Aanpassing Windowsregister voorkomt infectie ransomware
De Locky-ransomware was de afgelopen weken regelmatig in het nieuws omdat het allerlei organisaties en gebruikers infecteerde, waarop de de Duitse overheid en Microsoft met waarschuwingen kwamen, maar volgens onderzoeker Sylvain Sarméjeanne is de ransomware eenvoudig te neutraliseren.
Sarméjeanne onderzocht de ransomware, die allerlei bestanden op computers voor losgeld versleutelt. Zo blijkt Locky computers met een Russische taalinstelling niet te infecteren. Het aanpassen van de taalinstelling kan een infectie dan ook voorkomen, maar is volgens de onderzoeker voor de meeste mensen niet werkzaam. Het aanpassen van het Windowsregister is dat mogelijk wel. Voordat Locky bestanden gaat versleutelen worden er namelijk eerst bepaalde waardes in het Windowsregister gecontroleerd.
Na het controleren van de taalinstelling probeert Locky een registersleutel in het Windowsregister aan te maken. Als die sleutel echter al aanwezig is, stopt Locky met werken. Is de sleutel niet aanwezig, dan wordt die door Locky aangemaakt en controleert de ransomware vervolgens andere waardes in het Windowsregister. Het aanmaken van deze waardes zorgt er wederom voor dat Locky stopt en geen bestanden versleutelt. Een andere oplossing die het versleutelen voorkomt is het toevoegen van informatie in het Windowsregister die Locky voor de encryptiesleutel gebruikt.
"De afgelopen weken heeft Locky voor veel problemen gezorgd, maar er zijn eenvoudige maatregelen die wanneer ingeschakeld voorkomen dat bestanden worden versleuteld, zonder dat hier anti-virussoftware of securitytools aan te pas komen", aldus Sarméjeanne. Eerder stelde ook de Oostenrijkse beveiligingsexpert Robert Penz dat infecties via Locky door het volgen van verschillende algemene beveiligingsprocedures eenvoudig zijn te voorkomen.
Windows-gebruikers zouden daar dankbaar voor zijn.
Of een windows update die het aanpast en dus conform Microsoft standards houdt.
Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
Ik vertrouw daarom in de eerste plaats niet op dergelijke oplossingen, maar gebruik goede beveiligingssoftware.
Windows-gebruikers zouden daar dankbaar voor zijn.
Of een windows update die het aanpast en dus conform Microsoft standards houdt.
Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
Windows-gebruikers zouden daar dankbaar voor zijn.
Of een windows update die het aanpast en dus conform Microsoft standards houdt.
Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
Natuurlijk kan ik dat.
Je kan op basis van GPO dit blokkeren :
Computer Configuration > Policies > Windows Settings > Security Settings > Software Restriction Policies
Zet daar dan een juiste disallow regel op en klaar.
Windows-gebruikers zouden daar dankbaar voor zijn.
Of een windows update die het aanpast en dus conform Microsoft standards houdt.
Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
Natuurlijk kan ik dat.
Je kan op basis van GPO dit blokkeren :
Computer Configuration > Policies > Windows Settings > Security Settings > Software Restriction Policies
Zet daar dan een juiste disallow regel op en klaar.
Beste,
Ik ben niet bekend met het aanmaken van policies.
Zou je de bewuste disallow regel hier dan ook even kunnen weergeven.
Bij voorbaat dank,
Heffy
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.
Beste karma4,
Dank voor je reactie en link(s).
Echter weet ik hierdoor nog steeds niet wat te doen.
mijn technisch Engels is niet je van het
Waar doe ik nu goed aan ..???
De bovenstaande register vermelding doorvoeren of moet ik de policies aan gaan passen of wellicht beide...
Wie het weet, graag een reactie met een direct uitvoerbare oplossing (indien mogelijk...)
Ik ben een dagelijkse bezoeker van Security.nl, echter wanneer er opgetreden kan worden tegen malware, virussen etc. zouden de reacties wellicht duidelijker kunnen zijn.
Als bezoeker van Security.nl zijn we niet altijd bekend met de verfijnde technieken mogelijk in de mate van een c.q. systeembeheerder o.i.d.
Graag zie ik dan een passende én (indien mogelijk) direct uitvoerbare oplossing als reactie..
Alvast bedankt..
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.
Hier denk ik dat het komt op een meningsverschil.
Het is een tijdelijke folder in mijn ogen, daar hoort niets uit uitgevoerd te worden lijkt mij.
Wanneer de installer daar andere processen plaatst die het wil uitvoeren, dan zou ik daar niet blij mee zijn.
Als het nou bestanden plaatst welke het later zal verplaatsen omdat de bestanden noodzakelijk zijn voor de installatie, dan is het prima maar dan is er ook geen executie uit deze folder.
