveau je eigen beveiliging in Windows regelen, en voorkomen ook dat wanneer dit gebeurd je erg veel data kwijt bent.
Vergeet niet dat je JPG bestanden en je DOC bestanden makkelijker doelwit zijn dan je systeem bestanden omdat die anders ingesteld zijn in deze laag van de beveiliging.
Want dat is wat mappen en bestanden beveiliging op NTFS niveau dan, met die encryptie, mogelijk vanaf Windows 2000. Nu dus nog steeds, in 2016 in Windows 10, en ik raad mensen aan die instellingen te gebruiken die in Windows werken.

Onzin. Ransomware draait onder hetzelfde account als waarmee jij die permissies instelt. Als jij erbij kunt, kan de ransomware dat ook.

Verwijderd schreef op maandag 11 april 2016 @ 22:38:
Ben je een Linux gebruiker Vermeulen?
128-bit versleuteling kraken?
als de titel is:
Strategisch: Cryptolocker, stel het is te laat...
ja dan ben je ook te laat.
je zal het wel moeten voorkomen, of die 128-bits versleuteling kraken die waarschijnlijk gebruikt werd.
En het tast de MBR aan, MBRFIX

128bit? Wat dacht je van 4096 bit AES encryptie. Met alle computing power in de wereld kom je daar niet snel omheen. Lees je eens in hoe een cryptolocker werkt voordat je onzin begint neer te pennen.

Verwijderd schreef op maandag 11 april 2016 @ 23:27:
Daarom had ik ook verteld over tabblad beveiliging in een eerder bericht.

Er zijn betere manieren om je te beschermen. En backups om het terug te draaien.

JA zekers, dat was ook al genoemd, back-ups zijn zeer zeker erg belangrijk, maar je wil ook niet elke keer zulke troep in je systeem he, die virussen zijn ook nasty voor je systeem hoor.
Want als je kan voorkomen in je systeem zelf door de rechten toe te passen op de mappen waar jij je bestanden bewaard, de schade daarmee beperkt kan worden.
Je bestanden terug zien te krijgen is dan 1 punt, en je systeem in de soep is punt 2
Voorkomen dat je die exe van ransomware in je systeem kreeg, nu volgens de NOS via advertenties op grote websites, dan moet je je wel beseffen dat je elke dag met je apparaten op zulke site komt, en een verkeerde klik je systeem kan vervuilen.
Dus je zit met 2 verschillende problemen ook met deze software, want stel je stalt je data veilig via gebruikersrechten, kan jij als eigenaar dan bepalen.
Ik heb stations waar ik niet via alle systemen in kan, en eigenlijk alle data die bewaard moeten worden via een ander systeem in een multiboot benaderd kunnen worden.
Stel ik zou nu gehacked worden en mijn bestanden staan in mappen die geen schrijfrechten hebben, zal er ook niks worden gelocked.
Wanneer jij als gebruiker constant volledig beheer hebt over al je bestanden in een database, dan kan je de type bestanden die je alleen leest gaan onderscheiden van de bestanden die je bewerken wil.

[ Voor 3% gewijzigd door Verwijderd op 11-04-2016 23:37 ]

redfoxert schreef op maandag 11 april 2016 @ 23:24:
[...]


128bit? Wat dacht je van 4096 bit AES encryptie. Met alle computing power in de wereld kom je daar niet snel omheen. Lees je eens in hoe een cryptolocker werkt voordat je onzin begint neer te pennen.

4096-bit AES? Volgens mij haal je nu RSA (asymmetrische encryptie) en AES (symmetrisch encryptie) door elkaar. Voor RSA heb je veel grotere keys nodig dan voor AES. Voor RSA is momenteel 2048-bit gebruikelijk en 4096-bit wordt gezien als zeer sterk (misschien zelf nog wat overkill).

4096-bit AES wordt nergens in de praktijk gebruikt. Ik vraag me af of er überhaupt implementaties van zijn. Meestal houdt het bij AES-256 wel op... Sterker nog, het bestaat helemaal niet. AES ondersteunt alleen key sizes van 128-bit, 192-bit en 256-bit.

[ Voor 18% gewijzigd door Compizfox op 11-04-2016 23:44 ]

redfoxert schreef op maandag 11 april 2016 @ 23:45:
[...]


