image

Aanpassing Windowsregister voorkomt infectie ransomware

donderdag 24 maart 2016, 10:38 door Redactie, 14 reacties
Laatst bijgewerkt: 24-03-2016, 11:23

De Locky-ransomware was de afgelopen weken regelmatig in het nieuws omdat het allerlei organisaties en gebruikers infecteerde, waarop de de Duitse overheid en Microsoft met waarschuwingen kwamen, maar volgens onderzoeker Sylvain Sarméjeanne is de ransomware eenvoudig te neutraliseren.

Sarméjeanne onderzocht de ransomware, die allerlei bestanden op computers voor losgeld versleutelt. Zo blijkt Locky computers met een Russische taalinstelling niet te infecteren. Het aanpassen van de taalinstelling kan een infectie dan ook voorkomen, maar is volgens de onderzoeker voor de meeste mensen niet werkzaam. Het aanpassen van het Windowsregister is dat mogelijk wel. Voordat Locky bestanden gaat versleutelen worden er namelijk eerst bepaalde waardes in het Windowsregister gecontroleerd.

Na het controleren van de taalinstelling probeert Locky een registersleutel in het Windowsregister aan te maken. Als die sleutel echter al aanwezig is, stopt Locky met werken. Is de sleutel niet aanwezig, dan wordt die door Locky aangemaakt en controleert de ransomware vervolgens andere waardes in het Windowsregister. Het aanmaken van deze waardes zorgt er wederom voor dat Locky stopt en geen bestanden versleutelt. Een andere oplossing die het versleutelen voorkomt is het toevoegen van informatie in het Windowsregister die Locky voor de encryptiesleutel gebruikt.

"De afgelopen weken heeft Locky voor veel problemen gezorgd, maar er zijn eenvoudige maatregelen die wanneer ingeschakeld voorkomen dat bestanden worden versleuteld, zonder dat hier anti-virussoftware of securitytools aan te pas komen", aldus Sarméjeanne. Eerder stelde ook de Oostenrijkse beveiligingsexpert Robert Penz dat infecties via Locky door het volgen van verschillende algemene beveiligingsprocedures eenvoudig zijn te voorkomen.

Reacties (14)
24-03-2016, 10:44 door [Account Verwijderd]
[Verwijderd]
24-03-2016, 10:58 door Anoniem
Door MAC-user: Okee, maar misschien zou het dan raadzaam zijn de Register instellingen door te geven?
Windows-gebruikers zouden daar dankbaar voor zijn.

Of een windows update die het aanpast en dus conform Microsoft standards houdt.

Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
24-03-2016, 11:53 door Anoniem
Je mag hopen dat nieuwe versies van Locky niet op deze specifieke oplossingen controleren, en de gebruiker vervolgens extra benadelen door 'als straf' geen decryptie tegen betaling aan te bieden.
Ik vertrouw daarom in de eerste plaats niet op dergelijke oplossingen, maar gebruik goede beveiligingssoftware.
24-03-2016, 15:31 door Anoniem
Door Anoniem:
Door MAC-user: Okee, maar misschien zou het dan raadzaam zijn de Register instellingen door te geven?
Windows-gebruikers zouden daar dankbaar voor zijn.

Of een windows update die het aanpast en dus conform Microsoft standards houdt.

Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
En kun je voor de volledigheid ook uitleggen hoe je dat doet...?
24-03-2016, 17:05 door Anoniem
Door Anoniem:
Door Anoniem:
Door MAC-user: Okee, maar misschien zou het dan raadzaam zijn de Register instellingen door te geven?
Windows-gebruikers zouden daar dankbaar voor zijn.

Of een windows update die het aanpast en dus conform Microsoft standards houdt.

Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
En kun je voor de volledigheid ook uitleggen hoe je dat doet...?

