Crypto(B)locker - Hoeveel geld zou u over hebben om uw data terug te krijgen?
Stelt u zich voor dat u van het ene moment op het andere niet meer aan uw bedrijfsgegevens kan en dat de enige mogelijkheid om er terug aan te geraken het betalen van een aanzienlijk bedrag aan “losgeld” is. Hoeveel geld zou u over hebben om uw data terug te krijgen?
Vandaag is er voor u als klant en voor IT-experts niets angstaanjagenders dan het zogenaamde "ransomware"-virus cryptolocker en zijn varianten. Een alarmerend aantal mensen en organisaties zijn er al het slachtoffer van geworden en intussen loopt de buit voor de hackers al op tot honderden miljoenen euro’s! Dagelijks zijn er meer dan 1.2 miljoen aanvallen en het aantal stijgt met rasse schreden.
Wat is Cryptolocker?
Voor diegenen die het virus nog niet kennen een korte omschrijving: het Cryptolocker-virus maakt gebruik van asymmetrische encryptie (RSA-2048) om uw gegevens te versleutelen. Er is dus een publieke en een private key nodig om de toegang van uw bestanden te ontgrendelen. Cryptolocker versleutelt alle bestanden op uw computer of server, maar dan ook echt alles: van documenten en bestanden die dit virus kan vinden op eigen drives tot netwerkdrives of USB-sticks. Kortom, alles wat aangesloten is op uw computer!
Op welke manieren wordt het virus verspreid?
Meestal wordt het virus verspreid via e-mail. Enkele weken geleden verscheen er bijvoorbeeld een e-mail van een fictieve transportfirma die zogezegd een pakje heeft proberen af te leveren. Er wordt gevraagd om een nieuwe afspraak te maken door een document in te vullen afkomstig van hun website.
Hieronder een voorbeeld:
De onschuldige lezer opent het document, maar op de achtergrond infecteren macro’s de computer.
In sommige mails wordt het bestand zelfs meegestuurd met in de bijlage een pdf- of Word –document. In feite is dit echter een .exe (uitvoerbaar bestand) dat na het openen onmiddellijk de encryptie start!
Wat wij als IT’ers ook regelmatig tegenkomen, is dat hackers de systemen proberen te penetreren met zogenaamde RDP Brute-Force attacks.
Vaak maken bedrijven gebruik van het RDP ofwel Remote Desktop protocol om vanop afstand te werken op hun server of computer. Hackers gebruiken dan lijsten met gemakkelijke gebruikersaccounts en wachtwoorden, bijvoorbeeld “user: test” met “password: test”. Als de hacker hiermee aangemeld geraakt op uw server, start hij de encryptie manueel.
Ons advies is dan ook om remote desktop-servers nooit rechtstreeks bereikbaar te maken via het internet, maar om een extra defense-layer zoals een vpn (virtual private network)-verbinding te implementeren, oude (ongebruikte) accounts uit te schakelen en gebruik te maken van een complexe password policy!
Het laatste jaar hebben de ransomware-makers een groot aantal extra technieken toegevoegd aan hun arsenaal, nieuwe ransomware-varianten waar gebruik gemaakt wordt van JavaScript, PHP, Powershell of Python.
De aanvallers gebruiken deze methodes om detectie te vermijden en bepaalde antivirus-producten te omzeilen.
Wat na de virusuitbraak?
Van het moment dat de bestanden geëncrypteerd zijn, wordt het bureaublad van de geïnfecteerde aangepast met een 'countdown' en een mogelijkheid om uw eigen bestanden terug te kopen. Zoals eerder vermeld zijn er verschillende varianten en kan het verschil in ransom dus ook variëren. De ontwikkelaars van de allereerste cryptolocker vroegen €300 en na 72 uur werd de geheime sleutel (in handen van de cybercriminelen) verwijderd. Nu zijn er dus ook varianten waar het bedrag verhoogd wordt na een aantal uren of dagen; dit bedrag kan variëren van €10.000 euro tot €20.000.