Drive by infections door root kits verstopt in besmette banners is al heel lang gaande. Advertentie netwerken zijn continu doelwit van hackers. Dit is zeker niks nieuws en je bent vaak alleen at risk als je:

1. browser plugins gebruikt zoals java, flash, air etc etc
2. die browser plugins niet update\
3. geen adblocks gebruikt

Dan blijft er nog dat deel over dat 0day exploits gebruikt maar dat risico is vrij klein.

dat van die rechten heb je deels een punt. De corporate omgevingen die ik beheer hebben ook rechtenstructuren en niet iedereen kan overal bij, gelukkig.

Dan nog moet het voor een simpele ziel wel bruikbaar blijven en als ik door 100 brandende hoepels moet om mijn eigen data te kunnen benaderen dan regel ik wel andere beveiliging.

En dan nog, alles waar je zelf bij kunt komen, kan een virus of cryptolocker ook bij. Het draait immers onder dezelfde user context. Als je alle rechten hebt maakt het geen klap uit of je iets beveiligd denkt te hebben.

Ja, het deel waar het geen klap uitmaakt heeft niet meer met het beheren te maken van waar wij het hierover hebben nu.
Dat is het deel van de hostende websites waar in the first place het je systeem binnen kan komen als je niet goed genoeg beveiligd bent.
Ik heb mezelf wel goed beveiligd met kaspersky, en als ik wil kan ik ook wat tegen komen, ook heb ik een usb stick die zichzelf na 1 dag automatisch op read zet bals er geen schrijfactiviteiten zijn en er niet meer heen geschreven kan worde, wel gelezen, ik kan dat dan zelf weer ongedaan maken.
En omdat een encrypte op bestandsniveau toch een code moet toevoegen aan het bestand die het wil besmetten, is dat dan wel wat je zelf hebt.
Er zijn vele manieren om je data te beveiligen inderdaad, en rechten voor jezelf nemen is je goed recht.
In Windows is dat gewoon wat meer werk, want je zal dan ook geregeld in tabblad beveiliging je zaakjes moeten regelen.
Zo kan jij niet in een standaard geinstalleerd Windows bij je cookies.
Dat komt omdat windows standaard op die systeemmappen op gebruikersniveau de principal Iedereen op Weigeren heeft in gesteld.
En moet je voorstellen, dat jij op die manier de map als een deur open en dicht kan doen, op slot dus, voor iedereen. En dat kan jij als Eigenaar van de map dan in en uitschakelen wanneer jij wil.
Dat is wel iets meer werk.
Dan moet die ransomware ook door die laag van beveiliging heen, als die ransomware je accountbeheer heeft overgenomen, en loopt ransomware zelf tegen encryptie aan.
Dan loopt de ransomware in principe tegen de encryptie van de service Encrypting File System (EFS) aan.
Snap je? Dat is waar je zelf in Windows over beschikt, de ransomware op de servers waar de reclamebanners worden gehost is dan de plek waar je het zoeken moet.
En dat..... hebben wij niet in de hand.

Trommelrem schreef op maandag 11 april 2016 @ 00:20:
Betaal hoe dan ook niet, want de sleutel krijg je waarschijnlijk niet. Althans, dat is met de cryptolockers in mijn lab het geval. Ze bieden aan om één bestand gratis te decrypten (en daarna US$ 500 per bestand), maar de gratis decrypt faalt altijd omdat men vermoedelijk de sleutel telkens kwijt is.

De cryptolockers weke ik gezien heb, vragen niet om een X bedrag per bestand maar om X bitcoin voor alle bestanden... Heb helaas meerdere mensen uit mogen leggen hoe ze aan bitcoins kunnen komen om te betalen.., en ik kan je zeggen dat als je betaald gewoon alles netjes word geencrypt... (zover ik het heb meegemaakt)

Wat die cryptologgers in the firstplace doen is een code naar je bestanden schrijven, dus.

da_PSI schreef op dinsdag 12 april 2016 @ 00:00:
De cryptolockers weke ik gezien heb, vragen niet om een X bedrag per bestand maar om X bitcoin voor alle bestanden... Heb helaas meerdere mensen uit mogen leggen hoe ze aan bitcoins kunnen komen om te betalen.., en ik kan je zeggen dat als je betaald gewoon alles netjes word geencrypt... (zover ik het heb meegemaakt)

Toch zuur om te bedenken dat met die Bitcoins nog betere ransomware wordt gefinancieerd

Verwijderd schreef op dinsdag 12 april 2016 @ 00:03:
[...]

Toch zuur om te bedenken dat met die Bitcoins nog betere ransomware wordt gefinancieerd

Inderdaad heel zuur.

