image

Ransomware nu ook verspreid via snelkoppelingen

donderdag 4 augustus 2016, 11:22 door Redactie, 13 reacties

Onderzoekers waarschuwen voor een nieuwe methode die door ransomware wordt gebruikt om zich te verspreiden, namelijk snelkoppelingen. Snelkoppelingen, in Windows weergegeven als LNK-bestand, kunnen namelijk ook worden gebruikt om code uit te voeren, zoals het downloaden van malware.

Daarnaast kunnen ze van een misleidende naam en icoon worden voorzien, zodat gebruikers bijvoorbeeld denken dat ze met een pdf-document te maken hebben. Het probleem wordt vergroot doordat Windows de extensie van LNK-bestanden niet toont, ook als gebruikers het weergeven van bestandsextensies in Windows hebben ingeschakeld. In de nu waargenomen aanvallen worden de snelkoppelingen gebruikt voor het downloaden van ransomware. Om de LNK-bestanden te verspreiden wordt er van e-mail gebruik gemaakt.

Het Britse anti-virusbedrijf Sophos waarschuwt dat de methode ook voor de verspreiding van andere soorten malware kan worden ingezet, maar ransomware waarschijnlijk de geprefereerde keuze is. Gebruikers krijgen vervolgens het advies om het weergeven van bestandsextensies in te schakelen. Dit staat namelijk standaard in Windows uitgeschakeld. Hoewel het in het geval van LNK-bestanden niet uitmaakt, vormt het verbergen van extensies volgens de virusbestrijder een onnodig risico. Verder wordt aangeraden om nooit LNK-bestanden te openen die via e-mail zijn ontvangen en moeten systeembeheerders kijken om bepaalde bestandstypes in e-mail, zoals EXE, standaard te blokkeren.

Image

Reacties (13)
04-08-2016, 12:11 door Anoniem
Eens even rekenen.
Ik begrijp dat 99,97% van de malware, virussen, ransomware en andere shit voor Windows omgevingen is.

Betekend dat dan dat ik met ieder ander OS platform meer dan 3000x veiliger ben dan met het Windows platform?!?

Dat er dan nog mensen zijn die Windows gebruiken......
04-08-2016, 12:27 door Anoniem
Door Anoniem: Eens even rekenen.
Ik begrijp dat 99,97% van de malware, virussen, ransomware en andere shit voor Windows omgevingen is.

Betekend dat dan dat ik met ieder ander OS platform meer dan 3000x veiliger ben dan met het Windows platform?!?

Dat er dan nog mensen zijn die Windows gebruiken......
Ik denk dat je jezelf met dit bericht al voldoende heb gediskwalificeerd om hier vervolgens nog een nuttig antwoord op te geven.

Ontopic, titel is iets overdriven wat mij betreft. Het gaat hier meer om misleiden en gebruik maken van hoe gebruikers een snelkoppeling zien. Ik zie namelijk als target cmd.exe met een aantal parameters erachter. Dit is gewoon een windows functie en niet echt een onveilig aspect oid. Ook wordt het icoontje aangepast, zodat je dus niet ziet dat het verwijst naar cmd.exe. Dit is ook gewoon een functie uit windows en niet iets wat je een veiligheidslek kan noemen.
04-08-2016, 12:43 door Anoniem
Door Anoniem: Eens even rekenen.
Ik begrijp dat 99,97% van de malware, virussen, ransomware en andere shit voor Windows omgevingen is.

Betekend dat dan dat ik met ieder ander OS platform meer dan 3000x veiliger ben dan met het Windows platform?!?

Dat er dan nog mensen zijn die Windows gebruiken......
Qua rekensom wel, maar zowel in dit nieuwsartikel noch in het artikel op de site van Sophos staat dit getal genoemd.
04-08-2016, 12:54 door Anoniem
Door Anoniem: Eens even rekenen.
Ik begrijp dat 99,97% van de malware, virussen, ransomware en andere shit voor Windows omgevingen is.

Betekend dat dan dat ik met ieder ander OS platform meer dan 3000x veiliger ben dan met het Windows platform?!?

Dat er dan nog mensen zijn die Windows gebruiken......

Dat zullen dan de mensen zijn die wel nadenken, voordat ze een emailbijlage opslaan en starten ?
04-08-2016, 13:49 door Anoniem
Even getest, want ik wilde weten of de instellingen in de policy (via CryptoPrevent ingesteld) het zouden toelaten een dergelijke LNK uit te voeren.

Mijn bedoeling was dus een testlink (snelkoppeling) van een pdf'je te maken met als (gewijzigd!) 'doel' deze regel uit het door Sophos genoemde voorbeeld:
C:\Windows\System32\cmd.exe /c eco wScript.Echo("Hello")>s.js && s.js
Gedachte was dat linkje dan via mail naar mezelf op te sturen om te kijken of ik dat dan kan openen.

