Gratis tools blokkeren CryptoLocker-ransomware
Voor zowel bedrijven en organisaties als thuisgebruikers zijn er gratis tools verschenen die infectie door de CryptoLocker-ransomware moeten voorkomen. CryptoLocker is een zeer schadelijke vorm van ransomware die zich via e-mail en andere malware kan verspreiden.
Eenmaal actief versleutelt het foto's, documenten en zakelijke bestandsextensies met AES-encryptie. In het geval gebruikers geen back-up van hun bestanden hebben, houdt dit in dat ze hun bestanden kwijt zijn, aangezien de gebruikte AES-encryptie zeer lastig te kraken is. De bende achter CryptoLocker laat op besmette computers een melding zien dat het slachtoffer 300 dollar of 300 euro moet betalen, maar opsporingsdiensten, anti-virusbedrijven en beveiligingsexperts raden af het gevraagde "losgeld" te betalen.
Voorkomen
Om infectie binnen organisaties te voorkomen ontwikkelde het SMBKitchen Project een aantal documenten over het schoonmaken van een infectie en materiaal en instructies om een preventieve blokkade via software restriction policies in te stellen. Zo wordt er uitgelegd om de blokkade via een Group Policy Object (GPO) op domeincomputers en terminalservers uit te rollen, alsmede bij computers die geen onderdeel van een domein zijn.
Beveiligingsexpert Nick Shaw ontwikkelde voor eindgebruikers het programma CryptoPrevent, dat group policy objects aan het Windowsregister toevoegt om te voorkomen dat bepaalde uitvoerbare bestanden in bepaalde locaties worden uitgevoerd. Het is vooral voor de minder technische gebruikers bedoeld en werkt op Windows XP, Vista, Windows7, Windows 8 en Windows 8.1.
http://www.foolishit.com/vb6-projects/cryptoprevent/
"Also, yes I know McAfee SiteAdvisor lists my site as malicious, I have submitted a dispute, but I don’t expect much as it is notorious for false positives, just google it…"
http://www.foolishit.com/vb6-projects/cryptoprevent/
Je geeft nog eens de link van de FoolishIT CryptoPrevent pagina, en je citeert een zin die je daar vindt.
Maar wat wil je daarmee zeggen?
Dat McAfee SiteAdvisor niet betrouwbaar is en een false positive geeft? Dat is een bekend gegeven.
Of bedoel je dat we er vanuit zouden moeten gaan dat McAfee SiteAdvisor het wél bij het rechte eind zou hebben?
De VirusTotal URL-scanners beschouwen de FoolishIT CryptoPrevent pagina als schoon, en hetzelfde geldt voor URLVoid, WOT, Trend Micro Site Safety Center, en Norton Safe Web. Enkel Sucuri SiteCheck meent net als McAfee SiteAdvisor dat er wat mis is met de FoolishIT CryptoPrevent pagina, maar dat komt doordat Sucuri SiteCheck zich daarbij nota bene baseert op McAfee SiteAdvisor, wat McAfee SiteAdvisor dus nog steeds volkomen alleen doet staan in de classificering van de FoolishIT CryptoPrevent pagina als 'kwaadaardig'.
Iemand al installatie ervaring?
Ikzelf heb het nog niet uitgeprobeerd.
Bij het netjes gepatched houden van alle applicaties op je systeem zodat je niet kwetsbaar bent voor drive-by downloads, en wanneer je tevens niet zo dom bent rare e-mailbijlagen te unzippen, lijkt de kans op infectie met Cryptolocker en verwante malware me uiterst gering.
Niettemin is CryptoPrevent toch zeker interessant.
De informatie onder Q&A, "My legitimate software isn’t working properly after applying the protection. What do I do?" laat echter zien dat CryptoPrevent nog niet helemaal perfect is en het nog kan voorkomen dat sommige legitieme software problemen ondervindt van het toepassen van CryptoPrevent. Maar de auteur geeft wel aan dat "the latest version of the app, is getting better all the time at not blocking legitimate applications." Dat is mooi.
Helpt deze verdediging:
1. Ik heb m'n data beveiligd met een wachtwoord. Alleen lezen / uitvoeren is toegestaan. Voor overige acties moet een wachtwoord worden ingevoerd. Zijn de data dan nog kwetsbaar voor Cryptolocker?
2. Ik werk als beperkt gebruiker. Om het virus te installeren is dan toch het administrator-wachtwoord nodig?
3. Blokkeert een firewall (Comodo) het naar huis bellen door het virus niet?
Ik hoop dat iemand me antwoordt.
Hartelijke groeten en alvast bedankt,
Trudy
Helpt deze verdediging:
1. Ik heb m'n data beveiligd met een wachtwoord. Alleen lezen / uitvoeren is toegestaan. Voor overige acties moet een wachtwoord worden ingevoerd. Zijn de data dan nog kwetsbaar voor Cryptolocker?
2. Ik werk als beperkt gebruiker. Om het virus te installeren is dan toch het administrator-wachtwoord nodig?
3. Blokkeert een firewall (Comodo) het naar huis bellen door het virus niet?
Ik hoop dat iemand me antwoordt.
Hartelijke groeten en alvast bedankt,
Trudy
Ik ben er wel blij mee, voor zover ik begrijp hoe het werkt, vooral omdat het de Policies op Registerniveau instelt. Iets wat in mijn praktijk erg handig is voor de diverse Home-versies zonder Groepsbeleid.
Ik kan echter niet echt goed uitvoerbare programma's uit elkaar trekken, dus ik ben best wel nieuwsgierig naar wat het precies doet, welke Groepsbeleid-regels er worden ingesteld.
Microsoft heeft overigens een aantal rekenbladen ter beschikking gesteld die alle Groepsbeleid-regels vertalen naar Register-instellingen: http://www.microsoft.com/en-us/download/details.aspx?id=25250
Tot slot schijnt het een bepaalde instelling te zijn waardoor legitieme installatie-programma's, zoals bv. FireFox, buiten gesloten worden. Kwestie van even een vinkje tijdelijk weghalen, mocht je die, niet standaard, aangezet hebben.
Ilja. _\\//
Test succesfull, ok, euhm, was dat nou goed of verkeerd?.. Wat me wel opvalt is dat, ongeacht het gebruikersniveau, als je op Apply klikt, de melding komt dat de policies toegepast zijn, & daarna dat je de computer moet herstarten (Ja/Nee), ook al verander je niets.
Achja, bugs he...
Volgende stap: Wie heeft er een CryptoLocker voor me, van 100, 300 of 1500 $/€? Te leen uiteraard, je krijgt het onbeschadigd terug...
Hoop ik... ;-)
Ilja. _\\//
Deze posting is gelocked. Reageren is niet meer mogelijk.
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?