Aanpassing Windowsregister voorkomt infectie ransomware
De Locky-ransomware was de afgelopen weken regelmatig in het nieuws omdat het allerlei organisaties en gebruikers infecteerde, waarop de de Duitse overheid en Microsoft met waarschuwingen kwamen, maar volgens onderzoeker Sylvain Sarméjeanne is de ransomware eenvoudig te neutraliseren.
Sarméjeanne onderzocht de ransomware, die allerlei bestanden op computers voor losgeld versleutelt. Zo blijkt Locky computers met een Russische taalinstelling niet te infecteren. Het aanpassen van de taalinstelling kan een infectie dan ook voorkomen, maar is volgens de onderzoeker voor de meeste mensen niet werkzaam. Het aanpassen van het Windowsregister is dat mogelijk wel. Voordat Locky bestanden gaat versleutelen worden er namelijk eerst bepaalde waardes in het Windowsregister gecontroleerd.
Na het controleren van de taalinstelling probeert Locky een registersleutel in het Windowsregister aan te maken. Als die sleutel echter al aanwezig is, stopt Locky met werken. Is de sleutel niet aanwezig, dan wordt die door Locky aangemaakt en controleert de ransomware vervolgens andere waardes in het Windowsregister. Het aanmaken van deze waardes zorgt er wederom voor dat Locky stopt en geen bestanden versleutelt. Een andere oplossing die het versleutelen voorkomt is het toevoegen van informatie in het Windowsregister die Locky voor de encryptiesleutel gebruikt.
"De afgelopen weken heeft Locky voor veel problemen gezorgd, maar er zijn eenvoudige maatregelen die wanneer ingeschakeld voorkomen dat bestanden worden versleuteld, zonder dat hier anti-virussoftware of securitytools aan te pas komen", aldus Sarméjeanne. Eerder stelde ook de Oostenrijkse beveiligingsexpert Robert Penz dat infecties via Locky door het volgen van verschillende algemene beveiligingsprocedures eenvoudig zijn te voorkomen.
Windows-gebruikers zouden daar dankbaar voor zijn.
Of een windows update die het aanpast en dus conform Microsoft standards houdt.
Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
Ik vertrouw daarom in de eerste plaats niet op dergelijke oplossingen, maar gebruik goede beveiligingssoftware.
Windows-gebruikers zouden daar dankbaar voor zijn.
Of een windows update die het aanpast en dus conform Microsoft standards houdt.
Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
Windows-gebruikers zouden daar dankbaar voor zijn.
Of een windows update die het aanpast en dus conform Microsoft standards houdt.
Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
Natuurlijk kan ik dat.
Je kan op basis van GPO dit blokkeren :
Computer Configuration > Policies > Windows Settings > Security Settings > Software Restriction Policies
Zet daar dan een juiste disallow regel op en klaar.
Windows-gebruikers zouden daar dankbaar voor zijn.
Of een windows update die het aanpast en dus conform Microsoft standards houdt.
Maar even serieus, dat die locky zoveel aandacht krijgt is puur marketing van de AV boeren.
Want de hele en ik bedoel dan ook echt de HELE infectie is tegen te houden als je executie uit %temp% blokkeert...
Natuurlijk kan ik dat.
Je kan op basis van GPO dit blokkeren :
Computer Configuration > Policies > Windows Settings > Security Settings > Software Restriction Policies
Zet daar dan een juiste disallow regel op en klaar.
Beste,
Ik ben niet bekend met het aanmaken van policies.
Zou je de bewuste disallow regel hier dan ook even kunnen weergeven.
Bij voorbaat dank,
Heffy
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.
Beste karma4,
Dank voor je reactie en link(s).
Echter weet ik hierdoor nog steeds niet wat te doen.
mijn technisch Engels is niet je van het
Waar doe ik nu goed aan ..???
De bovenstaande register vermelding doorvoeren of moet ik de policies aan gaan passen of wellicht beide...
Wie het weet, graag een reactie met een direct uitvoerbare oplossing (indien mogelijk...)
Ik ben een dagelijkse bezoeker van Security.nl, echter wanneer er opgetreden kan worden tegen malware, virussen etc. zouden de reacties wellicht duidelijker kunnen zijn.
Als bezoeker van Security.nl zijn we niet altijd bekend met de verfijnde technieken mogelijk in de mate van een c.q. systeembeheerder o.i.d.
Graag zie ik dan een passende én (indien mogelijk) direct uitvoerbare oplossing als reactie..
Alvast bedankt..
