Advies bij Ransomeware

De afgelopen maanden heeft Sneekernet ICT meerdere virus infecties bestreden.
Zelfs wanneer er adequate beveiligings-systemen aanwezig zijn is er kans op besmetting.
Lees onder welke beveiligingsmaatregelingen een slachtoffer had genomen.

– De e-mail werd gescand op virussen door de e-mailserver.
– Het binnenkomend e-mail verkeer werd extern gefilterd.
– Er was een geavanceerde firewall met virus filtering.
– Elk werkstation had recente antivirus software.

Ondanks de bovenstaande maatregelen werd het netwerk alsnog 2x besmet, vanuit 2 verschillende computers. De virus besmetting gaat kinderlijk eenvoudig. Door enkel te klikken op een internet link wordt deze geactiveerd. Na activatie kwam de antiviru software wel tussen beide en is hierdoor het oorspronkelijk besmette bestand verwijderd. Doch de virus bleef actief zolang het werkstation aan bleef staan. Hierdoor heeft de virus duizenden bestanden weten te besmetten en te versleutelen. Het virus zoekte overigens eerst naar netwerkbronnen in het bedrijfsnetwerk om daar op toe te slaan, zodat een zo groot mogelijke economische schade werd toegebracht.

Voorlichting is de eerste verdedigingslinie.
De eerste beschermende remedie tegen deze virus is goede informatie voorziening naar alle werknemers.
Helaas is de ontdekking door de Antivirus software en de daarop volgende verwijdering voor dergelijke virussen niet afdoende.

Meldt een incident zo spoedig mogelijk
Schaamte van de getroffen werknemers maakte het probleem erger, doordat het voorval niet tijdig gemeld werd aan de juiste persoo(nen). Hier door kon de virus urenlang het kwaadaardig werk uitvoeren. Het is daarom raadzaam om mensen niet bang te maken, maar hen te stimuleren om alle verdachte incidenten zo snel mogelijk te melden en het onderstaande lijstje met de 4 punten op te volgen.

O jee, ik ben besmet, wat nu?
Wanneer de antivirus software op een werkstation een virus melding geeft, doe dan het volgende:
1) Maak er een schermafdruk van, of via een foto met de mobiele telefoon.
2) Noteer de datum en het tijdstip van het voorval.
3) Zet daarna de computer uit.
4) Meldt het voorval aan de ICT afdeling of verantwoordelijke.
Ook bij plotselinge traagheid van de computer vlak na het bezoek van een verdachte website, moet men er op bedacht zijn dat er iets ernstig aan de hand kan zijn.

Alleen antivirus software is niet voldoende
Zoals men uit het eerder geschetste beveiligingsscenario kan opmaken, is een goed beveiligingssysteem helaas geen garantie om deze virus buiten de deur te houden. De beste remedie zoals altijd is GOED OPLETTEN. Open niet klakkeloos e-mail berichten met vreemde bijlagen, klik niet zomaar op internet linkjes in de e-mail. Pas op voor phishing berichten enzovoort. Een goed dosis gezond verstand is vaak afdoende, maar het verstand moet vaak ook bijgehouden worden met relevante informatie. Houdt daarom collega’s op de hoogte van recente bedreigingen door deze informatie te delen. ALLES KAN HELPEN nietwaar?

Meer details over de besmettingsmethode.
Het kan een e-mail bericht van een koerier zijn met een melding dat een pakket is langs gebracht, maar niet in ontvangst is genomen, of dat een fax niet is aangekomen. In het bewuste bericht staat vaak een bijlage, veelal een gecomprimeerd bestand (zip of rar) met daarbinnen een internet url die verwijst naar een soort track&trace pagina. Via de gecomprimeerde bestandsmethode komt de virus langs diverse beveiligingssoftware. Klikt u op de url (vaak wordt het gecomprimeerd bestand automatisch uitgepakt door Windows) dan is uw computer besmet met het virus.
Wees ook bedacht op alternatieve / nieuwe besmettingsmethodes. De hackers zitten ook niet stil en zijn altijd op zoek naar slimmere methodes om het kwalijk werk te laten verrichten.

Pot en pot dicht?
Het is natuurlijk altijd raadzaam je computer “zo goed mogelijk” te beschermen tegen virussen, maar het moet geen kind met een waterhoofd worden. Waak ervoor dat u niet erg veel tijd en erg veel geld aan de beveiliging besteed, waardoor u zelf de focus op uw eigen werk dreigt te gaan verliezen.

Maak goede backups.
Dit is het tweede advies. Maak regelmatig backups.
Maar er is een kanttekening bij NAS systemen.
Een NAS schijf heeft geen backup tegen virussen. Een NAS (Netwerk Attached Storage) is een compact server systeem die vaak in de MKB branche gebruikt wordt. Omdat een NAS meestal een tweede schijf heeft (een zogenaamde backup schijf) gaat men er automatisch vanuit dat het een backup is. Maar bij een virus besmetting is dit niet het geval. Omdat de NAS backup schijf gespiegeld wordt, wordt bij besmetting ook backup-schijf direct geïnfecteerd. Dit soort virussen zoeken gedeelde bronnen in het netwerk op, daarom is een NAS systeem geen veilig backup systeem, maar eerder een kwetsbaar onderdeel in uw netwerk.

Meer advies
Gebruik recente antivirus software, liefst een commerciële versie, die geeft meer bescherming.
Meestal staat de antivirus software op nummer één in een beveiligings-advies, maar bij de virussen waar we het nu over hebben (die men “ransome-ware” noemt) is de informatie voorziening en backups belangrijker.

Nogmaals Sneekernet’s ICT advies in deze volgorde.
1) Zorg voor adequate instructies en regelgeving hoe mensen moeten omgaan met email berichten.
Maak mensen niet bang, licht ze in over de gevaren en laat weten dat ze niet verantwoordelijk worden gehouden bij een virus besmetting op hun systeem.
1a) Bij een eigen emailserver: laat de e-mailserver desnoods gecomprimeerde bestanden blokkeren.
2) Maak regelmatig backups
3) Gebruik goede (commerciële) antivirus software.

Dit was de redding.
Door de backup terug te zetten hebben we nagenoeg alle geïnfecteerde bestanden weten te herstellen.

Er zijn nog een reeks van aanbevelingen te bedenken voor een betere bescherming van data en netwerkbronnen, maar dit gaat het doel in deze berichtgeving voorbij.

Sneekernet staat u bij.
Komt u er zelf niet uit, heeft u extra hulp nodig, dan helpen wij u graag.