image

Microsoft waarschuwt voor lnk-bestanden met ransomware

donderdag 20 oktober 2016, 09:34 door Redactie, 9 reacties

Microsoft waarschuwt internetgebruikers voor lnk-bestanden die op dit moment via e-mail worden verstuurd en computers met ransomware proberen te infecteren. De lnk-bestanden worden verstuurd door de bende achter de beruchte Locky-ransomware.

Deze ransomware wist zich eerder nog via wsf-bestanden te verspreiden, maar is nu op lnk-bestanden overgestapt. De e-mails in kwestie zijn door de afzender als "Zeer belangrijk" bestempeld en worden zo ook in het e-mailprogramma weergegeven. Als bijlage is er een zip-bestand toegevoegd. Dit zip-bestand bevat het lnk-bestand en doet zich voor als een factuur. Het lnk-bestand is eigenlijk een Powershell-script dat de Locky-ransomware op de computer downloadt.

De ransomware versleutelt vervolgens bestanden voor losgeld op de computer. Microsoft adviseert gebruikers om na te denken voordat ze ergens op klikken. Zo wordt aangeraden om geen e-mails van onbekende afzenders te openen. Ook moeten lnk-bestanden, wsf-bestanden en bestanden met twee punten in de extensie, zoals profile-d39a..wsf, als verdacht worden beschouwd.

Image

Reacties (9)
20-10-2016, 09:59 door Anoniem
"De ransomware versleutelt vervolgens bestanden voor losgeld op de computer. Microsoft adviseert gebruikers om na te denken voordat ze ergens op klikken. Zo wordt aangeraden om geen e-mails van onbekende afzenders te openen. Ook moeten lnk-bestanden, wsf-bestanden en bestanden met twee punten in de extensie, zoals profile-d39a..wsf, als verdacht worden beschouwd."

Markeert Microsoft, in eigen email clients, dan ook bovenstaande als verdacht ?
20-10-2016, 10:03 door buttonius
Microsoft zou alle bestanden die twee extensies achter elkaar hebben als verdacht moeten aanmerken.
De bestandsnaam blabla.pdf.exe (wat de naieve windows gebruiker ziet als blabla.pdf) zou nooit met een simpele of dubbele muisklik geopend mogen worden.
20-10-2016, 10:33 door Anoniem
Door buttonius: Microsoft zou alle bestanden die twee extensies achter elkaar hebben als verdacht moeten aanmerken.
De bestandsnaam blabla.pdf.exe (wat de naieve windows gebruiker ziet als blabla.pdf) zou nooit met een simpele of dubbele muisklik geopend mogen worden.
Wat is dan het verschil tussen iets als "voorstel-versie-1.2.doc" of "archief.tar.gz" en een verdacht bestand?
20-10-2016, 11:37 door Erik van Straten - Bijgewerkt: 20-10-2016, 11:39
Door buttonius: Microsoft zou alle bestanden die twee extensies achter elkaar hebben als verdacht moeten aanmerken.
De bestandsnaam blabla.pdf.exe (wat de naieve windows gebruiker ziet als blabla.pdf) zou nooit met een simpele of dubbele muisklik geopend mogen worden.
Zoals "InformatieBeveiligingsBeleid v1.0.pdf"? (aanvulling 11:39: de bijdrage van Anoniem@10:33 stond er nog niet toen ik deze bijdrage begon te schrijven, excuus voor deze herhaling).
Je kunt ook doorschieten met beveiliging en mensen het uitwisselen van informatie onmogelijk maken.

In [1] staan m.i. meer zinvolle tips dan de zinloze adviezen van Microsoft om "geen e-mails van onbekende afzenders te openen" (als Outlook als afzender "PostNL", "Apple Assist", "Santander Consumer Finance", "DHL Parcel" of "Intrum support" toont, kan ik die mails dus vertrouwen? Zie [2]) en "bestanden met twee punten in de extensie" terwijl Windows by default de laatste punt met extensie helemaal niet toont.

Extra lastig met o.a .lnk extensies is dat die zelfs niet getoond worden als je het tonen van extensies aanzet, zie [3].

