image

Britse politie adviseert "alleen lezen" tegen ransomware

dinsdag 31 december 2013, 11:38 door Redactie, 5 reacties

De politie van het Britse Derbyshire adviseert internetgebruikers die zich tegen de CryptoLocker-ransomware willen beschermen om naast een aantal bekende maatregelen ook mappen en bestanden op "alleen lezen" te zetten. CryptoLocker is een agressieve vorm van ransomware die bestanden versleutelt.

Om weer toegang te krijgen moeten slachtoffers een bepaald bedrag betalen. CryptoLocker verspreidt zich via e-mailbijlagen en wordt geïnstalleerd door malware die al op de computer aanwezig is. Nadat er ook in Derbyshire verschillende mensen met de malware te maken kregen besloot de Derbyshire Police een aantal adviezen geven.

Tips

De meeste van de gegeven tips zijn bekend, maar er wordt consumenten ook aangeraden om hun mappen en bestanden op 'alleen lezen' te zetten. Dit zou moeten voorkomen dat CryptoLocker de bestanden versleutelt doordat het de schrijfactie niet kan uitvoeren. Een niet eerder gehoorde tip om CryptoLocker te dwarsbomen, maar het is de vraag of die ook echt werkt.

De malware, die volledige controle over het systeem heeft, zou in theorie het 'alleen lezen'-attribuut van de bestanden en mappen kunnen uitschakelen, om zo alsnog de bestanden te versleutelen. Daarnaast is het de vraag hoe gebruiksvriendelijk de optie is, omdat het inhoudt dat gebruikers bestanden in deze mappen niet eenvoudig kunnen bewerken.

Mark Loman van het Nederlandse beveiligingsbedrijf SurfRight laat tegenover Security.NL weten dat CryptoLocker versie 1.0 in de huidige versie wel door het 'alleen lezen'-attribuut wordt gestopt. Loman merkt op dat de maatregel echter eenvoudig te omzeilen is, maar dat de ransomware dat op dit moment nog niet doet. Hieronder de adviezen van de Derbyshire Police.

  • Installeer anti-virussoftware en een firewall en laat ze automatisch updaten;
  • Open geen e-mailbijlagen van onbekenden;
  • Stel de hoogste beveiliging in de browser in;
  • Controleer de beveiligingsinstellingen van het computernetwerk;
  • Als mensen geen schrijftoegang nodig hebben, zet bestanden en mappen op 'alleen lezen';
  • Maak regelmatig back-ups en bewaar ze los van een computer.
Reacties (5)
31-12-2013, 11:48 door [Account Verwijderd]
[Verwijderd]
31-12-2013, 12:44 door Anoniem
Ik open alleen bijlagen in E-mails wanneer het toezenden ervan wordt aangekondigd door een vertrouwde bekende.
Anders gaan ze resoluut de prullenbak in en worden definitief verwijderd.
Jammer dan!
Dan sturen ze hem nog maar een keer.
Misschien een beetje overdreven maar wel zo veilig.
Ik word regelmatig bestookt met doorgezonden grapjes en grollen, gevonden door anderen op internet.
Daar zit ik eigenlijk helemaal niet op te wachten. Die vind ik zelf ook wel of heb ze al lang gezien.
Wanneer je even niet alert bent, ben je een keer de klos.
En daar heb ik geen zin in..
31-12-2013, 14:01 door Anoniem
And now something completely different?


Optie 1)
Een zeer belangrijke bron van ellende : drive-by-downloads

Bescherm jezelf tegen drive-by-downloads.
Deze probeer tip heb ik al eens eerder als optie genoemd, daar werd/wordt nooit op gereageerd, hoeft niet, misschien toch jammer (?) want ik weet uit ervaring dat het werkt, op de Mac dan ;-).

Wat heb je nodig?
2 browsers (of meer)

In één browser selecteer je als download folder je 'downloads folder'.
- Maak deze folder leeg.
- Selecteer in je browser voorkeuren deze 'download folder' als voorkeur folder om files te downloaden.
- Verander de lees & schrijf permissies van (alleen!) deze download folder naar alléén lezen (!).

Daarmee is deze specifieke download-folder onbruikbaar en dat is ook precies de bedoeling!
Een ongevraagde download in de vorm van een drive-by-download werkt dan niet meer, want het drive-by-download file kan dan niet worden weggeschreven naar je download folder, die is namelijk alleen leesbaar en niet schrijfbaar.
Je browser geeft dan een foutmelding als het een file wil downloaden (in ieder geval in mozilla browsers).

Gebruik daarnaast die 2e browser voor het downloaden van een file als dat nodig mocht zijn.
Voorwaarde is wel dat je een andere download folder erbij aanmaakt en voor de alternatieve 2e browser in de voorkeuren de nieuw aangemaakte download folder als standaard download folder aanwijst!

