image

Cryptolocker besmet 200 computers van Vrije Universiteit

maandag 9 maart 2015, 15:02 door Redactie, 5 reacties

De Cryptolocker-ransomware heeft 200 computers van de Vrije Universiteit Amsterdam (VU) geïnfecteerd, zo laat een woordvoerster van de universiteit aan Security.NL weten. "Het Cryptolockervirus waart rond op ons netwerk", aldus Aukje Schep. Op Twitter plaatste Rickey Gevers een screenshot van de waarschuwing die onder personeel en studenten werd verspreid. De schade zou dankzij een goed back-upbeleid echter minimaal zijn. De malware verspreidt zich via e-mailbijlagen en versleutelt bestanden op computers voor losgeld. Om de impact van de ransomware tegen te gaan besloot de VU het netwerk dit weekend op "read-only" te zetten.

Bij scans die de IT-afdeling uitvoerde werden vorige week meerdere besmette werkplekken ontdekt. Zodra er een infectie werd aangetroffen werd de computer en het bijbehorende account tijdelijk geblokkeerd. Vervolgens werd de malware verwijderd en een back-up van de avond ervoor teruggeplaatst, waarna de computer en het account weer werden vrijgegeven. Doordat de VU back-ups maakt zou de schade of kans op dataverlies minimaal zijn. Er zouden nog geen studenten of werknemers zich hebben gemeld die door de ransomware bestanden zijn verloren.

Afgelopen weekend besloot de technische dienst het netwerk op read-only te zetten, zodat het virus zijn werk niet kon doen. "En de IT-afdeling meer slagkracht had om alles schoon te krijgen", merkt Schep op. Bij de VU wordt veel met groepsschijven gewerkt, waar studenten hun documenten opslaan. "Nu is het afwachten hoe het zich verspreidt. Het virus muteert ook continu. Onze IT-afdeling is er alert op dat het ook op andere plekken kan opduiken." Bij 200 computers werd Cryptolocker uiteindelijk aangetroffen.

E-mails

"Het ingewikkelde is dat het virus zich steeds muteert. In het begin werd er gewaarschuwd voor mails van onbekende afzenders of vreemde links. Maar het lijkt er nu toch ook op dat het zich kan koppelen aan mails van collega's. Daarom wordt er ook continu gescand. Het is dus niet voldoende om alleen vreemde mails buiten te houden, want het lijkt zichzelf te muteren."

Het is op dit moment onduidelijk of het studenten of werknemers waren die in eerste instantie de besmette e-mails openden. Toen de eerste infecties via Cryptolocker opdoken besloot de VU op verschillende manieren voor de ransomware te waarschuwen. "Er wordt door de beveiligingssystemen al heel veel buitengesloten. In een organisatie zoals een universiteit is het onmogelijk om alles uit te sluiten. Dus daar moet een balans in worden gezocht."

Virusscanner

Het netwerk is inmiddels weer van read-only afgehaald. Daarnaast kijkt de VU ook naar een nieuw type virusscanner dat mogelijk als aanvulling moet gaan dienen, maar details hierover zijn nog niet bekend. Volgens Schep zou het niet de eerste keer zijn dat de VU met ransomware te maken krijgt. Een aantal maanden geleden zouden zich enkele geïsoleerde gevallen hebben voorgedaan. "Maar die hebben toen geen effect gehad en dat was vrij snel opgelost."

Image

Reacties (5)
09-03-2015, 16:07 door Anoniem
"Het netwerk op read-only zetten." Ge-wel-dig. Ja, ik begrijp dat ze bedoelen dat dan je bestandsdeelservers schrijfacties weigeren, maar je collectie (windows)kompjoetormasjientjes in z'n geheel maar "het netwerk" noemen blijf ik een affront vinden.
09-03-2015, 16:57 door [Account Verwijderd]
Gebruikers snappen iets anders dan "het netwerk" niet.

Of denk je dat je zou moeten melden "dat de write/change rights geblokkeerd zijn op de shares die zich op de diverse MSA's bevinden"..

Van ICT wordt duidelijk leesbare taal verwacht en "het netwerk" dekt de lading precies voor de doorsnee gebruiker.
09-03-2015, 18:51 door [Account Verwijderd] - Bijgewerkt: 09-03-2015, 18:52
[Verwijderd]
09-03-2015, 19:40 door Anoniem
Door NedFox: Gebruikers snappen iets anders dan "het netwerk" niet.
[...]
Van ICT wordt duidelijk leesbare taal verwacht en "het netwerk" dekt de lading precies voor de doorsnee gebruiker.
Tijd om daar eens wat aan te doen. Want je hebt wel gelijk maar het resultaat is dat de ICT zichzelf er alsnog mee in de vingers snijdt. "Het netwerk is stuk!" en meer van dat soort onduidelijk gejammer. Dat betekent dus dat "het netwerk" inderdaad toch niet goed genoeg is, en allerlei hopeloos technische termen ook niet. Er zal dus preciezer maar net zo goed niet te technisch benoemd moeten worden. En "de gebruikers" zullen dat moeten aanleren. Communiceren is geen eenwegverkeer, weet je.
10-03-2015, 13:28 door Anoniem
Het probleem is dat gebruikers het nooit leren ! Niet dat je er energie in moet stoppen, want dar wordt wel gedaan. Maar de verleiding is vaak groot om er toch op te klikken !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.