image

Gratis tools blokkeren CryptoLocker-ransomware

zaterdag 2 november 2013, 18:25 door Redactie, 10 reacties

Voor zowel bedrijven en organisaties als thuisgebruikers zijn er gratis tools verschenen die infectie door de CryptoLocker-ransomware moeten voorkomen. CryptoLocker is een zeer schadelijke vorm van ransomware die zich via e-mail en andere malware kan verspreiden.

Eenmaal actief versleutelt het foto's, documenten en zakelijke bestandsextensies met AES-encryptie. In het geval gebruikers geen back-up van hun bestanden hebben, houdt dit in dat ze hun bestanden kwijt zijn, aangezien de gebruikte AES-encryptie zeer lastig te kraken is. De bende achter CryptoLocker laat op besmette computers een melding zien dat het slachtoffer 300 dollar of 300 euro moet betalen, maar opsporingsdiensten, anti-virusbedrijven en beveiligingsexperts raden af het gevraagde "losgeld" te betalen.

Voorkomen

Om infectie binnen organisaties te voorkomen ontwikkelde het SMBKitchen Project een aantal documenten over het schoonmaken van een infectie en materiaal en instructies om een preventieve blokkade via software restriction policies in te stellen. Zo wordt er uitgelegd om de blokkade via een Group Policy Object (GPO) op domeincomputers en terminalservers uit te rollen, alsmede bij computers die geen onderdeel van een domein zijn.

Beveiligingsexpert Nick Shaw ontwikkelde voor eindgebruikers het programma CryptoPrevent, dat group policy objects aan het Windowsregister toevoegt om te voorkomen dat bepaalde uitvoerbare bestanden in bepaalde locaties worden uitgevoerd. Het is vooral voor de minder technische gebruikers bedoeld en werkt op Windows XP, Vista, Windows7, Windows 8 en Windows 8.1.

Reacties (10)
02-11-2013, 23:30 door Anoniem
"Also, yes I know McAfee SiteAdvisor lists my site as malicious, I have submitted a dispute, but I don’t expect much as it is notorious for false positives, just google it…"

http://www.foolishit.com/vb6-projects/cryptoprevent/
03-11-2013, 08:30 door Anoniem
Iemand al installatie ervaring?
03-11-2013, 11:11 door Spiff has left the building
Door Anoniem, gisteren, 23:30 uur:
"Also, yes I know McAfee SiteAdvisor lists my site as malicious, I have submitted a dispute, but I don’t expect much as it is notorious for false positives, just google it…"
http://www.foolishit.com/vb6-projects/cryptoprevent/
Um..? Wat wil je daarmee zeggen?
Je geeft nog eens de link van de FoolishIT CryptoPrevent pagina, en je citeert een zin die je daar vindt.
Maar wat wil je daarmee zeggen?
Dat McAfee SiteAdvisor niet betrouwbaar is en een false positive geeft? Dat is een bekend gegeven.
Of bedoel je dat we er vanuit zouden moeten gaan dat McAfee SiteAdvisor het wél bij het rechte eind zou hebben?
De VirusTotal URL-scanners beschouwen de FoolishIT CryptoPrevent pagina als schoon, en hetzelfde geldt voor URLVoid, WOT, Trend Micro Site Safety Center, en Norton Safe Web. Enkel Sucuri SiteCheck meent net als McAfee SiteAdvisor dat er wat mis is met de FoolishIT CryptoPrevent pagina, maar dat komt doordat Sucuri SiteCheck zich daarbij nota bene baseert op McAfee SiteAdvisor, wat McAfee SiteAdvisor dus nog steeds volkomen alleen doet staan in de classificering van de FoolishIT CryptoPrevent pagina als 'kwaadaardig'.
03-11-2013, 11:32 door Spiff has left the building
Door Anoniem, 08:30 uur:
Iemand al installatie ervaring?
Daar ben ik ook best benieuwd naar.
Ikzelf heb het nog niet uitgeprobeerd.
Bij het netjes gepatched houden van alle applicaties op je systeem zodat je niet kwetsbaar bent voor drive-by downloads, en wanneer je tevens niet zo dom bent rare e-mailbijlagen te unzippen, lijkt de kans op infectie met Cryptolocker en verwante malware me uiterst gering.
Niettemin is CryptoPrevent toch zeker interessant.
De informatie onder Q&A, "My legitimate software isn’t working properly after applying the protection. What do I do?" laat echter zien dat CryptoPrevent nog niet helemaal perfect is en het nog kan voorkomen dat sommige legitieme software problemen ondervindt van het toepassen van CryptoPrevent. Maar de auteur geeft wel aan dat "the latest version of the app, is getting better all the time at not blocking legitimate applications." Dat is mooi.
03-11-2013, 12:24 door [Account Verwijderd] - Bijgewerkt: 03-11-2013, 12:27
[Verwijderd]
03-11-2013, 15:18 door Anoniem
Hallo!

