• ICT cloud specialist
  • Slagvaardig
  • Persoonlijke aanpak
  • Uitgebreide service
  • Een aanspreekpunt
  • Duurzaam
Vragen? Bel ons:
076 596 1391

Waarschuwing: Nieuwe Locky ransomware in omloop!

 

Sinds enkele weken is er een nieuw virus in omloop, genaamd ‘het Locky virus’. Via deze blog willen we u informeren over dit nieuwe virus en daarnaast geven we u tips om de besmetting te voorkomen.

Eerder hebben we u al eens ingelicht over de zogenaamde ‘ransomware virussen’. Ransomware is een virus dat vrijwel alle documenten op uw server/computer versleuteld. Zodra de bestanden versleuteld zijn, is het haast onmogelijk om de bestanden weer op een goede manier terug te krijgen (behalve door een back-up).

Locky is de nieuwste variant ransomware. Dit virus zorgt er dus ook voor dat al u bestanden in een mum van tijd versleuteld worden en dus niet meer te gebruiken zijn. Door zo’n bedrag van € 200 tot  € 500 euro te betalen, beloven cybercriminelen om je bestanden weer toegankelijk te maken.

Het Locky virus wordt binnengehaald door middel van een emailbericht. Het emailbericht begint vaak met de toelichting dat u nog een openstaande rekening hebt. Dit kan zijn bij verschillende bedrijven of banken. Dit mailtje is voorzien van een bijlage, wat meestal een Word-bestand is. Wanneer u dit Word-bestand opent, komt er direct de vraag of u macro’s wilt inschakelen.

LET OP! Als u hier eenmaal toestemming voor heeft gegeven, is er geen weg meer terug. Door het accepteren van deze macro’s, worden in een mum van tijd al uw bestanden versleuteld. Daarnaast wordt direct uw bureaubladachtergrond ingewisseld voor een boodschap waarin u de software kunt installeren om uw versleutelde bestanden weer in goede staat terug te krijgen.

Wanneer bovenstaande gebeurd, bent u zeker besmet met het Locky virus! Wanneer u gebruik maakt van een (online) backupsoftware van ons zijn de bestanden in de meeste gevallen nog goed terug te zetten. Heeft u geen backupsoftware bij ons? Dan zit er niets anders op dan de cybercriminelen het gewenste bedrag te betalen, waardoor zij de bestanden voor je kunnen ontsleutelen.

Is het dan onmogelijk om dit virus tegen te houden? Nee, door extra waakzaam te zijn is het zeker mogelijk om de besmetting van deze ransomware te voorkomen.

Hieronder wat tips van ons om de kans op besmetting te minimaliseren:

  • Zorg dat niet alleen uw server voorzien is van anti-virus software, maar ook al uw werkplekken
  • Komt er een e-mail binnen waarbij u twijfels bij heeft, verwijder deze dan direct!
  • Verdachte bijlages NOOIT openen!
  • In Office zijn macro’s standaard uitgeschakeld. Dit is uiteraard niet voor niets. Activeer NOOIT macro’s voor bijlages uit e-mails, tenzij u zeker weet dat het macro vertrouwelijk is
  • Check regelmatig uw Windows Updates, zorg dat deze up-to-date zijn

Mocht u twijfels hebben bij bepaalde mailtjes of bestanden, neem dan direct contact op met onze helpdesk. Voorkomen is immers beter dan genezen.

Wilt u zeker weten dat al uw systemen up-to-date zijn of wilt u weten of uw back-up systeem nog volstaat? Stuur gerust vrijblijvend contact met ons op.

Met vriendelijke groet,

Helpdesk Daemen ICT

Twijfelt u over de kwaliteit van uw netwerk beveiliging ?

Vul onderstaand formulier in wij bellen u binnen 1 uur terug !

Onze online werken diensten:

Bel mij terug

Nieuwsbrief

Schrijf je in oor de nieuwsbrief en ontvang updates over de laatste ontwikkelingen in je mailbox.

Hulp op afstand

Helpdesk


De afgelopen tijd zijn er weer nieuwe varianten van de CryptoLocker (ransomware / scamware) malware in omloop. Meestal ontvangt u een email die heel erg lijkt op emails van b.v. Intrum Justitia, Paypal, Rabobank, Vodafone, Buma Stemra en zelfs de Politie.


Wat doet een Cryptolocker (ransomware) ?

