Toch mooi dat op de privacy statement pagina staat:
En dat er toch Google Analytics op de pagina zetten...

https://www.dronten.nl/mozard/!suite86.scherm0325?mVrg=1082

Het zal nog lang duren voordat Gemeentes het snappen...

TheYOSH

We voegen Dronten toe aan de lijst met gemeentes die hun zaakjes niet op orde hebben. Proficiart.

Professionele reactie hoor!
Inmiddels is binnen de IT sector wel duidelijk dat Ransomware werkelijk the Pain in the Arse voor iedereen kan zijn; van dom tot intelligent, en hier hebben we weer een 'pro' met een 'intelligent' statement die waarschijnlijk overtuigd is van het feit dat het hem nooit zal overkomen.
Neen, inderdaad het is te hopen van niet - werkelijk - maar je verdient wèl dat anderen dan ook leedvermaak om je 'stront' hebben.

@Aha: Gelukkig dat de azijnpissers hier zelf onkwetsbaar zijn ;)

Kan gebeuren. [url=https://www.security.nl/posting/422471/Ransomware+verstoorde+dienstverlening+Dronten]Je zou echter denken dat een ezel zich niet twee keer stoot aan dezelfde steen.[/url]

Alweer?!
https://www.security.nl/posting/422471/Ransomware+verstoorde+dienstverlening+Dronten

Jij moet de politiek in met je wollig gelul.

Nou, ik was de poster niet, maar het is duidelijk dat anno 2016 je gewoon simpelweg 'lusers' niet EN aan internet EN aan je lokale netwerk tegelijk kunt koppelen.

De meeste gemeente netwerken, om een analogie te gebruiken die waarschijnlijk nergens op slaat, zorgen ervoor dat je met je huidige vriendin een condoom gebruikt, maar bij de hoeren gewoon lekker onbeschermde sex doet en alleen vraagt of ze wel 'clean' zijn... (ja, net zo clean als die andere 150 mannen die eroverheen zijn gegaan die dag)...

Met andere woorden, inmiddels mogen gebruikers nergens meer bij op het lokale netwerk (onder het mom 'need to access'), maar ze kunnen rondhoeren op internet zo veel ze willen...
waarom heb je dan nog uberhaupt beveiliging?

Het is 2016... iets aan internet hangen moet je behandelen als iets wat aids heeft en jij overal wondjes.
Een werkplek die op internet kan, is een magneet voor allerlei shit... Zeker bij gemeenten... Die (uit eigen ervaring bij 30+ gemeenten) lusers hebben echt de hele dag geen bal te doen, behalve hun eigen 'stapeltje papier' bewaken... roepen dat ze omkomen in het werk maar dat werk is letterlijk 6 uur facebooken, 1 uur 'kuch kuch werken', en 1 uur roken, koffie drinken of ouwehoeren met collega's die ze niet via facebook konden bereiken.

Dronten meldt vandaag dat de digitale dienstverlening weer in de lucht is.
https://www.dronten.nl/mozard/!suite05.scherm1070?mNwb=1407&mNwc=21

Helaas zijn wij als bedrijf ook één keer getroffen.
Ik moet toegeven, de mails worden steeds beter en kan ook begrijpen, dat de "gemiddelde" gebruiker in het magazijn een link aan klikt als het van een vervoerder is.

Besmette bestanden weggooien en back-up terug zetten is helaas de enige oplossing.
Je kunt hooguit een dag kwijt zijn.

Als je ook een thuis/werk server hebt, dan kun je deze shit nog enigszins voorkomen, door geen driveletters (maak gebruik van een URL link op je dekstop) te maken naar je netwerkdrive. Zover ik tot nu toe gezien heb gaan ze alleen de driveletters langs en daar waar je rechten hebt wordt om zeep geholpen.

Dus zorg voor een goede back-up en goede rechten instellingen.
Probleem is dat virusscanners er niks mee doen, omdat het een link in de mail is (in ons geval office online). Op het moment dat het uitgevoerd wordt gaat deze naar een link op internet en dan ben je de sjaak.

Andere optie is als je geen zaken doet met Rusland, Oekraine deze landen te blokkeren in de firewall. Er waren nog wat landen waar deze bende vandaan komt.

