Door Anoniem: Door Anoniem: Iemand een idee hoe je het beste word, zip bestanden, pdf bestanden van een vreemde het beste kan openen?
Als je dit echt noodzakkelijk moet openen bijvoorbeeld bij sollicitatie gespreken.
Wat dacht je van:
0 - Opslaan als, en op een geisoleerde locatie opslaan (sandbox), vooral als je het niet vertrouwt.
Even als leek: wat is dat, een "sandbox"? Denk je nou echt dat die enkeling die iets als SandboxIE op z'n computer installeert, niet weet hoe zij/hij met gevaarlijke bestanden moet omgaan?
Door Anoniem: 1 - virusscanner extra laten scannen.
Zinvol als je eerst 3 dagen wacht. Zinloos bij een verse malware.
Uit het bronartikel van RTL Nieuws (
https://www.rtlnieuws.nl/tech/artikel/4437971/criminelen-sollicitatie-ransomware-gandcrab):
Door Mark Loman van cybersecuritybedrijf Sophos: GandCrab is momenteel de populairste ransomware en de detectie door virusscanners is relatief laag, omdat het virus elke keer weer op een nieuwe manier wordt verspreid.
Door Anoniem: 2 - Windows sowieso niet de extenties van bestanden laten onderdrukken
Goed idee, maar dat helpt niet tegen macro's in Office bestanden. Als ik me niet vergis worden macro's in Publisher bestanden (*.pub) helemaal niet geblokkeerd (d.w.z. worden -meen ik- zonder waarschuwing uitgevoerd). En denk jij dat de gemiddelde gebruiker weet dat extensies als .mht of .hta (als die zichtbaar zijn gemaakt) net zo "ongevaarlijk" zijn als .exe files?
Door Anoniem: 3 - een editor (notepad++ oid) om te controleren of het wel een zip, pdf of doc(x) document is.
Dan zie je allemaal lachebekjes en andere symbooltjes. Wat zegt een leek dat?
Door Anoniem: 4 - het bestand NIET openen door er op te dubbel klikken (maar door het vanuit de applicatie te openen).
Ik zie geen enkel voordeel.
Door Anoniem: 5 - een backup hebben en terugzetten als het toch fout gaat (vandaar de geisoleerde locatie voor de opslag (sandbox). Minder schade.
Goede tip, maar het risico is dat men de PC niet kan missen en denkt dat je met een virusscanner betrouwbaar alle malware en systeemwijzigingen te kunnen verwijderen (iets wat zelden het geval is in mijn ervaring).
Beter: gebruik een losstaande PC (alleen e-mail, geen koppelingen met andere servers) zonder belangrijke informatie erop voor dit soort doeleinden (die je snel kunt re-imagen).
Nog beter: zorg dat je iemand in huis hebt met verstand van zaken (en zo'n PC) die je naar verdachte documenten laat kijken en die je generieke e-mail inboxes als info@ monitort (en relevant spul doorzet). En zorg dat iedereen weet dat zo iemand in de organisatie beschikbaar is voor twijfelachtige mails in andere inboxes. Of huur zo'n dienst in (overigens weet ik niet of die bestaan).
Tips voor mensen met enig verstand van zaken:
- Als je een beetje handig bent met een hex-viewer (zoals ingebouwd in Total Commander), leer je snel zien met wat voor soort bestand je te maken hebt. Als je in een PDF bestand zoekt naar
script en wat vindt, zit het er dik in dat het een kwaadaardig bestand is. Gebruik bijv. SumatraPDF voor het bekijken van PDF bestanden waar je desondanks over twijfelt.
- Als het op een Office 2007 en ouder bestand lijkt, kun je de extensie .zip er achter plakken en het in bijv. 7Zip openen. Een deel van de Office bestanden met malware heeft een .*x (.docx, .xlsx etc.) extensie terwijl het om een formaat voor oudere Office versies gaat (dus .doc, .xls etc). In zo'n geval zal 7Zip aangeven dat het niet om een zip bestand gaat. Als het wel om een ZIP bestand gaat, zijn macro's en dergelijke niet moeilijk te vinden. Onleesbaar gemaakte macro's of scripts (VBscript, JavaScript), ook bekend als
obfuscation, zijn een zeer sterke aanwijzing voor malware. Malwarmakers passen deze obfuscatietechnieken toe om viruscanners te dwarsbomen, en vervolgens medewerkers van antivirusboeren langer aan het werk te houden. Voorbeelden te over hiervan zijn te vinden in een deel van de "diaries" (dagboeken) op
https://isc.sans.edu (vooral in bijdragen van Xavier Mertens, Brad Duncan en Didier Stevens).
- Didier Stevens heeft een hele reeks handige tools geschreven (en stelt deze gratis beschikbaar, waarvoor dank!) voor het onderzoeken van allerlei bestandsformaten (zie
https://blog.didierstevens.com/my-software/, o.a. oledump).
- Als het -naar verluidt- niet om privacygevoelige informatie gaat (iets dat natuurlijk niet geldt voor sollicitatiebrieven en CV's, maar wel voor kennelijke brochures, kleine facturen e.d.) kun je het uploaden naar
https://www.virustotal.com/. Mocht het door geen enkele virusscanner als kwaadaardig worden beoordeeld, bestaat toch de kans dat je anderen helpt beschermen - omdat Virustotal twijfelachtige bestanden beschikbaar stelt aan antivirusboeren.