image

"Betalen van ransomware helpt bij terugkrijgen bestanden"

zaterdag 25 oktober 2014, 16:38 door Redactie, 14 reacties

Slachtoffers van ransomware van wie de bestanden voor losgeld zijn versleuteld krijgen vaak van politie en beveiligingsbedrijven het advies om het gevraagde bedrag niet te betalen, maar volgens IT-beveiliger Palo Alto Networks kan het wel degelijk helpen bij het terugkrijgen van de bestanden.

"Uit het verleden blijkt dat het betalen van het losgeld je waarschijnlijk toestaat om je bestanden terug te krijgen", zegt Ryan Olson. Hij merkt op dat de beste verdediging tegen ransomware nog altijd het hebben van recente back-ups is of het geheel voorkomen van de infectie. Over het betalen van ransomware bestaat al lange tijd een discussie.

Experts raden het af omdat dit de criminelen zou aanmoedigen door te gaan en daarnaast is er geen garantie dat slachtoffers de bestanden ook daadwerkelijk terugkrijgen. Volgens Matt Willems van LogRhythm Labs hebben de malwareschrijvers echter weinig reden om hun woord niet te houden. "Als namelijk bekend wordt dat het betalen de bestanden niet terugbrengt, stoppen mensen met betalen", merkt hij op.

Uit de statistieken blijkt dat verreweg de meeste slachtoffers het losgeld niet betalen. Bij CryptoLocker betaalde 1,3%, bij Cryptowall 0,27%. Het kleine percentage dat betaalt levert cybercriminelen veel geld op. Slachtoffers van de Cryptowall-ransomware zouden 890.000 euro hebben overgemaakt, terwijl de makers van TorrentLocker dankzij hun creatie 257.000 euro ontvingen. De meest succesvolle crypto-ransomware tot nu toe is nog altijd CryptoLocker, met een geschat bedrag van 2,4 miljoen euro.

Reacties (14)
25-10-2014, 16:52 door Erik van Straten
Vergelijkbaar, als niemand op spam, phishing en andere fake mails zou reageren, waren die problemen ook snel de wereld uit. De praktijk wijst uit dat je dit soort problemen niet oplost met waarschuwen om niet met criminelen in zee te gaan.
25-10-2014, 20:21 door Anoniem
Vaak als je adviezen omtrent dit onderwerp leest, valt vreemd genoeg maar weinig het woord 'back-up'. Maak gewoon dagelijks een back-up (naar een andere locatie), dan kun je de bestanden zó terughalen! Doe je dat wel op dezelfde locatie, dan kun je nog beter zelf de schijf versleutelen en alleen aansluiten op het moment dat je de back-up gaat maken.
Mijn back-ups worden dagelijks weggeschreven naar het datacenter (waar ook de back-ups van mijn webservers naartoe worden geschreven), via een beveiligde verbinding uiteraard. Als mijn pc een keer gelockt wordt, dan ga ik voor een schone installatie en zet ik de recentste back-up terug. Ik betaal geen cent aan die criminelen!
26-10-2014, 03:24 door Anoniem
Inderdaad maar dat is met het merendeel van de malware ook het probleem. Met een beetje goed design hou je makkelijk 90% tegen. Tevens moet je niet vergeten dat bv 1 miljoen geinfecteerde computers nog weinig voorstelt internationaal gezien en je risico dus toch al laag is.
26-10-2014, 08:18 door Anoniem
Ik ben de afgelopen paar jaar bij zowel een aantal bedrijven (MKB) als particulieren zgn. Lockers tegengekomen, de enkeling (één individu en één ondernemer) die heeft betaald, heeft dus GEEN werkbare code terug gehad.

Sterker nog, ik heb tot nu toe alleen maar mensen online horen vertellen dat betalen werkt, dus trek zelf je conclusies!


Ik ben erg nieuwsgierig, is er iemand hier, die wel iemand in "het echt" kent die heeft betaald en daardoor zijn data terug gekregen???
26-10-2014, 10:32 door Anoniem
Dit gaat er wel van uit dat je het probleem ontdekt voor je weer een backup maakt, of dat je backup systeem meerdere
generaties van de bestanden bijhoudt.
Je zult ze de kost moeten geven die een "backup" maken door alle bestanden te syncen met een externe USB schijf.
Daar heb je in dit geval niets aan want dan is je backup ook verpest.
Voor je datacenter geldt hetzelfde: je hebt er alleen wat aan als je niet alleen terug kunt naar je vorige backup, maar ook
naar die van vorige week, vorige maand of wat dan ook nodig is om nog correcte versies van je bestanden te vinden.
26-10-2014, 17:49 door Anoniem
Een goede backup-strategie zorgt er voor dat je de gewenste tijd terug kunt. Een backup over een vorige backup heen zetten is dan natuurlijk niet goed doordacht.

