Het wordt pas leuk als de ransomware encryptie gebruikt om bestanden te 'gijzelen', dan kan je dus of betalen, of data kwijt zijn als geen backups hebt.

Maar hoe komt die rommel op je pc, kan iemand dit in eenvoudige bewoordingen uitleggen?

Fijn om te weten, maar het geen wat menig gebruiker hier wil weten....... hoe verspreid het zich en hoe kun je het voorkomen?

Kwetsbaarheid in java ? Kwetsbaarheid in Flash ? Kwetsbaarheid in de browser ...... ????

Als ik het een beetje lees dan betreft het een nieuw uiterlijk op traditionele malware. De traditionele gevallen maakt gebruik van lekken in bijvoorbeeld Acrobat Reader en Java die geladen worden door de browser bij het bezoeken van een besmette website.

Dit is vrij eenvoudig te voorkomen door je software up to date te houden en niet zomaar alle scripts van pagina's laden in de browser. Stap één is simpel, de tweede stap vereist iets meer moeite, maar je zou bijvoorbeeld Firefox kunnen gebruiken met een adblocker geïnstalleerd. Daarnaast en misschien bovendien scheelt het enorm als je niet standaard met beheersrechten werkt. Op die manier blijft een eventuele besmetting bijna altijd binnen het 'gebied' van de gebruiker en besmet niet de gehele computer of andere gebruikersprofielen.

Je kunt niet blind varen op je virusscanner, want vaak worden nieuwe varianten niet direct opgepikt.

Voornamelijk door misbruik te maken van lekken in software op de computer. Sommige malware wordt verspreid via bijvoorbeeld bijlagen bij spam email of geïnfecteerde (vaak cracked) programma's.

Ransomware wordt echter vooral verspreid via exploit kits (EK's). Dit zijn tools die proberen kwaadaardige software te installeren door misbruik te maken van beveiligingslekken. Tot de arrestatie van de EK-ontwikkelaar "Pauch" (http://malware.dontneedcoffee.com/2013/10/paunch-arrestationthe-end-of-era.html) waren BlackHole en Cool de meest gebruikte EK's.

De meest misbruikte lekken zijn lekken in Java. Een paar lekken die actief gebruikt worden door malwareverspreiders zijn http://viewCVE.tk/CVE-2010-0188 (Lek in oude Adobe Reader), http://viewCVE.tk/CVE-2011-3402 ("Duqu" lettertypekwetsbaarheid in niet up-to-date Windows), http://viewCVE.tk/CVE-2013-1493 (Java), http://viewCVE.tk/CVE-2013-2423 (Java).

Deze lekken ontstaan doordat een programma voor het uitvoeren van een actie met niet-vertrouwde code niet goed controleert of deze wel toegang mag krijgen tot bepaalde functies en / of er wel genoeg ruimte is voor deze code.

De oplossing is gelukkig simpel: omdat lekken niet voor het oprapen liggen, zullen cybercriminelen zelden lekken inzetten waarvoor nog geen patch is. Daarom volstaat het up-to-date houden van je programma's en besturingssysteem in de meeste gevallen. Als er een actief misbruikt lek is in een programma dat jij gebruikt (bijvoorbeeld in Internet Explorer) is het bovendien aan te raden om in afwachting van een oplossing een ander programma te gebruiken (bijvoorbeeld: Firefox).

Als laatste is het ook een goed idee om programma's die je niet gebruikt uit te schakelen. De Java plug-in in je browser is bijvoorbeeld meestal niet nodig, Minecraft (bijvoorbeeld) en veel andere Java-applicaties werken prima zonder.

De oplossing is gelukkig simpel: omdat lekken niet voor het oprapen liggen, zullen cybercriminelen zelden lekken inzetten waarvoor nog geen patch is

0101,

Dank voor Uw (jullie) uitleg, maar bovenstaande regel die U schrijft begrijp ik moeilijk. Of lees ik hem verkeerd? Zoekt bv een cybercrimineel zelf geen onbekende lekken op maar laat hij MS eerst een lek patchen (maar wie vindt deze dan?) Dus m.a.w. MS zet ze op het spoor.

Nog veel relevanter:
Maak een aparte user aan die geen admin rechten heeft en geen software kan installeren. Gebruik deze user de hele
dag om te werken. Gebruik de admin user alleen om software te installeren of updaten en ga daar niet mee browsen.
Let op dat de rechten op je directories correct zijn ingesteld hiervoor. Standaard is dat wel het geval dus als je niet hebt
zitten rotzooien is alles OK.
Dan nog (dat is nog het meest effectief) lokaal een Software Restriction of Applocker policy aanmaken die software uitvoeren wel toelaat vanaf %SystemDrive% en NIET vanaf %USERPROFILE%. Daarmee worden de meeste driveby download trojans effectief gekilled.

En m.i. nog relevanter (in lijn met de1e reactie van bbecko): maak regelmatig en frequent backups!

Ook al patch je je suf, draai je tig firewalls en virusscanners (zinloos en onverstandig), is je webbrowser helemaal dichtgetimmerd, bezoek je nooit "kwaadaardige" websites en werk je altijd met verlaagde privileges: het is onmogelijk een computer zo te beveiligen dat de kans op een malwareinfectie 0 is (overigens kan ook je schijf ineens defect raken en onbenaderbaar blijken).

