Spam en ransomware

a) Wat had je zelf al gevonden?
b) wat had je zelf al gevonden?



Genoeg over te vinden qua reviews et. Kijk eens op virustotal bijvoorbeeld. Of zoek naar antivirus comparisson

Ransomware wordt vaak dusdanig verpakt dat het niet direct door een AV wordt opgepikt. In directe zin (ter voorkoming van een besmetting) lopen anti-viruspakketten vrijwel altijd achter de feiten aan. Veel technische maatregelen kun je niet nemen, mede doordat de manier waarop deze aanvallers te werk gaan telkens verandert.

Nu vrij populair is het versturen van een .docm of .xlsm bestand met daarin een macro met geobfusceerde code die in feite een dropper installeert op je machine. Daar zou je specifiek iets aan kunnen doen (bijvoorbeeld via GPO Macro's permanent kunnen uitschakelen) echter kan dat weer problemen opleveren als mensen legitieme macro's gebruiken in hun Office documenten.

Beter zorg je dus voor hogere awareness onder het personeel om de kans te verkleinen dat iemand uit naïviteit zo'n ding aanklikt. Daarnaast zou ik zorgen voor een effectieve recovery strategie om in het geval toch de soep in loopt snel weer door te kunnen.

@Alfa: ja dat bedoelde ik, heb het aangepast.

docx en xlsx mét macro's???

Je bedoelt niet docm en xlsm?

[ Voor 40% gewijzigd door Alfa Novanta op 15-10-2016 22:32 ]

Ynnoz schreef op donderdag 13 oktober 2016 @ 20:19:
a) Ransomware is niet opgemerkt door hun Symantec Endpoint protectie. Zijn er betere (softwarematige) maatregelen?

b) Op hun (Windows server) wordt veel spam mail eruit gefilterd. Toch komt er dagelijks nog spam mail "door". Het valt mij op dat bij grote bedrijven als KLM en Shell spam mail bijna niet meer bestaat voor hun eindgebruikers (soms 1 mail per 5 a 6 maanden). Kunnen jullie mij een betere spamfilter adviseren voor Windows Server?

Gebruik niet één, maar meerdere spamfilters/virusscanners. De kans dat iets dan nog iets er door heen glipt wordt daarmee steeds kleiner. Maar die kans blijft aanwezig, want nieuwste virussen worden namelijk eerst gemaakt zodat ze niet door een virusscanner worden opgemerkt, en daarna komt de virusscanner met een update.

Ynnoz schreef op donderdag 13 oktober 2016 @ 20:19:
...b) Op hun (Windows server) wordt veel spam mail eruit gefilterd. Toch komt er dagelijks nog spam mail "door". Het valt mij op dat bij grote bedrijven als KLM en Shell spam mail bijna niet meer bestaat voor hun eindgebruikers (soms 1 mail per 5 a 6 maanden). Kunnen jullie mij een betere spamfilter adviseren voor Windows Server?

Euh, welk spamfilter wordt er nu gebruikt op die "windows server" ?

Besides: je eigen server draaien is voor middelgrote bedrijven steeds minder interessant. Dan hoef je je bijvoorbeeld niet druk te maken om spam. Dat wordt door je cloud-provider afgehandeld, die heeft dezelfde resources als een KLM of een Shell