Nog meer oplossingen?

Het worden getroffen door ransomware is niet meteen een teken van incompetentie. Phishing mails worden steeds realistischer en zijn niet meer te vergelijken met die van de prins van Nigerië...

Het niet op orde hebben van een duidelijk disaster recovery plan, is dat wel.

Het beste wapen tegen ransomware is inderdaad de schone kopie.
Dat betekent dus: elke dag kopieën maken en testen of de kopieën werken.
Krijg je te maken met een ransomware besmetting, dan isoleer je het systeem ogenblikkelijk van het netwerk, daarna een clean-install. Daarna alle patches c.q. updates ophalen en kopieën terugzetten.

Ja Vriendje, zorg dat je je systemen goed patched. Het gros van de huidige ransomware maakt gebruik van bestaande kwetsbaarheden. Waar particulieren zelf hun patching vrij snel kunnen realiseren, schort het bij bedrijven nogal eens aan een effectief patch beleid.

Je kunt het heel simpel oplossen met een AppLocker policy die verbiedt dat er software wordt uitgevoerd in op zijn
minst het gebruikersprofiel maar liefst ook in de voor de gebruiker schrijfbare locaties op het netwerk en de lokale schijf.

Onnodig te melden dat de gebruiker NIET als administrator werkt op het werkstation maar als een ordinary user.

Het "aanklikken van een link of bijlage in de mail of op een website" en daarmee een programma uitvoeren dat werkt
dan niet meer. Een exploit via Flash, Java, Silverlight gaat meestal meteen een exe programma downloaden en
uitvoeren en dat werkt dan ook niet meer.

Het zijn scholieren die 4 uur per dag besteden aan het beheren van één enkele server waarop feitelijk geen werk gedaan wordt en waarmee ze alleen contact met al hun vrienden (2) hoeven te onderhouden.

Vanaf die positie is het makkelijk azijnpissen op ITers die honderden _werk_plekken moeten onderhouden waarop wel werk wordt gedaan - soms met suboptimale applicaties - , en mail/data moet binnenkomen van "overal" - als je achter info/vergunning/hr@gemeente zit bestaat het filter "drop onverwachte/ongevraagde mail van onbekenden en alle attachments" niet .

Er zijn echt wel eens grote instanties die hun IT inderdaad gewoon slecht doen, maar de typische hobbynerd moet een hoop leren hoe een echte baan met echte verantwoordelijkheid werkt. Stuurman, wal etc .

Een DRP kan juist bevatten dat alle belangrijke systemen offline gaan tot het probleem is opgelost. Daarna worden back-ups teruggezet, voor zover relevant. Vervolgens breng je alles gefaseerd weer in de lucht. Als ze aan het eind van de ochtend weer in de lucht waren, hebben ze het netjes gedaan.

Peter

En als Applocker niet mogelijk is, dan is er altijd nog Software Restriction Policy (SRP). Werkt ook prima. Als je Appdata daar inzet, wordt 90% al geblokt..

He he, eindelijk de juiste oplossing tegen ransomware. Voor homeusers en\of systemen die niet in een domein zitten kan je gebruik maken van cryptoprevent (https://www.foolishit.com/cryptoprevent-malware-prevention/)

Applocker is gewoon de nieuwe naam voor Software Restriction Policy. Het hangt van de Windows versie af welke je hebt.

Dank voor de aanvullingen.

En uiteraard hebben de gebruikers geen adminrechten ;-) Dat zou wat wezen zeg :-)
Met z'n allen komen we er wel.

En voor de mensen die het hebben over incompetent e.d. Kom op zeg. Kun je echt verwachten van een gebruiker die zijn werk uitvoert heel gedetailleerd gaat zitten kijken naar de URL achter de link. De "gewone" gebruikers zijn daar niet mee bezig zoals wij.
En ja als systeem beheerder moet je daar zoveel mogelijk tegen wapenen, maar zoals ook een virusscanner, loop je altijd achter.
Voor pc's, laptops en servers kun je ook nog gebruik maken van DeepFreeze (http://www.faronics.com/en-uk/) Dit is ook geweldig, maar helpt niet tegen ransomware. Wel tegen virussen e.d. even een reboot en weg is het.

