Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Aanpassing Windowsregister voorkomt infectie ransomware

donderdag 24 maart 2016, 10:38 door Redactie, 14 reacties
Laatst bijgewerkt: 24-03-2016, 11:23

De Locky-ransomware was de afgelopen weken regelmatig in het nieuws omdat het allerlei organisaties en gebruikers infecteerde, waarop de de Duitse overheid en Microsoft met waarschuwingen kwamen, maar volgens onderzoeker Sylvain Sarméjeanne is de ransomware eenvoudig te neutraliseren.

Sarméjeanne onderzocht de ransomware, die allerlei bestanden op computers voor losgeld versleutelt. Zo blijkt Locky computers met een Russische taalinstelling niet te infecteren. Het aanpassen van de taalinstelling kan een infectie dan ook voorkomen, maar is volgens de onderzoeker voor de meeste mensen niet werkzaam. Het aanpassen van het Windowsregister is dat mogelijk wel. Voordat Locky bestanden gaat versleutelen worden er namelijk eerst bepaalde waardes in het Windowsregister gecontroleerd.

Na het controleren van de taalinstelling probeert Locky een registersleutel in het Windowsregister aan te maken. Als die sleutel echter al aanwezig is, stopt Locky met werken. Is de sleutel niet aanwezig, dan wordt die door Locky aangemaakt en controleert de ransomware vervolgens andere waardes in het Windowsregister. Het aanmaken van deze waardes zorgt er wederom voor dat Locky stopt en geen bestanden versleutelt. Een andere oplossing die het versleutelen voorkomt is het toevoegen van informatie in het Windowsregister die Locky voor de encryptiesleutel gebruikt.

"De afgelopen weken heeft Locky voor veel problemen gezorgd, maar er zijn eenvoudige maatregelen die wanneer ingeschakeld voorkomen dat bestanden worden versleuteld, zonder dat hier anti-virussoftware of securitytools aan te pas komen", aldus Sarméjeanne. Eerder stelde ook de Oostenrijkse beveiligingsexpert Robert Penz dat infecties via Locky door het volgen van verschillende algemene beveiligingsprocedures eenvoudig zijn te voorkomen.

Zakenman bekent hacken Boeing en andere defensiebedrijven
Webontwikkelaar krijgt geldboete voor saboteren ex-werkgever
Reacties (14)
24-03-2016, 10:44 door [Account Verwijderd]
[Verwijderd]
24-03-2016, 10:55 door Millie0111
Hier worden de mogelijkheden uitgelegd: https://www.lexsi.com/securityhub/abusing-bugs-in-the-locky-ransomware-to-create-a-vaccine/?lang=en
24-03-2016, 10:58 door Anoniem
Door MAC-user: Okee, maar misschien zou het dan raadzaam zijn de Register instellingen door te geven?
Windows-gebruikers zouden daar dankbaar voor zijn.

Of een windows update die het aanpast en dus conform Microsoft standards houdt.

Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
24-03-2016, 11:53 door Anoniem
Je mag hopen dat nieuwe versies van Locky niet op deze specifieke oplossingen controleren, en de gebruiker vervolgens extra benadelen door 'als straf' geen decryptie tegen betaling aan te bieden.
Ik vertrouw daarom in de eerste plaats niet op dergelijke oplossingen, maar gebruik goede beveiligingssoftware.
24-03-2016, 15:31 door Anoniem
Door Anoniem:
Door MAC-user: Okee, maar misschien zou het dan raadzaam zijn de Register instellingen door te geven?
Windows-gebruikers zouden daar dankbaar voor zijn.

Of een windows update die het aanpast en dus conform Microsoft standards houdt.

Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
En kun je voor de volledigheid ook uitleggen hoe je dat doet...?
24-03-2016, 17:05 door Anoniem
Door Anoniem:
Door Anoniem:
Door MAC-user: Okee, maar misschien zou het dan raadzaam zijn de Register instellingen door te geven?
Windows-gebruikers zouden daar dankbaar voor zijn.

Of een windows update die het aanpast en dus conform Microsoft standards houdt.

Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
En kun je voor de volledigheid ook uitleggen hoe je dat doet...?