Ik maak me opzich niet zo heel veel zorgen. Ja, ik heb veel bestanden waar ik écht niet zonder kan (werk-related). Echter zijn die van RAW of TIFF formaat (m'n fotografie) of indesign bestanden, vector bestanden etc. Ik heb werkelijk bijna niks in tekst,doc en andere gangbare formaten staan. En wat ik daar wel van heb, heb ik gewoon online in google docs gegooid.

Verder na meer dan 20+ jaar computernerdervaring heb ik nu wel door hoe je besmettingen voorkomt. Laatste keer was een gmail mailcheckertooltje (notabene van een bedrijfje met goei ratings) die spyware installeerde waar ik toen echt 2 dagen mee bezig was om die de nek om te draaien. Was niet opgepikt door de virusscanner Zo iets hou je niet tegen, maargoed, hopelijk is mijn liefde voor obscure bestandsformaten voldoende

majic schreef op dinsdag 12 april 2016 @ 00:15:
Ik maak me opzich niet zo heel veel zorgen. Ja, ik heb veel bestanden waar ik écht niet zonder kan (werk-related). Echter zijn die van RAW of TIFF formaat (m'n fotografie) of indesign bestanden, vector bestanden etc. Ik heb werkelijk bijna niks in tekst,doc en andere gangbare formaten staan. [...] hopelijk is mijn liefde voor obscure bestandsformaten voldoende

Het lijkt me, eerlijk gezegd, nogal een riskante gok

[ Voor 14% gewijzigd door Verwijderd op 12-04-2016 00:17 ]

Als ik nadenk zelf over hoe dit in de toekomst te voorkomen, ben ik niet technish genoeg om zelf zoiets te bouwen, maar een bestandssysteem waarbij automatisch op elk bestand wanneer bijvoorbeeld na 5 minuten niet naar toegeschreven is een alleen lezen recht op komt te staan, gestuurd vanuit de beveiliging.
En bij het wegschrijven van welk type data dan ook, eerst een wachtwoord ingevoerd moet worden.
verder hoop je niet dat het in de diepere lagen terrecht komt en het je kernel aantast, wanneer het om rootkits gaat.
Rootkits die gebruikt worden in welke laag?
De TS had het over een rootkit, waarbij je je als je jezelf wil beveiligen daartegen, het ook wel handig is te weten in welke laag dat te vinden is, zoals een rootkit op gebruikersniveau, of een rootkit op kernel niveau.
De aller eerste rootkit was van sony als kopieer beveiliging ontwikkeld, en was eigenlijk het installeren van een kernel naast de kernel van Windows.
En wanneer dat gebeurd heb je een rootkit op kernel niveau, en dan wordt het in die laag een ander verhaal, en je al weer de zware noodzaak inziet dat niet in je systeem te krijgen.
Een Rootkit op kernel niveau zal drivers in je map driver plaatsen zonder enig probleem, omdat de beveiliging van Windows opgebouwd is vanuit de kernel van Windows.
Ook zal jij die rootkit niet zien wanneer je windows hebt gestart op je schijf, omdat die niet is opgenomen in je bestandsysteem, de drivers communiceren met de kernel van Windows in de systeemmap drivers, en in die map onbekende bestanden met de extensie .sys zouden een indicatie kunnen zijn van een rootkit.
En die neemt dan gewoon je systeem over.
Ook zullen er dll bestanden bijkomen, die je dan offline zou moeten vinden.
De rootkit zal zich op de niveau verborgen houden, en je zou het verschil misschien kunnen merken ook door te kijken naar de grootte van de data op een station, en vervolgens kijken hoeveel data er gebruikt word in de eigenschappen van alle mappen en bestanden op dat zelfde station, in de mapopties kan je alle bestanden zichtbaar maken in tabblad Weergave.
Conficker nestelde zich ook als rootkit rond 2004.
die besmette veel computers in een botnet, om via die computers verder hun activieteiten uit te breiden, echt wat de bedoeling van de makers ooit was geweest, is nooit echt duidelijk geworden.
Een Rootkit op gebruikers niveau, zal je ook in de map drivers in de vorm van een *. sys bestand herkennen, mocht je ooit een systeem hebben waar je met een extern systeem de data kan bekijken.
Dus dat over rootkits, en set off tools die met je hardware aan de haal gaan.

majic schreef op dinsdag 12 april 2016 @ 00:15:
Ik maak me opzich niet zo heel veel zorgen. Ja, ik heb veel bestanden waar ik écht niet zonder kan (werk-related). Echter zijn die van RAW of TIFF formaat (m'n fotografie) of indesign bestanden, vector bestanden etc. Ik heb werkelijk bijna niks in tekst,doc en andere gangbare formaten staan. En wat ik daar wel van heb, heb ik gewoon online in google docs gegooid.

