Bart Parys

Hoe voorkom je ransomware?

Bart Parys Blogt in eigen naam over security.

Ransomware is malware die je bestanden encrypteert en een bepaald bedrag vragen (tegenwoordig vaak in Bitcoin) om terug toegang tot al je bestanden te verkrijgen. Gelukkig zijn er een aantal stappen die je als gebruiker of bedrijf kan ondernemen om de kans te beperken.

Hoe voorkom je ransomware?

Deze blog post is opgesplitst in twee luiken: 1 voor thuisgebruikers, 1 voor bedrijven. De meeste tips zijn echter ook uitwisselbaar en kunnen naar believen worden toegepast. Onderaan delen we ook enkele tools alsook extra resources ter aanvulling.

Thuisgebruikers

  • Gebruik, afhankelijk van de mailclient, een degelijke anti-spam filter. In zo goed als alle online diensten (bv. Outlook.com, Gmail, …) wordt deze reeds standaard aangeboden.
  • Open nooit een bijlage van een onbekende afzender.
  • Blokkeer de executie van macro’s in je Office-pakket.
  • Schakel Windows Script Host uit. Gebruik hiervoor bijvoorbeeld optie D in mijn tool.
  • Schakel PowerShell uit. Dit kan via Configuratiescherm > Programma’s > Windows Onderdelen in- of uitschakelen.
  • Gebruik een degelijke anti-virus/anti-malware en firewall oplossing en houdt deze up-to-date.
  • Verwijder alle oude Java versies, of verwijder Java volledig indien mogelijk.
  • Verwijder SilverLight indien mogelijk.Installeer steeds alle relevante Windows updates.
  • Activeer click-to-play voor Flash in je browser. Dit hangt af van je browser zelf.
  • Installeer NoScript of vergelijkbaar in je browser.
  • Installeer een adblocker in je browser, bijvoorbeeld uBlock Origin.Er is eveneens een freeware programma beschikbaar, dat heel wat zaken voor je automatisch gaat instellen (zoals bekende locaties waarvan ransomware zich start gaat monitoren) genaamd CryptoPrevent.

Last but not least, de twee belangrijkste punten:

  • Denk altijd twee keer na alvorens een link of bijlage aan te klikken/te openen.
  • Neem geregeld backups! Vergeet niet om na de backup je externe harde schijf los te koppelen. Wees ook voorzichtig met backups naar de cloud – eenmaal je merkt dat je geïnfecteerd bent, verbreek meteen de netwerkverbinding en/of sluit het toestel af om de schade te beperken.Test ook of de backup geslaagd is en herstel enkele (test)bestanden. Een backup is altijd de beste optie hier om bestanden terug te zetten, maar dan moet je ook weten dat deze gelukt is.

Bedrijven

Ook in bedrijven zijn vele van de bovenstaande tips van toepassing. Het overgrote deel hiervan is ook perfect toepasbaar via Group Policies (GPO).

Enkele aanvullingen:

  • Gebruik steeds sterke wachtwoorden voor je servers (ongeacht domain controller of fileserver, etc…).
  • Schakel indien mogelijk toegang tot RDP uit. Indien dit niet mogelijk is, gebruik een goede firewall oplossing (hardwarematig) met VPN. Gebruik ook hier sterke wachtwoorden/authenticatie.
  • Schakel administrator-rechten uit voor gewone gebruikers. De meeste gebruikers met een bedrijfslaptop zouden in theorie geen programma’s of dergelijke moeten installeren.
  • Schakel via GPO het gebruik van macro’s in Office uit indien mogelijk (of sta enkel macro’s toe die digitaal ondertekend zijn), schakel Windows Script Host uit en verplicht het gebruik van antivirus.
  • Installeer dus ook antivirus op alle toestellen in het netwerk en zeker voor gebruikers die hun toestel mee naar huis (mogen) nemen.Indien aanwezig, activeer de optie om gearchiveerde bestanden te laten scannen door de antivirus.
  • Installeer een degelijke anti-spam oplossing en verbiedt het gebruik van bijlagen met gevaarlijke extensies (.exe, .scr, ….) maar blokkeer ook JavaScript bestanden (.js).
  • Verifieer de file sharing permissies van je gebruikers. Wees hier zo efficiënt mogelijk in. Een gebruiker tot groep X heeft niets te zoeken op de share van groep Y? Beperk de toegang. (maak bijvoorbeeld gebruik van ACLs)
  • Informeer gebruikers over de gevaren van het openen van bijlagen van een onbekende afzender of het zomaar losweg klikken op een link in een onbekende mail. Heb eveneens een actieplan klaar voor moest er zich toch een malware-infectie voordoen (ransomware of anders).
  • Gebruik policies om EXE bestanden vanuit bepaalde locaties niet toe te staan. Link.

Last but not least, de twee belangrijkste punten:

  • ‘Failing to prepare is preparing for failure’. Preventie is belangijker dan desinfectie.
  • Neem geregeld backups! Vergeet niet om na de backup je externe harde schijf los te koppelen. Wees ook voorzichtig met backups naar de cloud – eenmaal je merkt dat je geïnfecteerd bent, verbreek meteen de netwerkverbinding en/of sluit het toestel af om de schade te beperken.

Test ook of de backup geslaagd is en herstel enkele (test)bestanden. Een backup is altijd de beste optie hier om bestanden terug te zetten, maar dan moet je ook weten dat deze gelukt is.

Tools

Browser:

Gebruik bij voorkeur Internet Explorer of Edge niet – andere browsers zijn namelijk meer ‘customizable’, wat wil zeggen dat je met een add-on of extensie wat extra bescherming kan instellen.

(vergeet echter niet om deze extensies ook up-to-date te houden)

Activeer click-to-play voor plugins (zoals Flash of Silverlight)

uBlock Origin (Chrome)

uBlock Origin (Firefox)

NoScript

Blokkeer de uitvoering van scripts:

Remediate VBS Worm

Script Defender

CryptoPrevent Malware Prevention:

https://www.foolishit.com/cryptoprevent-malware-prevention/

Java:

Waarom moet ik oudere Java-versies van mijn computer verwijderen?

PowerShell uitschakelen:

  1. Click on “Control Panel” in “Start menu”
  2. Go to “Uninstall a program” in “Control Panel”
  3. Click on “View installed updates” in “Programs and Features”
  4. Right click on Update which reads Powershell and uninstall it.
  1. Click on “control Panel” in “Start menu”
  2. Go to “Uninstall a program” in “Control Panel”
  3. Click on “Turn Windows features on or off” in “Programs and Features”
  4. Find the Powershell entry and uncheck it.

Resources

Backups:

Back-ups maken en terugzetten: veelgestelde vragen

Office:

ActiveX-besturingselementen in Office-documenten in- of uitschakelen

Externe inhoud in Office-documenten blokkeren of deblokkeren

Macro’s in Office-bestanden in- of uitschakelen

Gebruik makend van GPO:

2007 Office system (SP2) Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool

Office 2010 Administrative Template files (ADM, ADMX/ADML) and Office Customization Tool download

Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool

Office 2016 Administrative Template files (ADMX/ADML) and Office Customization Tool

Ransomware extra informatie:

Ransomware: a Q&A

Windows File Sharing:

Understanding Windows Server 2008 File and Folder Ownership and Permissions

Windows Script Host (WSH):

Disabling Windows Script Host

Deze bijdrage verscheen eerst op Bartblaze.blogspot.be, de persoonlijke blog van Bart Parys. Hij is ook te volgen op Twitter via @bartblaze

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content