Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Cryptolocker met backup

01-01-2014, 22:32 door Anoniem, 6 reacties
Indien je machine geraakt wordt door de Cryptolocker malware, is een backupdisk dan nog wel bruikbaar als deze tijdens de infectie gemount was? Of wordt deze dan ook overschreven?
Ik stel deze vraag in het bijzonder voor OSX icm een TimeMachine USB HDD die altijd gemount is. Zijn er al Cryptolocker versies gespot die op OSX werken?
Reacties (6)
02-01-2014, 11:28 door Cornelius
Ik heb begrepen dat Cryptolocker ook gemounte disks infecteert. Vandaar dat schade bij bedrijven zo groot is (hele netwerkshares worden gelocked).

Tip: zet je TimeMachine HDD standaard offline (=uit) en zet 'm even aan als je wil back-uppen. Wel wat meer werk (en discipline), maar je kan er veel ellende mee voorkomen.
03-01-2014, 00:49 door 0101
CryptoLocker werkt alleen op Windows, niet op andere platformen. Het versleutelt bestanden met extensies 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm en xlsx (bron: ESET). CryptoLocker versleutelt bestanden op alle aangesloten harde schijven, ook netwerkschijven.
03-01-2014, 12:30 door Briolet
Door Cornelius:Tip: zet je TimeMachine HDD standaard offline (=uit) en zet 'm even aan als je wil back-uppen. Wel wat meer werk (en discipline), maar je kan er veel ellende mee voorkomen.

Dat is heel onpraktisch omdat TM in principe elk uur een backup wil maken. En zeker sinds OS Lion is TM geïntegreerd in het file systeem van programma's om snel op oudere versies te kunnen terug grijpen.

Zorg dat je minimaal onder Mountain Lion draait. Sinds die versie kun je automatisch naar meerdere TM backups wegschrijven. Elk uur pakt hij dan de volgende in het rijtje backups. Kan hij die even niet vinden, dan slaat hij die schijf over en pakt de volgende schijf. Dan kun je één schijf permanent aan laten en de rest zet je af en toe aan.

Met oudere OSen kun je ook wel naar meerdere schijven wegschrijven, maar dan gaat het niet automatisch en moet je elke keer handmatig een nieuwe doelschijf selecteren.
03-01-2014, 20:59 door Anoniem
Cryptolocker werkt niet onder OS X (Hoera!)
Wanneer je de back-up disk alleen aansluit op een OS X machine en niet op pc's is er niets aan de hand.

(voorzover bekend, 100% garantie heb je nooit. In ieder geval niets gezien nog op het internet daarover).

Verder hoef je een usb back-up disk niet de hele tijd aangesloten te hebben (dat is wat anders dan uitzetten, hoeft ook niet).
Je kan het diskje ook één keer per week / per dag (wat je wil) aansluiten voor een totale back-up, normaal gaat time machine gelijk aan het werk als je de disk erin plugt.

Wees ervan verzekerd dat je inderdaad de back-up (ook) op je diskje zet, activeer time machine anders handmatig en kijk (afhankelijk welke versie van OS X je hebt) welke disk als standaard staat geselecteerd voor je back-ups.

En als al gezegd door 12:30, vanaf Mountain Lion zijn je back-ups encrypted (wel activeren dan). Mocht je een ouder systeem hebben dan is je backup niet versleuteld en mag je je diskje absoluut niet laten slingeren (pas er goed op).


= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
Verder : een 'wat als' situatie om bij stil te staan
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

Wanneer je de usb disk anders hebt geformatteerd (dan normaal) en ook op pc's aansluit wordt het misschien een ander / interessant verhaal.
Daar heb ik nog niets over gelezen maar is interessant om erover na te denken.

Wat als je de disk ook gebruikt voor uitwisseling van bestanden met windows pc's?
Bijvoorbeeld 1 voor je back-up en één andere partitie om bijvoorbeeld bestanden met windows computers uit te kunnen lezen.

Je zou dan tijdens het formatteren niet voor een (basis) GUID partitie table kunnen kiezen maar voor een MBR (master boot record) partitie table.
Daarna maak je dan twee partitie's, 1x voor de Mac en 1x voor de pc.
De back up partitie voor de Mac moet HFS+ / Mac OS Extended (Journaled) zijn.
De windows disk kan je in ieder geval in bijvoorbeeld MS-DOS FAT formatteren. De files op deze partitie zijn dan door windows te lezen en benaderbaar.

