Microsoft waarschuwt voor lnk-bestanden met ransomware
Microsoft waarschuwt internetgebruikers voor lnk-bestanden die op dit moment via e-mail worden verstuurd en computers met ransomware proberen te infecteren. De lnk-bestanden worden verstuurd door de bende achter de beruchte Locky-ransomware.
Deze ransomware wist zich eerder nog via wsf-bestanden te verspreiden, maar is nu op lnk-bestanden overgestapt. De e-mails in kwestie zijn door de afzender als "Zeer belangrijk" bestempeld en worden zo ook in het e-mailprogramma weergegeven. Als bijlage is er een zip-bestand toegevoegd. Dit zip-bestand bevat het lnk-bestand en doet zich voor als een factuur. Het lnk-bestand is eigenlijk een Powershell-script dat de Locky-ransomware op de computer downloadt.
De ransomware versleutelt vervolgens bestanden voor losgeld op de computer. Microsoft adviseert gebruikers om na te denken voordat ze ergens op klikken. Zo wordt aangeraden om geen e-mails van onbekende afzenders te openen. Ook moeten lnk-bestanden, wsf-bestanden en bestanden met twee punten in de extensie, zoals profile-d39a..wsf, als verdacht worden beschouwd.
Markeert Microsoft, in eigen email clients, dan ook bovenstaande als verdacht ?
De bestandsnaam blabla.pdf.exe (wat de naieve windows gebruiker ziet als blabla.pdf) zou nooit met een simpele of dubbele muisklik geopend mogen worden.
De bestandsnaam blabla.pdf.exe (wat de naieve windows gebruiker ziet als blabla.pdf) zou nooit met een simpele of dubbele muisklik geopend mogen worden.
De bestandsnaam blabla.pdf.exe (wat de naieve windows gebruiker ziet als blabla.pdf) zou nooit met een simpele of dubbele muisklik geopend mogen worden.
Je kunt ook doorschieten met beveiliging en mensen het uitwisselen van informatie onmogelijk maken.
In [1] staan m.i. meer zinvolle tips dan de zinloze adviezen van Microsoft om "geen e-mails van onbekende afzenders te openen" (als Outlook als afzender "PostNL", "Apple Assist", "Santander Consumer Finance", "DHL Parcel" of "Intrum support" toont, kan ik die mails dus vertrouwen? Zie [2]) en "bestanden met twee punten in de extensie" terwijl Windows by default de laatste punt met extensie helemaal niet toont.
Extra lastig met o.a .lnk extensies is dat die zelfs niet getoond worden als je het tonen van extensies aanzet, zie [3].
[1] https://www.security.nl/posting/489425/Ransomware+decrypters+en+maatregelen
[2] https://www.security.nl/posting/488744/Criminelen+verspreiden+malware+via+Outlook+MSG-bestanden#posting488818
[3] https://www.security.nl/posting/478068/Cyberspionnen+gebruiken+lnk-bestand+met+Word-icoon#posting478078
De bestandsnaam blabla.pdf.exe (wat de naieve windows gebruiker ziet als blabla.pdf) zou nooit met een simpele of dubbele muisklik geopend mogen worden.
Verdacht hoeft natuurlijk niet te betekenen dat je het bestand niet kunt openen. Een extra waarschuwing in de open dialog scheelt al heel wat. Eventueel te voorzien van een whitelist van combinaties die wel mogen.
De bestandsnaam blabla.pdf.exe (wat de naieve windows gebruiker ziet als blabla.pdf) zou nooit met een simpele of dubbele muisklik geopend mogen worden.
Geen gemiddelde gebruiker weet echt niet wat het verschil is, of wat het verschil betekend.
Daarnaast, "Mijn document v12.001.doc" of "zipfile.001" . Hoe moet het een gebruiker het verschil zien, of weten? Of hoe zou een applicatie daar het verschil in kunnen zien?
Standaard de extensie laten zien, gaat niets oplossen. Een gebruiker weet echt het verschil niet tussen een .doc, .exe, pif, .scr, vbs, xls, lnk, dll.
Een powershell script kan gewoon met een lnk file opgestart worden. Of moeten we dit ook met cscript files meteen doen? test.exe /download:www.nu.nl, valt dat ook een een virus?
Toevallig laatst een virus zo binnen gekregen. Deze zijn heel lastig te blockeren.
Een lnk file is een slim bedacht virus.
Maar een goede virusscanner kan gewoon de applicatie powershell.exe geen nieuwe .exe files te laten maken in de temp directory. Dit lost al een groot probleem op. Perfect helaas niet. Maar een perfecte oplossing is er ook niet.
Of nog beter: Windows zou die ink file vanuit onbekende bron niet mogen uitvoeren.
Om de mac wordt van elke file in de metadata bijgehouden uit welke bron een bestand komt. Een gedownload uitvoerbaar bestand kun je dan standaard niet uitvoeren. Als je onder een useraccount werkt moet je zelfs het wachtwoord van een systeembeheerder opgeven om het de eerste keer te kunnen uitvoeren.
De officiële mac unzippers voorzien die files uit een gedownloade zip, ook niet van die metadata die hem als veilig bestempelt. Alleen sommige (verouderde) 3th party unzippers volgen de security regels niet en voorzien een unziped product wel van die metadata waardoor de beveiliging omzeild wordt.
Apple doet dit al vele jaren. Waarom heeft Microsoft dit nog niet afgekeken?
NB. Om deze metadata op de mac te zien tik je "mdls " in in de terminal en sleept vervolgens de te onderzoeken file naar het terminalvenster. Na een return, zie je al de opgeslagen metadata voor die file.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
