Of het nu zin heeft i.v.m. een eventuele vervolging van een dader of niet; altijd aangifte doen!

Niet alleen is het belangrijk omdat justitie op die wijze duidelijker in kaart kan brengen van welke omvang een bepaald misdrijf is, maar ook met betrekking tot je verzekering(en). Dit soort ellende leidt altijd tot bedrijfsschade welke wellicht (deels) verhaald kan worden. De aangifte kan ook van belang zijn voor de belastingdienst daar geleden schade op die manier wettelijk is vastgelegd. Dat maakt weer uit onder aan de streep, eind van het fiscaal jaar/kwartaal.

@ EvdWal: de software is redelijk simpel. Als ik me niet vergis is Cryptolocker in C++ geschreven, er is/was een clone in C# en voorlopers (GPCode) waren in Delphi. Intern gaat het waarschijnlijk als volgt:

- dropper zet Cryptolocker op het systeem
- zorg dat we automatisch opstarten (Registry key aanmaken)
- kijk welke drives/partities er op het systeem aanwezig zijn en het type (GetDriveType etc API's)
- matcht het type drive? zoek dan naar bestanden met de volgende extensies (hardcoded array met extensies)
- haal een Public Key op van de server (er is dus netwerkverkeer wat door een IDS op te merken is)
- de Private Key welke nodig is om de data te decrypten blijft dus voor de criminelen beschikbaar (of voor opsporingsdiensten indien ze op de server weten in te breken)
- maak een random Session Key aan (Microsoft's eigen Crypto API)
- versleutel het bestand met de Session Key
- versleutel de Session Key met de Public Key en voeg toe aan het versleutelde bestand
- overschrijf het originele bestand of do "in-place" encryptie (weet niet uit mijn hoofd wat Cryptolocker doet)
- herhaal voor alle gevonden bestanden
- als laatste stap: toon gebruiker een bericht voor losgeld + timer
- verwijder alle keys uit het geheugen (als men slim programmeert ...)

Een netwerkbackup is in dit geval dus niet veilig indien de geinfecteerde gebruiker daar schrijftoegang heeft. Een offline backup is veilig zolang de data welke geschreven wordt niet door Cryptolocker is overschreven. Let dus goed op ...

Hoe recent is infectie? Ik dacht dat de campagne afgelopen was. Wellicht is het aan iemand anders verkocht.

Cryptoguard in HitmanPro.Alert (beta) werkt bij sommige AV software zoals BitDefender niet juist. Een misschien wel beter en minder bekend gratis alternatief is CryptoPrevent van Foolish.it http://www.foolishit.com/vb6-projects/cryptoprevent/. Dit helpt je niet om de verloren bestanden terug te krijgen maar voorkomt wel alle soorten Crypto malware. Vaak lijkt betalen een optie maar meestal ben je dan ook je geld kwijt, niet doen dus.

Er staan al een aantal maatregelen hierboven maar wat ook kan helpen is het beperken van schade.
Zorg ervoor dat mensen niet overal bij kunnen.

Beperk access to het noodzakelijke en waar mogelijk read only.

Maar als de systeembeheerder gecryptolockerd wordt dan ben je ook weer de sjaak

Is het eigen schuld of onhandigheid? Als iemand onhandig is, is hij niet schuldig.

Peter

Als zelfs je backup is aangeraakt door Cryptlocker dan heb je toch wel een behoorlijk probleem.
De betaling die gedaan moet worden kost waarchijnlijk minder dan de schade die je bedrijf per dag oploopt omdat men bij geen enkele belangrijke bestand kan.

Maar dan nog is er de kans dat je niet de sleutel krijgt om alle bestanden in originele staat terug te krijgen.

Aangifte doen kan altijd, alleen zal het enorm lastig zijn om de daders op te sporen. Je aangifte verdwijnt dan in de archieven en de statistieken.
-
En qua beveiliging? Eerst en vooral zorgen dat je personeel veilig bezig is en niet zomaar alles wat ze in de mailbox ontvangen ook openen.
Neem een virusscanner die ook het HTTP(S) verkeer controleert en bij voorkeur integreert in je browser. Hierdoor zijn ook zaken zoals webmail enigszins beschermd.
Gebruik bij voorkeur FireFox of Google Chrome zonder (al te veel) plug-ins. Vermijd Internet Explorer simpelweg omdat IE een te populair doelwit is voor aanvallen van hackers.
Installeer naast de virusscanner een extra bescherm-tool. MalwareBytes is wel aardig en werkt vrij goed in het opsporen van extra dreigingen. Bij het opschonen van een PC met up-to-date virusscanner heb ik MalwareBytes geinstalleerd en deze vond nog drie extra zaken die mijn PC kwetsbaar maakten maar die de virusscanner had genegeerd omdat de gebruiker kennelijk had geaccepteerd dat deze -ondanks de waarschuwing- werd geinstalleerd.
En verder: verdeel en heers. Je ziet soms dat bedrijven zelf zoveel mogelijk onder controle willen houden en te weinig onderbrengen in beschermde omgevingen van andere bedrijven. Ik ben een enorme liefhebber van Google Apps omdat ik daar een mooie opslagruimte heb voor documenten, presentaties en andere zaken. Ook GitHub en de TFS online versie van Microsoft is handig om broncode veilig te stellen. Dropbox is nog een goede oplossing voor de belangrijke gegevens.
-
Maar de allerbelangrijkste tip: kijk in hoeverre je personeel wel een PC nodig heeft. Soms kunnen ze best hun werk doen op een iPad, een Android laptop of zelfs een Chrome OS laptop. Kies voor de minimale aanpak, waarbij iedereen alleen beschikbaar heeft wat ze voor hun werk nodig hebben. Een secretaresse die alleen maar brieven typt en de telefoon beantwoordt kan prima werken met Open Office, een webbrowser met webmail en dit alles op een Linux systeem. Dat systeem is dan meteen veel minder kwetsbaar. (Want Windows is het meest favoriete doelwit...)