Wanneer je nu je usbdisk op een met CryptoLocker besmette pc zou aansluiten is de grote vraag wat er dan gebeurt.

a) Ik heb nog nergens gezien dat de .sparsebundle extensie (van je back-up-file) is opgenomen in de extensies lijst van cryptolocker (die neemt het als bestand dan niet mee in het versleutelingsproces , zou je denken).

b) In principe kan een reguliere windows pc geen Mac OS X HFS+ partitie lezen, de partitie waarop je mac back-up staat. Tenzij er weer speciale software op de pc is geïnstalleerd om HFS+ partities te lezen, daar zou cryptolocker dan misschien ook handig gebruik van kunnen maken.

c) Maarrr als het de MBR van je usb disk zou aantasten zou dat ook ten koste kunnen gaan van je Mac Back-up partitie met daarop een backup.

d) Het kan ook dat het de werking van het MBR niet wordt aangetast maar dat het virus zich wèl nestelt in het MBR waarmee je dan elke andere pc waarop je harddisk zou aansluiten zou kunnen besmetten (daar maak je geen vrienden mee hoor!).

e) Wanneer je andere gedeelde (online?) disk zou hebben met pc gebruikers kunnen bestanden wel encrypted worden door CryptoLocker, dan zal de besmetting via een pc van iemand anders gaan.
Je Mac heeft daar geen last van, de bestanden die dan op de gedeelde disk zouden staan ben je dan wel kwijt (of, ze staan er wel maar zijn versleuteld en kan je ook niet met je Mac openen).

Tot slot, als Mac gebruiker lijkt het er vooralsnog heel erg op dat je voorlopig safe bent, zeker als dat diskje niet met pc's in aanraking komt.
11-01-2014, 15:36 door Anoniem
MAC gebruikers ook KWETSBAAR voor CRYPTOLOCKER?

Ik krijg de indruk dat de 'luchtfietserij' (?) in mijn eerdere uitgebreide reactie niet opgepikt wordt.
In ieder geval kan ik het niet opmaken uit de uitblijvende reacties, wat natuurlijk niets zegt want je kan als lezer het wel oppikken en daarop niet reageren.
Het zit me toch niet helemaal lekker, is stilte in dit geval een goed teken?


Mijn idee bij deze bewust lekker vette kop (afgekeken ;-) : JA, misschien op delen wel!

f) Impliciete / verpakte (Crypto) tip nader toegelicht :

Heb je een netwerk van Pc's en Mac's, met als centrale Sharing Opslag een Windows geformatteerde Nas / Harddisk waarop je je Mac bestanden opslaat in plaats van op je Mac?
Of een Mbr/Ms-Dos format (Windows compatible) geformatteerde Externe Portable WerkDisk, een idem geformatteerde flinke USB-stick om makkelijk, handig en snel met al je werkmateriaal bij de hand te kunnen switchen van werkstation tussen Pc's en Mac's?

Je bent dan denk ik zeer waarschijnlijk eveneens 'Flink aan de beurt' als je 'Windows compatible opslagmedium' besmet raakt met CryptoLocker via een besmette Pc! #
Gelocked is gelocked, daar doet zelfs de mooiste Mac helemaal niets aan.
(Toverkunst is zelfs voor magische Mac's nog niet weggelegd)


Zorg als Mac gebruiker dat je tenminste ook je bestanden op je Mac bewaart en/of op een aparte Mac Back-up disk die niet in verbinding staat met Pc's, ook niet af en toe!

CryptoLocker besmettingen vinden nu nog voornamelijk buiten Nederland plaats, dat kan (gaat vast) veranderen.
Als HitMac Pro (?) nog buiten zicht is, wees dan zelf in ieder geval de Pro (voordat het raak is)!
;-)


# Hoe snel dat gaat en of het zou werken weet ik niet, het is 'maar' een ideetje/aanname (niet bedoeld als bangmakerij, ik ben zelf een Mac gebruiker).
Ik zou het risico in ieder geval niet nemen.
Als de veronderstelling niet kan kloppen hoor ik het graag!
13-01-2014, 10:40 door Anoniem
OP hier. Bedankt voor alle reacties, daar zitten zeker interessante zaken tussen. Mijn USB HDD is een HFS+ disk die puur voor mijn TimeMachine backups (sparsebundle) wordt gebruikt. In mijn LAN netwerk zijn alleen Mac en Linux machines te vinden (en één UNIX doosje), dus infectie via een Windows 'mol' is bij mij uitgesloten; vandaar mijn specifieke vraag over infecties direct op OSX en/of Linux. Mijn WiFi guest netwerk heeft ook geen toegang tot het LAN aangezien ik die op een apart subnet heb zitten, dus infectie via bezoekers acht ik ook klein. Tel daar Ghostery en AdblockPlus bij op en de drive-by aanvalsvector wordt daarmee ook een stuk onwaarschijnlijker.
Wel zal ik de USB schijf nu los gaan koppelen icm een nieuwe TimeCapsule: deze zal als 'hot' backup HDD gaan fungeren en de bestaande USB HDD zal 'cold' worden, met een sync van 1x per week oid.
Op deze manier denk ik dat ik redelijk safe ben voor het CryptoLocker monster. Mocht ik nog zaken over het hoofd zien, dan hoor ik dat graag!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.