Het zal wel verschillen per cryptolocker.
Maar ik weet dat er iig 1 is die ook 3d max, en default C++ bestanden vernaggelt. Bedrijf van een maat van mij is daar door geraakt, en die waren een halve dag productie kwijt.

Verwijderd schreef op dinsdag 12 april 2016 @ 00:31:
<enorm verhaal>

, maar een bestandssysteem waarbij automatisch op elk bestand wanneer bijvoorbeeld na 5 minuten niet naar toegeschreven is een alleen lezen recht op komt te staan, gestuurd vanuit de beveiliging.

Je snapt hopelijk dat je dan om de 2 minuten een paswoord aan het ingeven bent ?
Dat soort draconische beveiligingen werken voor een uur, en dan
slopen de meer geavanceerde gebruikers alles eruit. (zie de eerste versie van UAC)
en de rest Vullen klakkeloos overal hun paswoord in zonder te kijken.

[ Voor 31% gewijzigd door heuveltje op 12-04-2016 08:56 ]

Verwijderd schreef op dinsdag 12 april 2016 @ 00:17:
[...]

Het lijkt me, eerlijk gezegd, nogal een riskante gok

Ik zeg niet dat ik voor de rest geen voorzorgmaatregelen neem hé! Echter lijkt het me dat ik niet een favoriete doelgroep ben - al mijn bestanden zijn enorm groot. Verder heb ik nog een beveiliging : Mijn laptop gaat bij de minste CPU belasting al veel herrie maken ... En ik controleer dan altijd meteen gepikeerd task manager en kijk wel kreng er nou weer 20+% cpu aan het snoepen is...

majic schreef op dinsdag 12 april 2016 @ 09:40:
[...]


Ik zeg niet dat ik voor de rest geen voorzorgmaatregelen neem hé! Echter lijkt het me dat ik niet een favoriete doelgroep ben - al mijn bestanden zijn enorm groot. Verder heb ik nog een beveiliging : Mijn laptop gaat bij de minste CPU belasting al veel herrie maken ... En ik controleer dan altijd meteen gepikeerd task manager en kijk wel kreng er nou weer 20+% cpu aan het snoepen is...

Dat is inderdaad goed van je om je bronnen in de gaten te houden. Dat doe ik ook altijd.
In Windows 7 zit ook een bureaublad gadget die processor en ram weergeven met metertjes.
Volgens mij in Windows 10 niet meer.

Er komt een heleboel voorbij hier.

Ik ben het gaan lezen omdat ik op zoek ben naar een simpele methode om iemand die niet zoveel met computers heeft, maar er net als iedereen wel gewoon gebruik van maakt en er van afhankelijk is, tegen dit soort grappen te beschermen. Oplossingen als het branden van DVDs, en synchronisatie naar allerei cloud dingen zijn goed, maar vergen discipline en enig begrip.

Hoe klinkt het volgende idee; stop alles (wat belanrijk is, foto's enzo dus) in Git (of ander versie beheer) en doe automatische commits met een scriptje naar een externe repo. In dat geval kan het crypto virus lekker zijn gang gaan, je kunt altijd terug naar de nog leesbare versie.

Dit werkt natuurlijk niet als je bestanden hebt die gewijzigd zijn terwijl ze op de achtergrond al versleuteld worden, maar met de vakantie kiekjes en de laatste foto's van oma ben je veilig (plus je kan een leuk alarm laten afgaan als er ineens veel veranderd is). Voordeel is dat degene voor wie het bedoeld is niks bijzonders hoeft te doen en nergens aan hoeft te denken, want voor de gemiddelde thuis gebruiker zijn al die draconische backup oplossingen niet te doen.

Beun de Haas schreef op dinsdag 12 april 2016 @ 20:06:
Voordeel is dat degene voor wie het bedoeld is niks bijzonders hoeft te doen en nergens aan hoeft te denken, want voor de gemiddelde thuis gebruiker zijn al die draconische backup oplossingen niet te doen.