Iets aangepast browsen, standaar met browser 1, downloaden met browser 2.
Het went snel hoor : bij een download file even een kwestie van de betreffende weblink kopiëren naar de url bar van de 'download browser'.
Enter en downloaden maar.
Kleine moeite toch?


Optie 2)
Een waarschuwingsscript laten draaien die je een melding geeft wanneer er een file geplaatst is in bijvoorbeeld onder meer je downloads-folder kan ook.
Zorg er wel voor dat je browser niet automatisch een gedownload file opent!


Maffe mogelijke (?) Optie 3)
Experimenteren met AdBlockPlus en eigen rule definities.

Je browser kan een aantal formaten aan als het gaat om het weergeven ervan.
Denk aan bijvoorbeeld afbeeldingen.
De niet weer te geven formaten die als element in een webpagina 'verstopt zitten zal je browser automatisch willen downloaden, en natuurlijk ook / of zelfs aan het einde van een WebLink staan zal het willen downloaden.

Voor de niet weer te geven 'download-elementen' geldt dat je AdBlockPlus kunt gebruiken om bepaalde elementen in een pagina niet te laden / te downloaden c.q. te blokkeren.

Ik weet het even niet meer uit mijn hoofd maar ik heb een keer gekeken van welke extensies onder meer de Zeus (?) trojan gebruik maakt in geval van drive-by-downloads.
Dat zijn over het algemeen verpakte bestanden. Voor een hoop van die bestanden kan je effectief (zonder zichtbare consequenties) een blocking rule met AdBlockPlus aanmaken.
Die elementen worden dan niet geladen of gedownload mochten ze aanwezig zijn op een webpagina.

Hieronder wat voorbeeld-rules die je in AdBlockPlus kan zetten om er eens mee te experimenteren. Aan jou te bepalen waarom dit een werkbaar idee is of juist helemaal niet; daar ben ik wel benieuwd naar.
De spatie komma's dien je dan weg te halen, maak er weer een kolom van files van en paste het dan in je handgemaakte "custom filter preferences".

Voorbeeldje van wat extensies (wat van een wiki page geplukt een keer), die kan je zelf nog aanvullen of de lijst verkorten.

||*.??_^ , ||*.?Q?^ , ||*.?Z?^ , ||*.7z^ , ||*.ace^ , ||*.afa^ , ||*.alz^ , ||*.apk^ , ||*.ar^ , ||*.arc^ , ||*.arj^ , ||*.ba^ , ||*.bh^ , ||*.bin^ , ||*.bundle^ , ||*.bz2^ , ||*.bz2^ , ||*.cab^ , ||*.cfg^ , ||*.cfs^ , ||*.cpio^ , ||*.cpl^ , ||*.cpt^ , ||*.dar^ , ||*.dd^ , ||*.dgc^ , ||*.dll^ , ||*.dmg^ , ||*.doc^ , ||*.drv^ , ||*.dylib^ , ||*.ecc^ , ||*.efi^ , ||*.exe^ , ||*.favicon^ , ||*.FON^ , ||*.gca^ , ||*.gz^ , ||*.gz^ , ||*.ha^ , ||*.hki^ , ||*.ice^ , ||*.infl^ , ||*.iso^ , ||*.iso^ , ||*.jar^ , ||*.jnlp^ , ||*.kgb^ , ||*.LBR^ , ||*.lbr^ , ||*.lha^ , ||*.lz^ , ||*.lzh^ , ||*.lzma^ , ||*.lzo^ , ||*.lzx^ , ||*.mar^ , ||*.ocx^ , ||*.pak^ , ||*.paq6^ , ||*.paq7^ , ||*.paq8^ , ||*.par^ , ||*.par2^ , ||*.partimg^ , ||*.pdf^ , ||*.pea^ , ||*.pim^ , ||*.pit^ , ||*.push^ , ||*.qda^ , ||*.rar^ , ||*.rar^ , ||*.rk^ , ||*.rz^ , ||*.s7z^ , ||*.scr^ , ||*.sda^ , ||*.sea^ , ||*.sen^ , ||*.sfark^ , ||*.sfx^ , ||*.shar^ , ||*.sit^ , ||*.sit^ , ||*.sitx^ , ||*.sqx^ , ||*.sys^ , ||*.tar^ , ||*.tar.bz2^ , ||*.tar.gz^ , ||*.tar.lzma^ , ||*.tar.Z^ , ||*.tbz2^ , ||*.tgz^ , ||*.tlz^ , ||*.ttf^ , ||*.uc^ , ||*.uc0^ , ||*.uc2^ , ||*.uca^ , ||*.ucn^ , ||*.ue2^ , ||*.uha^ , ||*.ur2^ , ||*.video^ , ||*.widgets^ , ||*.wim^ , ||*.xar^ , ||*.xp3^ , ||*.xz^ , ||*.yz1^ , ||*.zip^ , ||*.zipx^ , ||*.zoo^ , ||*.zpaq^ , ||*.zz^ , ||*ashx^ , ||*favicon.^ , ||*trans.gif^

