Nieuwsoverzicht

Let op ransomware!

Wij informeren u graag verder over de steeds agressiever wordende variaties van ransomware.

Ransomware is als een “virus” wat zich op verschillende manieren op uw systeem kan installeren. Het virus gijzelt vervolgens uw gegevens. Tegen betaling mag u de gegevens terug kopen.
In de meeste gevallen betreft dit dat uw bestanden onleesbaar worden gemaakt, en u tegen betaling de sleutel (wellicht) kunt ontvangen om de bestanden weer leesbaar te maken.

De bestanden worden versleuteld middels een sleutel. Er zijn programma’s beschikbaar die de sleutel hebben waardoor u de bestanden weer kunt ont-sleutelen. Op deze site is meer informatie te vinden: https://www.nomoreransom.org. Maar ook hier dient u op uw hoede te zijn. Een site kan zich voordoen alsof het uw bestanden zou kunnen ont-sleutelen, maar het kan ook goed zijn dat u juist daardoor nog meer virussen binnen haalt! Let daarom altijd op waar de website vandaan komt/van afkomstig is.

In dit geval staat er een certificaat op deze website en dat kunt u meestal zien aan een groen schildje. Als we het certificaat verder bekijken, zien we dat het certificaat op organisatie niveau geverifieerd is. Dat wil zeggen dat de uitgever van dit certificaat contact heeft gehad met dit bedrijf en telefonisch gevalideerd heeft.

Internet Explorer Google Chrome

Europol ransomware website SSL certificaat

We gaan er dus vanuit dat deze website “echt”  is.
Any-iT heeft verder onderzoek gedaan hoe dit tot stand komt.

Alle reguliere meldingen van ransomware tot nu toe zijn tot stand gekomen door het openen van een Word bestand met een Macro er in.

Word document met macro

Het begint zoals u ziet met een simpel Word bestand.

 

 

 

Macro melding

Als u deze opent ziet u al meteen dat er een macro in zit, en de vraag is om deze toe te staan. Dit staat ook letterlijk in het eerste wat u ziet als u het document opent.
Een macro kan in de achtergrond diverse programma’s starten waar u geen weet van heeft wat precies. In dit geval zal er dus in de achtergrond een programma gestart worden welke uw bestanden gaat versleutelen.

Wildfire versleuteling

Wildfire registry

Wildfire programma

Wildfire .NET

 

 

 

 

 

 

 

 

Uiteindelijk zien we dus dat een programma “ynmsiy.exe” automatisch gestart gaat worden, en dat het diverse zaken op uw systeem wijzigt. Hier merkt u niets van en gaat ook slechts in een aantal seconden.
Alle test documenten waren in enkele seconden versleuteld.

In dit geval ging het om de cryptolocker “Wildfire”. Dit is een nieuwe variant. Anti-virus pakketten hebben helaas niet meteen de juiste definities en slaan dus niet altijd aan. Het belangrijkste is dus dat u geen macro’s uitvoert!

Mocht uw systeem/bestanden versleuteld zijn, hebben wij diverse manieren om het te herstellen. Normaal gesproken kunnen wij uw bestanden terug halen uit een backup.
Klanten die gebruik maken van onze hosting services en/of servers hosten in ons datacenter hebben veelal een dagelijks back-up. Zodoende kunnen wij vaak tot op op bestandniveau uw bestanden herstellen.

Wildfire melding

Wildfire versleutelde bestanden

Wildfire melding

 

 

 

 

Een opsomming waar u op moet letten:

  • Ransomware kan op verschillende manieren uw systeem infiltreren, via een bestand, per mail, zelfs via websites. Gebruik zover het kan altijd een goede virusscanner. Indien uw virusscanner een browser add-in heeft, gebruik deze!
  • Open nooit mails waar u enige twijfel over heeft. Veel instanties zullen u sowieso nooit een mail sturen, denk aan uw bank, het CJIB, et cetera.
  • Indien het een bestand betreft met een macro er in of anderszins, open deze niet. Vraag desnoods een collega om zekerheid te krijgen of informeer bij ons.
  • Mocht u aanwijzingen hebben dat er iets aan de hand is, zet uw systeem uit/log uit en informeer uw collega’s en Any-iT.
  • En het allerbelangrijkste, zorg voor een goede backup.