Search

Meer resultaten...

Generic filters
1
1
1
1
Jarno Baselier > Security > Onconventionele tips om Ransomware ellende te voorkomen

Onconventionele tips om Ransomware ellende te voorkomen

Je kent het wel. Je bent systeembeheerder, het is vrijdagmiddag en het bier staat al een paar uurtjes koud. Ineens belt er iemand en die zegt “ik kan mijn bestanden niet meer openen. Overal staat ook “.enc” achter. Help!”. Op dit soort momenten zou je willen dat je die rommel kon voorkomen. Dus voor iedereen die genoeg heeft van ransomware ellende hier een paar waardevolle en alternatieve tips om de ransomware ellende te mitigeren.

De beste manier om ransomware te voorkomen is om de computer te gebruiken zoals we dat 25 jaar geleden deden. Zonder internetkabel en bij voorkeur ook zonder floppy disks. Omdat deze methode niet meer bij de moderne tijd past moeten we andere methodes verzinnen. Ook virusscanners beveiligen onvoldoende. 80% van de virusscanners verwijderd de trojan nadat het encryptieproces gestart is… te laat dus. Het aller-aller belangrijkste is om een goede back-up te hebben. Niet om ransomware te voorkomen maar wel om de vervelende gevolgen terug te draaien. Belangrijk is om een off-site back-up te hebben zoals een online back-up of op verwisselbare media. Een back-up op een verbonden USB drive is in dit geval overbodig want ook deze is direct te benaderen en zal dus versleuteld worden. Dus zorg ten aller tijde voor een goede off-site back-up!

Naast de logische voorzorgsmaatregelen zoals het hebben van een goede back-up, goede antivirus, up-to-date computer, e-mail filter e.d. zijn er nog een aantal slimme (onconventionele) zaken die je kunt doen om ransomware een stapje voor te blijven zoals:

Rename VSSadmin

Volume Shadow Copy is een functie die sinds Windows Vista wordt gebruikt om shapshots te maken van je bestanden, zelfs wanneer deze in gebruik zijn. Ook System Restore maakt gebruik van Volume Shadow Copies. Om Volume Shadow Copies te beheren heeft Microsoft de tool “vssadmin.exe” geïmplementeerd. Standaard zal Windows op dagelijkse basis een “snapshot” van je C: drive maken, en dus ook al je bestanden. Een mooie functie dus als je onverhoopt geïnfecteerd raakt door een cryptolocker. De makers van ransomware weten dit natuurlijk ook. Dus bij de infectie zal de ransomeware trojan meestal al je bestaande Volume Shadow Copies verwijderen zodat je deze niet meer kunt gebruiken om bestanden te herstellen. Het commando dat hier waarschijnlijk voor gebruikt wordt is: “vssadmin.exe Delete Shadows /All /Quiet”. Echter zijn de meeste trojans ook in staat om Volume Shadow Copies te verwijderen van remote computers zoals je server. Dit doen ze door gebruik te maken van een slim Powershell script of door een PSexec variant te gebruiken.

Het hernoemen van vssadmin.exe zorgt er dus niet voor dat bestanden versleuteld worden maar wel dat je bestanden kunt herstellen omdat je Volume Shadow Copies niet meer verwijderd worden.

Het hernoemen van vssadmin.exe is omslachtig. Om dit te doen moet je jezelf “owner” maken van het bestand en jezelf de rechten geven om het bestand te kunnen hernoemen. Vervolgens moet je het bestand hernoemen. Lawrence Abrams heeft een mooi script geschreven om dit proces te automatiseren. Dit script is hier te vinden.

Windows gebruikt echter vssadmin.exe ook als je gebruik maakt van geplande restore points. Deze functie zal dus niet meer werken na het hernoemen van vssadmin.exe. Ook hier is echter een workaround voor gemaakt middels het aanmaken van een nieuwe schedulled task en het gebruiken van Wmic.exe. De hele methode staat ook in het bovenstaande artikel beschreven.

Maak een extra “honeypot” share

Toegegeven…dit is een beetje “houtje touwtje” methode maar zeer effectief als er geen alternatieven zijn. Deze methode gaat uit van de standaard cryptolocker encryptieprocedure en beschermd niet de lokale PC maar wel alle data op netwerkshares en externe schijven.

Deze procedure draait om het opzetten van een monitored honeypot. Hiervoor heb je nodig:

  • Externe USB drive (minimaal 100 GB)
  • File Change Monitor met notificatie optie zoals Netwrix of met Microsoft File Server Resource Manager

De meeste cryptolockers beginnen hun encryptieproces bij de eerste driveletter (meestal de local C: drive want diskdrives vinden we niet veel meer (A:). Het eerste dat versleuteld wordt is dus de lokale disk. Vervolgens volgt het proces in chronologische volgorde van A-Z alle andere drives.

