Het volgende vraag ik mij nog steeds af *

"Wanneer een bestaand bestand wordt versleuteld gebeurt dat toch met een kopie van dat bestand?
Als dat zo is zou de malware de originele files moeten weggooien en daarna veilig moeten wissen (met nullen overschrijven).
Veilig wissen kost echter nogal wat tijd (in het geval van een hele persoonlijke directory aan bestanden).
Als het niet veilig gewist is en je ook geen backup hebt (of de backup is ook versleuteld omdat je de backup-schijf net had aangesloten aan je pc) zou je denken dat de originele bestanden dan weer terug te halen / te recoveren zijn.
Hoe zit dat? Iemand die het weet?"

Toevoeging; wanneer het principe als hierboven omschreven werkt zou je denken dat bijtijds ingrijpen helpt omdat het proces nogal wat tijd kost, dan is 'slechts' een klein deel van je bestanden versleuteld?

* "Agressieve ransomware steeds vaker ingezet"
herhaling reactie 24-09-2013, 17:43

Heb zelf gelukkig nog geen ervaring met ransome ware, maar dit zijn een paar gedachtes:
1- het meldt zich niet na encrypten eerste bestand en heeft dus tijd genoeg, anders was het al gedetecteerd en ingegrepen
2- een bestand encrypten, origineel wissen, volgende bestand encrypten in vrijgekomen ruimte
3- gedeeltelijk nullen van meeste bestanden al voldoende voor onbruikbaarheid, en als je dit gefragmenteerd doet dan is recovery ook maar beperkt.

"Wanneer een bestaand bestand wordt versleuteld gebeurt dat toch met een kopie van dat bestand?
Als dat zo is zou de malware de originele files moeten weggooien en daarna veilig moeten wissen (met nullen overschrijven)."

Waarom zo moeilijk?
Gewoon het bestand openen voor read/write en dan sector voor sector inlezen, encrypten en terug schrijven.
Dan zet het OS de sector weer op dezelfde plek terug en is er nergens meer een copie.

Gaat natuurlijk fout als het proces halfweg afbreekt en de file is dan corrupt, maar ik denk niet dat dit de virusmaker
veel kan schelen.

Wat ik wel opvallend vind is dat er steeds maar wordt gesteld dat de encryptie plaats vindt met AES en daarom onkraakbaar
zou zijn. Echter AES is een symmetrisch algorithme. De encryptie key is dezelfde als de decryptiekey.
Dus als het virus nog bezig is met het verder encrypten van je bestanden dan moet de key op dat moment op je computer
aanwezig zijn!
Het wachten is dus op een programma'tje wat je in dat geval kunt starten en de key kunt vastleggen zodat je de
bestanden weer kunt decrypten zonder te betalen.

Het zou veel ernstiger zijn als er een asymmetrisch algorithme gebruikt werd want dan is er een public key waarmee
ze je bestanden gecrypt hebben en een bijbehorende secret key die ze pas aan je geven als je betaalt en waarmee je
weer kunt decrypten. Dan is het pas echt onkraakbaar.

De meeste mensen die een mail ontvangen waarbij de afzender een bekende lijkt te zijn, doen dat. Daarmee voldoen ze voor 100% aan het gangbare advies geen vreemde mails van onbekenden te openen.

Wie zegt dat de criminelen niet voor elk bestand een random sleutel genereren?

Het is denkbaar dat je, als je betaalt, daadwerkelijk een sleutel krijgt waarmee je jouw bestanden kunt terugkrijgen, maar met hufters die zover gaan dat ze KP op jouw PC zetten zou ik hier maar niet vanuit gaan.

Een mitigerende maatregel zou kunnen zijn dat je alle bestanden die toch niet meer wijzigen middels permissies read-only toegankelijk maakt. Ik werk al sinds 1999 (NT4 destijds) als non-admin, op mijn C: schijf heb ik bijna nergens schrijfrechten.

Onder Windows kun je heel eenvoudig extra groepen aanmaken, bijv. "Fotoarchief Write". Op de map met foto's van 2012 en ouder kun je "Everyone" leesrechten geven en de groep "Fotoarchief Write" kan "Full Control" krijgen. Als je foto's gaat archiveren maak je jezelf tijdelijk lid van die groep, na afloop verwijder je jezelf weer uit die groep (dat gaat heel snel, zonder dat er permissies wijzigen op je NTFS bestandssyteem). Zo voorkom je ook dat je perongeluk foto's wist of mappen in verkenner onbedoeld verplaatst. En zo voorkom je ook dat malware die foto's kan versleutelen of wissen (ervan uitgaande dat de malware geen werkende privilege escalation exploits aan boord heeft en jouw aanpak "snapt").

Niet alleen vanuit beveiligingsoogpunt is af en toe archiveren een goed idee. Meteen een mooi moment om op te ruimen (en vast te stellen wie nog bij de data moet kunnen), we bewaren met z'n allen gigantische hoeveelheden bits die nooit meer bekenen zullen worden.

Je moet na het wijzigen van een groepslidmaatschap helaas wel eerst opnieuw inloggen, dus "snel" is het niet echt.

Klopt, maar dat moet ik sowieso voor allerlei beheertaken (ik gebruik een non-admin account zonder UAC voor dagelijks gebruik). Zo lang duurt uitloggen, tijdelijk inloggen met een admin account en weer met het oorspronkelijke account inloggen nou ook weer niet, zeker niet als je rekening houdt met de tijd die je bespaart op het niet elke keer te hoeven backuppen (checken of er misschien iets gewijzigd is) van gearchiveerde "bevroren" bestanden...