Backups kan je ook automatisch laten verlopen. Een fatsoenlijk backup ding naar een cloud kan ook file versioning voorzien. Crashplan bijvoorbeeld maar zo zijn er nog genoeg andere tools (ik gebruik Crashplan dus vandaar de vermelding).

Als je 1 folder hebt waar je backups van maakt en je zorgt dat daar alles in staat, dan zorg je dat de backups automatisch gaan en hoef je de gebruiker maar te instrueren om ALLES in die folder te dumpen.

Klaar, opgelost, elke noob kan een backup maken. Het gaat immers automatisch.

En inderdaad, al het handwerk levert ellende op, daarom: AUTOMATISEREN. Alleen dan kan je de uitkomst voorspellen.

Je zou zeggen, je kan niet genoeg maatregelen nemen bij dit probleem.
Als een bedrijf qua inkomsten afhankelijk is van netwerken van computers, dan kan je misschien een scheidingslijn inbrengen als netwerkbeheerder van het zakelijke en het prive gebruik.
Wanneer in een bedrijf op internet gesurft wordt door 1 van de computers in het netwerk en daardoor Ransomware grip kan krijgen op je hele hebben en houden, is het van belang om te weten dat het surfen nergens meer veilig is.
Ik kan me zo voorstellen dat je naast een computer waar je mee werkt en toegang hebt tot bedrijfsbestanden, die systemen uit moet sluiten om mee te surfen, met die systemen puur en alleen dat wat zakelijk is, scheiden van systemen voor publiek en privé gebruik, dat kan goed mogelijk zijn toch?
Je kan dan surfen op systemen die je wel toegang geeft tot internet maar niet tot het bedrijf.
Dus alle gebruikers van computers in dat netwerk zouden eigenlijk die regels strikt moeten hanteren.
En dan het beleid om verwisselbare datadragers veilig te houden.
.

Verwijderd schreef op woensdag 13 april 2016 @ 13:20:
Je zou zeggen, je kan niet genoeg maatregelen nemen bij dit probleem.
Als een bedrijf qua inkomsten afhankelijk is van netwerken van computers, dan kan je misschien een scheidingslijn inbrengen als netwerkbeheerder van het zakelijke en het prive gebruik.
Wanneer in een bedrijf op internet gesurft wordt door 1 van de computers in het netwerk en daardoor Ransomware grip kan krijgen op je hele hebben en houden, is het van belang om te weten dat het surfen nergens meer veilig is.
Ik kan me zo voorstellen dat je naast een computer waar je mee werkt en toegang hebt tot bedrijfsbestanden, die systemen uit moet sluiten om mee te surfen, met die systemen puur en alleen dat wat zakelijk is, scheiden van systemen voor publiek en privé gebruik, dat kan goed mogelijk zijn toch?
Je kan dan surfen op systemen die je wel toegang geeft tot internet maar niet tot het bedrijf.
Dus alle gebruikers van computers in dat netwerk zouden eigenlijk die regels strikt moeten hanteren.
En dan het beleid om verwisselbare datadragers veilig te houden.
.

Vergeet het maar. Niet alleen heb je dan 2 infrastructuren nodig (iedereen 2 computers), met een boel extra kosten, maar het simpele onderscheid tussen zakelijk en privé bestaat in de praktijk helemaal niet. Veel internetgebruik is tegenwoordig zakelijk en op welke computer doe je dat dan? En hoe krijg je informatie uit je mailbox of vanaf een website op je "zakelijke" computer?

Daarnaast bestaan er alleen in een ideale wereld gebruikers die regels strikt hanteren. Je kunt verbieden wat je wilt, maar gebruikers maken hun eigen inschattingen, en overtreden regels omdat ze menen dat ze anders hun werk niet kunnen doen, of omdat ze de regeltjes maar overdreven vinden en de systeembeheerder een zeur.
Zelfs beheerders doen dat. Het trieste verhaal van DigiNotar, waar ze wel gescheiden systemen en goede regels kenden, maar waar ze vervolgens alle systemen gewoon aan elkaar koppelden omdat dat handiger was, laat zien waarom er geen simpele oplossingen zijn.

xFeverr schreef op zondag 10 april 2016 @ 22:50:
Dit topic is vooral bedoeld om van verschillende mensen te horen wat zij zouden doen als je getroffen wordt door een Cryptolocker. Of iemand proberen te helpen die getroffen is.