[1] https://www.security.nl/posting/489425/Ransomware+decrypters+en+maatregelen
[2] https://www.security.nl/posting/488744/Criminelen+verspreiden+malware+via+Outlook+MSG-bestanden#posting488818
[3] https://www.security.nl/posting/478068/Cyberspionnen+gebruiken+lnk-bestand+met+Word-icoon#posting478078
20-10-2016, 12:25 door buttonius
Door Anoniem:
Door buttonius: Microsoft zou alle bestanden die twee extensies achter elkaar hebben als verdacht moeten aanmerken.
De bestandsnaam blabla.pdf.exe (wat de naieve windows gebruiker ziet als blabla.pdf) zou nooit met een simpele of dubbele muisklik geopend mogen worden.
Wat is dan het verschil tussen iets als "voorstel-versie-1.2.doc" of "archief.tar.gz" en een verdacht bestand?
Da's een goeie. Persoonlijk schrijf ik in dit geval liever archief.tgz, maar er zijn inderdaad zinvolle gevallen van multiple extensies achter elkaar.
Verdacht hoeft natuurlijk niet te betekenen dat je het bestand niet kunt openen. Een extra waarschuwing in de open dialog scheelt al heel wat. Eventueel te voorzien van een whitelist van combinaties die wel mogen.
20-10-2016, 13:39 door Anoniem
Wat ook zou helpen, is een controle of een bestandsextensie wel hoort bij het bestandstype. Een beetje virusscanner zou in staat moeten zijn, om te concluderen, dat een powershell script met een .lnk extensie verdacht is. En het probleem van die dubbele extensies (.doc.exe e.d.) is op te lossen, door standaard altijd de extensie te laten zien. Mag onderhand m.i. wel eens een keer af Microsoft worden aangepast.
20-10-2016, 13:44 door Anoniem
wegisjoris.pdf.exe
20-10-2016, 20:24 door Anoniem
Door buttonius: Microsoft zou alle bestanden die twee extensies achter elkaar hebben als verdacht moeten aanmerken.
De bestandsnaam blabla.pdf.exe (wat de naieve windows gebruiker ziet als blabla.pdf) zou nooit met een simpele of dubbele muisklik geopend mogen worden.

Geen gemiddelde gebruiker weet echt niet wat het verschil is, of wat het verschil betekend.

Daarnaast, "Mijn document v12.001.doc" of "zipfile.001" . Hoe moet het een gebruiker het verschil zien, of weten? Of hoe zou een applicatie daar het verschil in kunnen zien?


Door Anoniem: Wat ook zou helpen, is een controle of een bestandsextensie wel hoort bij het bestandstype. Een beetje virusscanner zou in staat moeten zijn, om te concluderen, dat een powershell script met een .lnk extensie verdacht is. En het probleem van die dubbele extensies (.doc.exe e.d.) is op te lossen, door standaard altijd de extensie te laten zien. Mag onderhand m.i. wel eens een keer af Microsoft worden aangepast.

Standaard de extensie laten zien, gaat niets oplossen. Een gebruiker weet echt het verschil niet tussen een .doc, .exe, pif, .scr, vbs, xls, lnk, dll.
Een powershell script kan gewoon met een lnk file opgestart worden. Of moeten we dit ook met cscript files meteen doen? test.exe /download:www.nu.nl, valt dat ook een een virus?

Toevallig laatst een virus zo binnen gekregen. Deze zijn heel lastig te blockeren.
Een lnk file is een slim bedacht virus.
Maar een goede virusscanner kan gewoon de applicatie powershell.exe geen nieuwe .exe files te laten maken in de temp directory. Dit lost al een groot probleem op. Perfect helaas niet. Maar een perfecte oplossing is er ook niet.
21-10-2016, 09:59 door Briolet
Door Anoniem: Maar een goede virusscanner kan gewoon de applicatie powershell.exe geen nieuwe .exe files te laten maken in de temp directory. Dit lost al een groot probleem op

Of nog beter: Windows zou die ink file vanuit onbekende bron niet mogen uitvoeren.

Om de mac wordt van elke file in de metadata bijgehouden uit welke bron een bestand komt. Een gedownload uitvoerbaar bestand kun je dan standaard niet uitvoeren. Als je onder een useraccount werkt moet je zelfs het wachtwoord van een systeembeheerder opgeven om het de eerste keer te kunnen uitvoeren.

De officiële mac unzippers voorzien die files uit een gedownloade zip, ook niet van die metadata die hem als veilig bestempelt. Alleen sommige (verouderde) 3th party unzippers volgen de security regels niet en voorzien een unziped product wel van die metadata waardoor de beveiliging omzeild wordt.

Apple doet dit al vele jaren. Waarom heeft Microsoft dit nog niet afgekeken?

NB. Om deze metadata op de mac te zien tik je "mdls " in in de terminal en sleept vervolgens de te onderzoeken file naar het terminalvenster. Na een return, zie je al de opgeslagen metadata voor die file.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.