Helpt deze verdediging:
1. Ik heb m'n data beveiligd met een wachtwoord. Alleen lezen / uitvoeren is toegestaan. Voor overige acties moet een wachtwoord worden ingevoerd. Zijn de data dan nog kwetsbaar voor Cryptolocker?
2. Ik werk als beperkt gebruiker. Om het virus te installeren is dan toch het administrator-wachtwoord nodig?
3. Blokkeert een firewall (Comodo) het naar huis bellen door het virus niet?

Ik hoop dat iemand me antwoordt.
Hartelijke groeten en alvast bedankt,

Trudy
03-11-2013, 15:20 door Trudy
Hallo!

Helpt deze verdediging:
1. Ik heb m'n data beveiligd met een wachtwoord. Alleen lezen / uitvoeren is toegestaan. Voor overige acties moet een wachtwoord worden ingevoerd. Zijn de data dan nog kwetsbaar voor Cryptolocker?
2. Ik werk als beperkt gebruiker. Om het virus te installeren is dan toch het administrator-wachtwoord nodig?
3. Blokkeert een firewall (Comodo) het naar huis bellen door het virus niet?

Ik hoop dat iemand me antwoordt.
Hartelijke groeten en alvast bedankt,

Trudy
03-11-2013, 15:31 door Ilja. _V V - Bijgewerkt: 03-11-2013, 15:32
Ik heb het gisteren opgehaald, beide versies 3.1, & wil het vandaag even gaan testen in een virtuele XP.

Ik ben er wel blij mee, voor zover ik begrijp hoe het werkt, vooral omdat het de Policies op Registerniveau instelt. Iets wat in mijn praktijk erg handig is voor de diverse Home-versies zonder Groepsbeleid.

Ik kan echter niet echt goed uitvoerbare programma's uit elkaar trekken, dus ik ben best wel nieuwsgierig naar wat het precies doet, welke Groepsbeleid-regels er worden ingesteld.
Microsoft heeft overigens een aantal rekenbladen ter beschikking gesteld die alle Groepsbeleid-regels vertalen naar Register-instellingen: http://www.microsoft.com/en-us/download/details.aspx?id=25250

Tot slot schijnt het een bepaalde instelling te zijn waardoor legitieme installatie-programma's, zoals bv. FireFox, buiten gesloten worden. Kwestie van even een vinkje tijdelijk weghalen, mocht je die, niet standaard, aangezet hebben.

Ilja. _\\//
03-11-2013, 17:32 door Anoniem
De allerbeste tool is het gezond verstand gebruiken, je kunt alleen door eigen handelen geïnfecteerd raken. Het beste wapen is dus geen bestanden in mail openen en eerst opslaan waarna je ze kunt scannen, of je AV programma alle mail standaard laten scannen. Sowieso is het nog steeds achterlijk dat Microsoft nog steeds niet binnen Windows extensies van programma's toont, juist daardoor raken veel mensen besmet. Ik zet ook bij iedereen, die mij iets vraagt over hun pc of laptop, eerst het tonen van extensies aan. Later hoor ik dat het ze geholpen heeft om foute bestanden in mail te kunnen herkennen.
04-11-2013, 06:37 door Ilja. _V V
Door Ilja. _V V:
Nou, het duurde even, door virtuele systeem-updates, maar net geinstalleerd, de volledige setup-versie (met uninstall, nog niet geprobeerd)..

Test succesfull, ok, euhm, was dat nou goed of verkeerd?.. Wat me wel opvalt is dat, ongeacht het gebruikersniveau, als je op Apply klikt, de melding komt dat de policies toegepast zijn, & daarna dat je de computer moet herstarten (Ja/Nee), ook al verander je niets.
Achja, bugs he...

Volgende stap: Wie heeft er een CryptoLocker voor me, van 100, 300 of 1500 $/€? Te leen uiteraard, je krijgt het onbeschadigd terug...

Hoop ik... ;-)

Ilja. _\\//
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.