‘Locky’ ransomware; best wel ‘sneaky’

Gepubliceerd door Henk-Jan Angerman op

Ineens blijk je klant te zijn bij Ziggo en heb je je internetaansluiting nog niet betaald, ... maar je hebt helemaal geen Ziggo-aansluiting. Of je online banking account bij ABN AMRO is verlopen, maar je zit al je leven lang bij de Rabobank. Dan vallen dit soort berichten je wel op als spam of phishing berichten en verwijder je ze ongeopend. Maar wat als je nu wel een Ziggo-aansluiting hebt en je hebt wel een ABN AMRO-rekening? De e-mailberichten zien er tegenwoordig uit als niet te onderscheiden van de echte berichten en de tijd van geknutselde berichten vol taalvauten ligt inmiddels achter ons. Dan is de verleiding dus wel groot om tóch even te kijken of wat er wordt gemeld. En dan doe je stap 1 …

Locked computer by locky ransomwareRansomware is momenteel de meest actieve vorm van malware. Via verschillende wegen proberen hackers toegang te krijgen, niet meer persé tot je computer of telefoon, maar tot iets veel kostbaarders: jouw gegevens, jouw bestanden, jouw foto’s. Wanneer een computer wordt besmet met ransomware, dan gaat het, zoals de naam al aangeeft, om losgeld. Dit geld wordt je ‘vriendelijk’ verzocht te betalen om je eigen data weer toegankelijk te krijgen. De data is namelijk niet verdwenen, niet verwijderd of verplaatst, maar het staat gewoon nog steeds waar het altijd al stond; op je pc, je server, je NAS of in je cloud-opslag (Google-drive, OneDrive, Dropbox, iCloud, etc.). Na de besmetting is het echter in heel korte termijn allemaal op een geavanceerde manier versleuteld en daarmee voor jou onbruikbaar gemaakt. De manier waarop dit is gebeurd, is echt geavanceerd en zonder de juiste gegevens of procedures onomkeerbaar.

Beveiligen, beveiligen, maar ook: bewust zijn
Beveiligen van je systemen en internetverbinding en deze beveiliging altijd up-to-date hebben is altijd de eerste stap om dit te voorkomen. Ook het instrueren van gebruikers om berichten van onbekende of onverwachte afzenders niet zomaar te openen en zeker niet door te klikken op bijlages in cruciaal om besmetting met malware te voorkomen. Het activeren van macro’s in bijlagen is al helemaal uit den boze.

Maar de moderne ransomware/phishing-berichten bevatten tegenwoordig zelf geen eigen malware-code meer en worden als zodanig niet altijd direct door de gangbare antivirus programma’s gedetecteerd. De ransomware wijzigt ook vaak en snel van identiteit en is daardoor moeilijk te volgen. Pas op het moment dat de gebruiker een bijlage opent of een macro activeert wordt de kwaadaardige code via slinkse wegen binnengehaald en gaat aan z’n vernietigende werk. Vooral omdat de berichten tegenwoordig bijna niet van echt zijn te onderscheiden, inclusief de gelijkende afzenders, is de kans op besmetting erg groot.

Wat te doen tegen ‘locky’?
Allereerst; voorkomen is altijd beter dan genezen (en van ‘locky’ is het moeilijk genezen).
  1. Zorg voor goede en up-to-date beveiliging (antivirus, antimalware, firewall)
  2. Instrueer gebruikers over de gevaren en hoe deze te voorkomen
  3. Instrueer gebruikers ook over wat te doen bij mogelijke besmetting (en de bijkomende wettelijke verplichtingen hierbij)
  4. Zorg altijd voor een goede en actuele back-up waarop je kunt terugvallen wanneer het kwaad dan toch is geschied
  5. Neem direct actie wanneer een systeem lijkt besmet te zijn; 
        a. Koppel het systeem direct los van alle gedeelde opslagsystemen (netwerken, NAS, cloud)
        b. Roep een specialist in op het probleem te onderzoeken en op te lossen

Secure Cyber Communications kan met de volgende producten deze zogenaamde cryptoware of ransomware, zoals Locky, detecteren en blokkeren:

  • Perimeter:
    • Met de (los verkrijgbare) advanced persistant threat blocker (APT) van WatchGuard kunt u op smtp, http en https geavanceerde malware detecteren en blokkeren. Zie de WatchGuard Pagina voor meer informatie.
  • Endpoint: 
    • Met de zeer geavanceerde detectie en analyse technieken van Heimdal Pro en Corp kunt u, naast uw bestaande antivirusoplossing, geavanceerde malware en ransomware tegenhouden. Bekijk de Heimdal productpagina voor meer informatie en/of vraag naar een vrijblijvende demo van Heimdal Corp.
      Heimdal defense Locky detectie en verwijderen

    • Met ESET Endpoint Protection Advanced kunnen we geavanceerde malware, cryptoware en ransomware zoals Locky detecteren en blokkeren. Vooral de combinatie met Heimdal is een beresterke defense-in-depth strategie. Bekijk de productpagina van ESET EPA hier.

Tevens delen we graag het gratis e-book van Heimdal: Your Security Guide against Ransomware met u.


Oudere posts Nieuwere posts


Scroll To Top