De backup moet offline zijn, een NAS / externe harddisk / cloud-opslag kunnen inderdaad allen aangetast worden indien ze te benaderen zijn door het account wat besmet is met een locker.

Je zult altijd het risico lopen dat een deel van de data verloren gaat, de data tot en met de laatste backup. Hiervan moet je dan maar bepalen of het je geld waard is om dit terug te krijgen.

2 lockers die geen oplossing bieden geeft nog niet zo veel aan. Was dit Cryptolocker of een onbekende variant? Wellicht dat sommige malware meelift op het ransomware succes en geen moeite doet om een goed werkend product te leveren.
26-10-2014, 20:22 door [Account Verwijderd]
Door Anoniem 26-10-14 17:49 uur:
Je zult altijd het risico lopen dat een deel van de data verloren gaat, de data tot en met de laatste backup. Hiervan moet je dan maar bepalen of het je geld waard is om dit terug te krijgen.
.

Je kunt natuurlijk proberen de tijdsspan die tussen het maken van een back-up en het maken van een nieuwe back-up kleiner wordt, en hiermee proberen dat er zo weinig mogelijk data verloren gaat als er iets mis gaat.
27-10-2014, 08:20 door Anoniem
Een ander, groot probleem, is het zogenaamde rondsturen van emails. Tijdens dat rondsturen wordt vaak iedereen in het adresboek aangeklikt, dat is lekker makkelijk en werkt ook zo lekker snel. Het gevolg is wel dat iedere ontvanger ook gelijk alle emailadressen ontvangt van degene die de mail heeft rondgestuurd.

Zo ontstaan er dus, gratis en voor niks, grote emailadreslijsten waar criminelen gemakkelijk misbruik van kunnen maken. In feite moet dat rondzenden alleen mogelijk zijn in BCC, Emailprogramma's zouden dat als standaard moeten implementeren.
Uiteraard verwijder ik standaard iedere ronszendmail en stuur de verzender een standaard mail met waarschuwing en uitleg. Ook vraag ik, bij herhaling, of de rondzender mijn emailadres uit zijn/haar adresboek wil verwijderen.

Een emailadres is een persoonlijk adres dat niet is bedoelt om aan de grote digitaal paal te hangen.
27-10-2014, 10:32 door Anoniem
Door Anoniem: Een ander, groot probleem, is het zogenaamde rondsturen van emails. Tijdens dat rondsturen wordt vaak iedereen in het adresboek aangeklikt, dat is lekker makkelijk en werkt ook zo lekker snel. Het gevolg is wel dat iedere ontvanger ook gelijk alle emailadressen ontvangt van degene die de mail heeft rondgestuurd.
Nou dat was ooit wel een methode waarvan gedacht werd dat hiermee adressen verzameld werden, maar dat is allang
niet meer het probleem. Tegenwoordig halen ze de adressen gewoon rechtstreeks uit je computer of mailaccount nadat
er op is ingebroken.
27-10-2014, 12:13 door Anoniem
Slachtoffers van ransomware van wie de bestanden voor losgeld zijn versleuteld krijgen vaak van politie en beveiligingsbedrijven het advies om het gevraagde bedrag niet te betalen, maar volgens IT-beveiliger Palo Alto Networks kan het wel degelijk helpen bij het terugkrijgen van de bestanden.

Klopt, al zal je ook op een lijst betalende slachtoffers terecht komen, waardoor de kans dat je opnieuw doelwit wordt reeel is.
27-10-2014, 12:17 door Anoniem
@ Erik :

"Vergelijkbaar, als niemand op spam, phishing en andere fake mails zou reageren, waren die problemen ook snel de wereld uit. De praktijk wijst uit dat je dit soort problemen niet oplost met waarschuwen om niet met criminelen in zee te gaan."

Tuurlijk, alleen heb je daar bar weinig aan indien je bedrijfsadministratie encrypted is, en je tonnen verlies loopt, of zelf failliet gaat, indien je de schade accepteert, en niet betaalt (danwel geen decryptie tool kan vinden).

