Winddows 10 - 2x ransomeware

Voor de 2x in een jaar tijd is een pc van een kennis geïnfecteerd met ransomeware.


Relevante software en hardware die ik gebruik
Windows 10 Pro
Bitdefender (up-to0date)
Windows was/is up-to-date

Wat ik al gevonden of geprobeerd heb
Omdat dit eerder was gebeurd, had ik een andere virusscanner geïnstalleerd, nl. Bitdefender.
Uiteraard eerst alles opnieuw geïnstalleerd en daarna de backup van documenten terug gezet.

Hij gaf aan geen gekke mailtjes te hebben geopend. Of website. (is zakelijk gebruik).
Daarnaast staat alleen Office erop en Adobe PDF. En de drivers voor printers etc.

Ben nu weer de pc aan het opnieuw installeren, maar vraag me af hoe komt dit.
En vooral, waarom gaf Bitdefender niks aan? Dacht met het zorgen van een betere AV pakket dit te voorkomen.
Uiteraard is er een backup, dus niks aan de hand, maar wil graag weten of adviezen wat ik nog meer zou kunnen nakijken?


Een toevoeging, het scherm wat ik gezien heb, bevatte een nummer (id) en een email adres, iets als:
files.restore [at] foxmail.com waar je heen moet mailen om te decrypten.

Kon niet afleiden om welke variant het gaat, heb snel pc uitgedaan en schijven gewist.

[ Voor 12% gewijzigd door WeHoDo op 09-08-2018 11:45 ]

johnkeates schreef op woensdag 8 augustus 2018 @ 20:39:
Een gemiddelde virusscanner (lees: alles wat je als consument/prosumer koopt) kan niks als niet vooraf bekend is wat voor malware bestaat. Dus als iemand nieuwe malware bedenkt kan zo'n stukje anti-virus daar niks tegen beginnen. De meeste software heeft veel opsmuk en marketing bullshit maar kan behalve signature-based detectie vrij weinig.

Je kan dus niet heel veel doen behalve goede backups maken die niet geinfecteerd raken (bijv. reverse backups zodat de PC er geen invoed op heeft). Dat brengt meteen het tweede probleem: misschien is er externe toegang, verwisselbare media of een remote server waar data uitgewisseld wordt waar de malware vandaan komt, dan gaat een lokale on-access scanner ook niet altijd snel genoeg zijn.

De virusscanner, Bitdefender, is van GravityZone, een business variant.
Van externe toegang snap ik, remote desktop staan aan, maar kan alleen via een VPN verbinding inloggen.

Archie_T schreef op woensdag 8 augustus 2018 @ 21:51:
Houd hij/ zij zijn computer wel up to date? Meeste ransomware komt binnen via lekken in Java, flash of Windows. Er worden (bijna) geen zero days gebruikt in ransomware. Dus niet alleen Windows updaten maar ook de rest van de applicaties. Daarnaast is ad blocking en no script ook altijd een mooie toevoeging.

Yes, de pc wordt dmv patch management bijgehouden. Ook de meest bekende 3th party tools.

peschinl schreef op donderdag 9 augustus 2018 @ 02:08:
zit ie misschien op een (lokaal) netwerk met wellicht een geinfecteerde PC? Is dit een thuis situatie? Alle devices op dat netwerk zijn ook virusvrij?

Er zijn totaal 3 machines. Alles is up-to-date en virusvrij.
Betreft een klein bedrijfje met 3 personen.

Op deze 3 machines draait Bitdefender (GravityZone) met patch management.
USB devices zoals sticks worden niet gebruikt, zeggen ze.

Ook heb ik in hun mailboxen gekeken en geen bedreigingen gevonden.

De pc die geïnfecteerd was, is van een persoon die juist zorgvuldig met z'n spullen omgaat en weet wat er kan gebeuren als je gekke dingen doet. Daarom is het ook zo raar dat dit voor de 2e keer gebeurd. Maar kan het natuurlijk niet 100% uitsluiten.

Arjantje72 schreef op donderdag 9 augustus 2018 @ 10:16:
Hmmm raar dan.
Ik kreeg eerst foutmeldingen bij het gamen, bleek dat de game de progressie op wilde slaan op een plaats waar ik nog geen toestemming voor had gegeven.

Vreemde is, dat de client geen aanpassingen kan doen in de viruscanner.
Alles moet je instellen via een cloud-paneel, waar de klant niet bij kan.
Simpel uitschakelen van de scanner kan ook niet 123.

Een toevoeging, het scherm wat ik gezien heb, bevatte een nummer (id) en een email adres, iets als:
files.restore [at] foxmail.com waar je heen moet mailen om te decrypten.

Kon niet afleiden om welke variant het gaat, heb pc snel uitgezet en format schijven gedaan.

[ Voor 9% gewijzigd door WeHoDo op 09-08-2018 11:44 ]

Hijdaar95 schreef op donderdag 9 augustus 2018 @ 14:28:
[...]


Op kantoor hebben wij Bitdefender Endpoint Security Tools* draaien aan de client kant. Bij ons neemt Bitdefender de firewall taken over van Windows.


*(Onderdeel van Gravity Zone wat wij ook hebben)

Klopt, hier ook.
Er staat niks bijzonders open van buiten naar binnen, behalve de vpn om remote te kunnen inloggen en de gebruikelijke email poorten.

oke dan, kreeg net de volgende melding binnen:

Bitdefender:
Traffic Scan has detected a threat. Access to a webpage has been denied.http://goindman5.com/
important contains malware of type Cloud Malware.


Malware geeft geen melding, zojuist gescand en is up-to-date.

De pc staat gewoon aan, gebruiker is niet aanwezig.
Wat is er geinstalleerd: Adobe PDF, Office, Printer driver , Bitdefender, verder niets.

Bedreiging lijkt geweerd, echter hoe komt het dat er toch iets contact maakt.
Windows is erop nieuw opgezet en heeft niemand aangewerkt, behalve ik om eea te installeren.

[ Voor 17% gewijzigd door WeHoDo op 09-08-2018 14:48 ]

Ga een VM opzetten, met alleen de backup terug. Kijken wat er gebeurd.