Ik snap jouw standpunt zeker en dat zal ook het standpunt zijn van de meeste, wat begrijpelijk is.
Ergens zal je toch een balans moeten vinden tussen gebruikersgemak en security.
Die ligt denk ik per gebruiker anders.
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.
Hier denk ik dat het komt op een meningsverschil.
Het is een tijdelijke folder in mijn ogen, daar hoort niets uit uitgevoerd te worden lijkt mij.
Wanneer de installer daar andere processen plaatst die het wil uitvoeren, dan zou ik daar niet blij mee zijn.
Als het nou bestanden plaatst welke het later zal verplaatsen omdat de bestanden noodzakelijk zijn voor de installatie, dan is het prima maar dan is er ook geen executie uit deze folder.
Ik snap jouw standpunt zeker en dat zal ook het standpunt zijn van de meeste, wat begrijpelijk is.
Ergens zal je toch een balans moeten vinden tussen gebruikersgemak en security.
Die ligt denk ik per gebruiker anders.
Aan Heffy,
Sommige dingen zijn nou eenmaal technisch en lastiger uit te voeren, meestal is het zoeken op google naar vergelijkbare policys wel een goede oplossing.
Een andere is software gebruiken die dergelijk gedrag in de basis kunnen uitsluiten.
https://kc.mcafee.com/corporate/index?page=content&id=PD26383
Het niet toestaan dat er uitvoerbare bestanden uit de %temp% map worden uitgevoerd kan er ook toe leiden dat er security updates niet worden uitgevoerd van bv Flash, ook dit is natuurlijk wel op te lossen door hier packages van te maken, maar voor de gewone gebruiker die minder technisch onderlegd is lastig uit te voeren.
Maar een in de basis een goed gemaakte policy, of een regel in security software, kan een uitbraak van "locky" redelijk simpel voorkomen.
Om iets op een systeem aan te passen zal namelijk een uitvoerbaar bestand moeten worden gebruikt, de %temp% map van Windows is hiervoor de makkelijkste locatie, iedere gebruiker heeft hiervoor namelijk de juiste rechten.
Ik ben een dagelijkse bezoeker van Security.nl, echter wanneer er opgetreden kan worden tegen malware, virussen etc. zouden de reacties wellicht duidelijker kunnen zijn.
Als bezoeker van Security.nl zijn we niet altijd bekend met de verfijnde technieken mogelijk in de mate van een c.q. systeembeheerder o.i.d.
Graag zie ik dan een passende én (indien mogelijk) direct uitvoerbare oplossing als reactie..
Alvast bedankt..
Heffy je hebt helemaal gelijk. De vele reacties van ogenschijnlijk technische goed opgeleiden maakt me te veel blind voro de mensen die juist geholpen zijn met meeme eenvoudig te begrijpen tekst.
-de toegang rechten op een map is niet het zelfde als deze SRP (Software Restriction Policies)
- de via een shared resource (werk/zaak) is weer iets anders/
Het is een behoorlijk lasting iets al die nuances goed gescheiden te houden. Ik kende de optie niet todat ik vond door de terugkerende opmerkingen van die anoniem. Een Automatiscj naar nederlands vertaalde pagina (gruwel) is [ur] https://technet.microsoft.com/nl-nl/library/hh994620.aspx [/url]. De doelgroep zijn professional omgevingen met beheerders (windows professional). Nu zijn de systemen dusdanig identiek dat het ook op een home edition zou moeten kunnen.
werken. Nu moet ik bekennen dat ik niet de thuis gebruiker ben met die hobby van tweaken.
Wat ik nog wel terug kan vinden is dat: -/ het met windows 10 applocker CSP heet -/ nog alleen engelstalige referenties heeft. Niet alles is altijd beschikbaar https://www.microsoft.com/nl-nl/WindowsForBusiness/Compare sigh...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information security officer
Justitiële Informatiedienst
Uitwisseling van informatie is onmisbaar voor het werk van de opsporings- en inlichtingendiensten van het ministerie van Justitie en Veiligheid. Dit moet uiteraard zo veilig en efficiënt mogelijk gebeuren. Daarom toets jij of processen en procedures voldoen aan de eisen voor integrale beveiliging en denk je mee over de toekomstige inrichting van de informatiebeveiliging.
Security Trainer
Ben jij een trainer die het leuk vindt om je hacker mindset en security-skills over te dragen aan anderen? Zie jij het als een uitdaging om hands-on securitytrainingen te verzorgen voor een divers publiek en zijn kritische vragen en eigenwijze techneuten voor jou geen probleem? Dan zoeken wij jou!
Are you ready for a challenge?