De nationale politie zegt zelf internationaal onderzoek te doen naar de criminelen die hier achter zitten. Het is dus geen statistiekenwerk. Ik kan me voorstellen dat het Hightech Crime team een aangifte (en bijbehorende details) goed kan gebruiken.
- Johan

Dit is inmiddels opgelost in versie 2.6.1.

Beste Arnoud, je merkt op :

Als er in een ziekenhuis database belangrijke informatie staat over bijvoorbeeld medicijnen die aan een patient moeten worden verstrekt, wordt het dan niet gewelddadig (dood door schuld, dood door grove nalatigheid, of doodslag. Misschien zelfs omdat het opzet is met voorbedachte rade moord ? ) .

Valt het dan niet onder fysiek geweld ? Tenslotte als ik computer gebruik om de doodstraf uit te voeren, kom dit volgens mij redelijk overeen. (of hacken morphine- of insulinepomp)

Mee eens. Een typfout is zo gemaakt met een URL. Hoeveel zeroday leaks zijn er ? Je kunt er niet altijd wat aan doen. Ik had pas ook een typfout gemaakt met google.nl en had ook even het politie virus in de browser. Helaas had ik een linux systeem en met het sluiten van de browser en wissen van de cache was alles weg.

Ja leuk, maar deze is (nog) niet te downloaden via de website, en slechts weinigen maken gebruik van het beta programma van Surfright.

Dat voldoet nog steeds niet aan de eis "bedreiging met geweld", cryptolocker zégt immers niet "ik ga de patiënt vermoorden als u niet betaalt".

Deze situatie kun je wél zien als verstoren in infrastructuur van algemeen nut, art. 161sexies Strafrecht.
http://wetten.overheid.nl/BWBR0001854/TweedeBoek/TitelVII/Artikel161sexies/geldigheidsdatum_11-11-2013
Opzettelijk zo'n stoornis veroozaken die de dood tot gevolg heeft, leidt tot maximumstraf van 15 jaar. En 9 jaar als er wel doodsgevaar was maar niet daadwerkelijk een overlijden.

En tevens lijken HitmanPro.Alert 2.6.1 en vervolgens 2.6.2 jammer genoeg nog zwaarder bèta dan SurfRight gezien de recente uitspraak "We are closing in on a final non-beta release" bij 2.6.2 nog zo optimistisch hoopte.
Zie de probleembeschrijvingen op laatste pagina's van de HitmanPro.Alert Support and Discussion Thread op Wilders Security Forums: http://www.wilderssecurity.com/showthread.php?t=324841
Er moeten nog een aantal problemen opgelost worden. Maar wie weet gaat dat vlot.

Ik herhaal het nog maar weer eens: je kunt in Windows een Software Restriction Policy (in latere versies AppLocker policy genoemd) aanmaken.
Deze bepaalt welke locaties executable software mogen bevatten.
Dit gaat met allow en deny regels die je zo kunt opzetten dat de normale locaties zoals %windir% en %ProgramFiles% wel toegelaten zijn maar plekken als %USERPROFILE% niet. En %TEMP% (die is meestal een subdir van %USERPROFILE%)

Dit richt je zo in dat er geen software kan worden uitgevoerd vanaf een locatie waar de gebruiker mag schrijven.
(dus %USERPROFILE% en zeker %TEMP% maar ook netwerkschijven e.d.)

Als je software wilt installeren log je in als een administrator en plaats je de software op de goede plek.
Als je het systeem gewoon gebruikt log je in als een gebruiker die geen administrator is, en als er dan een of andere vulnerability is waardoor iets als cryptolocker actief wordt dan lukt het niet om die software te runnen.
(999 van de 1000 exploits beginnen zowizo met een .exe te downloaden naar %TEMP% of %APPDATA% en die dan te starten. dat lukt dan dus niet meer. zelfs "java" exploits doen zelf meestal niks anders dan zo'n .exe downloaden voor het eigenlijke werk)

Deze oplossing werkt 10 keer beter dan allerlei op patronen gebaseerde scanners die altijd pas iets detecteren als het al slachtoffers gemaakt heeft.