@Anoniem 12:22
In dit schema heb ik een aantal manieren aangegeven waarop een lek in een exploitkit kan belanden: http://pastebin.com/ysNf8d81.

Daar wil ik graag even op inhaken, volgens mij heb je het idee dat deze malware het werk is van één persoon, maar dan vergis je je toch.

Iemand vind een lek, 3 keuze's: A] niets doen; B] melden aan fabrikant; C] verkopen.

Keuze A&B is fijn voor de fabrikant, zij kunnen patchen in hun eigen tijd en iedereen die een legale versie heeft wordt uiteindelijk wat beter beveiligd. Dat bepaalde mensen misbruik maken van deze lekken is niet meer het probleem van de fabrikant; deze is niet meer aansprakelijk en het is ook nog eens goed argument om te kunnen zeggen dat legale versies ($$$/€€€) misschien toch wel handig zijn.
Heel het AV-gebeuren van bijvoorbeeld MS is op deze strategie gebaseerd, en dan met name gericht op de Oost-Europese en vooral Aziatische markt, waar zelfs bedrijven rustig illegale Windows-versies draaien (vooral omdat de prijzen van MS echt belachelijk hoog zijn), maar vervolgens wel veel geld over hebben voor een legaal AV-pakket.
Ook is dit (keuze B dus) de reden van al die hack-wedstrijden en belonings-programma's die grote spelers echt maar een schijntje kosten.


Keuze C is voor de mensen die écht centjes willen hebben, niet een troostprijsje van Google of zelfs een boze brief van MS bijvoorbeeld. Dat kan allerlei redenen hebben, maar feit is dat er grof betaald wordt op fora voor bruikbare lekken. De beheerder "verdient" er natuurlijk ook een centje mee.

Op die manier kost het al snel veel geld, en dan moeten er nog mensen gevonden worden die de lekken om gaan zetten in bruikbare software (de malware dus), nog buiten alle money-mules die nodig zijn om de opbrengst binnen te harken. Al dat geld moet ergens vandaan komen, en dan wordt het vervelend, want ga maar eens langs bij de bank met zo'n verzoek / ondernemersplan...

Vanaf dat moment kun je spreken van georganiseerde financiële criminaliteit, zeg maar gerust maffia. En dan moet je bedenken dat er wel malware is, maar die moet natuurlijk ook verspreid worden, wat weer via een andere "familie" gaat, de zgn. exploit kits bijvoorbeeld, maar ook partijen die zich richten op e-mail, het hacken of huren (gebruikelijker dan je denkt) van advertentie-netwerken, noem maar op.

Daarbij wordt ook allerlei persoonlijke data binnen geharkt, die wordt aangeboden via de eerder genoemde fora. En zo is het cirkeltje weer rond. Al die partijen schuwen overigens echt geen intimidatie, afpersing of geweld om hun "werknemers" (coders & mules) in het gareel te houden waar nodig, sterker nog, er zijn ook partijen die zich laten inhuren om juist dát werk te doen...


Dat het uiteindelijk altijd achter de feiten aanlopen blijft voor de "good guys" is dan ook heel logisch, want het is gewoon niet aantrekkelijk voor bedrijven om hier al te veel geld aan te besteden (kosten / baten).
Ook niet voor AV-vendors bijvoorbeeld, want die verdienen veel liever centjes aan veel kleine klanten in plaats van één of twee grote.

"Marktwerking" ;]


NB: Om de "legale" partijen (overheden en toeleveranciers zoals VUPEN) er nog maar niet bij te betrekken...

Het belangrijkste waar de politie zich mijns inziens mee bezig kan houden is het beperken van de gevolgen. Dergelijke ransomware is erg genoeg, maar de kans is groot dat je er later ook nog voor vervolgd wordt. Een kwestie van: "Once robbed, twice the victim". En ik heb geen vertrouwen in het huidige niveau van rechtsbescherming of opsporing om het onderscheid te kunnen maken tussen een echte downloader en een slachtoffer van ransomware...

surfen in een zogenaamde sandbox helpt ook besmetting voorkomen. Hoeft niks te kosten! Het gratis geavanceerde Comodo Internet Security heeft dat aan boord en dat geldt ook voor Qihoo Internet Security 2013

CryptoPrevent is een programma dat ransomware tegen gaat.

http://www.foolishit.com/vb6-projects/cryptoprevent/

Het programma is/was in zeer aktieve ontwikkeling, de afgelopen week ongeveer elke dag 1 of 2 updates.
Pas wel op, na het installeren van CryptoPrevent kan het installeren van bijvoorbeeld een nieuwe anti-virus geblokkeerd worden. Dan moet CryptoPrevent even uitgeschakeld worden, het nieuwe programma geinstalleerd worden, en daarna CryptoPrevent weer aktief gezet worden.

Groeten

Wil je nu insinueren dat een AV alléén virussen detecteert en géén andere malware of begrijp ik je post niet goed?