Het is wel gemakkelijk te roepen dat je niet moet reageren, hoe zou jij het probleem oplossen indien je ondernemer bent, en het voortbestaan van je bedrijf op het spel staat ?

Zou je dan denken ''ik laat nog liever mijn bedrijf failliet gaan, dan dat ik met criminelen in zee ga." ? Of zou je een kosten/baten afweging maken alvorens je een besluit neemt ?
28-10-2014, 16:59 door Anoniem
Door Anoniem:
Slachtoffers van ransomware van wie de bestanden voor losgeld zijn versleuteld krijgen vaak van politie en beveiligingsbedrijven het advies om het gevraagde bedrag niet te betalen, maar volgens IT-beveiliger Palo Alto Networks kan het wel degelijk helpen bij het terugkrijgen van de bestanden.

Klopt, al zal je ook op een lijst betalende slachtoffers terecht komen, waardoor de kans dat je opnieuw doelwit wordt reeel is.

Nee,
dat is het andere deel van het marketingpraatje van p&b .

Daar kan je net zo overtuigend deze aanname tegenover zetten; een gewaarschuwd mens of bedrijf telt voor twee, let na een dergelijk voorval beter op en zou daarmee zou juist minder risico moeten lopen, hoeveel je ook extra gespamd wordt omdat je een keer hebt betaald.
Je gaat er daarbij ook nog vanuit dat deze lijsten worden uitgewisseld en verhandeld.
Dat lijkt zeker een lucratieve aanpak, twee keer cashen, of het al zo werkt is maar de vraag.

De werkelijke oplossing ligt in kansen wegnemen door;

- Gebruikers leren en motiveren hun digitale spullen up to date te houden.
- Gebruikers leren hoe en waarop te letten!

Niet achteraf wat roepen, niet mensen bangmaken, maar goede accurate praktische Preventie dus!
28-10-2014, 17:14 door Anoniem
Door Anoniem: @ Erik :
Het is wel gemakkelijk te roepen dat je niet moet reageren, hoe zou jij het probleem oplossen indien je ondernemer bent, en het voortbestaan van je bedrijf op het spel staat ?
Ik zou een beroep doen op de back-up die ik zou hebben van informatie waar het voortbestaan van mijn hypothetische bedrijf van af hangt
29-10-2014, 17:55 door Erik van Straten - Bijgewerkt: 29-10-2014, 18:10
Door Anoniem: @ Erik :

"Vergelijkbaar, als niemand op spam, phishing en andere fake mails zou reageren, waren die problemen ook snel de wereld uit. De praktijk wijst uit dat je dit soort problemen niet oplost met waarschuwen om niet met criminelen in zee te gaan."

Tuurlijk, alleen heb je daar bar weinig aan indien je bedrijfsadministratie encrypted is, en je tonnen verlies loopt, of zelf failliet gaat, indien je de schade accepteert, en niet betaalt (danwel geen decryptie tool kan vinden).

Het is wel gemakkelijk te roepen dat je niet moet reageren, hoe zou jij het probleem oplossen indien je ondernemer bent, en het voortbestaan van je bedrijf op het spel staat ?

Zou je dan denken ''ik laat nog liever mijn bedrijf failliet gaan, dan dat ik met criminelen in zee ga." ? Of zou je een kosten/baten afweging maken alvorens je een besluit neemt ?
Je hebt mij duidelijk niet begrepen. Ik bedoel: het zou fantastisch zijn als niemand losgeld zou betalen (of op spam reageren etc.), maar in de praktijk houdt dat geen stand - precies om de redenen die jij noemt.

Ik probeer hier neutraal in te staan, maar -ter illustratie- ik vond het destijds wel interessant om eens uit te zoeken of betalen zin heeft (zie https://www.security.nl/posting/398737/Synolocker+losgeld+betalen%3F).

Door Anoniem: Ik zou een beroep doen op de back-up die ik zou hebben van informatie waar het voortbestaan van mijn hypothetische bedrijf van af hangt
Er kan best een paar dagen overheen gaan voordat je ontdekt wat er aan de hand is. Als je alleen maar een online backup hebt bestaat de kans dat daarin ook al versleutelde bestanden zitten. Sterker, als die online back-up bereikbaar is vanuit je bedrijf, loop je het risico dat je ook die helemaal kwijtraakt (zie bijv. https://www.security.nl/posting/392276/Bedrijf+sluit+deuren+nadat+aanvaller+alle+data+verwijdert).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.