Ransomware mails

Hallo iedereen!

Ik denk dat iedereen van ons er wel mee in contact komt, met mails waar een link in staat naar ransomware. Ze worden steeds vindingrijker erin en zo is het op mijn werk al tot een paar infecties gekomen (ook al geven we genoeg informatie door, maar ja) en zo zijn we beginnen werken aan een aantal maatregelen tegen ransomware.

Een daarvan is dat we op onze Exchange door middel van een mail rule ransomware mails proberen te blokkeren zodra we op de hoogte zijn van een nieuwe mail (door heel specifieke inhoud van de mail te detecteren en te blokkeren). Om te kijken wat de inhoud van deze mails zijn was ik al beginnen met zoeken, maar ik vond geen echte bron waar ik de inhoud van de mails zelf makkelijk kan terugvinden.

Mijn vraag is dan ook of we met z'n allen de mails die we tegenkomen hier posten, zodat het makkelijker wordt om een centrale databank zeg maar te hebben met de inhoud van deze mails, zodat deze eenvoudig geblokkeerd kunnen worden.

Het is een beetje dweilen met de kraan open en het lost op zich het probleem niet op, maar het zorgt ervoor dat er een pak van dit soort mails niet terechtkomen bij ons personeel, wat het risico alweer wat beperkt.

Wat denken jullie hiervan?

Kevin

mcDavid schreef op vrijdag 02 september 2016 @ 09:00:
Dacht je echt dat je met handmatig copy-pasten van content die mensen al dan niet vrijwillig op een forumthread posten, effectiever kunt filteren dan je geautomatiseerde spamfilter? Sorry maar think again.

Het probleem is dat ze vaak nog door de spamfilters en toch nog terechtkomen bij gebruikers - op dit moment zijn we op zoek naar andere oplossingen die structureel het probleem aanpakken, maar op dit moment werkt deze oplossing goed - we krijgen per geblokkeerde mail een incident report en we kunnen het nu ook heel goed opvolgen.

Maar ik geef je gelijk dat dit op zich niet goed genoeg is (vandaar ook in openingspost: dweilen met de kraan open), maar we koppelen dit samen met andere zaken.

Verwijderd schreef op vrijdag 02 september 2016 @ 08:51:
Stappen die wij hebben ondernomen:
-Overgestapt naar een anti-virus pakket met een goede ransomware detectie (trend micro)
-Overgestapt naar een beter anti-spamfilter
-AppLocker geintroduceerd in het hele netwerk
-Word macro's volledig uitgeschakeld (op een zeer gering aantal werkplekken na).
-Wekelijks een mail rond sturen met de info over waar ze op moeten letten en wat ransomware precies is en doet.

We lijken het nu onder controle te hebben in ieder geval

Wij zijn enkele jaren geleden van Trend-Micro afgestapt, maar da's inderdaad een piste die we bekijken, net zoals een betere anti-spamfilter.
Word macro's uitschakelen (of Excel macros for that matter) uitschakelen is geen optie, quasi volledig het bedrijf draait op macro's dus die kunnen we echt niet missen.
Er draait al op TV schermen binnen het bedrijf informatie over ransomware (met echte voorbeelden die we ontvangen hebben) en we sturen ook regelmatig mails erover... helaas krijgen we dan te horen: niet gezien/gelezen van de slachtoffers... Maar ja, there's no cure for stupidity.

[ Voor 42% gewijzigd door Kevjoe op 02-09-2016 11:11 ]

Verwijderd schreef op vrijdag 02 september 2016 @ 15:02:
Ik vergeet nog een paar punten die we hebben ingesteld (helaas nadat we al een keer slachtoffer waren geworden).

-We draaien nu shadowcopy elk uur. Zo beperken we dataloss in geval van infectie.
-We zijn nog stricter gaan kijken naar de rechtenstructuren. Een cryptolocker infecteert alles waar hij rechten op hebt.
We hebben dus veel rechten weggenomen bij mensen die toch niets te zoeken hadden in bepaalde mappen.

Bij de laatste infectie hier waren de netwerkshares ook meegenomen, maar wij draaien dagelijkse backups van alle shares.

De laatste nieuwe mail hier is deze:

Geachte heer/mevrouw,

Onlangs heeft telenet geprobeerd het factuurbedrag van 50,28 van uw telenet-diensten te
domicillëren. Helaas is deze domiciliëring geweigerd door de bank met foutmelding:

[ ISO MD01 - Machtiging is nog niet geregistreerd bij de bank van de
debiteur ]

Doordat het bedrag niet van uw rekening kon worden afgeschreven verzoeken wij u te betalen via
Bancontant/Mistercash door middel van de onderstaande stappen. Het openstaande bedrag is momenteel
€50,28 (inclusief kosten).

- Klik hier om uw openstaande saldo te voldoen. (gaat naar een betaalsite)
- Voer bij ''E-mail'' het volgende e-mailadres in: telenetklantenservice@mail.com
- Kies daarna de bank die u wilt gebruiken voor de betaling.

Let op: Het bedrag zal worden verhoogd met buitengerechtelijke domiciliëringskosten ter hoogte van
€90,28 indien het niet voor dinsdag 6 september is voldaan. Wij willen u er ook op attenderen dat bij een
achterstallige betaling uw Teletenet-abonnoment kan worden geblokkeerd.

Bij voorbaat dank voor uw medewerking.
Hoogachtend,

Robin Mertens
Telenet klantenservice

Hier staan een paar kanjers van fouten in, zoals Teletenet (ik vind het een verbetering) en abonnoment.

DJMaze schreef op dinsdag 06 september 2016 @ 15:31:
[...]

Zinloos, ze verzinnen steeds weer wat nieuws.

Om die reden is het binnen mijn bedrijf verplicht om OSX of GNU/Linux te gebruiken.
Als iemand dan een malafide e-mail of website opent is de kans op infectie nihil omdat de target toch Windows OS is.
En als iemand echt Windows OS nodig heeft dan gebeurt dat in een VM sandbox zonder shares.

Nja, er is geen enkele (desktop) die draait op OSX of GNU/Linux hier, enkel VM's en bepaalde servers... dus dat gaat geen oplossing zijn hier.