Natuurlijk kan ik dat.
Je kan op basis van GPO dit blokkeren :
Computer Configuration > Policies > Windows Settings > Security Settings > Software Restriction Policies
Zet daar dan een juiste disallow regel op en klaar.
24-03-2016, 18:22 door Heffy
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door MAC-user: Okee, maar misschien zou het dan raadzaam zijn de Register instellingen door te geven?
Windows-gebruikers zouden daar dankbaar voor zijn.

Of een windows update die het aanpast en dus conform Microsoft standards houdt.

Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
En kun je voor de volledigheid ook uitleggen hoe je dat doet...?

Natuurlijk kan ik dat.
Je kan op basis van GPO dit blokkeren :
Computer Configuration > Policies > Windows Settings > Security Settings > Software Restriction Policies
Zet daar dan een juiste disallow regel op en klaar.

Beste,
Ik ben niet bekend met het aanmaken van policies.
Zou je de bewuste disallow regel hier dan ook even kunnen weergeven.

Bij voorbaat dank,
Heffy
24-03-2016, 19:32 door karma4 - Bijgewerkt: 24-03-2016, 19:35
Door Heffy: Heffy
Ik begin die anoniem met zijn %temp% comments te begrijpen. https://blog.windowsnt.lv/2011/06/01/preventing-malware-with-srp-english/ - https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.
24-03-2016, 22:33 door Heffy
Door karma4:
Door Heffy: Heffy
Ik begin die anoniem met zijn %temp% comments te begrijpen. https://blog.windowsnt.lv/2011/06/01/preventing-malware-with-srp-english/ - https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.

Beste karma4,
Dank voor je reactie en link(s).

Echter weet ik hierdoor nog steeds niet wat te doen.
mijn technisch Engels is niet je van het

Waar doe ik nu goed aan ..???
De bovenstaande register vermelding doorvoeren of moet ik de policies aan gaan passen of wellicht beide...

Wie het weet, graag een reactie met een direct uitvoerbare oplossing (indien mogelijk...)

Ik ben een dagelijkse bezoeker van Security.nl, echter wanneer er opgetreden kan worden tegen malware, virussen etc. zouden de reacties wellicht duidelijker kunnen zijn.

Als bezoeker van Security.nl zijn we niet altijd bekend met de verfijnde technieken mogelijk in de mate van een c.q. systeembeheerder o.i.d.

Graag zie ik dan een passende én (indien mogelijk) direct uitvoerbare oplossing als reactie..

Alvast bedankt..
25-03-2016, 10:55 door Anoniem
Door karma4:
Door Heffy: Heffy
Ik begin die anoniem met zijn %temp% comments te begrijpen. https://blog.windowsnt.lv/2011/06/01/preventing-malware-with-srp-english/ - https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.

Hier denk ik dat het komt op een meningsverschil.

Het is een tijdelijke folder in mijn ogen, daar hoort niets uit uitgevoerd te worden lijkt mij.
Wanneer de installer daar andere processen plaatst die het wil uitvoeren, dan zou ik daar niet blij mee zijn.
Als het nou bestanden plaatst welke het later zal verplaatsen omdat de bestanden noodzakelijk zijn voor de installatie, dan is het prima maar dan is er ook geen executie uit deze folder.

Ik snap jouw standpunt zeker en dat zal ook het standpunt zijn van de meeste, wat begrijpelijk is.
Ergens zal je toch een balans moeten vinden tussen gebruikersgemak en security.
Die ligt denk ik per gebruiker anders.
25-03-2016, 14:19 door Anoniem
Door Anoniem:
Door karma4:
Door Heffy: Heffy
Ik begin die anoniem met zijn %temp% comments te begrijpen. https://blog.windowsnt.lv/2011/06/01/preventing-malware-with-srp-english/ - https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.

Hier denk ik dat het komt op een meningsverschil.

Het is een tijdelijke folder in mijn ogen, daar hoort niets uit uitgevoerd te worden lijkt mij.
Wanneer de installer daar andere processen plaatst die het wil uitvoeren, dan zou ik daar niet blij mee zijn.
Als het nou bestanden plaatst welke het later zal verplaatsen omdat de bestanden noodzakelijk zijn voor de installatie, dan is het prima maar dan is er ook geen executie uit deze folder.