Sorry voor google translate , maar nog steeds de beste adviezen voor ransomware bescherming:
1. Ten eerste, een gebruiksbeleid dat voorschrijft persoonsgegevens in persoonlijke mappen op te slaan op een bestandsserver en gemeenschappelijke gegevens in openbare mappen op een bestandsserver. De file server is natuurlijk een back-up regelmatig plus schaduwkopieën als het windows-based.
2. Ten tweede, het configureren van SRP (Software Restriction Policies, ingebouwde sinds Windows XP) om executables / scripts verbieden loopt overal in% gebruikersprofiel%. Eenvoudig te configureren via groepsbeleid. Er is een goed artikel hierover op BeginnersWeb. Voor mensen die je koopt een biertje op een regelmatige basis kunt u een uitzondering toe te voegen en hen in staat stellen om executables lopen vanaf map "downloads". Ook uw grote PITA zou zijn drie dingen: 1) Google Chrome 2) GoToMeeting 3) Webex. Verkopers van deze programma's denken dat ze eigenwijs en in strijd met Microsoft aanbevelingen en 'best practices' (die voorschrijven om software in% programfiles% te installeren) en zetten hun sh! T recht in een% gebruikersprofiel%. Maar je kunt uitzonderingen toe te voegen, indien nodig. Hiermee wordt voorkomen dat bijna alle malware uit uitvoeren, zelfs als een domme persoon lanceert een bijlage van ongevraagde e-mail. http://linkmailer.de/viren/thor-dateien-virus
3. UAC! UAC! UAC! User Account Control (sinds Windows Vista) is je beste vriend. Gemakkelijk te configureren via Groepsbeleid. Stel de bar op minimaal niveau 2 (van de bodem). Het zal niet voorkomen dat cryptolocker van het lopen en het versleutelen van dingen, maar het zal te voorkomen dat het schrappen van schaduwkopieën op een lokale computer, zodat alle documenten kunnen gemakkelijk worden hersteld. terugzetten altijd op externe schijf om te voorkomen dat "schaduwkopieën verdwenen tijdens de restauratie" situatie als Windows hen vernietigt on the fly als het denkt dat het loopt uit de ruimte.
4. Als iemand geklaagd en / of u vermoedt dat slechte dingen misschien gebeurt - launch compmgmt.msc op een bestandsserver te gaan om bestanden te openen en kijk voor gebruikers die verdacht veel te veel lezen + schrijven van bestanden openen en bestanden worden hernoemd naar de naam. ext.crypto of name.ext.vvv of wat dan ook hernoemen regeling huidige versie van cryptolocker gebruikt. Schop die gebruiker uit van het netwerk onmiddellijk.
5. Filter je e-mail op spam en malware. Vrij moeilijk om af te stemmen door jezelf, maar er zijn een heleboel van cloud services en specifieke oplossingen zoals proofpoint, etc. Ook kan ik het configureren en ondersteunen het voor u als uw bedrijf mijn tarief betaalt.
6. Gebruik IDS / schending detectie producten. Moderne producten kunt u kijken voor "bulk rewrite" indicators die krijgen geactiveerd wanneer sommige Dumba $$ gebruikt SMB te lezen / schrijven te veel bestanden in een keer. Een waarschuwing creëren zodat elke belanghebbende krijgt een SMS-bericht / e-mail / whatever wanneer deze indicator onmiddellijk wordt geactiveerd en kick overtreder uit van het netwerk.
7. Alternative, cryptolocker lijkt alleen lokale bestanden en bestanden te versleutelen op de in kaart gebrachte aandrijving. Niet in kaart drives, gebruiken UNC-paden in plaats en snelkoppelingen op desktops gebruiker met UNC-paden. Op die manier Cryptolocker versleutelt spullen alleen de gebruiker, maar je hoeft niet schelen (als gevolg van het beleid, zie paragraaf 1), je gewoon reimage de PC en je bent klaar.
8. Last but not least - doen veiligheid patchen van 3rd party software op een regelmatige basis. Adobe onzin en Java op werkstations moet worden opgelapt in als 3 dagen na de patch is uitgebracht, hetzelfde geldt voor MS Office. Natuurlijk neem ik aan dat de fundamentele dingen zoals OS regelmatig worden gepatcht ...

Reactie hierboven: Zeer duidelijk, niet te lezen.

Ik weet dat Emsisoft goede bescherming tegen de ramsonware.

Ik weet dat Malwarebytes ook een programma heeft tegen ramsonware, dit is echter nog in de bèta fase.

Werden de bestandextenties veranderd naar .locky? Dan kan een decrypter eventueel helpen. NIET betalen is natuurlijk het belangrijkste.

Je vraag m.b.t. de spamfilters kan ik helaas niet beantwoorden.

Malware houd je enkel tegen door de juiste spamfilters en het beperken van rechten die eindgebruikers hebben. Zorgen dat die mails niet binnen komen helpt het meest, wellicht over gaan op hosted mail diensten die een goed spamfilter bieden? Google Apps for business werkt prima, komt geen spam mail meer doorheen.

Daarnaast systemen gewoon vergrendelen. Als een gebruiker geen .exe kan openen kan er ook niks mis gaan.

Tsurany schreef op donderdag 10 november 2016 @ 23:20:
Daarnaast systemen gewoon vergrendelen. Als een gebruiker geen .exe kan openen kan er ook niks mis gaan.

Wat dacht je van dubbele extenies zoals .jpg.exe?

Tsurany schreef op donderdag 10 november 2016 @ 23:20:
Als een gebruiker geen .exe kan openen kan er ook niks mis gaan.

