image

Ransomware laat slachtoffers door fout bestanden terughalen

zondag 19 april 2015, 11:40 door Redactie, 8 reacties

Een nieuwe ransomware-variant die eind januari voor het eerst verscheen en de afgelopen maand steeds actiever werd blijkt een fout te maken waardoor slachtoffers zonder te betalen hun bestanden kunnen terughalen. Het gaat om de Threat Finder-ransomware, die zich verspreidt via kwetsbaarheden in Java, Adobe Flash Player en Microsoft Silverlight die niet door internetgebruikers zijn gepatcht.

Zodra de ransomware actief is versleutelt die allerlei bestanden en vraagt hier 1,25 bitcoins voor, wat met de huidige wisselkoers 259 euro is. Een onderzoeker van Bleeping Computer ontdekte dat de ransomware de Shadow Volume Copies niet van de computer verwijdert, waardoor het mogelijk is om de bestanden via de "Previous options" van Windows kan herstellen, of via een tool als Shadow Explorer.

Reacties (8)
19-04-2015, 12:31 door Anoniem
@Redactie: Het betreft hier een team van onderzoekers, die dat op vrijwillige basis doen.

Dat team van BC, net zoals van vele andere hulpfora, wordt ondersteund / aangestuurd / opgeleid via:
http://uniteagainstmalware.com/

MvG een (inactief) erkend helper.
19-04-2015, 22:20 door Anoniem
Wat een helden! hoe kan ik die vrijwilligers steunen?
19-04-2015, 23:21 door Anoniem
Beetje vreemde stelling. Ons IT bedrijf heeft in 2 jaar tijd al meerdere ervaringen gehad met de bekende encryptie virussen. Wij hebben nog geen enkele variant gezien die de shadow copies versleutelde. Maar ook al was dat wel zo; hoezo noem je het dan een fout van de ransomware.

Wel vraag ik me af hoe jullie collegae IT'ers hiermee om gaan. Wij gebruiken Brightmail van Symantec en Gdata bij de clients. Gebruikers zijn verder geen local admin. Vooral via email fietsen al die virussen er de eerste keer vrolijk doorheen. Gebruikers openen een verpakte exe in de bijlage en de shares waar hij of zij schrijf toegang toe hebben worden versleuteld. Wat doen jullie extra om dit te voorkomen>
20-04-2015, 08:26 door Anoniem
Gebruikers geen installatie- en execute-rechten geven.
20-04-2015, 10:43 door officeflex
Op de windows-omgeving hebben we policy's doorgevoerd en hebben het aantal volume shadow copies verhoogd, zodat de schade minder groot is door het verlies van nieuwe bestanden sinds de laatste backup.

Een tool die je kan helpen is Crypto Prevent. Zie http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information#cryptoprevent voor meer informatie.

Verder blokkeren we in de inkomende email nu zip-files met uitvoerbare bestanden, maar zoals een "slimme gebruiker" hier laatst opmerkte wist ie dat te omzeilen door Wetransfer te gebruiken. Het is dus een kwestie van tijd dat je een wetransfer krijgt met een cryptolocker variant er in.
20-04-2015, 14:57 door Anoniem
Door Anoniem:
Wel vraag ik me af hoe jullie collegae IT'ers hiermee om gaan. Wij gebruiken Brightmail van Symantec en Gdata bij de clients. Gebruikers zijn verder geen local admin. Vooral via email fietsen al die virussen er de eerste keer vrolijk doorheen. Gebruikers openen een verpakte exe in de bijlage en de shares waar hij of zij schrijf toegang toe hebben worden versleuteld. Wat doen jullie extra om dit te voorkomen>

Zorg dat je een Applocker/Software Restriction policy configureerd die zo is ingesteld dat je gebruikers alleen executables
kunnen uitvoeren vanaf vaste locaties waar ze niet kunnen schrijven. Zodat ze geen executable kunnen aanklikken in een
mailbijlage (al dan niet via zip), een usb stick, een CD, etc.

Je kunt een hele boom van restricties aanmaken bijv:
C:\ wel
C:\Documents and Settings niet
C:\Users niet
de rest niet

Of als je geen oude software hebt kun je ook iets doen als:
C:\Windows wel
C:\Program Files wel
C:\Program Files (x86) wel
de rest niet

Op die manier voorkom je dat gebruikers software uitvoeren die je niet geinstalleerd hebt. Ook dingen als bijvoorbeeld
TeamViewer wat rechtstreeks van een site uitgevoerd wordt.
20-04-2015, 17:28 door QaQa79 - Bijgewerkt: 20-04-2015, 17:29
ik heb geen persoonlijke data op mijn pc, dus gewoon formatteren die hap. Niks bewaren op een pc die verbinding heeft met de meest onveilige internetsnelweg die er maar kan bestaan. Het hele internetgebeuren is 1 grote gatenkaas en ze geven wel updates of waarschuwen wel, maar hackers vinden toch wel weer een ander gat. Houdt niet op. Probleem bij de bron grijpen, en niks bewaren op je pc.
21-04-2015, 00:14 door Anoniem
Windows omgeving dicht, mijn documenten of netwerkdrive als oplag.
M'n is er om te werken, niet om te computeren ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.