Deze malware zal, zodra het geactiveerd wordt, vrijwel alle documenten waar de betreffende gebruiker toegang toe heeft trachten te versleutelen. Het betreft hierbij in ieder geval de volgende bestandstypen:

• 3fr, Accdb, Ai, Arw, Bas, Bay, Cdr, Cer, Cr2, Crt, Crw, Dbf, Dcr, Der, Dng, Doc, Docm, Docx, Dwg, Dxf, Dxg, Eps, Erf, Img, Indd, Jpe, Jpg, Kdc, Mdb, Mdf, Mef, Mrw, Nef, Nrw, Odb, Odc, Odm, Odp, Ods, Odt, Orf, P12, P7b, P7c, Pdd, Pdf, Pef, Pem, Pfx, Ppt, Pptm, Pptx, Psd, Pst, Ptx, R3d, Raf, Raw, Rtf, Rw2, Rwl, Sr2, Srf, Srw, Txt, Wb2, Wpd, Wps, X3f, Xlk, Xls, Xlsb, Xlsm, Xlsx, Zip

Het coderen van deze bestanden duurt vaak niet meer dan enkele minuten. Zodra de documenten gecodeerd zijn, is het nagenoeg onmogelijk om deze bestanden terug te krijgen (behalve uit een back-up). Het is daarom zaak om z.s.m. te reageren in geval van een infectie!. Voor enkele varianten van deze malware, waarbij de maker opgepakt is of waar de server van de criminelen in beslag genomen is, zijn de sleutels bekend en kunnen de bestanden hersteld worden via www.decryptolocker.com. Let op; deze pagina werkt slechts voor enkele typen van de cryptolocker malware. Bestanden geïnfecteerd met de nieuwste versie kunnen waarschijnlijk (nog) niet gerepareerd worden.


Hoe deze malware te herkennen

In enkele gevallen blijkt de malware via mail ontvangen te zijn. Het is echter mogelijk dat de malware ook via een geïnfecteerde website/advertentie of download binnen komt. In de gevallen waar een e-mail ontvangen werd, was deze afkomstig van vorderingen@intrum-justitia com met als titel 'Belangrijk: Openstaande factuur'.

Verder vallen ook de volgende zaken op:

(1) De bijlage is een ZIP-bestand. ZIP-bestanden worden gebruikt om andere bestanden 'in te pakken' en kunnen dus allerlei andere bestanden en/of programma's bevatten. Als u ongevraagd een ZIP-bestand toegezonden krijgt, is het verstandig om hier extra voorzichtig mee om te gaan. Neem contact op met de verzender als u twijfelt over de inhoud.

- Het type is 'applicatie'/'application'. Dit houdt in dat het om een programma gaat, en dus mogelijk kwaadaardige software is.
- Het bestand heet 'Openstaandefactuur.pdf.EXE'. Bestanden eindigend op '.exe' kunnen malware zijn. Een Exe-bestand is namelijk een programma.

Dubbele bestandsextensies zijn bij voorbaat verdacht, en zeker als de bestandsnaam eindigt op:

o EXE o COM o BAT o PIF o SCR o LNK o DLL o JS  o VBS o HTM(L)

(2) Het genoemde telefoonnummer klopt niet helemaal. Het echte nummer van Intrum Justitia is +31 (0)70 452 7131. Bellen naar de 088-variant geeft een melding dat het nummer niet bestaat.

(3) Er wordt een Postbus nummer genoemd. Let op rare grammatica of spellingfouten. In officiële communicatie is het verdacht als teksten in foutief Nederlands geschreven zijn. Mocht u twijfelen, neem dan contact op met de verzender of de Daemen ICT Helpdesk.

(4) Er is ondertekend zonder naam. Ook hierbij; bij twijfel, neem contact op met de verzender alvorens de bijlages te openen.

Het verwijderen van een Cryptolocker besmetting is erg moeilijk zeker als de besmetting zeer nieuw is. Vaak rest alleen nog het terugzetten van de bestanden uit de backup.

U kunt ook meer informatie vinden op websites zoals: www.fraudehelpdesk.nl en www.dezaak.nl. Dus nu bent u op de hoogte dat u niet zomaar iedere email moet openen. Bij twijfel bel of kijk op de genoemde websites.

Met vriendelijke groet,

Helpdesk Daemen ICT