Zeker weten? Ik heb hier een Word documentje waarin een voorbeeld staat van hoe je .exe beleid niets doet
Als je liever wat grafiekjes hebt kan ik het ook in Powerpoint verwerken met macro's...
Anders een .vbs, bat, exploit, usb stick en noem maar op
.exe whitelisten is 1 stap (die ook niet altijd mogelijk is) die alleen werkt als alle andere stappen ook genomen worden.

Ynnoz schreef op donderdag 13 oktober 2016 @ 20:19:
Het valt mij op dat bij grote bedrijven als KLM en Shell spam mail bijna niet meer bestaat voor hun eindgebruikers (soms 1 mail per 5 a 6 maanden). Kunnen jullie mij een betere spamfilter adviseren voor Windows Server?

Je 2 vragen komen eigenlijk op hetzelfde neer, beleid en continue capabel personeel wat er naar kijkt.

Qua beleid : Definieer welke extensies je wel wilt accepteren en whitelist die. Of om te starten, blacklist alle office extensies die je niet direct gebruikt. Waarom moet jij een word-bestand met macro's kunnen ontvangen?
Qua personeel : Dit is het grote probleem, security is een 24/7 job en een Shell / KLM nemen daar gewoon ploegendienst mensen voor aan die gewoon continue hun kennis bijhouden en gewoon een half uurtje na 1e uitbraak van locky-virussen blacklist entries hebben gemaakt en scriptjes hebben gebouwd die continue hun servers afscannen naar dit soort dingen.

Dat bereik je gewoonweg niet met 1x per maand iemand patches laten draaien. Alleen veelal is het ook onbetaalbaar voor kleinere bedrijven.

Het grootste probleem is alleen dat je het personeel kan vervangen door meer beleid (waarom moet iemand uberhaupt een .doc bestand kunnen ontvangen als een .pdf ook volstaat) alleen dat de meeste bedrijven kiezen voor geen beleid.

Probeer jij maar eens naar een Shell een .xlsm bestand te sturen, ik durf bijna te garanderen dat die niet aankomt. Terwijl dat bij een kleiner bedrijf waarschijnlijk wel aankomt.
Terwijl als je echt gaat doorvragen het kleinere bedrijf er in wezen ook nooit een serieus iets in ontvangen heeft, enkel maar spam / ransomware / malware.

RGAT schreef op donderdag 10 november 2016 @ 23:54:
[...]

Zeker weten? Ik heb hier een Word documentje waarin een voorbeeld staat van hoe je .exe beleid niets doet

Dat is niet een word-documentje. Dat is in een beschermde omgeving eerder een manual met wat de gebruiker moet doen om de bescherming van zijn systeem af te halen en voor de rest niets...

Windows en zeker in combinatie met office heeft nog wel heel wat user error gaten die de user zelf moet openzetten, maar zo ongeveer alle automatische gaten zijn ondertussen makkelijk te dichten hoor.

Ynnoz schreef op donderdag 13 oktober 2016 @ 20:19:
Wel twee korte vragen:

a) Ransomware is niet opgemerkt door hun Symantec Endpoint protectie. Zijn er betere (softwarematige) maatregelen?

b) Op hun (Windows server) wordt veel spam mail eruit gefilterd. Toch komt er dagelijks nog spam mail "door". Het valt mij op dat bij grote bedrijven als KLM en Shell spam mail bijna niet meer bestaat voor hun eindgebruikers (soms 1 mail per 5 a 6 maanden). Kunnen jullie mij een betere spamfilter adviseren voor Windows Server?

1. Dit blijft een kat en muisspel. Ongetwijfeld detecteerd de ene app beter dan de ander maar dit zal de 'crimelen' enkel aanmoedigen om nog betere virussen in elkaar te zetten.
Al heb je de beste app, gegarandeerd dat er nu gewerkt wordt aan de locker die ook hierdoor niet gedetecteerd wordt.

2. 1 mail per halfjaar kan ruim voldoende zijn om het gewenste doel te bereiken. Je kunt nog zo hard je best doen, uiteindelijk glipt er een mailtje tussendoor.
Ben persoonlijk dan ook meer voorstander van systeemtechnisch zoveel mogelijk dichttimmeren en nog belangrijker, het personeel goed opleiden/informeren.
Al heb je de tools om alle spam 100% tegen te houden. Zolang stagiair Annabelle van 3 mavo op "gefeliciteerd je bent de 1.000.000e bezoeker" plaatjes klikt is het alsnog wachten op problemen