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.
Hier denk ik dat het komt op een meningsverschil.
Het is een tijdelijke folder in mijn ogen, daar hoort niets uit uitgevoerd te worden lijkt mij.
Wanneer de installer daar andere processen plaatst die het wil uitvoeren, dan zou ik daar niet blij mee zijn.
Als het nou bestanden plaatst welke het later zal verplaatsen omdat de bestanden noodzakelijk zijn voor de installatie, dan is het prima maar dan is er ook geen executie uit deze folder.
Ik snap jouw standpunt zeker en dat zal ook het standpunt zijn van de meeste, wat begrijpelijk is.
Ergens zal je toch een balans moeten vinden tussen gebruikersgemak en security.
Die ligt denk ik per gebruiker anders.
Het nadeel is dat er niets meer van gestart kan worden. Dat is de bedoeling.
Niet altijd even gebruiksvriendelijk maar wel hackeronvriendelijk.
Hier denk ik dat het komt op een meningsverschil.
Het is een tijdelijke folder in mijn ogen, daar hoort niets uit uitgevoerd te worden lijkt mij.
Wanneer de installer daar andere processen plaatst die het wil uitvoeren, dan zou ik daar niet blij mee zijn.
Als het nou bestanden plaatst welke het later zal verplaatsen omdat de bestanden noodzakelijk zijn voor de installatie, dan is het prima maar dan is er ook geen executie uit deze folder.
Ik snap jouw standpunt zeker en dat zal ook het standpunt zijn van de meeste, wat begrijpelijk is.
Ergens zal je toch een balans moeten vinden tussen gebruikersgemak en security.
Die ligt denk ik per gebruiker anders.
Aan Heffy,
Sommige dingen zijn nou eenmaal technisch en lastiger uit te voeren, meestal is het zoeken op google naar vergelijkbare policys wel een goede oplossing.
Een andere is software gebruiken die dergelijk gedrag in de basis kunnen uitsluiten.
https://kc.mcafee.com/corporate/index?page=content&id=PD26383
Het niet toestaan dat er uitvoerbare bestanden uit de %temp% map worden uitgevoerd kan er ook toe leiden dat er security updates niet worden uitgevoerd van bv Flash, ook dit is natuurlijk wel op te lossen door hier packages van te maken, maar voor de gewone gebruiker die minder technisch onderlegd is lastig uit te voeren.
Maar een in de basis een goed gemaakte policy, of een regel in security software, kan een uitbraak van "locky" redelijk simpel voorkomen.
Om iets op een systeem aan te passen zal namelijk een uitvoerbaar bestand moeten worden gebruikt, de %temp% map van Windows is hiervoor de makkelijkste locatie, iedere gebruiker heeft hiervoor namelijk de juiste rechten.
Ik ben een dagelijkse bezoeker van Security.nl, echter wanneer er opgetreden kan worden tegen malware, virussen etc. zouden de reacties wellicht duidelijker kunnen zijn.
Als bezoeker van Security.nl zijn we niet altijd bekend met de verfijnde technieken mogelijk in de mate van een c.q. systeembeheerder o.i.d.
Graag zie ik dan een passende én (indien mogelijk) direct uitvoerbare oplossing als reactie..
Alvast bedankt..
Heffy je hebt helemaal gelijk. De vele reacties van ogenschijnlijk technische goed opgeleiden maakt me te veel blind voro de mensen die juist geholpen zijn met meeme eenvoudig te begrijpen tekst.
-de toegang rechten op een map is niet het zelfde als deze SRP (Software Restriction Policies)
- de via een shared resource (werk/zaak) is weer iets anders/
Het is een behoorlijk lasting iets al die nuances goed gescheiden te houden. Ik kende de optie niet todat ik vond door de terugkerende opmerkingen van die anoniem. Een Automatiscj naar nederlands vertaalde pagina (gruwel) is [ur] https://technet.microsoft.com/nl-nl/library/hh994620.aspx [/url]. De doelgroep zijn professional omgevingen met beheerders (windows professional). Nu zijn de systemen dusdanig identiek dat het ook op een home edition zou moeten kunnen.
werken. Nu moet ik bekennen dat ik niet de thuis gebruiker ben met die hobby van tweaken.
Wat ik nog wel terug kan vinden is dat: -/ het met windows 10 applocker CSP heet -/ nog alleen engelstalige referenties heeft. Niet alles is altijd beschikbaar https://www.microsoft.com/nl-nl/WindowsForBusiness/Compare sigh...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.