Hij heeft gelijk dat het niets nieuws is. Er worden dagelijks kwaadaardige Word macro's verstuurd en dat gebeurt al lange tijd. De Word/Excel macro revival is al weer een paar jaar geleden gestart.

Maar, ik hamer er maar weer eens op: er zijn ook malware verstuurders die proberen door scanners te komen met MIME exploits en mso. Alleen het blokkeren van macro's met standaard tools op de mail scanners is niet voldoende omdat de macro's niet altijd als zodanig worden herkend (embedding in MIME, ActiveMime).

Snapnie

http://robert.penz.name/1252/stop-panicking-about-the-locky-ransomware/
this guy is hyped that much!

- de markt is niet statisch en bestaat niet alleen uit zakelijke gebruikers, voor nieuwe particuliere gebruikers en de oude met onvoldoende kennis van zaken is het nog steeds heel erg schrikken als de boel op slot gaat.
Die paniek is niet overdreven, wel als je als onderzoeker oogklepjes op hebt voor de zorgen van anderen.

- de gegeven adviezen zijn over het algemeen zinnig maar wederom weer gericht op zakelijke gebruikers die wel automatiseringsbudget hebben.
De kleinzakelijke gebruikers (en zelfs zpp-ers*) die over het algemeen een dankbaar target zijn hebben over het algemeen minder kennis in huis en zullen een aantal simpele adviezen niet begrijpen noch implementeren.

De adviezen zijn dan ook een herhaling van wat je vaker hoort, bijna cliché eigenlijk, had dan nog wat extra toegevoegde waarde eraan gegeven en de adviezen gekoppeld aan een uitleg of link naar hoe dat eventueel te kunnen doen!
Maar nee.

- Nou, ja een beetje dan : Tornetwerk blokkeren : hoera! 'goed' punt (?).
Om te beginnen doet hij het zelf (nou,ja Cloudflare dan weer) niet honderd procent, dat vond ik voor de gelegenheid wel handig want dan kan ik tenminste zijn content lezen.
Sluit je je lezers af heb je ook een kleiner bereik. But who cares about that?

Ja waarom eigenlijk wel of niet?
En hoe moet dat dan met particuliere gebruikers?
En vooral ook welke (verborgen) stellingen liggen hieraan dan ten grondslag?

Even verder kijken

Ah

Dat is eigenlijk wel een interessante dubbele aanname maar klopt het ook?
Wat ik uit het nieuws begrijp is dat in geval van ransomeware infecties nog wel eens gebruik gemaakt wordt van Tornetwerk (verschuift naar i2p) als het gaat om het moeten betalen (!) van losgeld in bitcoins.

Dat is heel wat anders als een attack uitvoeren en aanvullende software code downloaden via command and control servers. Daar lees ik namelijk heel weinig over als het gaat om echte onderbouwing en vooral ook niet te vergeten percentages waarin dat dan gebeurt. Hoewel alle kleine beetjes helpen is het wel van belang om te kijken in hoeverre iets ook echt meer dan af en toe voorkomt.

Stelling : Tornetwerk wordt wel met regelmaat gebruikt voor ransomeware betalingen (net zoals i2p techniek) maar eigenlijk niet voor het aanvullend binnenhalen van de malware code.
Malware code wordt over het algemeen helemaal niet gehost op het tornetwerk maar op het gewone internet onder een tijdelijk domein.
Er wordt wel hier en daar gesproken over attacks via Tornetwerk maar eigenlijk wordt
er vrijwel nooit gedefinieerd wat die attacks dan exact inhouden en vooral ook waar ze vandaan komen en hoe vaak dat dan voorkomt.

Blokkeer je Tornetwerk in je router dan lijkt dat allerminst een garantie voor (veel) meer veiligheid maar zit je jezelf hooguit in de weg als je na een besmetting moeten betalen op een webadres op het Tornetwerk (wat niet te hopen is).

Het opmerkelijke daarbij is dan ook nog een keer dat blokkades van het Tornetwerk op heel merkwaardige wijze zeer landgebonden zijn, waarbij juist soms sprake is van het helemaal niet blokkeren terwijl je dat wel enigszins zou mogen verwachten.

Tornetwerk anti-blokkade raadseltje
https://www.security.nl/posting/461367/Webfilter+Geo+Policies%3A+Rusland+%28%3F%29

Afsluitend, buiten sommige aannames die allerminst bewezen zijn,
wat hebben we aan een dergelijk bericht met de zoveelste optelsom van bekende maatregeltjes van deze (nieuwe) onderzoeker aan het nieuws-firmament?
Zouden sysjes in de markt dit echt veelal niet weten?


* Ik zie in menig openbare koffieplaats dat het met de veiligheid van zzp-ers enigszins goed gesteld is. Niet vanwege de (niet vermoede) meest veilige configuratie maar wel vanwege een soort hardware (en bijbehorend OS) dat erg geassocieerd wordt met 'goed voor de dag komen'. Dat is dan weer een hele geruststelling wat betreft onder andere het fenomeen ransomeware, want ik betwijfel sterk of alle dametjes en heertjes wel netjes regelmatig of überhaupt backupjes maken. Dat hoeft dan voor dit fenomeen nog even niet maar is daarnaast wel heel erg verstandig. Stond dat eigenlijk tussen de adviezen van onze adviesrijke man uit het oosten?

Computergebruikers zijn gewend om niet na te denken voor ze ergens op klikken en in veel gevallen levert klikken een beloning op door te krijgen wat ze willen. Als ze al een waarschuwing krijgen dan blokkeert die nauwelijks omdat dat niet klantvriendelijk is. Mensen willen gewoon graag klikken en een beloning.
En genoeg gebruikers weten niet meer, of hebben nooit geweten, wat macro's zijn.
Dat zijn wel de hoofdredenen waarom in het jaar 2016 criminelen zelfs nog succesvol 'terug'grijpen naar macro's.

Lol, ik schrijf in opdracht van bedrijven MACRO's en VBA gedreven Excel files.

Soms draven sommige experts ook een beetje door.

Pot verwijt de ketel verhaal dus.

'Locky', klinkt heel erg als een benaming gegeven door een hollands scriptkiddiepubertje.

Ik zie geen pot en ketel. Macro's van buiten zijn verdacht en je kunt ze maar beter blokkeren by policy.

Dat is staande best practice sinds WM97/Melissa wereldwijd op grote schaal bedrijven platlegde in 1999. 17 jaar geleden alweer, ik kan me die dag nog goed voor de geest halen en ik ken de datum uit mijn hoofd: vrijdag 26 maart.

Vrijdag 26 maart 1999??
Is dat toevallig ook de dag dat een vlot ingestelde blokkade onder dreiging van het verder platleggen van de omgeving, en daarmee op een lokaal ongewenst rampje dreigde uit te lopen, snel werd opgelost met een vlotte kleine wijziging
en alsnog leidde tot gewenste spoedige doorgang naar pril en jong geluk?
Eind goed al goed, we noemden hem,
Marco.

word? excel? Over overhyped gesproken...

Ik heb nog nooit een virus in mijn LaTeX files gezien, dus laten we dat voorlopig nog maar blijven gebruiken....

Wanneer het zogenaamde locky virus via de mail op een iphone geopend wordt, is het dan mogelijk dat dit zich dan alsnog verspreid via netwerk of wanneer de iphone met lightning kabel met de computer verbonden wordt? Naar mijn idee is de iphone hiertegen beveiligd maar kan iemand daar bevestiging op geven?