Ik snap jouw standpunt zeker en dat zal ook het standpunt zijn van de meeste, wat begrijpelijk is.
Ergens zal je toch een balans moeten vinden tussen gebruikersgemak en security.
Die ligt denk ik per gebruiker anders.


Aan Heffy,

Sommige dingen zijn nou eenmaal technisch en lastiger uit te voeren, meestal is het zoeken op google naar vergelijkbare policys wel een goede oplossing.
Een andere is software gebruiken die dergelijk gedrag in de basis kunnen uitsluiten.

https://kc.mcafee.com/corporate/index?page=content&id=PD26383

Het niet toestaan dat er uitvoerbare bestanden uit de %temp% map worden uitgevoerd kan er ook toe leiden dat er security updates niet worden uitgevoerd van bv Flash, ook dit is natuurlijk wel op te lossen door hier packages van te maken, maar voor de gewone gebruiker die minder technisch onderlegd is lastig uit te voeren.

Maar een in de basis een goed gemaakte policy, of een regel in security software, kan een uitbraak van "locky" redelijk simpel voorkomen.

Om iets op een systeem aan te passen zal namelijk een uitvoerbaar bestand moeten worden gebruikt, de %temp% map van Windows is hiervoor de makkelijkste locatie, iedere gebruiker heeft hiervoor namelijk de juiste rechten.
25-03-2016, 17:13 door Anoniem
Je kan met windows verkenner naar %temp% = C:\Users\[gebruikersnaam]\AppData\Local\Temp gaan en dan met de rechtermuisknop de eigenschappen van de map oproepen. Vandaar uit kan je de map dicht zetten voor uitvoeren. Tegelijkertijd zet je hem ook dicht voor lezen. Er zijn bona fide applicaties die %temp% gebruiken en die dan niet meer werken, bijvoorbeeld axcrypt (een handige encryptie app).
25-03-2016, 20:04 door karma4
Door Heffy:
Ik ben een dagelijkse bezoeker van Security.nl, echter wanneer er opgetreden kan worden tegen malware, virussen etc. zouden de reacties wellicht duidelijker kunnen zijn.
Als bezoeker van Security.nl zijn we niet altijd bekend met de verfijnde technieken mogelijk in de mate van een c.q. systeembeheerder o.i.d.
Graag zie ik dan een passende én (indien mogelijk) direct uitvoerbare oplossing als reactie..
Alvast bedankt..

Heffy je hebt helemaal gelijk. De vele reacties van ogenschijnlijk technische goed opgeleiden maakt me te veel blind voro de mensen die juist geholpen zijn met meeme eenvoudig te begrijpen tekst.
-de toegang rechten op een map is niet het zelfde als deze SRP (Software Restriction Policies)
- de via een shared resource (werk/zaak) is weer iets anders/
Het is een behoorlijk lasting iets al die nuances goed gescheiden te houden. Ik kende de optie niet todat ik vond door de terugkerende opmerkingen van die anoniem. Een Automatiscj naar nederlands vertaalde pagina (gruwel) is [ur] https://technet.microsoft.com/nl-nl/library/hh994620.aspx [/url]. De doelgroep zijn professional omgevingen met beheerders (windows professional). Nu zijn de systemen dusdanig identiek dat het ook op een home edition zou moeten kunnen.
werken. Nu moet ik bekennen dat ik niet de thuis gebruiker ben met die hobby van tweaken.

Wat ik nog wel terug kan vinden is dat: -/ het met windows 10 applocker CSP heet -/ nog alleen engelstalige referenties heeft. Niet alles is altijd beschikbaar https://www.microsoft.com/nl-nl/WindowsForBusiness/Compare sigh...
26-03-2016, 10:20 door Anoniem
De eerste preventieve maatregel (het vooraf aanmaken van de register sleutel 'HKEY_CURRENT_USER/Software/Locky') werkt inmiddels al niet meer!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.