Ransomware laat slachtoffers door fout bestanden terughalen
Een nieuwe ransomware-variant die eind januari voor het eerst verscheen en de afgelopen maand steeds actiever werd blijkt een fout te maken waardoor slachtoffers zonder te betalen hun bestanden kunnen terughalen. Het gaat om de Threat Finder-ransomware, die zich verspreidt via kwetsbaarheden in Java, Adobe Flash Player en Microsoft Silverlight die niet door internetgebruikers zijn gepatcht.
Zodra de ransomware actief is versleutelt die allerlei bestanden en vraagt hier 1,25 bitcoins voor, wat met de huidige wisselkoers 259 euro is. Een onderzoeker van Bleeping Computer ontdekte dat de ransomware de Shadow Volume Copies niet van de computer verwijdert, waardoor het mogelijk is om de bestanden via de "Previous options" van Windows kan herstellen, of via een tool als Shadow Explorer.
Dat team van BC, net zoals van vele andere hulpfora, wordt ondersteund / aangestuurd / opgeleid via:
http://uniteagainstmalware.com/
MvG een (inactief) erkend helper.
Wel vraag ik me af hoe jullie collegae IT'ers hiermee om gaan. Wij gebruiken Brightmail van Symantec en Gdata bij de clients. Gebruikers zijn verder geen local admin. Vooral via email fietsen al die virussen er de eerste keer vrolijk doorheen. Gebruikers openen een verpakte exe in de bijlage en de shares waar hij of zij schrijf toegang toe hebben worden versleuteld. Wat doen jullie extra om dit te voorkomen>
Een tool die je kan helpen is Crypto Prevent. Zie http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information#cryptoprevent voor meer informatie.
Verder blokkeren we in de inkomende email nu zip-files met uitvoerbare bestanden, maar zoals een "slimme gebruiker" hier laatst opmerkte wist ie dat te omzeilen door Wetransfer te gebruiken. Het is dus een kwestie van tijd dat je een wetransfer krijgt met een cryptolocker variant er in.
Wel vraag ik me af hoe jullie collegae IT'ers hiermee om gaan. Wij gebruiken Brightmail van Symantec en Gdata bij de clients. Gebruikers zijn verder geen local admin. Vooral via email fietsen al die virussen er de eerste keer vrolijk doorheen. Gebruikers openen een verpakte exe in de bijlage en de shares waar hij of zij schrijf toegang toe hebben worden versleuteld. Wat doen jullie extra om dit te voorkomen>
Zorg dat je een Applocker/Software Restriction policy configureerd die zo is ingesteld dat je gebruikers alleen executables
kunnen uitvoeren vanaf vaste locaties waar ze niet kunnen schrijven. Zodat ze geen executable kunnen aanklikken in een
mailbijlage (al dan niet via zip), een usb stick, een CD, etc.
Je kunt een hele boom van restricties aanmaken bijv:
C:\ wel
C:\Documents and Settings niet
C:\Users niet
de rest niet
Of als je geen oude software hebt kun je ook iets doen als:
C:\Windows wel
C:\Program Files wel
C:\Program Files (x86) wel
de rest niet
Op die manier voorkom je dat gebruikers software uitvoeren die je niet geinstalleerd hebt. Ook dingen als bijvoorbeeld
TeamViewer wat rechtstreeks van een site uitgevoerd wordt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