Deze truck werkt met het volgende principe:

  • Verbindt de externe USB drive
  • Plaats de schijf vol met demo bestanden (die best versleuteld mogen worden)
  • Deel deze disk met een driveletter die voor alle overige driveletters komt. Deel de disk b.v. als D:
  • Configureer de monitorapplicatie op deze share zodat je meteen op de hoogte gebracht wordt als files op deze disk gemodificeerd worden. Zo ben je er op tijd bij om alle overige shares los te koppelen en de data veilig te stellen

Activeer “vorige versies” en “bestand history”

Vanaf Windows XP SP2 bestaat de mogelijkheid om “vorige versies” (previous versions) te activeren. Vanaf Windows 8 is er nog een functie bijgekomen onder de noemer “bestandsgeschiedenis” ofwel “file history”. “Vorige versies” en “bestandsgeschiedenis” zijn soortgelijke functies. Als “vorige versies” geactiveerd is slaat Windows een schaduwbestand op van je bestanden op het moment dat deze ook een shadow copy maakt van de Windows disk. Met deze functie geactiveerd kun je dus voorgaande versies van bestanden terugplaatsen (ook handig als je per ongeluk iets verwijderd). “bestandsgeschiedenis” slaat eveneens kopieën op van je netwerkbestanden maar niet van de lokale schijf. De interval die “bestandsgeschiedenis” gebruikt voor het back-uppen van de bestanden is door de gebruiker te specificeren. Beide opties hebben per definitie niet de meest “up-to-date” bestanden maar iets is beter dan niets. Sommige cryptolockers verwijderen alle schaduwbestanden die door de “vorige versies” functie gemaakt worden. Als je de mogelijkheid (lees schijfruimte) heeft om ook “bestandsgeschiedenis” te gebruiken dan is dit van harte aan te bevelen.

Het activeren van “vorige versies” gaat als volgt:

  • Ga naar het configuratiescherm en sorteer deze op “kleine pictogrammen”
  • Klik op “systeem”
  • Klik in de linkerkant op “Systeembeveiliging”
  • Klik op de tab “Systeembeveiliging”
  • Selecteer onder “systeemherstel” een disk en klik op “Configureren”
  • Vink aan “Systeembeveiliging inschakelen” en selecteer hoeveel ruimte het systeem hiervoor mag gebruiken. Bij voorkeur 10%-20%

Het activeren van “bestandsgeschiedenis” gaat als volgt:

  • Ga naar het configuratiescherm en sorteer deze op “kleine pictogrammen”
  • Klik op “bestandsgeschiedenis”
  • Selecteer 1 of meerdere verbonden schijven of netwerklocaties
  • Selecteer een back-up interval onder de “geavanceerde instellingen”

Local admin en Policies

Een goede beveiliging om een virus, malware en dus ook cryptolocker infectie te voorkomen is om bij gebruikers de “local admin” rechten in te trekken. Verbiedt gebruikers om software te installeren en gebruik speciale policies om executables te blokkeren in bepaalde locaties. Zo kun je zelf bepalen vanuit welke locaties executables worden gestart en waar niet. FoolishIT LLC heeft een tool ontwikkeld genaamd CryptoPrevent die deze software restricties automatiseert.

Data Leak Prevention / DLP

Veel enterprise routers hebben de beschikking over DLP (Data Leak Prevention). DLP maakt gebruik van digitale markers en patroonherkenning. Middels deze technieken is het mogelijk om specifieke communicatie te voorkomen. Zo kun je voorkomen dat gevoelige informatie van binnen naar buiten verzonden worden maar ook dat gevaarlijke bestanden van buiten naar binnen komen. Zo kan DLP specifieke of algemene bestanden uit e-mails filteren waardoor de gebruiker er nooit op kan klikken en zo een infectie kan veroorzaken. DLP vergt wel een goede configuratie welke in de eerste periode steeds getuned zal moeten worden maar blijkt daarna een zeer effectief wapen tegen ongewenste software.

Turn back the time

Als laatste een tip die het vermelden waard is omdat hij serieuze centjes kan besparen. Als je overweegt te gaan betalen aan de malware fabrikant om je data te herstellen dan heb je een aantal dagen (48-72 uur) bedenktijd. In deze periode betaal je minder voor het verkrijgen van de decryptiesleutel. Nadat deze tijdsspanne verstreken is kan de prijs oplopen tot 8x het initiële bedrag. Mocht je toch willen overgaan tot betaling maar te laat zijn dan kun je de BIOS klok terugzetten in de tijd waardoor je weer binnen de eerste “trail” periode valt en de decryptiesleutel goedkoper kunt aanschaffen.

Let op: Ik adviseer nooit om te betalen voor malware. Er is namelijk helemaal geen zekerheid dat je daarmee je data terugkrijgt en het moedigt crimineel gedrag aan.

Extra: Cryptodrop

Cryptodrop is een tool die op het moment van schrijven nog niet te verkrijgen is. Cryptodrop belooft echter een belangrijke aanwinst te zijn in het gevecht tegen cryptolockers. Cryptodrop is geen antivirus pakket maar werkt juist naast bestaande antivirus pakketten. Cryptodrop kijkt naar de manier waarop cryptolockers bestanden versleutelen en is als het ware een detectiesysteem. Als Cryptodrop teveel verdachte encryptie activiteit waarneemt zal deze het proces stoppen. Hierdoor zullen een aantal bestanden versleuteld raken maar dat is een kleine prijs om te betalen als je weet dat een paar uur later al je bestanden versleuteld zouden zijn. Cryptodrop is overigens niet het enige stukje software. Zo zijn er soortgelijke pakketten zoals b.v. HitmanPro CryptoGuard welke niet alleen het encryptieproces stoppen maar ook de malafide code (de trojan) verwijderen.

Phishing / Spam Checker:
Have you received a strange mail and do you want to make a better assessment? Is it phishing or spam? Use my "CheckForPhishing" tool!
Check your email
Laatst geüploade video:
Bekijk de meest recente video hier of bekijk alle video's op mijn:
YouTube kanaal
Top