Dat verschilt van persoon tot persoon.
De vraag die iedereen in zo'n situatie moet stellen: "is mijn data meer waard dan de kosten om het terug te krijgen"

Gaat een bedrijf ten onder kan gaan als er niet word betaald, dan is de keuze snel gemaakt.
Gaat het om een gaming pc die verder helemaal niks op heeft staan, dan is de keuze ook snel gemaakt.
Alles wat tussen de bovenste 2 extremen valt, vergt wat denkwerk van de gedupeerde voordat er een keuze gemaakt kan worden

Inderdaad verschilt het per persoon, ik werk zelf in een multiboot systeem en kan stations van systemen scheiden via machtigingen, waarbij alles in verschillende systemen op 1 computer blijft werken.
Dat zal in een netwerk meer werk zijn, dat geef ik toe.

Beun de Haas schreef op dinsdag 12 april 2016 @ 20:06:
Er komt een heleboel voorbij hier.

Ik ben het gaan lezen omdat ik op zoek ben naar een simpele methode om iemand die niet zoveel met computers heeft, maar er net als iedereen wel gewoon gebruik van maakt en er van afhankelijk is, tegen dit soort grappen te beschermen. Oplossingen als het branden van DVDs, en synchronisatie naar allerei cloud dingen zijn goed, maar vergen discipline en enig begrip.

Hoe klinkt het volgende idee; stop alles (wat belanrijk is, foto's enzo dus) in Git (of ander versie beheer) en doe automatische commits met een scriptje naar een externe repo. In dat geval kan het crypto virus lekker zijn gang gaan, je kunt altijd terug naar de nog leesbare versie.

Dit werkt natuurlijk niet als je bestanden hebt die gewijzigd zijn terwijl ze op de achtergrond al versleuteld worden, maar met de vakantie kiekjes en de laatste foto's van oma ben je veilig (plus je kan een leuk alarm laten afgaan als er ineens veel veranderd is). Voordeel is dat degene voor wie het bedoeld is niks bijzonders hoeft te doen en nergens aan hoeft te denken, want voor de gemiddelde thuis gebruiker zijn al die draconische backup oplossingen niet te doen.

Git kan enorm slecht met binaire bestanden om. Dus alles text-based kan perfect, maar van zodra je met veel non-plaintext bestanden (inclusief office-bestanden: word, excel, ...) aan de slag gaat, wordt je repo enorm traag en inefficiënt.

Verwijderd schreef op zaterdag 16 april 2016 @ 02:14:
Inderdaad verschilt het per persoon, ik werk zelf in een multiboot systeem en kan stations van systemen scheiden via machtigingen, waarbij alles in verschillende systemen op 1 computer blijft werken.
Dat zal in een netwerk meer werk zijn, dat geef ik toe.

Toch ben je dan nog steeds de sjaak als je een cryptolocker als Petya tegenkomt die gewoon je hele schijf pakt op het laagste niveau.

Radiant schreef op zaterdag 16 april 2016 @ 08:33:
[...]

Toch ben je dan nog steeds de sjaak als je een cryptolocker als Petya tegenkomt die gewoon je hele schijf pakt op het laagste niveau.

Ik ben het helemaal met je eens dat je dan de Sjaak bent.
dit virus, ook wanneer verwijderd, laat je sowieso achter met bestanden die gecodeerd zijn, ook al zo je het systeem helemaal ontdoen van de ransomware malware.
Daarom zien we ook de vraag naar tools om die encryptie weer ongedaan te maken.
In dat geval is het weer een strijd tussen die 2 tools, en wie de encryptie weer zo veranderd, zodat je weer andere tools nodig hebt om het te kunnen kraken.
Wel met het feit dat je je eigen bestanden terug moet zien te kraken.
Dan blijft voorkomen dat die software in je systeem terecht komt de beste, dus de manier van verspreiden is dan belangrijk om te weten, en dat is niet altijd makkelijk, zeker niet wanneer we lazen dat deze onder reclamebanners van grote websites verborgen zaten.
Dat betekend dan weer dat de content van die banners op servers gehost worden waar de ransomware software aanwezig is, of verder linkt naar andere servers.
Dus op welke computer van een server waar de bron staat met de installatie bestanden van die malware....
Dat weten we, dat we daar als gebruiker geen zicht op hebben, dat ligt bij diegene die websites hosten.
De beheerders van die grote websites hebben die content van reclame uit handen gegeven?
Via die weg zou het wel zo moeten blijven dat je die software pas treft als je minder frisse dingen doet in plaats van naar grote nieuws sites surft.