Bereik cryptolocker ransomware

Verspreiden kan op heel veel manieren.
pdf, office bestanden, letter types(fonts) gebruiken kan je pc infecteren.
Vaak ben je het zelf, zonder dat je het weet.
Dus alles buiten je eigen pc is gevaarlijk.
Vaak wordt er gebruik gemaakt van fouten die nog niet gedicht zijn, in software/windows.

1 Belangrijkste is, dat jij als gebruiker veel weet over beveiligen, dit is je sterkste manier van beveiligen.
2 Extra beveiligen , dus meer dan de gewone gebruiker doen tav beveiligen.

De crypto kan enkel aan bestanden waar de gebruiker zelf aan kan. Of de crypto moet via een exploit, of iemand die doodleuk het wachtwoord komt intypen, aan elevation geraken en dan kan het als (domain)admin vrijwel overal aan.

Een Dropbox folder kan ook enkel encrypted geraken als deze gemount is onder Windows. Via de webclient is dit niet mogelijk. En enkel wat deze gebruiker kan zien en bewerken kan geraakt worden.

Vaak wordt er gebruik gemaakt van fouten die nog niet gedicht zijn, in software/windows.
En dropbox heeft hetzelfde als alle andere operating systems, Vaak wordt er gebruik gemaakt van fouten die nog niet gedicht zijn. Dus overal kan in gaan zitten.
En dropbox zitten ook admins die fouten kunnen maken.

Dus backup is een maatregel om in ieder geval data te redden.

mvandek2 schreef op woensdag 8 maart 2017 @ 10:41:
Wij hebben meegemaakt dat op een terminal server ook de bestanden in andere gebruikers profielen dan degene die het triggerde (via een mail bijlage) waren encrypted.
Die gebruiker had (uiteraard) geen toegang tot die andere profielen.

Ergens op een manier is de crypto aan de rechten geraakt. Die komen namelijk niet uit de lucht vallen.

Waarschijnlijk is er toch ergens een foute configuratie geweest, of er is gebruik gemaakt van een exploit.

mvandek2 schreef op woensdag 8 maart 2017 @ 10:41:
Wij hebben meegemaakt dat op een terminal server ook de bestanden in andere gebruikers profielen dan degene die het triggerde (via een mail bijlage) waren encrypted.
Die gebruiker had (uiteraard) geen toegang tot die andere profielen.

Ik trek dit in twijfel of dit dus waar is. Want als de gebruiker geen rechten heeft, dan heeft de ransomware daar ook geen rechten. (of exploit)

mvandek2 schreef op woensdag 8 maart 2017 @ 12:27:
Conclusie is dus dat cryptolockers niet bij bestanden kunnen waar de gebruiker die het triggered niet bij kan.

Thnx!

Fout. De eerdere antwoorden vertellen je dat vele exploits gericht zijn op binnenkomen, daarna hogere rechten krijgen en dan de malware verspreiden. Hoe die hogere rechten verkregen worden, foute configuratie of nieuwe exploits, is niet aan de orde.

bregweb schreef op woensdag 8 maart 2017 @ 12:31:
[...]

Fout. De eerdere antwoorden vertellen je dat vele exploits gericht zijn op binnenkomen, daarna hogere rechten krijgen en dan de malware verspreiden. Hoe die hogere rechten verkregen worden, foute configuratie of nieuwe exploits, is niet aan de orde.

Tot nu toe zie ik dat een gebruiker een cryptolocker binnen haalt en activeert en dat dan blijkt dat die gebruiker gewoon op veel te veel plekken rechten had en dat dit allemaal geencrypt raakt. Ik heb nog niet gezien dat vanuit de userspace van een gebruiker middels een exploit root rechten werden verkregen bijvoorbeeld.

Nu zijn er nog steeds clubs die hun gebruikers local admin rechten - op alle systemen geven bijvoorbeeld, of waar iedereen overal schrijfrechten heeft. Heb je geen exploit nodig.

Maar, in theorie, is het mogelijk wat je zegt - alleen moet zo'n cryptolocker dan wel bijzonder slim en complex zijn en dat zijn ze meestal juist helemaal niet. Wellicht een kwestie van tijd uiteraard.

mvandek2 schreef op vrijdag 10 maart 2017 @ 18:57:
[...]

Zie m'n initiële vraag, dat is dus precies wel aan de orde.
Hoe ze binnenkomen is inzichtelijk, mijn vraag niet en dus juist niet aan de orde.

"Hogere rechten krijgen", ik betwijfel of dit überhaupt mogelijk is.

Ja dat is mogelijk. Het lijkt mij apart als een cryptolocker ineens kan schrijven naar een map waar de gebruiker geen rechten heeft, dan moet de gebruiker het immers zelf toch ook kunnen? Een cryptolocker is niet magisch.

xh3adshotx schreef op vrijdag 10 maart 2017 @ 19:28:
[...]


Ja dat is mogelijk. Het lijkt mij apart als een cryptolocker ineens kan schrijven naar een map waar de gebruiker geen rechten heeft, dan moet de gebruiker het immers zelf toch ook kunnen? Een cryptolocker is niet magisch.

Maar de locker hoeft dit ook niet te kunnen.
Hij schroeft gewoon de rechten van de betreffende user omhoog via allerhande exploits en gaat vervolgens zijn gang.

Switchie schreef op vrijdag 10 maart 2017 @ 19:45:
[...]

Maar de locker hoeft dit ook niet te kunnen.
Hij schroeft gewoon de rechten van de betreffende user omhoog via allerhande exploits en gaat vervolgens zijn gang.

Ja beetje slecht verwoord van mij misschien maar dat bedoel ik inderdaad. Bedoelde meer dat hoe dan ook die locker op een of andere manier (al dan niet door de user meer rechten toe te kennen via een exploit) schrijfrechten op die bestanden moet hebben/krijgen. Dat ding kan niet via magie iets versleutelen.