Maar zover kwam ik helemaal niet, want zodra ik het doel van de link probeer te wijzigen in de voorbeeldlink en ik op OK.klik, komt mijn antivirusprogramma (F-Secure in Win7) onmiddelijk met de mededeling dat er een schadelijk bestand verwijderd is, en is het bestand inderdaad verdwenen. Lijkt me tamelijk safe: ik kan zelf niet eens een testbestand aanmaken met deze methode.

Ik ga er dus zonder meer vanuit dat dit ook zal werken indien ik de link in een mailtje zou ontvangen en ik erop zou klikken. Het zou me niets verbazen indien vrijwel alle andere antivirusprogramma's iets identieks doen met dergelijke link-bestanden. Ik ben dus niet verder gegaan met de test. Denkbaar zou zijn de antivirus tijdelijk uit te zetten, mailtje naar mezelf sturen met de testlink, enzovoort, heb ik dus niet gedaan.

Het is overigens makkelijk van Sophos om te adviseren nooit op links in mails te klikken, maar vrijwel alle mail van officiele en commerciele instanties bevatten dergelijke links. Of het nu een mailtje van een overheid of bank is dat er iets gewijzigd is ('zie onze nieuwe tarieven') of van een winkel waarvan ik (bewust) geabonneerd ben op nieuwsbrieven (bijv die van de Aldi of Lidl). Die nieuwsbrieven zitten vol met links naar de betreffende artikelen. Ook bij nieuwsbrieven van webshops is dat heel gewoon. Er zitten echter nooit bijlagen bij in de vorm van pdf's of dergelijke. Alhoewel wel weer als ik ergens iets geboekt heb: bijlage is pdf van de bevestiging of het contract.

Natuurlijk moet je alert zijn met alles wat je aan mail ontvangt, maar aan de andere kant kun je moeilijk zeggen: klik nooit op links in mails (van bekende bronnen) want dan is het hele doel van HTML mails verdwenen. Die zijn ervoor om het leven makkelijker te maken, hetgeen zo onmogelijk gemaakt wordt. Ook het openen van bijlages in mails (van bekende bronnen) zou eigenlijk gewoon moeten kunnen.

Gelukkig heb ik een erg goed spamfilter (van mijn provider) daardoor krijg ik eigenlijk nooit dergelijke nepmails binnen, alleen in de spam-box en dan weet je al wat voor vlees je in de kuip hebt!
04-08-2016, 14:00 door Anoniem
Door Anoniem: Eens even rekenen.
Ik begrijp dat 99,97% van de malware, virussen, ransomware en andere shit voor Windows omgevingen is.

Betekend dat dan dat ik met ieder ander OS platform meer dan 3000x veiliger ben dan met het Windows platform?!?

Dat er dan nog mensen zijn die Windows gebruiken......

Waar haal je die informatie vandaan?
04-08-2016, 14:06 door Anoniem
Door Anoniem: Eens even rekenen.
Ik begrijp dat 99,97% van de malware, virussen, ransomware en andere shit voor Windows omgevingen is.

Betekend dat dan dat ik met ieder ander OS platform meer dan 3000x veiliger ben dan met het Windows platform?!?

Dat er dan nog mensen zijn die Windows gebruiken......

Ja & Nee

Op zich klopt je analyse bij ruime slag om de arm benadering wel,
maar dat betekent niet dat je (als bijvoorbeeld Mac OS X gebruiker) geen last kunt hebben van Lnk-malware!
En in de semi-probleemjes kan komen door bijv. anderen bij gebrek aan securityinzicht alsnog zou kunnen besmetten!

Bijvoorbeeld omdat de permissies op het Lnk-file zo staan ingesteld dat je het niet zomaar kunt verwijderen van bijvoorbeeld de Fat USB stick die pendelt tussen jouw Mac en een (besmette) PC.

Waar gebeurd
https://www.security.nl/posting/431699/Mac+%3A+BadUSB+malware+verwijderen

Illustratie met toelichting
http://cubeupload.com/im/8M3dXg.jpg
04-08-2016, 14:13 door Anoniem
Betekend dat dan dat ik met ieder ander OS platform meer dan 3000x veiliger ben dan met het Windows platform?!?

Hangt er vanaf hoe goed je je systeem beveiligt. Ongeacht welk OS je hebt. Stel dat je een slecht beveiligd niet-Windows systeem hebt, en je wordt geinfecteerd met ransomware, of met een banking trojan. Ben je op dat moment blij dat de kans dat dat gebeurde statistisch gezien lager was ? ;)

De vraag welk OS je gebruikt bepaalt *nooit* de vraag hoe veilig een systeem is. Hardening, de vraag welke applicaties je op je OS hebt draaien, en verdere configuratie is minstens net zo belangrijk. Security krijg je niet ''out of the box''......
04-08-2016, 14:49 door Anoniem
Door Anoniem: Eens even rekenen.
Ik begrijp dat 99,97% van de malware, virussen, ransomware en andere shit voor Windows omgevingen is.