Natuurlijk kan ik dat.
Je kan op basis van GPO dit blokkeren :
Computer Configuration > Policies > Windows Settings > Security Settings > Software Restriction Policies
Zet daar dan een juiste disallow regel op en klaar.
24-03-2016, 18:22 door Heffy
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door MAC-user: Okee, maar misschien zou het dan raadzaam zijn de Register instellingen door te geven?
Windows-gebruikers zouden daar dankbaar voor zijn.

Of een windows update die het aanpast en dus conform Microsoft standards houdt.

Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
En kun je voor de volledigheid ook uitleggen hoe je dat doet...?

Natuurlijk kan ik dat.
Je kan op basis van GPO dit blokkeren :
Computer Configuration > Policies > Windows Settings > Security Settings > Software Restriction Policies
Zet daar dan een juiste disallow regel op en klaar.

Beste,
Ik ben niet bekend met het aanmaken van policies.
Zou je de bewuste disallow regel hier dan ook even kunnen weergeven.

Bij voorbaat dank,
Heffy
24-03-2016, 19:32 door karma4 - Bijgewerkt: 24-03-2016, 19:35
Door Heffy: Heffy
Ik begin die anoniem met zijn %temp% comments te begrijpen. https://blog.windowsnt.lv/2011/06/01/preventing-malware-with-srp-english/ - https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.
24-03-2016, 22:33 door Heffy
Door karma4:
Door Heffy: Heffy
Ik begin die anoniem met zijn %temp% comments te begrijpen. https://blog.windowsnt.lv/2011/06/01/preventing-malware-with-srp-english/ - https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.

Beste karma4,
Dank voor je reactie en link(s).

Echter weet ik hierdoor nog steeds niet wat te doen.
mijn technisch Engels is niet je van het

Waar doe ik nu goed aan ..???
De bovenstaande register vermelding doorvoeren of moet ik de policies aan gaan passen of wellicht beide...

Wie het weet, graag een reactie met een direct uitvoerbare oplossing (indien mogelijk...)

Ik ben een dagelijkse bezoeker van Security.nl, echter wanneer er opgetreden kan worden tegen malware, virussen etc. zouden de reacties wellicht duidelijker kunnen zijn.

Als bezoeker van Security.nl zijn we niet altijd bekend met de verfijnde technieken mogelijk in de mate van een c.q. systeembeheerder o.i.d.

Graag zie ik dan een passende én (indien mogelijk) direct uitvoerbare oplossing als reactie..

Alvast bedankt..
25-03-2016, 10:55 door Anoniem
Door karma4:
Door Heffy: Heffy
Ik begin die anoniem met zijn %temp% comments te begrijpen. https://blog.windowsnt.lv/2011/06/01/preventing-malware-with-srp-english/ - https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.

Hier denk ik dat het komt op een meningsverschil.

Het is een tijdelijke folder in mijn ogen, daar hoort niets uit uitgevoerd te worden lijkt mij.
Wanneer de installer daar andere processen plaatst die het wil uitvoeren, dan zou ik daar niet blij mee zijn.
Als het nou bestanden plaatst welke het later zal verplaatsen omdat de bestanden noodzakelijk zijn voor de installatie, dan is het prima maar dan is er ook geen executie uit deze folder.

Ik snap jouw standpunt zeker en dat zal ook het standpunt zijn van de meeste, wat begrijpelijk is.
Ergens zal je toch een balans moeten vinden tussen gebruikersgemak en security.
Die ligt denk ik per gebruiker anders.
25-03-2016, 14:19 door Anoniem
Door Anoniem:
Door karma4:
Door Heffy: Heffy
Ik begin die anoniem met zijn %temp% comments te begrijpen. https://blog.windowsnt.lv/2011/06/01/preventing-malware-with-srp-english/ - https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.

Hier denk ik dat het komt op een meningsverschil.

Het is een tijdelijke folder in mijn ogen, daar hoort niets uit uitgevoerd te worden lijkt mij.
Wanneer de installer daar andere processen plaatst die het wil uitvoeren, dan zou ik daar niet blij mee zijn.
Als het nou bestanden plaatst welke het later zal verplaatsen omdat de bestanden noodzakelijk zijn voor de installatie, dan is het prima maar dan is er ook geen executie uit deze folder.

Ik snap jouw standpunt zeker en dat zal ook het standpunt zijn van de meeste, wat begrijpelijk is.
Ergens zal je toch een balans moeten vinden tussen gebruikersgemak en security.
Die ligt denk ik per gebruiker anders.


