Ransomware detecties en tips

Ransomware detecties en tips

DearBytesBlogRansomware detecties en tips

maandag 13 april 2015

Steeds meer van onze klanten hebben last van ransomware. Dit is malware die bestanden gijzelt door ze te versleutelen. Hoewel de meeste organisaties een back-up terug kunnen zetten kost dit vaak veel tijd en raken tussentijdse aanpassingen verloren. Daarom is ransomware detectie belangrijk.

Verspreiding ransomware

De ransomware wordt op twee verschillende manieren verspreid, via e-mail of gebruikmakend van exploit kits. Exploit kits is een stuk software dat kwetsbaarheden in software uitbuit om zo een systeem te infecteren. Deze post richt zich op verspreiding via e-mail, veel organisaties hebben hier onvoldoende maatregelen getroffen en ontvangen nog .exe bestanden via de e-mail.

Preventie tegen ransomware

Om organisaties te helpen bij het voorkomen van dit leed heeft DearBytes een aantal tips opgesteld. Aan de ene kant is dit een menselijk probleem, de virussen verspreiden zich via e-mails met daarin zip bestanden met een .exe er in. Verder worden de virussen vaak via macro’s verspreid, office documenten kunnen Visual Basic script bevatten (Office Macro’s). Deze scripts kunnen gebruikt worden om virussen te downloaden en uit te voeren. Het is daarom belangrijk om werknemers bewust te maken dat ze voorzichtig met bijlages moeten omspringen.

Tips voor de werknemer

Tips ter preventatie van ransomware voor de werknemer:

  1. Vertrouw de afzender niet klakkeloos, een e-mailadres kan gespoofd worden (afzender doet zich voor als iemand anders).
  2. Controleer het e-mailadres van de afzender.
  3. Controleer hyperlinks met scroll-over, navigeren deze ook naar de verwachte pagina?
  4. Na openen hyperlink, controleer landingspagina op authenticiteit.
  5. Wees kritisch met bijlagen.
    a. Voer nooit macro’s uit.
    b. Wees kritisch met lange bestandsnamen, de extensie kan een .exe zijn.
    c. Bij twijfel stuur de bijlage naar systeembeheer, zij zijn vaak in staat dit soort dingen te herkennen.
  6. Kijk naar de spelling en grammatica van een e-mail, de phishing e-mails worden steeds beter maar het kan een indicatie zijn.
  7. Ga de volgende zaken na: Heb ik om deze informatie gevraagd? Komt dit overeen met het gedrag binnen onze organisatie? Lijkt het te mooi om waar te zijn? Moet ik ergens mijn meest vertrouwelijke gegevens invullen (PIN codes / wachtwoorden)?
  8. Bij twijfel neem contact op met systeembeheer, zij zien dit soort zaken eerder.

Tips voor e-mail instellingen

Voorkomen kan ook technisch aangepakt worden. Bestanden die niet aankomen bij de gebruiker kunnen namelijk ook niet per ongeluk uitgevoerd worden. Daarom is het belangrijk om de volgende bestanden via de e-mail te blokkeren:

  • .exe
  • .com
  • .bat
  • .vbs
  • .ps1
  • .ps1xml
  • .ps2
  • .ps2xml
  • .psc1
  • .psc2
  • .cab
  • .cmd
  • .bin
  • .cpl
  • .inf
  • .reg
  • .vb
  • .js
  • .jse
  • .vbe
  • .vbscript
  • .ws
  • .wsf
  • .wsc
  • .wsh
  • .scr
  • .pif
  • .msi
  • .msp
  • .hta
  • .msc
  • .jar

Office-documenten kunnen ook macro’s bevatten. Het blokkeren van documenten met een macro voorkomt dat via deze weg een virus geïnstalleerd wordt. Nadeel van deze aanpak is dat sommige personen macro’s legitiem gebruiken. Het is dus belangrijk om na te gaan of het binnen uw organisatie mogelijk is deze documenten te blokkeren.

