Preventie van ransomware

Preventie van ransomware



This blog post will be fully in Dutch. If youd like to read English material, be sure to check out my Q&A on ransomware. A translation will also be available in one of the next days.


Ransomware heeft in principe geen introductie meer nodig, maar kortgezegd zal deze specifieke soort malware (bijna) al je bestanden encrypteren en een bepaald bedrag vragen (tegenwoordig vaak in Bitcoin) om terug toegang tot al je bestanden te verkrijgen.

Andere benamingen: CryptoLocker, cryptoware, encrypting ransomware.

Deze blog post is opgesplitst in twee luiken: 1 voor thuisgebruikers, 1 voor bedrijven. De meeste tips zijn echter ook uitwisselbaar en kunnen naar believen worden toegepast.

Tot slot worden ook enkele tools ter beschikking gesteld als aanvulling alsook extra resources.


Thuisgebruikers


  • Gebruik, afhankelijk van de mailclient, een degelijke anti-spam filter. In zo goed als alle online diensten (bv. Outlook.com, Gmail, ...) wordt deze reeds standaard aangeboden.
  • Open nooit een bijlage van een onbekende afzender. 
  • Blokkeer de executie van macros in je Office-pakket. 
  • Schakel Windows Script Host uit. Gebruik hiervoor bijvoorbeeld optie D in mijn tool.
  • Schakel PowerShell uit. Dit kan via Configuratiescherm > Programmas >
    Windows Onderdelen in- of uitschakelen.
  • Gebruik een degelijke anti-virus/anti-malware en firewall oplossing en houdt deze up-to-date.
  • Verwijder alle oude Java versies, of verwijder Java volledig indien mogelijk.
  • Verwijder SilverLight indien mogelijk.
  • Installeer steeds alle relevante Windows updates.
  • Activeer click-to-play voor Flash in je browser. Dit hangt af van je browser zelf.
  • Installeer NoScript of vergelijkbaar in je browser.
  • Installeer een adblocker in je browser, bijvoorbeeld uBlock Origin.
  • Er is eveneens een freeware programma beschikbaar, dat heel wat zaken voor je automatisch gaat instellen (zoals bekende locaties waarvan ransomware zich start gaat monitoren) genaamd CryptoPrevent.


Last but not least, de twee belangrijkste punten:

  • Denk altijd twee keer na alvorens een link of bijlage aan te klikken/te openen.
  • Neem geregeld backups! Vergeet niet om na de backup je externe harde schijf los te koppelen. Wees ook voorzichtig met backups naar de cloud - eenmaal je merkt dat je ge�nfecteerd bent, verbreek meteen de netwerkverbinding en/of sluit het toestel af om de schade te beperken.

    Test ook of de backup geslaagd is en herstel enkele (test)bestanden. Een backup is altijd de beste optie hier om bestanden terug te zetten, maar dan moet je ook weten dat deze gelukt is.




Bedrijven

Ook in bedrijven zijn vele van de bovenstaande tips van toepassing. Het overgrote deel hiervan is ook perfect toepasbaar via Group Policies (GPO).

Enkele aanvullingen:


  • Gebruik steeds sterke wachtwoorden voor je servers (ongeacht domain controller of fileserver, etc...).
  • Installeer steeds alle relevante Windows updates.
  • Schakel indien mogelijk toegang tot RDP uit. Indien dit niet mogelijk is, gebruik een goede firewall oplossing (hardwarematig) met VPN. Gebruik ook hier sterke wachtwoorden/authenticatie.
  • Schakel administrator-rechten uit voor gewone gebruikers. De meeste gebruikers met een bedrijfslaptop zouden in theorie geen programmas of dergelijke moeten installeren.
  • Schakel via GPO het gebruik van macros in Office uit indien mogelijk (of sta enkel macros toe die digitaal ondertekend zijn), schakel Windows Script Host uit en verplicht het gebruik van antivirus.
  • Installeer dus ook antivirus op alle toestellen in het netwerk en zeker voor gebruikers die hun toestel mee naar huis (mogen) nemen.
  • Indien aanwezig, activeer de optie om gearchiveerde bestanden te laten scannen door de antivirus.
  • Installeer een degelijke anti-spam oplossing en verbiedt het gebruik van bijlagen met gevaarlijke extensies (.exe, .scr, ....) maar blokkeer ook JavaScript bestanden (.js).
  • Verifieer de file sharing permissies van je gebruikers. Wees hier zo effici�nt mogelijk in. Een gebruiker tot groep X heeft niets te zoeken op de share van groep Y? Beperk de toegang. (maak bijvoorbeeld gebruik van ACLs)
  • Informeer gebruikers over de gevaren van het openen van bijlagen van een onbekende afzender of het zomaar losweg klikken op een link in een onbekende mail. Heb eveneens een actieplan klaar voor moest er zich toch een malware-infectie voordoen (ransomware of anders).
  • Gebruik policies om EXE bestanden vanuit bepaalde locaties niet toe te staan. Link.


