/></p></noscript>
<!-- End Piwik Code --></head>
<body class='template-news-item'>
	<!-- Google Tag Manager (noscript)-->
	<noscript><iframesrc=

SoftwareGeek.nl

Ransomware waarschuwing: Voorkom besmetting met Locky

19-03-2016

Ransomware is een snel groeiende plaag op de computer van gebruikers, en de nieuwste variant heet Locky deze voegt kwaadaardige Word-macro’s toe aan zijn wapens.
Als u Word-documenten krijgt die zijn gemaakt door anderen en u moet ze openen, dan zijn hier enkele manieren om ervoor te zorgen dat u niet het slachtoffer wordt van ransomware.

Als u pech genoeg heeft om Locky krijgen

Locky ransomware komt in vele formaten, maar in de meeste gevallen het is vermomd als een factuur, vervoersdocument, of een soortgelijke, schijnbaar legitieme bijlage. Typisch, zijn deze bijlagen Word- of Excel-documenten, maar de malware kan ook worden verstopt in een ZIP of RAR-bestand.

Maakt niet uit hoe Locky komt, in het einde is het effect hetzelfde en beangstigend voor het voor de hand liggende. U zult ontdekken dat al uw documenten worden gecodeerd: niet alleen op de geïnfecteerde computer, maar ook bestanden op de in kaart gebrachte externe schijven en de netwerk locaties. Zelfs cloud-gebaseerde documenten zijn in gevaar. Het kan ook Windows 'volume schaduwkopieën uitschakelen.

Het wordt nog erger: Locky gaat op zoek naar Bitcoin portefeuilles en probeert ze ook te versleutelen.

Locky kan ook informatie opslaan in het Windows-register. Het kan worden weergegeven in de volgende locaties:

HKCU \ Software \ Locky \ id - Biedt een unieke ID die wordt toegewezen aan het slachtoffer.
HKCU \ Software \ Locky \ pubkey - De RSA publieke sleutel.
HKCU \ Software \ Locky \ paytext - Slaat de tekst op die is opgenomen in de losgeld notities.
HKCU \ Software \ Locky \ afgerond - Geeft aan of de ransomware klaar is met het

versleutelen van de computer.
HKCU \ Control Panel \ Desktop \ Wallpaper - "% UserProfile% \ Desktop \

_Locky_recover_instructions.bmp" - Slaat de ransomware instructies op.

Van Locky is ook bekend dat ze deze bestanden gebruiken:

% UserProfile% \ Desktop \ _Locky_recover_instructions.bmp
% UserProfile% \ Desktop \ _Locky_recover_instructions.txt
% Temp% \ [Random] .exe

Hier zijn een aantal herinneringen en manieren om uzelf te beschermen tegen deze laatste variant.

De eerste lijn van verdediging blijft ongewijzigd

Regelmatige lezers zullen al weten dat de eerste regel is van het blokkeren van ransomware en soortgelijke vormen van malware: Open geen e-mailbijlagen die niet afkomstig zijn uit echt betrouwbare bronnen of die u niet verwacht. U zou zelfs moeten voorkomen dat bijlagen worden toegezonden door mensen die u wél goed kent, u kunt de oorspronkelijke bron van het document niet kennen.

Merk op dat de ransomware meestal niet wordt gestart door simpelweg het e-mailbericht te bekijken; u zult de kwaadaardige bijlage moeten openen om besmet te raken.

De volgende beste verdediging maakt gebruik van een e-mail service die uw e-mail filtert. Als u nog nooit de bijlage heeft gezien, zult u niet in de verleiding om het te openen. Veel grote Internet Service Providers zullen uw e-mail schoon filteren, het is in hun belang om het verkeer van hun abonnee te beschermen.

Als uw ISP geen effectieve mail filtering en schoonmaak biedt, moet u zich aanmelden voor een van de gratis providers. U kunt, bijvoorbeeld, wordt uw e-mail automatisch laten doorsturen via Gmail of Outlook.com. Wij adviseren ook het creëren van een aparte account op een van de gratis online e-maildiensten; u kunt dan gebruik maken van dat e-mailadres voor de sites die tot meer spam in uw inbox kunnen leiden.

