Ransomware verspreidt zich op geniepige wijze via usb-sticks
Onderzoekers waarschuwen voor een nieuw ransomware-exemplaar dat zich op geniepige wijze via usb-sticks verspreidt. Het gaat om de Spora-ransomware die recentelijk al in het nieuws kwam. De methode die Spora gebruikt om usb-sticks en externe harde schijven te infecteren was nog niet genoemd.
In eerste instantie maakt Spora gebruik van e-mailbijlagen om internetgebruikers te infecteren, zo meldde anti-virusbedrijf Emsisoft vorige week. Eenmaal actief gebruikt de ransomware dezelfde truc als verschillende computerwormen om zich verder te verspreiden, namelijk lnk-bestanden. Deze extensie gebruikt Windows voor snelkoppelingen, maar is ook te gebruiken voor het uitvoeren van code.
Zowel op usb-sticks, externe harde schijven als de systeemschijf maakt de ransomware bestanden en mappen onzichtbaar. Vervolgens vervangt het deze mappen en bestanden met een gelijknamig lnk-bestand dat de originele map of bestand opent, zodat de gebruiker niets vermoedt, en tegelijkertijd in de achtergrond de malware uitvoert. De worm verwijdert tevens een waarde in het Windows-register, zodat het snelkoppeling-icoon niet meer het bekende pijltje bevat. Zodoende ziet de gebruiker niet dat er iets mis is, tenzij hij de detailweergave van mappen heeft ingeschakeld.
"Alleen door de mappen op je systeem via dubbelklik te doorlopen activeert de worm. Via deze strategie verspreidt de worm zich niet alleen naar verwijderbare schijven zoals usb-sticks, maar zal het ook nieuwe bestanden op het systeem versleutelen. Dit maakt het systeem onbruikbaar voor het opslaan van of werken aan foto's en documenten totdat de ransomware is verwijderd", zegt Karsten Hahn van het Duitse anti-virusbedrijf G Data.
Hahn laat verder weten dat Spora de User Account Control (UAC) maatregel van Windows niet omzeilt. Dit houdt in dat de gebruiker een dialoogvenster van Windows krijgt te zien waarin de malware vraagt om aanpassingen aan de computer te maken. In dit geval is het verzoek van de "Windows Command Processor" afkomstig die als gecontroleerde uitgever Microsoft zelf heeft. Verder verwijdert de ransomware schaduwvolumes en schakelt Windows foutherstel uit. Voor het ontsleutelen van de data vraagt de ransomware bedragen tussen de 79 en 280 dollar.
Ook het aanpassen van de registry zodat je de pijltjes niet ziet op het icoontje lijkt me alleen te kunnen op een systeem dat al geinfecteerd is, dus plug je deze USB in een nieuwe machine dan zie je gewoon de pijltjes.
Volgens mij klopt er iets niet in deze analyse, vooral niet dat ik deze methode (mappen verbergen en lnk's neerzetten al minstens 2 jaar in het wild ben tegen gekomen) en het artikel noemt dit een nieuwe methode ?
Je ziet vaak dat iemand niet snapt wat er aan de hand is. Ondanks de grote ransomware mededelingen die getoond worden. Dus bellen ze de helpdesk. Die stuurt iemand er naar toe. Soms met een stick met anti-virus software e.d. Die weet ook niet wat er precies aan de hand is en hij zal in de gelinkte directories willen kijken.
Dubbel-click -> stick besmet.
En die stick wordt natuurlijk ook gebruikt op werkplekken van andere gebruikers.
Ik heb het hier zien gebeuren. Het stopte pas toen de stick in een PC met een andere niet-standaard virusscanner werd gestoken, die aangaf dat de stick besmet was.
Peter
Is ransomware niet per definitie 'geniepig'?
Of is het wel OK wanneer je eerst een beleefde aankondiging krijgt?
"Hallo, ik ben ransomware XYZ en zou mij graag op uw computer installeren. Gaat u akkoord? [Ja, graag], [Vertel meer], [Nee, liever niet]"
- niet enkel de bekende malware detectie op maar juist ook
- ander gedrag, veranderingen etc ofwel intrusion detectie.
- uitwisselen van data via usb zeker in werkomgeving = verbod
- zorg voor backups op meerdere devices.
En ja dit soort traag verval in de aanval is moeilijker te herkennen dan dat het meteen plat gaat.
Ik weet dat Microsoft UAC niet als "security boundary" positioneert maar als "convenience". Maar om dat te weten moet je technet-artikelen weten te vinden, en de mededeling "Verified publisher: Microsoft Windows" in de UAC-popup is een stevige en suggestieve uitspraak.
De betekenis van die UAC-mededeling is natuurlijk dat de command processor geverifieerd is en niet de invoer die hij verwerkt, in dit geval een commando of script, maar die nuance zal heel wat gebruikers ontgaan omdat ze er geen verstand van hebben, en wat je communiceert is niet wat jij bedoelt maar hoe de ander het interpreteert.
Als je gebruikers de indruk geeft te kunnen vertellen wie het initiatief tot een handeling neemt, dan is het niet genoeg als je dat bijna altijd goed hebt. Dat kwaadwilligen actief misbruik zullen maken van de mogelijkheid iets uit naam van Microsoft zelf te doen als die mogelijkheid geboden wordt is nogal wiedes. Dat een command processor commando's verwerkt die niet door Microsoft zijn gepubliceerd zou men bij Microsoft ook moeten weten. En dat een doorsnee-computergebruiker dat niet door heeft ook, in een tijd dat ingetypte commando's en scripts als het toppunt van gebruikersonvriendelijkheid worden bestempeld door velen.
Ik vind het daarom niet handig zoals Microsoft dit heeft ingericht. Dat bedoel ik niet als een groot verwijt aan Microsoft, ik zie het meer als een van de dingen waaraan je kan zien dat de softwareindustrie nog jong en onvolwassen is en bezig om met vallen en opstaan de juiste modus te vinden om een razend complex programmeerbaar apparaat algemeen bruikbaar te maken. Ik hoop dat ze bij Microsoft herkennen dat UAC nog niet goed genoeg is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.