• Thaalpad 37, 6102 EH Echt
  • 085 – 536 00 00

6 tips om u beter te kunnen beschermen tegen ransomware

sophos-intercept

Ransomware is een vorm van malware die toegang tot bestanden blokkeert oftewel ‘gijzelt’ om vervolgens ‘losgeld’ te vragen om de bestanden weer vrij te geven. Het is op dit moment een van de meest wijdverspreide en ernstige bedreigingen waarmee internetgebruikers te maken krijgen. Ransomware kan op verschillende manieren op een systeem terecht komen, bijvoorbeeld: Via een booby-trapped email met een geïnfecteerd bijlage of een link naar een gecompromitteerde website. Eenmaal geïnfecteerd met ransomware wordt de toegang tot de computer geblokkeerd of worden -met de laatste generatie ransomware- bestanden zelfs geëncrypt (versleuteld). Betaling van het losgeld blijkt niet altijd tot het decrypten van de bestanden.

Ondanks beschermingsmiddelen zoals virusscanners, firewall, IPS-systemen, anti-spam en -virus-e-mail-gateways en web-filters, worden dagelijks ontelbare ransomware-infecties zoals Cryptowall, TeslaCrypt en Locky waargenomen.

Hieronder wordt in het kort omschreven hoe een normaal infectiescenario zou kunnen uitzien:

  • Gebruiker ontvangt een e-mail met bijlage die van een ogenschijnlijk normale afzender komt, bijvoorbeeld een pakketdienst met aangehechte leveringsinformatie of een externe onderneming met een factuur in de bijlage.
  • Deze emailbijlage bevat een MS Word- of Excel-document met een ingebouwde macro. Wanneer de ontvanger het document opent, start de macro automatisch en voert dan de volgende handelingen uit:
  • De ransomware wordt gedownload van één of meerdere tijdelijke webadressen.
  • De macro voert de ransomware uit.
  • De ransomware wisselt informatie over de geïnfecteerde computer uit met een door de aanvaller opgezette (tijdelijke) server. Vervolgens wordt er een individuele publieke sleutel gedownload.
  • Bepaalde bestandstypes (Office-documenten, databasebestanden, PDF’s, CAD-documenten, HTML, XML etc.) worden dan versleuteld met behulp van de gedownloade sleutel.
  • Automatische back-ups van het besturingssysteem (schaduw kopieën) worden vaak gewist om het herstel van data te voorkomen. Vervolgens verschijnt een boodschap op de desktop van de gebruiker waarin wordt uitgelegd hoe het losgeld (vaak in de vorm van bitcoins) binnen een bepaalde periode kan worden betaald in ruil voor de decryptietool inclusief de private sleutel.
  • De ransomware wist vervolgens zichzelf waardoor alleen de versleutelde bestanden en ransom berichten achterblijven.

Hieronder volgen een aantal direct toepasbare praktische tips om u beter te kunnen beschermen tegen ransomware zoals Cryptowall, TeslaCrypt en Locky:

  1. Maak regelmatig een back-up en bewaar een recente back-up-kopie off-site. Naast ransomware zijn er tientallen goede redenen om een back-up te maken zoals: Brand, overstroming, diefstal, en zelfs het per ongeluk wissen van bestanden. Versleutel uw back-up en stel deze veilig zodat enkel alleen de hoogst nodige gebruiker(s) toegang hebben tot deze back-up. U kunt  dan altijd nog terugvallen op een recente back-up na een ransomware infectie.
  2. Schakel geen macro’s in voor bijlagen van documenten die via e-mail ontvangen zijn. Microsoft schakelt al tal van jaren als veiligheidsmaatregel de automatische uitvoering van macro’s standaard uit. Veel malware-infecties proberen u ervan te overtuigen om macro’s in te schakelen, niet doen!
  3. Wees voorzichtig met ongevraagde bijlagen. Oplichters creëren vaak onduidelijkheid waardoor de ontvanger zich gedwongen voelt het document juist openen. Als u twijfelt, open het dan niet! Stuur het bericht eventueel door naar uw systeembeheerder, deze kan uitsluitsel geven.
  4. Geef uzelf niet meer bevoegdheden om documenten te openen dan u strikt nodig hebt. Indien u geen beheerdersrechten nodig heeft voor de werkzaamheden die u verricht, geef u zelf deze rechten dan  niet!
  5. Overweeg om de Microsoft Office viewer-software te installeren. Deze viewer  toepassingen tonen u een voorbeeld van het document, zonder ze daadwerkelijk in  Word of Excel zelf te openen. Een bijzonder kenmerk van viewer-software is dat ze  geen macro’s ondersteunen, dus kunt u ze ook niet per ongeluk inschakelen!
  6. Vroegtijdig en regelmatig patch/update beleid. Malware die niet wordt geïnstalleerd via macro’s in documenten exploiteert vaak veiligheidsproblemen in populaire toepassingen zoals Office, uw browser, Flash en nog veel meer. Vroegtijdig en regelmatig uitvoeren van patches/updates zorgt voor minder openingen die oplichters kunnen exploiteren.

Nog steeds op zoek naar een goede oplossing  tegen ransomware? Overweeg dan het next-generation Sophos detectie en response platform: Sophos Intercept X.

CryptoGuard Technologie (Sophos Intercept X). Beveiligt je endpoints en server met unieke technologie die ransomware onmiddellijk tegenhoudt. CryptoGuard vult je bestaande beveiliging aan, en blokkeert processen die je data zonder toestemming proberen te wijzigen.

  • Werkt tegen CryptoLocker, Locky, Zepto, Cerber en nog veel meer.
  • Werk tegen zowel lokale versleuteling als tegen verscleuteling vanop afstand.
  • Draait automatisch aanpassingen terug – zonder verlies van data

Exploit Preventie (Sophos Intercept X) Zorgt ervoor dat ransomware geen misbruik kan maken van zwakke punten in andere software producten.

Probeer Sophos Intercept X nu en registreer u voor een gratis proefperiode van 30 dagen.

Reeds geïnfecteerd ? Verwijder aanwezige ransom- en malware dan met Sophos Clean en registreer u voor een gratis proefperiode van 30 dagen.

Bij ICTivate B.V. rekenen wij op Sophos voor de beste bescherming tegen complexe bedreigingen en dataverlies. Sophos levert security- en databeschermingsoplossingen die eenvoudig in te zetten, te beheren en te gebruiken zijn. Zo biedt Sophos (prijswinnende) oplossingen aan voor endpoint security, web security, e-mail security, network security, mobile security, cloud security en encryptie. Deze worden ondersteund door Sophos Labs, een wereldwijd netwerk van threat intelligence centra.

Wilt u meer informatie over de producten van Sophos? Neem dan contact met ons op.

Bronvermelding:

  • Sophos: Whitepaper September 2016: ‘Hoe kunnen we onszelf beschermen tegen ransomware’
  • Sophos: De Anti-ransomware checklist