Veel van de kwaadaardige e-mails en bijlagen zien eruit alsof ze afkomstig zijn van legitieme bedrijven. Het kan soms moeilijk zijn om een ​​valse melding van de Belastingdienst te onderscheiden van een echte. Als u een verdachte e-mail krijgt, open deze dan op een platform wat minder waarschijnlijk is, te worden getroffen door ransomware. Maak bijvoorbeeld, gebruik van een iPhone om een verdachte e-mail te openen. Als het veilig blijkt te zijn, kunt u deze vervolgens openen op één van uw Windows-machines. Maar zelfs dit is niet waterdicht. Zoals opgemerkt in een recent bericht van Reuters, sommige OS X machines hebben hun eerste succesvolle ransomware aanval gehad. De "KeRanger" exploit was mee gelift op een van de torrent sites. (Dat is wat u krijgt voor het illegaal downloaden van media (grapje J): er zijn legitieme redenen voor het gebruik van BitTorrent). Experts verwachten, dat u naar verluidt, nieuwe vormen van bijlagen op de Mac zult zien.

Het voorkomen van besmetting door het blokkeren van macro's

Locky gebruikt Office-gebaseerde macro’s op een enigszins unieke manier. Als u pech genoeg heeft om de malware te starten, en als u geen voorzorgsmaatregelen heeft genomen om bepaalde macro's te blokkeren, zal het encryptie-proces starten. Microsoft Malware Center heeft tips geplaatst om uzelf te beschermen tegen besmette macro's.
Het begint met het controleren of u een Word-documenten of Excel-werkbladen die macro's bevatten. Als u niet beschikt over of gebruik maken van macro's, neemt u de volgende stappen uit om jezelf beter te beschermen tegen schadelijke documenten die kunnen glijden op uw machine.

  1. Open een Microsoft Word-document;
  2. Klik op het tabblad Bestand en vervolgens op Opties;
  3. In het Vertrouwenscentrum, klik op Instellingen voor het Vertrouwenscentrum;
  4. In de sectie Macro-instellingen, controleer dan of de standaard uitschakelen alle macro's met melding is ingeschakeld;
  5. Klik op OK.

Als u geen gebruik maken van macro's, is er een betere optie: schakel alle macro's, behalve digitaal ondertekende macro's, uit. Dit zal ervoor zorgen dat macro’s die niet zijn ondertekent niet zullen starten wanneer u een document opent.

Op zoek naar de gele vlag bij het openen van bestanden

Als u een nieuwere Office platform heeft, 2010 tot en met 2016, weet deze automatisch waar geopende documenten vandaan komen. Het openen van Word of Excel e-mailbijlagen een gele waarschuwing zal weergegeven ( zie in figuur 1). (De tekst zal enigszins variëren met de verschillende Office-versies). Eerdere versies van Office kunnen de waarschuwing ook weer- geven als u bepaalde updates hebt geïnstalleerd. Maar de bijgewerkte versies van Office zijn niet volledig succesvol als het gaat om het openen van bestanden in oudere versies.

Figuur 1. Waarschuwing van Office dat er een document is aangekomen in een e-mail dat kwaadaardig zou kunnen zijn.

Als u gebruik maakt van .docx en .xlsx formaten, dan hebben nieuwere Office-versies de neiging om besmette macro’s effectiever te spotten en te blokkeren van macro's. Maar de sleutel is nog steeds, om te kijken voor de gele banner die bovenaan de geopende bestanden staat. Als het document via het web is gekomen, kunt u macro's inschakelen maar, nogmaals, alleen als u echt vertrouwen heeft in de bron.

Waar heeft u toegang toe?

Een stap die vaak over het hoofd wordt gezien is het beperken van schade als gevolg van ransomware, controleer waar u toegang toe heeft op uw PC met uw Windows account. Als u kunt bladeren naar een locatie op een intern station, of op een externe USB-schijf en in de cloud, dan heeft de ransomware ook toegang tot die locatie.

Met dat in het achterhoofd, kunt u opnieuw beoordelen hoe uw back-up software moet worden ingesteld. Het is één van de redenen waarom u geen volledige toegang moet geven aan het File History systeem van Windows 10; het bespaart u een kopie op de externe USB schijf waar u en de ransomware volledige toegang toe hebben.

File History doet geen poging om de locatie van gearchiveerde bestanden te verbergen; ze verbergen zou helpen hen te beschermen tegen ransomware encryptie.

Zet File History niet uit, maar gebruik de oude-school methode van de roterende back-up media (door meerdere, externe USB-schijven of sticks toe te voegen). Combineer deze strategie met uw cloud back-up die versiebeheer heeft. Kortom, vertrouw nooit meer op een back-up systeem.

Ransomware wordt alleen maar slimmer door computergebruikers te verleiden in het downloaden en het starten van kwaadaardige code (bestanden). Zoals het zich aanpast, zo moeten wij dat ook. Open alleen de bijlagen die u verwacht te ontvangen en maakt u zich geen zorgen als uw vrienden denken dat u een beetje paranoïde ben wanneer u ze belt om te controleren of ze echt een e-mail met bestand stuurde in de vorm van een bijlage.

Een beetje paranoia helpt ons allemaal veilig te blijven.