De hacker biedt zijn slachtoffers twee mogelijkheden om te betalen. De eerste mogelijkheid is om geld om te zetten in de zogenaamde bitcoin en dan hangt het er dus vanaf hoeveel bitcoin er gevraagd wordt als “losgeld”. De tweede mogelijkheid is om te betalen via een moneypak.
Never pay ransom!
Ons advies: laat u nooit onder druk zetten om de hacker te betalen! We bieden hieronder een aantal uitwegen die zeker het proberen waard zijn!
Het enige wat u na de uitbraak nog kan doen (als u niet wenst te betalen), is om een back-up van de vorige dag of van het laatste restore point terug te zetten. Het is dus zeer belangrijk om altijd in het bezit te zijn van de meest recente back-up! In sommige gevallen kunnen de bestanden nog terug omgezet worden naar hun oorspronkelijke staat, door middel van decryptor tools, ontwikkeld door verschillende antivirusmakers zoals Intel, Bitdefender en Kaspersky. Deze zijn terug te vinden op www.nomoreransom.org.
U kan ook steeds een beroep doen op onze technische dienst en ons een sample file doorsturen van een geëncrypteerd bestand. Wij zullen dan onmiddellijk nagaan of een herstel mogelijk is. Jammer genoeg is dit echter in weinig cases mogelijk gebleken. Wij zijn steeds bereikbaar via ons servicedesk nummer 011/60 90 07 of via [email protected].
Hoe een uitbraak vermijden?
Voor mij start het steeds bij de gebruiker; een beetje “cryptolocker awareness” zorgt ervoor dat iedereen binnen uw organisatie op de hoogte is welke gevaren e-mail met zich meebrengt. Blijf erop hameren dat e-mails gedubbelcheckt moeten worden voor er iets geopend wordt!
Neem uw voorzorgsmaatregelen!
BACK-UP, BACK-UP, BACKUP
Zorg altijd voor een goede back-up; dit kan met software zoals bijvoorbeeld Veeam back-up and replication.
ANTIVIRUS
Uw antiviruspakket moet altijd up-to-date zijn met de laatste patches en updates. Ook werken de meeste antivirusoplossingen aan anti ransomware plug-ins: zorg er dus zeker voor dat deze ingeschakeld zijn. U bent optimaal beschermd met onze bitdefender managed antivirus met anti ransomware engine.
SPAMFILTER
Een goede spamfilter is uw eerste beveiligingslaag, gezien de meeste varianten van cryptolocker verstuurd worden via e-mail. Een zeer goede spamfilter voor uw omgeving is messagelabs mail security van Symantec (cloud based)
FIREWALL & SECURITY
Implementeer een firewall met een security-bundel en APT blocker (Advanced Persistent Threat): nog een extra beveiliging tegen cryptolocker! EuroSys is de eerste en enige WatchGuard Platinum Partner in de Benelux en zorgt dus ook voor een optimaal beveiligde IT-infrastructuur samen met WatchGuard.
Lees meer over de WatchGuard security bundel en zijn functies
SOFTWARE
Zorg dat alle security-patches van microsoft geïnstalleerd zijn en dat ook al uw software up-to-date is!
ivITa MANAGED SERVICES
Voor al onze ivITa serviceplan-klanten zijn bovenstaande oplossingen reeds geïmplementeerd en wij hebben zelf ook extra beveiligingen rond cryptolocker uitgewerkt welke volledig geautomatiseerd via ons Managed Services-systeem uitgerold werden.
Eén van de oplossingen hierin is bijvoorbeeld dat wanneer een bestand geëncrypteerd wordt, de toegang tot de shares op de fileserver automatisch verbroken wordt en de ransomware dus niet verder geraakt dan het individueel gebruikersprofiel. Dit is maar één van de voorbeelden en wij blijven hier uiteraard ook steeds op verderwerken om u optimaal te beveiligen tegen alle ransomware-varianten!
BEVEILIGINGSAUDIT
Wenst u dat wij ook uw netwerk komen auditeren om zo een advies uit te brengen en de kans op een inbraak zo klein mogelijk te maken? Contacteer ons, we helpen u hier graag mee verder!
Tel +32 11 60 90 07