Last but not least, de twee belangrijkste punten:
  • Failing to prepare is preparing for failure. Preventie is belangijker dan desinfectie. 
  • Neem geregeld backups! Vergeet niet om na de backup je externe harde schijf los te koppelen. Wees ook voorzichtig met backups naar de cloud - eenmaal je merkt dat je ge�nfecteerd bent, verbreek meteen de netwerkverbinding en/of sluit het toestel af om de schade te beperken.

    Test ook of de backup geslaagd is en herstel enkele (test)bestanden. Een backup is altijd de beste optie hier om bestanden terug te zetten, maar dan moet je ook weten dat deze gelukt is.



Tools

Browser:
Gebruik bij voorkeur Internet Explorer of Edge niet - andere browsers zijn namelijk meer customizable, wat wil zeggen dat je met een add-on of extensie wat extra bescherming kan instellen.
(vergeet echter niet om deze extensies ook up-to-date te houden)

Activeer click-to-play voor plugins (zoals Flash of Silverlight)
uBlock Origin (Chrome)
uBlock Origin (Firefox)
NoScript

Blokkeer de uitvoering van scripts:
Remediate VBS Worm
Script Defender

CryptoPrevent Malware Prevention:
https://www.foolishit.com/cryptoprevent-malware-prevention/

Java:
Waarom moet ik oudere Java-versies van mijn computer verwijderen?

PowerShell uitschakelen:










Resources

Backups:
Back-ups maken en terugzetten: veelgestelde vragen

Office:
ActiveX-besturingselementen in Office-documenten in- of uitschakelen
Externe inhoud in Office-documenten blokkeren of deblokkeren
Macros in Office-bestanden in- of uitschakelen

Gebruik makend van GPO:
2007 Office system (SP2) Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool 
Office 2010 Administrative Template files (ADM, ADMX/ADML) and Office Customization Tool download 
Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool
Office 2016 Administrative Template files (ADMX/ADML) and Office Customization Tool 



Identificeer ransomware:
ID Ransomware

Ransomware overzicht:
Ransomware Overview

No More Ransom project (decrypters etc.):
The No More Ransom Project

Ransomware extra informatie:
Ransomware: a Q&A

Windows File Sharing:
Understanding Windows Server 2008 File and Folder Ownership and Permissions

Windows Script Host (WSH):
Disabling Windows Script Host

download file now

Comments

Post a Comment

Popular posts from this blog

Top 3 Custom Contact Us Form Widgets for Blogger

Image
Top 3 Custom Contact Us Form Widgets for Blogger Adding Contact Form 1. Log in to Blogger dashboard than go to "Layout" > "Add Widget". 2. Click on "More Widget" below "Basic" Tab on left Side. 3. Add "Contact Form" Widget Hiding Contact Form from Slidebar 1. Go to "Theme" click on "Edit HTML". 2. Click Anywhere & Press "CTRL + F" from "Keyboard" and a Search Box Will be Opened. 3. Paste the Below Code to Find it 4. Paste the Below Code Just Above the Tag (You Search in Last Step) #ContactForm1{display: none !important;} 5. Then Click on "Save Template" Adding Custom Contact Form 1. Go to "Pages" create a new page by click "New Page" 2. Give it any Title you like i.e "Contact Us" or "Contact" etc 3. Click on the "Options" from Right Sidebar & click on "Dont Allow" and "Done" 4. Now, Below there are 3 Custom ...
Read more

Redshift challenge in Seyferts Sextet

Image
Redshift challenge in Seyferts Sextet Seyferts Sextet image NOAO The National Optical Astronomy Observatory (NOAO)  site tells about the image: "This picture was taken at the Kitt Peak National Observatory s 2.1-meter telescope in July of 1998, as part of the KPNO Research Experiences for Undergraduates program, sponsored by the National Science Foundation . North is up, east is to the left." The accompanying image shows labeling and redshifts expressed in speeds km/s. While most redshifts in the sextet are in the range 4017 km/s - 4482 km/s there is one odd galaxy in the center with the speed of 19813 km/s. This is another story, altogether. Image NOAO Always ready for new adventures in Science, arent we! "Five of the members show very similar redshifts, from 4000 to 4500 km/s, while the fifth is measured at nearly 20000 km/s. Conventional wisdom argues that this is a chance projection of a distant background galaxy: some would have otherwise and require a complete reth...
Read more

Yet another ransomware variant

Image
Yet another ransomware variant The blog post of today is a bit different than usual, as you can read the full post on the Panda Security blog. Read it here: Yet another ransomware variant In this post Im simply adding some additional information and repeating the most important points. So, theres yet another ransomware variant on the loose. You may call this one Chuingam (chewing gum?) ransomware or Xwin ransomware - pointing to respectively the file with this string Chuingam dropped, or in the latter case the folder on C: it creates. Or just another (skiddie) Generic Ransomware. In the blog post above, I discuss the methodology to encrypt files it uses and how it creates your own personal key, as well as the ransom message and how to recover files (if youre lucky & fast enough). pgp.exe (PGP) is used to generate the public RSA key. Since pgp.exe requires the RAR password, this is temporarily stored in the file "filepas.tmp" - which is overwritten and deleted, so no c...
Read more