Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Verdediging tegen (offline) ransomware

06-11-2015, 09:03 door Anoniem, 11 reacties
Op het moment gebruik ik offline VHD's die versleuteld zijn met bitlocker.

Nu er ransomware is die ook offline bestanden kan versleutelen denk ik dat die VHD's niet veilig zijn omdat die als bestand zichtbaar en versleutelbaar zijn door de ransomware.

Ik lees hier regelmatig over veracrypt/truecrypt. Is het daarmee wel mogelijk dat er geen bestand zichtbaar is wat door de ransomware versleuteld kan worden? Zijn er nog meer manieren die de mogelijkheid tot encrypten blokkeren voor ransomware die mogelijk ook elevation tot admin in zich heeft?

Stel dat dit wel zo is, dan is het grappige wel weer dat je jezelf verdacht moet maken omdat je jezelf tegen criminelen probeert te beschermen.
Reacties (11)
06-11-2015, 12:16 door Anoniem
Ik zou je computer uitschakelen en nooit maar aanzetten. Das de perfecte manier om je zelf te beveiligen hiertegen.
06-11-2015, 13:10 door Anoniem
Door Anoniem: Ik zou je computer uitschakelen en nooit maar aanzetten. Das de perfecte manier om je zelf te beveiligen hiertegen.
Type machine FTW!
06-11-2015, 17:52 door Anoniem
"Hoe kan iets dat virtueel is, dus schijnbaar bestaat, nou slachtoffer worden van misbruik en hoe kan je dat voorkomen?"

Door het nog virtueler te maken misschien?
De .vhd extensie vervangen door een virtuele niet bekende extensie als ".disgrtvsjedk" en pas wijzigen in de juiste .vhd extensie als je haar echt nodig hebt?
Of zou ransomeware niet naar de extensie kijken maar naar een ingebakken specificatie?

Gebruik van aparte externe hd's voor je .vhd's nog een oplossing?
07-11-2015, 11:08 door Briolet
Door Anoniem: Ik lees hier regelmatig over veracrypt/truecrypt. Is het daarmee wel mogelijk dat er geen bestand zichtbaar is wat door de ransomware versleuteld kan worden?

Als ik schrijven van ransomware was, zou ik juist beginnen met het versleutelen van de veracrypt/truecrypt containers omdat daar waarschijnlijk de waardevolste data in staat.
09-11-2015, 09:54 door Anoniem
Maakt niet uit in wat voor soort container je het plaatst. Als de malware maar geavanceerd genoeg is, kan het gaan versleutelen.

Het enige waterdichte advies?
Dagelijks incrementeel backups laten uitvoeren van je VHD's. Is de VHD gewijzigd, dan wordt er binnen 24 uur een backup van gemaakt. Je maximale dataverlies is dan 24 uur aan bewerkingen.
09-11-2015, 15:24 door Anoniem
Ik had even de hoop dat iemand met kennis van veracrypt in een minuut het antwoord had kunnen geven dat mij 1,5 uur werk had bespaard.

Het antwoord is dus nee.
De verborgen containers/volumes waarover wordt gesproken zijn containers die worden gemaakt binnen een andere container die net als een VHD zichtbaar blijft als bestand. De buitenste container is daarmee kwetsbaar voor ransomware omdat de gebruiker die deze koppelt modify rechten op de container moet hebben om bestanden die binnen de container staan te kunnen bewerken.

Het idee waar ik mee speelde was om data te verdelen over meerdere VHD's en alleen de relevante VHD's te mounten voor de bewerkingen die je wilt uitvoeren. In die situatie wil je voorkomen dat ransomware de VHD's zou kunnen encrypten die niet gemount zijn maar dat gaat blijkbaar niet. Met verschillende gebruikers accounts werken helpt maar beperkt omdat veel malware in staat is om zichzelf admin te maken.

De enige oplossing is een fysieke scheiding van OS en data. Kortom harddisks eruit. Live-OS met quarantaine/staging area en een HDD dock/duplicator aan de buitenkant.

Data scheiden op losse encrypted HDD's en die regelmatig klonen op een 2e schijf met de dock/duplicator

Maakt wel dat al die oudere <1TB schijven ineens weer bruikbaar worden
09-11-2015, 16:19 door Anoniem
Door Anoniem: Ik had even de hoop dat iemand met kennis van veracrypt in een minuut het antwoord had kunnen geven dat mij 1,5 uur werk had bespaard.

Het antwoord is dus nee.
De verborgen containers/volumes waarover wordt gesproken zijn containers die worden gemaakt binnen een andere container die net als een VHD zichtbaar blijft als bestand. De buitenste container is daarmee kwetsbaar voor ransomware omdat de gebruiker die deze koppelt modify rechten op de container moet hebben om bestanden die binnen de container staan te kunnen bewerken.

Het idee waar ik mee speelde was om data te verdelen over meerdere VHD's en alleen de relevante VHD's te mounten voor de bewerkingen die je wilt uitvoeren. In die situatie wil je voorkomen dat ransomware de VHD's zou kunnen encrypten die niet gemount zijn maar dat gaat blijkbaar niet. Met verschillende gebruikers accounts werken helpt maar beperkt omdat veel malware in staat is om zichzelf admin te maken.

De enige oplossing is een fysieke scheiding van OS en data. Kortom harddisks eruit. Live-OS met quarantaine/staging area en een HDD dock/duplicator aan de buitenkant.

Data scheiden op losse encrypted HDD's en die regelmatig klonen op een 2e schijf met de dock/duplicator

Maakt wel dat al die oudere <1TB schijven ineens weer bruikbaar worden

De kans op ransomware is ook heel klein als je een beetje goed oplet, meeste komt door files die als bijlagen door bv een phising-mail word mee gestuurd.
Ransomware is meer bangmakerij en als je gewoon offline backups maakt elke dag dan is er niks aan de hand denk hieraan een extra firewall en OS hardening te gebruiken met Linux, en stel een soort auth om inteloggen.
09-11-2015, 17:32 door Anoniem
Door Anoniem: Ik zou je computer uitschakelen en nooit maar aanzetten. Das de perfecte manier om je zelf te beveiligen hiertegen.
Dan zou men dus capituleren voor die cybercrimelen,dan hebben zij dus gewonnen.Niks ervan! No surrender! Harde aanpak vd cybercriminelen,dat is wat de EU burgers eisen van de nationale en internationale autoriteiten!
09-11-2015, 22:08 door Anoniem
vermijden dat bestanden schrijfrechtenkrijgen. scherm netwerken af. maak op juiste manier backups. gebruik webmail, zodat je minder gemakkelijk bijlagen opent en omdat spamfiltering van webmail beter is omdat de massa die ze kunnen gebruiken voor screening groter is.
10-11-2015, 22:30 door Anoniem
Het veiligst is volgens mij je backup schijven e.d. gewoon niet met internet verbonden hebben... en als je een backup maakt gewoon het internet even er uit.. uiteindelijk zit de beste virusscanner tussen het toetsenbord en in de stoelleuning :)
16-11-2015, 14:19 door EKTB - Bijgewerkt: 16-11-2015, 14:20
Backups en snapshots, dat laatste bij voorkeur via ZFS of BTRFS en natuurlijk ECC geheugen.

Is het nou zo moeilijk, guy?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.