Dit is niet waterdicht want ook bijvoorbeeld .gif files worden misbruikt, die kan je gewoonweg niet blocken want dan werken de meeste pagina's niet meer.
Mocht je een hekel hebben aan .swf flash reclames of files kan je ook nog een rule daarvoor toevoegen. ||*.swf^


Experimenteerseltje 4)
Verder wordt geloof ik ook regelmatig misbruik gemaakt van .php , ook dat is niet altijd handig om te blokkeren want nogal wat websites maken hiervan gebruik.
Ik heb toch een keer een aparte php preference rule aangemaakt om gewoon eens te kijken hoe de meeste websites hierop reageren.
Veel websites vertonen de content dan gewoon goed, mocht je op een site zijn die de content niet goed vertoont en het een website betreffen die je vertrouwt kan je de rule ook uitschakelen. (open blockable items en bij de rode regel naar keuze even het x-je wegklikken).

Ik heb nog niet geëxperimenteerd met het maken van exeptionrules voor specifieke websites om het blokkeren toe te staan. Evengoed staat het blokkeren van php natuurlijk nogal ter discussie, het is aan jezelf.

Php blocken
||*.php^


Malware domains 5)
Dit AdBlockPlus-block principe kan je ook toepassen op Country code top-level domain extensies waar veel malware onder te vinden is of pagina's betreft waar je toch bij voorkeur liever niet komt. Krijg je de pagina te zien in een meer plain html / text weergave te zien.
Werkt een beetje als NoScript maar dan wat rigoureuzer.

Voorbeeld block rule Country code top-level domain
||*.su^

Kies ze maar uit : http://en.wikipedia.org/wiki/List_of_Internet_top-level_domains

Waarschijnlijk verschijnt er een slak icoon achter de rule die ervoor waarschuwt dat dit de werking van je browser ernstig vertraagt, dat valt erg mee. Ik merk er in ieder geval niets van en heb al tijden een dergelijke lijst aangelegd.



;-) Wat maffe out-of-the-box ideetjes dus voor in de box denkers.
Zie maar en ik ben benieuwd wat je ervan vindt. ;-)

N.b.; getest op een Mac en niet op een Pc, maar dat maakt denk ik niet uit.
En uitproberen is voor eigen risico natuurlijk.

P.s., je kan natuurlijk ook besmette emails krijgen van bekenden, webmailacoounts worden nou eenmal ook gehackt en is effectief want het aanvalsucces wordt ermee vergroot als je een mail krijgt van een bekende.
Stuur de bekende maar een mail terug met de vraag waarom diegene je een zip file stuurt.

Extra Mac tip : "12. Enable X-Ray Folders in Quick Look"
http://www.maclife.com/article/howtos/25_top_os_x_terminal_tips?page=0,1

Kan je met de spatiebalk de inhoud van een zip file beoordelen op de Mac.
31-12-2013, 18:14 door Anoniem
In aanvulling op eigen reactie van 14:01 en met medenemen van onderstaande quote en opmerking

Mark Loman van het Nederlandse beveiligingsbedrijf SurfRight laat tegenover Security.NL weten dat CryptoLocker versie 1.0 in de huidige versie wel door het 'alleen lezen'-attribuut wordt gestopt. Loman merkt op dat de maatregel echter eenvoudig te omzeilen is, maar dat de ransomware dat op dit moment nog niet doet.

Wanneer je een beheerdersaccount hebt en een standaard account en je zou overwegen de permissies van een bepaalde folder - onder het standaard account waaronder je op dat moment bent ingelogd - te veranderen naar alléén lezen (bijvoorbeeld de door mij genoemde downloads folder), kan je zelfs nog de eigenaar van de folder veranderen naar die van de administrator/beheerder.
Dan is een admin password van de beheerder vereist om de permissies op de betreffende download folder weer te wijzigen naar gewenste schrijfrechten voor bijvoorbeeld de standard account eigenaar waaronder je op dat moment bent ingelogd.

Op de Mac kan dit, of het ook mogelijk is op een pc kan ik je niet vertellen, genoeg mensen hier die dat vast wel weten.
31-12-2013, 20:52 door wica128
Pine, mute of een andere text only mail client gebruiken is volgens mij het best.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.