Ik ken de situatie niet dus ik ga niet oordelen over de gemeente Dronten. Wat ik wel weet is dat het volledig voorkomen van "foute" bestanden openen niet mogelijk is. Daarnaast zijn er ook andere methodes om Ransomware binnen te halen en/of the activeren. (Ads, drive-by, malicious websites, exploits, etc)

Ik heb tot nu toe het "geluk" gehad veel succesvolle aanvallen te mogen onderzoeken.

De varianten die ik tot nu toe heb gezien en/of heb onderzocht hadden voorkomen kunnen worden door het nemen van de volgende maatregelen:

1a. Applicatie whitelisten (eigenlijk het belangrijkste)
De meeste varianten zijn uiteindelijk "gewoon" programma's die door "gewone" gebruikers(geen admins) binnen de userspace geinstalleerd kunnen worden. D.m.v. App whitelisten kun je dit alsnog voorkomen.
Indien volledig app whitelisten te moeilijk is en/of een te groot project is, blokkeer dan in ieder geval alle executables en scripts binnen de temp/download folders.

1b. user rechten
Maak nooit gebruik van admin of power user rechten wanneer je gebruik maakt van Intermet of e-mail

1c. Internet met admin rechten
Blokkeer admin en power user accounts naar het internet.

2. Extensies van e-mail bijlages blokkeren
Blokkeer alle varianten van executables en scripts op de e-mail gateways

3. Show file extensions
Zet deze optie aan zodat een gebruiker kan herkennen dat het b.v. om een exe gaat. Ik heb veel xyz.pdf.exe Ransomware gezien.

4. Block TOR
Veel varianten maken gebruik van TOR t.b.v. call back(C2) om encryptie sleutels op te halen. Als ze de C2 niet kunnen benaderen dan kan er ook niet worden versleuteld.

5. Gebruik een Adblocker

6. Uiteraard altijd up-to-date software....

7. Maak gebruik van een Anti Malware/Anti Exploit product
Naast AV ook b.v. HitmanPro.Alert, Sophos InterceptX, Malwarebytes Endpoint Security

8. Firewall met url/webfiltering die vooral focused op connecties die van binnenuit worden opgezet

9. Macros
Blokkeer macros en/of accepteer alleen gesigneerde macros


Wil je het maximale en heb je een flink budget:

10. IPS
Zowel op netwerk als op hosts

11. Firewall met Threat Prevention techniek en meerdere threat intelligence feeds

12. Sandbox techniek
Voornamelijk voor Office en PDF bestanden
(maak wel gebruik van een Sandbox VM waarbij er standaard al 10 eerder geopende bestanden in de recent docs staan, er zijn nieuwe ransomware varianten die dit controleren)

13. DNS
Maak gebruik van een publieke DNS provider met Threat Intelligence. Ik heb zelf goede ervaringen met OpenDNS Umbrella, zeker na de overname door Cisco en de samenwerking met Cisco AMP.

14. Vulnerability management
Maak b.v. gebruik van Qualys of Nessus incl. host agent om je kwetsbaarheden op te sporen, te prioriteren en te verhelpen


Maar... belangrijkste maatregelen tegen ransomware blijven toch echt Applicatie Whitelisten en afnemen van admin en power user rechten.

Is er ook een site waar meer informatie te vinden is over type, bron, kenmerken, hoe binnen gekomen e.d. zodat we daar extra op alert kunnen zijn?

Dit is alles wat we tot nu toe weten:

"Een medewerker heeft per ongeluk geklikt op een link een een spam-mailtje. Zo’n mail die iedereen wel eens krijgt”, legt de woordvoerder uit aan Omroep Flevoland. Deze mail is overigens wel binnengekomen op het e-mailadres van de medewerker bij de gemeente Dronten, en niet op zijn privé-mailadres. Ook benadrukt de woordvoerder dat er geen losgeld is betaald"

Wat is er wollig aan? Ik vind em nogal duidelijk - of je er mee eens bent of niet. En met deze mate van duidelijkheid kom je niet heel ver in de politiek - tenzij je trump heet - maar das weer een hele andere discussue