Betekend dat dan dat ik met ieder ander OS platform meer dan 3000x veiliger ben dan met het Windows platform?!?

Dat er dan nog mensen zijn die Windows gebruiken......

Deze gedachtegang is wel erg kort door de bocht hoor. Het klopt dat Windows het meeste onderhevig is aan aanvallen simpelweg omdat het het populairste is. Dat zegt vrij weinig over de veiligheid of betrouwbaarheid.

Er zijn ook mensen die elke dag autorijden, terwijl er overal ongelukken gebeuren. Ga jij voortaan als lekker op de fiets doen dan?
04-08-2016, 15:41 door Rolfieo
Door Anoniem: Eens even rekenen.
Ik begrijp dat 99,97% van de malware, virussen, ransomware en andere shit voor Windows omgevingen is.

Betekend dat dan dat ik met ieder ander OS platform meer dan 3000x veiliger ben dan met het Windows platform?!?

Dat er dan nog mensen zijn die Windows gebruiken......

Dit is meestal een PEBKAC probleem "Problem Exists Between Keyboard And Chair". OS is hierin niet van belang.

Maar laten we hem eens anders formulieren...... Waarop worden de meeste gehackte websites gehost? 99% van de gehackte sites wordt gehost op? Betekend dit dan dat een website 3000x veiliger is op een * platform?
04-08-2016, 16:58 door Anoniem
.LNK staat gewoon op de bekende lijst van verdachte extensies die een e-mailfilter beter kan blokkeren, dus ik snap
niet dat er nu ineens tamtam over gemaakt wordt. .LNK moet je net zo blokkeren als .EXE, .SCR, enz enz.

Overigens is het wel handig om voor .LNK een custom foutmelding te gebruiken in plaats van de melding dat er een
bestand van niet toegestaan cq gevaarlijk type geblokkeerd is, want veel eindgebruikers snappen totaal niet het verschil
tussen een LNK en het bestand zelf.
Dan willen ze bijvoorbeeld een Word document mailen waarvan ze een snelkoppeling op het bureaublad hebben of
die in hun recent geopend lijst staat (dat zijn ook LNK files) en dan mailen ze die. Sommige mailsoftware snapt dat
dat niet gaat werken en "volgt" de link om het document zelf te mailen, maar veel mailsoftware, zeker software die uit
andere omgevingen afkomstig is zoals Thunderbird, doet dat niet en stopt gewoon de LNK file erbij als bijlage.
De verzender denkt dat ie een Word document gemaild heeft, en de ontvanger kan dit vervolgens niet openen.
Je kunt dus het beste in de foutmelding uitleggen dat het bijgevoegde bestand geen document was maar een
snelkoppeling naar een document, en dat ze het document zelf moeten mailen.
05-08-2016, 07:50 door _R0N_
Door Anoniem: Eens even rekenen.
Ik begrijp dat 99,97% van de malware, virussen, ransomware en andere shit voor Windows omgevingen is.

Betekend dat dan dat ik met ieder ander OS platform meer dan 3000x veiliger ben dan met het Windows platform?!?

Dat er dan nog mensen zijn die Windows gebruiken......

Er wordt ook ca 3000x meer gebruik gemaakt van Windows dan van elk ander OS..
Je gaat als virus/malware schrijver niet iet sschrijven waarmee je maar een marginaal deel van de computergebruikende wereld gaat bereiken.
Stel dat Linux het grootste OS zou worden en Windows 3% van de markt zou hebben, wat zou dan volgens jou het veiligste OS zijn?
05-08-2016, 20:30 door Anoniem
Door _R0N_:
Door Anoniem: Eens even rekenen.
Ik begrijp dat 99,97% van de malware, virussen, ransomware en andere shit voor Windows omgevingen is.

Betekend dat dan dat ik met ieder ander OS platform meer dan 3000x veiliger ben dan met het Windows platform?!?

Dat er dan nog mensen zijn die Windows gebruiken......

Er wordt ook ca 3000x meer gebruik gemaakt van Windows dan van elk ander OS..
Je gaat als virus/malware schrijver niet iet sschrijven waarmee je maar een marginaal deel van de computergebruikende wereld gaat bereiken.
Stel dat Linux het grootste OS zou worden en Windows 3% van de markt zou hebben, wat zou dan volgens jou het veiligste OS zijn?

iOS en Mac OS X.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.