Strenger beleid e-mail filtering

Wanneer u gebruik maakt van een goede e-mail filtering oplossing (zoals McAfee Email Gateway) kunt u besluiten om een strenger beleid in te voeren omtrent e-mailbijlagen. Dit draagt in grote mate bij aan de preventie tegen ransomware.

Voor Email Gateway zou ik in de inbound policy/policies de volgende configuratie doorvoeren, gebaseerd op de redenering dat e-mail niet is bedoeld voor overdracht van uitvoerbare bestanden en dit dus niet wordt toegestaan:

Anti-Virus:
Radio: Scan ALL Files.
Check: Scan Archive Files (ZIP, ARJ, RAR…)
Check: Find All Macro’s and Treat As Infected
Check: Enable McAfee Global Threat Intelligence File Reputation
Check: Find Unknown Macro Viruses
Check: Scan All Files For Macro’s
Check: Remove All Macro’s From Document Files
Select: Artemis Sensitivity Level: VERY HIGH

Als een virus wordt gedetecteerd, probeer het dan niet te schonen (attempt to clean) maar zet het in quarantaine. Wanneer u Quarantine Manager gebruikt of gebruik maakt van Quarantine Digests is het doorgaans niet mogelijk voor eindgebruikers om items vrij te geven in de categorie Virus.

1

File Filtering:
Maak een regel aan voor Windows Executables. Door deze regel worden in Windows uitvoerbare bestanden automatisch gedetecteerd. Selecteer de categorie Other Specific File Types en daaronder Windows Executables. Als vervolgactie kunt u kiezen voor Replace With An Alert of Drop The Data. Advies is om het originele bestand in Quarantaine te plaatsen.

In het verlengde van deze regel kunt u ervoor kiezen om ook andere malware-gevoelige bestanden te blokkeren, zoals PDF, HTML, Archives, et cetera. Advies is om dit in een nieuwe File Filtering regel te doen en voor deze regel een notificatie naar de ontvanger te sturen (interne ontvanger uiteraard). Houdt u rekening met het feit dat u als beheerder regelmatig verzoeken zult krijgen deze bestanden vrij te geven. Het is veiliger maar meer arbeidsintensief.

2

Een streng beleid voor e-mailbijlagen draagt in grote mate bij aan het voorkomen van malware infecties, maar heeft weinig zin als u geen web filtering gebruikt. McAfee Email Gateway biedt vanaf versie 7.5 ook URL Reputation om URLs in Emailberichten te scannen tijdens transport. Advies is om dit in te schakelen met de volgende instellingen:

Detection Threshold: Highly Suspect (of bijvoorbeeld Custom met een confidence level van iets minder dan 80)
Replace the content with an alert
Quarantine Original
Deliver notification to the recipient

3

Wanneer een e-mail met een URL wordt getransporteerd, kan het zijn dat de URL op dat moment niet malicious is, maar wanneer de gebruiker op deze URL klikt, kan het zijn dat de URL wel malicious is. Bijvoorbeeld wanneer een e-mail met URL op zaterdagmorgen wordt afgeleverd en schoon is maar op zondagavond naar exploitcode verwijst, is URL Filtering niet voldoende. Daarom biedt McAfee Email Gateway in combinatie met McAfee SaaS Email Protection een feature met de naam ClickProtect.

ClickProtect vervangt de oorspronkelijke URL in een e-mailbericht door een nieuwe URL die verwijst naar McAfee SaaS Email Protection, een clouddienst van McAfee. Wanneer de gebruiker op de link klikt, wordt de oorspronkelijke URL real-time gescand op malicious content. Wanneer de oorspronkelijke URL geen malware of andere kwaadaardige inhoud bevat, wordt de gebruiker doorverwezen naar de oorspronkelijke URL. Wanneer het gewenst is dat ClickProtect ook werkt vanaf bijvoorbeeld mobile devices en systemen buiten het netwerk, vereist ClickProtect een licentie voor McAfee SaaS Email Protection (Mail Hybrid). Neem contact op met uw account manager voor meer informatie.

4