Aan Heffy,

Sommige dingen zijn nou eenmaal technisch en lastiger uit te voeren, meestal is het zoeken op google naar vergelijkbare policys wel een goede oplossing.
Een andere is software gebruiken die dergelijk gedrag in de basis kunnen uitsluiten.

https://kc.mcafee.com/corporate/index?page=content&id=PD26383

Het niet toestaan dat er uitvoerbare bestanden uit de %temp% map worden uitgevoerd kan er ook toe leiden dat er security updates niet worden uitgevoerd van bv Flash, ook dit is natuurlijk wel op te lossen door hier packages van te maken, maar voor de gewone gebruiker die minder technisch onderlegd is lastig uit te voeren.

Maar een in de basis een goed gemaakte policy, of een regel in security software, kan een uitbraak van "locky" redelijk simpel voorkomen.

Om iets op een systeem aan te passen zal namelijk een uitvoerbaar bestand moeten worden gebruikt, de %temp% map van Windows is hiervoor de makkelijkste locatie, iedere gebruiker heeft hiervoor namelijk de juiste rechten.
25-03-2016, 17:13 door Anoniem
Je kan met windows verkenner naar %temp% = C:\Users\[gebruikersnaam]\AppData\Local\Temp gaan en dan met de rechtermuisknop de eigenschappen van de map oproepen. Vandaar uit kan je de map dicht zetten voor uitvoeren. Tegelijkertijd zet je hem ook dicht voor lezen. Er zijn bona fide applicaties die %temp% gebruiken en die dan niet meer werken, bijvoorbeeld axcrypt (een handige encryptie app).
25-03-2016, 20:04 door karma4
Door Heffy:
Ik ben een dagelijkse bezoeker van Security.nl, echter wanneer er opgetreden kan worden tegen malware, virussen etc. zouden de reacties wellicht duidelijker kunnen zijn.
Als bezoeker van Security.nl zijn we niet altijd bekend met de verfijnde technieken mogelijk in de mate van een c.q. systeembeheerder o.i.d.
Graag zie ik dan een passende én (indien mogelijk) direct uitvoerbare oplossing als reactie..
Alvast bedankt..

Heffy je hebt helemaal gelijk. De vele reacties van ogenschijnlijk technische goed opgeleiden maakt me te veel blind voro de mensen die juist geholpen zijn met meeme eenvoudig te begrijpen tekst.
-de toegang rechten op een map is niet het zelfde als deze SRP (Software Restriction Policies)
- de via een shared resource (werk/zaak) is weer iets anders/
Het is een behoorlijk lasting iets al die nuances goed gescheiden te houden. Ik kende de optie niet todat ik vond door de terugkerende opmerkingen van die anoniem. Een Automatiscj naar nederlands vertaalde pagina (gruwel) is [ur] https://technet.microsoft.com/nl-nl/library/hh994620.aspx [/url]. De doelgroep zijn professional omgevingen met beheerders (windows professional). Nu zijn de systemen dusdanig identiek dat het ook op een home edition zou moeten kunnen.
werken. Nu moet ik bekennen dat ik niet de thuis gebruiker ben met die hobby van tweaken.

Wat ik nog wel terug kan vinden is dat: -/ het met windows 10 applocker CSP heet -/ nog alleen engelstalige referenties heeft. Niet alles is altijd beschikbaar https://www.microsoft.com/nl-nl/WindowsForBusiness/Compare sigh...
26-03-2016, 10:20 door Anoniem
De eerste preventieve maatregel (het vooraf aanmaken van de register sleutel 'HKEY_CURRENT_USER/Software/Locky') werkt inmiddels al niet meer!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Smartengeld bij misbruik persoonsgegevens moet de regel zijn:

8 reacties
Aantal stemmen: 718
Image
Vacature
Vacature

Junior specialist OSINT

Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!

Lees meer
Kan de AVG ook als middel tegen oneerlijke concurentie worden ingezet?
24-02-2021 door Arnoud Engelfriet

Juridische vraag: ik las in het FD dat concurrenten de AVG niet tegen elkaar in konden zetten. Maar het is toch oneerlijke ...

6 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op een betaalbare en snelle internetverbinding, 'digitale inburgering' of digitaal stemmen, het ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter