Captain Kirk

Google heeft besloten om het verkeer naar alle blogs op de eigen blogdienst Blogspot te versleutelen. Vorig jaar september introduceerde de internetgigant al de optie voor bloggers om dit zelf in te schakelen. Deze optie is nu verwijderd en het verkeer naar alle blogs wordt nu versleuteld. Er is daarnaast een nieuwe optie voor bloggers beschikbaar genaamd "HTTPS Redirect", waarmee het mogelijk is om in te schakelen dat alle bezoekers die de http-versie van het blog bezoeken automatisch naar de https-versie worden doorgestuurd. In het geval de optie staat uitgeschakeld is het mogelijk om het blog zowel via http als https te bezoeken. Google waarschuwt wel voor mixed content waardoor de https-versie van de blogs niet naar behoren kunnen werken. Het gaat in dit geval om content zoals afbeeldingen, gadgets, advertenties of templates die via http worden aangeroepen. In het geval van een https-site kan dit een mixed content-waarschuwing veroorzaken. Google stelt dat het veel van deze problemen kan verhelpen, maar een deel moet door de bloggers zelf worden opgelost. Om bloggers en beheerders hiermee te helpen is er nu een speciale tool gelanceerd om mixed content in blogs en berichten te vinden. bron: security.nl

Een ernstig beveiligingslek in ImageMagick, een populaire softwarebibliotheek om afbeeldingen mee te verwerken, zorgt ervoor dat een groot aantal websites kwetsbaar is en risico loopt om te worden gehackt. In het geval een website toestaat dat gebruikers een afbeelding kunnen uploaden en er van ImageMagick gebruik wordt gemaakt, kan een aanvaller in het ergste geval willekeurige code op de webserver uitvoeren. Verschillende plug-ins voor het verwerken van afbeeldingen zijn afhankelijk van de ImageMagick-bibliotheek, zoals PHP's imagick, Ruby's rmagick en paperclip en NodeJS's imagemagick. De kwetsbaarheid heeft de naam "ImageTragick" gekregen en is ontdekt door beveiligingsonderzoeker Nikolay Ermishkin. Volgens onderzoeker Ryan Huber is het eenvoudig om er misbruik van te maken en zullen erop korte termijn exploits voor verschijnen. De voorspelling die Huber gisterenavond deed bleek te kloppen, want inmiddels zijn dergelijke exploits namelijk verschenen. De ontwikkelaars van ImageMagick hebben een oplossing beschikbaar gesteld die de aanval voorkomt. Beheerders moeten in dit geval een aantal regels code toevoegen aan een bestand dat door ImageMagick wordt gebruikt. Een beveiligingsupdate zal dit weekend uitkomen.

De ontwikkelaars van OpenSSL hebben vandaag verschillende beveiligingsupdates uitgerold die meerdere kwetsbaarheden verhelpen waardoor in het ergste geval een aanvaller die zich tussen een doelwit en het internet bevindt versleuteld verkeer kan ontsleutelen. Het gaat in dit geval om geheugencorruptieproblemen in de ASN.1-encoder en AES-NI CBC MAC check. De problemen werden in 2013 geïntroduceerd als oplossing voor een andere aanval. Het probleem in de ASN.1-encoder is aanwezig in alle OpenSSL-versies van voor april 2015. De kwetsbaarheid werd op 18 april 2015 gepatcht en de update in kwestie verscheen al op 11 juni 2015. De impact van de kwetsbaarheid was destijds nog niet bekend. Het probleem in de AES-NI CBC MAC check werd op 13 april van dit jaar ontdekt. Om beide beveiligingslekken te kunnen misbruiken moet een aanvaller zich tussen het doelwit en het internet bevinden. Daarnaast moet de verbinding AES CBC-encryptie gebruiken en de server AES-NI ondersteunen. De vier overige problemen die vandaag zijn gepatcht zijn als "low" aangemerkt. Beheerders krijgen het advies om naar OpenSSL 1.0.2h of OpenSSL 1.0.1t te upgraden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. bron: security.nl

Onderzoekers hebben een onbekende malware-familie ontdekt die zich via social engineering verspreidt en al sinds 2007 bij aanvallen wordt ingezet. Dat meldt het Amerikaanse beveiligingsbedrijf Palo Alto Networks. Om de malware te verspreiden worden er PowerPoint- en Word-documenten gebruikt. De documenten, die onder andere via een gehackt Gmail-account werden verstuurd, bevatten weer een zichzelf uitpakkend archiefbestand (SFX) dat de malware bevat. Om de infectie te laten slagen moet de gebruiker dit kwaadaardige bestand zelf uitvoeren. Eenmaal actief kan de malware, die Infy wordt genoemd, toetsaanslagen opslaan en cookies en wachtwoorden in verschillende browsers stelen. Onder andere een Israëlische industriële organisatie was het doelwit van de aanvallers, die volgens het beveiligingsbedrijf nog steeds actief zijn. bron: security.nl

Verschillende overheidsinstanties in Nederland en de Verenigde Staten alsmede een aantal beveiligingsbedrijven adviseerden recentelijk om Apple QuickTime van Windowscomputers te verwijderen omdat de mediaspeler niet meer wordt ondersteund en er bekende kwetsbaarheden in aanwezig zijn. Nu sluit ook IBM zich hierbij aan. "Hoewel we nog geen aanvallen hebben gezien die van deze kwetsbaarheden gebruikmaken, is het tijd om QuickTime van alle Windowsmachines te verwijderen", zegt Patrick Vowles van IBM. Hij wijst naar de BigFix-oplossing van IBM, een patchmanagementsysteem. Een gebruiker van deze oplossing heeft nu een script ontwikkeld waarmee organisaties QuickTime binnen hun omgeving kunnen verwijderen. Vereiste is wel dat BigFix wordt gebruikt. Daarnaast kan het gebruik van het script ervoor zorgen dat Internet Explorer crasht als de QuickTime-plug-in tijdens het verwijderen in gebruik is. bron: security.nl

Er is een nieuwe ransomware-variant ontdekt die in tegenstelling tot veel andere varianten het losgeld niet in bitcoin vraagt, maar in iTunes-cadeaubonnen. Door een fout in de ransomware hoeven slachtoffers het losgeld echter niet te betalen om hun gegevens terug te krijgen. Het gaat om de Alpha-ransomware die AES-256-encryptie gebruikt om de bestanden te versleutelen. Opmerkelijk aan de ransomware is dat het losgeld niet in bitcoin wordt vraagd maar in iTunes-cadeaubonnen. Een betalingsmiddel dat veel eenvoudiger te traceren is, aldus Lawrence Abrams van Bleeping Computer. Onlangs verscheen er een andere ransomware-variant genaamd TrueCrypter die losgeld in Amazon-cadeaubonnen wilde zien en was er een variant voor Android die ook in iTunes-cadeaubonnen betaald wilde worden. In het geval van de Alpha-ransomware heeft de ontwikkelaar een fout gemaakt, waardoor onderzoeker Michael Gillespie een tool kon maken die bestanden kosteloos ontsleutelt. De ransomware vraagt een losgeldbedrag van 400 dollar. bron: security.nl

Ik weet niet of het toetsenbord en muis compatibel is met een andere receiver dan Microsoft. Misschien kun je het beste de vraag aan Microsoft zelf vragen. Wie weet kunnen zij je melden waar je een vervangend exemplaar kunt vinden en wat de kosten zijn. Dan kun je zelf bepalen of het zin heeft deze kosten te maken of een nieuwe set aan te schaffen. Er is ook een site van Microsoft zelf waarin ze aangeven dat je contact met ze kan opnemen wanneer je hardware wilt vervangen. Maar hiervoor moet je een nummer in de Verenigde Staten bellen. Ik zou het even middels mijn linkje proberen. Laat ons even weten of je probleem zo op te lossen is.

Telefoonoplichters proberen allerlei manieren om mensen op te lichten en hebben hiervoor nu ook een nep-virusscanner van stal gehaald. Enkele jaren geleden waren nep-virusscanners, die internetgebruikers lieten geloven dat hun computer met malware was besmet, een groot probleem. Het ging om pop-ups en frauduleuze software die gebruikers via de waarschuwingen bang probeerden te maken. Voor het verwijderen van de zogenaamde malware op de computer moest worden betaald. Op deze manier zijn internetgebruikers voor tientallen miljoenen euro's opgelicht. Sinds de opkomst van cypto-ransomware, waarbij bestanden voor losgeld worden versleuteld, zijn nep-virusscanners zo goed als verdwenen. Telefoonoplichters maken er nu weer gebruik van. Op websites laten ze een screenshot van een nep-virusscanner uit 2011 zien, gevolgd door een pop-up dat de browser met malware is geïnfecteerd en er een telefoonnummer moet worden gebeld om het probleem te verhelpen. Vervolgens vindt de bekende telefoonscam plaats, waarbij de oplichters toegang tot de computer proberen te krijgen en het niet bestaande probleem tegen betaling oplossen. "Hoewel we grinnikten toen we dit zagen, is het belangrijk om te onthouden dat het een scam is en mensen erin zullen trappen", zegt Jerome Segura van anti-malwarebedrijf Malwarebytes. De meeste van deze pop-ups zijn volgens hem onschuldig en kunnen door het sluiten van de browser worden gesloten. bron: security.nl

Macro’s in Microsoft Office-documenten die malware op computers installeren worden een grotere dreiging dan Adobe Flash Player, zo stelt Mikko Hypponen, Chief Research Officer van het Finse anti-virusbedrijf F-Secure, in een interview met Security.NL. Macro’s laten Office-gebruikers allerlei taken automatiseren. Via macro's in een document is het echter ook mogelijk om ongezien malware te downloaden en op de computer te installeren. In de vorige eeuw waren er al virussen die zich via macro’s in Office-documenten konden verspreiden. Vanwege het beveiligingsrisico besloot Microsoft om macro’s in documenten niet standaard uit te voeren. In het geval een document een macro bevat krijgt de gebruiker tegenwoordig een melding te zien of hij de macro wil inschakelen. Internetcriminelen ontdekten dat dit niet altijd een obstakel hoeft te zijn, aangezien er ook gebruikers zijn die hier gehoor aan geven. Het gebruik van macro-malware kwam begin dit decennium nog op beperkte schaal voor, zoals een Excel Sudoku uit 2012 met een kwaadaardige macro. Begin januari 2014 besloot het Nationaal Cyber Security Center (NCSC) van de overheid een waarschuwing voor macro-malware af te geven, omdat de tactiek weer op grotere schaal werd toegepast. Inmiddels zijn we goed twee jaar verder en worden kwaadaardige macro’s zowel voor cyberspionage, cybersabotage als ransomware gebruikt. Drive-by downloadsHet gebruik van macro’s is niet de enige manier waardoor computers geïnfecteerd raken. Drive by-downloads, waarbij een computer via een beveiligingslek in bijvoorbeeld de browser of browserplug-in besmet raakt, is ook nog steeds een beproefde methode, aldus Hypponen. Hij stelt dat 70% van alle Windowsinfecties op deze manier plaatsvindt. Het gaat dan vooral om exploitkits die misbruik van kwetsbaarheden in Adobe Flash Player, Internet Explorer of Silverlight maken. Zodra een gebruiker met een verouderde Flash Player-versie op een gehackte website terechtkomt of een besmette advertentie te zien krijgt, kan er automatisch malware worden geïnstalleerd. Hypponen verwacht echter dat dit beeld de komende twee jaar gaat veranderen. "Onze systemen worden steeds lastiger aan te vallen via exploitkits. Browsers worden beter beveiligd. Niemand maakt meer gebruik van QuickTime of Microsoft Silverlight. Java is inmiddels gestorven en Flash is aan het sterven. Aanvallers zoeken dan ook naar nieuwe manieren. En hoewel niet eenvoudig, zijn macro’s de makkelijkste manier die overblijft." Windows XPWindows XP heeft echter laten zien dat veel gebruikers met verouderde software blijven werken. Hypponen denkt dat een zelfde soort scenario niet voor Flash Player opgaat. “Flash is aan het sterven en hopelijk zal het binnen twee jaar dood zijn. Natuurlijk zal er een verloop zijn, maar voor doorsnee internetgebruik zou het snel moeten verdwijnen." Hij verwacht ook niet dat aanvallers op HTML5 zullen overstappen. De technologie moet browserplug-ins zoals Flash Player vervangen. Het staat daarnaast standaard in alle moderne browsers ingeschakeld. Volgens de Finse beveiligingsexpert is het echter zeer lastig om HTML5 aan te vallen en zo malware op computers te installeren. "Internetcriminelen zullen het misschien proberen, maar het zal niet eenvoudig zijn." Op de vraag of Microsoft, nu kwaadaardige macro’s vaker zullen worden ingezet, niet meer zou moeten doen om gebruikers te beschermen stelt Hypponen dat de softwaregigant zich van het probleem bewust is. Zo heeft Microsoft herhaaldelijk voor macro-malware gewaarschuwd en adviseert om macro’s uit te schakelen. Hypponen wijst verder naar Office 2016, dat over betere manieren beschikt om met macro’s om te gaan. "Er zijn echter nog weinig mensen die Office 2016 gebruiken", zo merkt hij op. GebruikersEen ander veel gegeven advies is dat gebruikers geen macro’s moeten openen. Hypponen is echter somber gesteld dat dit het probleem zal oplossen. "Gebruikers leren het nooit. Het trainen van gebruikers is tijdverspilling. Mensen zullen altijd op elke knop klikken, elke link openen en elk programma uitvoeren." Hypponen adviseert organisaties dan ook om Office-documenten met macro’s op de gateway te filteren. Voor eindgebruikers heeft hij ook nog een boodschap: "Stop eens met het klikken op de "Inhoud inschakelen" knop, verdorie!” bron: security.nl

De meeste ransomware maakt voor het versleutelen van bestanden gebruik van niet te kraken encryptiealgoritmes, maar de maker van de Nemucod-ransomware heeft een andere oplossing gekozen. Voor het gijzelen van bestanden maakt hij namelijk gebruik van het gratis archiveringsprogramma 7-Zip. De Nemucod-ransomware verspreidt zich via JScript-bestanden die via e-mail worden verstuurd. Zodra een gebruiker het JScript-bestand opent wordt de ransomware actief en zal via 7-Zip bestanden op de computer versleutelen. Oplettende gebruikers kunnen het versleutelproces via Windows Taakbeheer echter stoppen. In het geval dit niet lukt en de bestanden toch worden versleuteld moet er zo'n 200 euro voor het ontsleutelen worden betaald. Op dit moment wordt er echter aan een tool gewerkt zodat slachtoffers de bestanden gratis kunnen ontsleutelen, zo meldt onderzoeker Bart Blaze. bron: security.nl

De keuze van Microsoft om een qr-code aan het gevreesde Blue Screen of Death (BSOD) van Windows 10 toe te voegen kan internetcriminelen helpen bij het infecteren van smartphones, zo waarschuwt het Russische anti-virusbedrijf Kaspersky Lab. Onlangs werd bekend dat een nieuwe testversie van Windows 10 in het geval van een BSOD ook een qr-code toont. Het lijkt erop dat Microsoft via de qr-code gebruikers makkelijker informatie over crashes wil geven. De code wijst namelijk naar de website www.windows.com/stopcode, die uitkomt op een pagina over het verhelpen van BSOD-crashes. David Buxton van Kaspersky Lab is echter bang dat dit internetcriminelen een nieuwe aanvalsvector biedt. Door een gebruiker een bestand te sturen dat een BSOD simuleert kan de gebruiker bijvoorbeeld worden verleid om een kwaadaardige app te installeren. Hiermee kunnen vervolgens gegevens van de telefoon worden gestolen. Buxton erkent dat het om een theoretische aanval gaat, maar dat niets internetcriminelen in de weg staat om een dergelijke aanval uit te voeren. bron: security.nl

Soms kun je in de BIOS een instelling geven dat de fan's altijd op vol vermogen moeten draaien. Omdat je pc lawaai blijft maken, moest ik hier aan denken. In de handleiding van je moederbord zou moeten staan hoe je in de BIOS kunt geraken om dit te controleren. Maar nogmaals, ik zou even terug gaan naar degene die de voeding vervangen hebben. Dat scheelt jou zelf veel gepuzzel.

Beste Robin007, Hoe staat het met je probleem? Heeft het advies je verder geholpen?

Het harde lawaai is zo goed als zeker afkomstig van de ventilatoren. Deze blijven op volle snelheid draaien. Normaal regelt de BIOS het draaien van de ventilatoren. Wanneer de koeling in de systeemkast voldoende is, zorgt de BIOS dat de ventilatoren langzamer en dus stiller gaan draaien. Ik denk dus dat er in de BIOS een instelling niet juist staat. Terug gaande naar jou verhaal: je hebt je computer ter reparatie aangeboden en de voeding is vervangen. Doch nadat je de computer terug kreeg, bleef het lawaai. Ik zou in eerste instantie contact opnemen met de reparateur. Ofwel zijn ze vergeten de BIOS-instellingen te controleren ofwel er is geen juiste voeding ingezet.

De Belgische politie heeft een waarschuwing afgegeven voor het doen van betalingen via Westen Union, omdat oplichters hier gebruik van maken. Als voorbeeld wordt de zaak van een Belgische student gegeven die in Nederland gaat studeren en via internet naar een geschikt appartement zoekt. De student vindt een advertentie van ene "John White". Deze man laat weten dat hij Nederland verlaat om in Londen te gaan werken. Hij stelt aan de Belgische student voor om zijn huurcontract over te nemen. Om hem uiteindelijk te overtuigen ontvangt de student een door een Londens advocatenkantoor voor echt verklaard contract. De huur moet de student maandelijks aan het kantoor overmaken. White vraagt alleen of de student de borg voor het appartement van 800 euro via Western Union wil terugbetalen. De student doet dit en hoort daarna niets meer van White of het advocatenkantoor. De Belgische politie waarschuwt mensen dan ook om via Western Union alleen geld naar bekende personen over te maken en de dienst nooit voor het betalen van huur, commerciële contracten of andere handelstransacties te gebruiken. bron: security.nl

Een nieuwe update van Microsoft voor verschillende draadloze muizen moet de apparaten beter tegen hackers beschermen, zo heeft de softwaregigant laten weten. De optionele update verbetert de beveiliging door bepaalde pakketten afkomstig van draadloze usb-dongles te filteren. Een recent ontdekte kwetsbaarheid maakt het mogelijk om kwaadaardige pakketten naar draadloze muizen te sturen, waardoor een aanvaller via de muis toetsaanslagen op de computer kan simuleren. Vanwege de beperkte afstand waarop de apparatuur werkt moet een aanvaller volgens Microsoft wel in de buurt van het slachtoffer zijn om de aanval uit te voeren. MouseJackDe aanval waar Microsoft op doelt wordt MouseJack genoemd en maakt het mogelijk om draadloze apparaten op een afstand van 100 meter aan te vallen. De meeste communicatie tussen de toetsenborden en dongels is versleuteld, maar bij muizen wordt helemaal geen encryptie voor de draadloze communicatie toegepast. Een aanvaller die binnen 100 meter van de usb-dongel aanwezig is kan de radiosignalen tussen de muis en de computer onderscheppen. Vervolgens kan de aanvaller het signaal door een eigen signaal vervangen en zo kwaadaardige pakketten versturen. Deze pakketten doen zich voor als toetsaanslagen, in plaats van muisklikken. De problemen zijn aanwezig in de muizen van zeven bedrijven, namelijk Microsoft, HP, Gigabyte, Amazon, Logitech, Dell en Lenovo. In het geval van Microsoft gaat het om de Sculpt Ergonomic muis, Sculpt Mobile muis, Wireless Mobile muis 3000 v2.0, Wireless Mobile muis 3500 en 4000, Wireless muis 1000, 2000 en 5000 en de Arc Touch muis. De optionele update om de pakketten te filteren is via Windows Update te downloaden. bron: security.nl

De meest ransomware versleutelt alleen bestanden en laat de werking van de computer ongemoeid, maar onderzoekers waarschuwen nu voor een nieuw exemplaar dat naast het versleutelen van bestanden ook verschillende programma's saboteert, waaronder browsers, virusscanners en Windowstools. De ransomware wordt Manamecrypt genoemd en valt ook op vanwege de manier waarop de ransomware zich verspreidt. De meeste ransomware gebruikt e-mailbijlagen of exploits om zich te verspreiden, maar Manamecrypt is gebundeld met legitieme software, zo meldt het Duitse anti-virusbedrijf G Data. Het gaat in dit geval om een softwarebundel die uit het torrentprogramma uTorrent bestaat, aangevuld met de ransomware. Eenmaal actief kopieert de ransomware allerlei bestanden naar een rar-bestand en voorziet die van een wachtwoord. De originele bestanden worden daarna verwijderd. Vervolgens blokkeert de ransomware allerlei programma's op de computer. Het gaat dan om anti-virusprogramma's, Windowstools zoals Systeemherstel, Taakbeheer en de Register-editor en monitoringsprogramma's, maar ook software zoals Steam en browservensters met daarin woorden als Amazon, YouTube, Facebook, Twitter en Vimeo. bron: security.nl

Microsoft en Samba hebben updates uitgebracht voor een kwetsbaarheid die de naam Badlock heeft gekregen en het voor een aanvaller mogelijk maakt om verschillende man-in-the-middle-aanvallen uit te voeren. Hierdoor zou het mogelijk worden om willekeurig Samba-verkeer te onderscheppen. Vervolgens zou een aanvaller een Active Directory-database kunnen aanpassen, waaronder wachtwoordhashes van gebruikers, of belangrijke diensten kunnen uitschakelen. Ook zou het mogelijk zijn om gebruikerspermissies van bestanden en directories aan te passen en denial of service-aanvallen uit te voeren. Ontwikkelaars van Microsoft en Samba zouden de afgelopen maanden aan een update voor het probleem hebben gewerkt. Samba is een opensourceprogramma dat van het smb-protocol gebruikmaakt en bijvoorbeeld Windowsmachines met Unixmachines via zowel lokale netwerken als het internet laat communiceren. Microsoft bestempelt de kwetsbaarheid als "belangrijk" en niet als ernstig, omdat een aanvaller alleen zijn rechten kan verhogen en geen willekeurige code kan uitvoeren. In het geval van Windowssystemen zou een aanvaller via een man-in-the-middle-aanval het authenticatieniveau van de SAM- LSAD-kanalen kunnen downgraden en zo een ingelogde gebruiker nabootsen. Voor eigenaren van systemen waar Samba op draait zijn er aanvullende maatregelen die naast het installeren van de update genomen kunnen worden en helpen bij het voorkomen van denial of service- en man-in-the-middle-aanvallen. De ontdekkers van de kwetsbaarheid adviseren beheerders en gebruikers om de beschikbare update zo snel als mogelijk te installeren, aangezien ze verwachten dat de kwetsbaarheid op korte termijn zal worden aangevallen. bron: security.nl

Microsoft heeft besloten om het gevreesde Blue Screen of Death (BSOD) in Windows 10 van een qr-code te voorzien. Dat ontdekte een lezer van Reddit van wie de nieuwste testversie van Windows 10 crashte. Deze nieuwe versie werd vorige week door Microsoft uitgebracht. In de aankondiging van de previewversie wordt geen melding van de qr-code gemaakt. Het lijkt er echter op dat Microsoft via de qr-code gebruikers makkelijker informatie over crashes wil geven. De code wijst namelijk naar de website www.windows.com/stopcode, die uitkomt op een pagina over het verhelpen van BSOD-crashes. Ook de Spaanse website Microsoft Insider ontdekte de qr-code. Wanneer de qr-code in de uiteindelijke versie van Windows 10 terechtkomt is nog onbekend. bron: security.nl

Bij de meeste spear phishingaanvallen die vorig jaar werden waargenomen gebruikten de aanvallers kwaadaardige Word-documenten als bijlage om computers te infecteren, zo stelt beveiligingsbedrijf Symantec in een nieuw rapport (pdf). Spear phishing is een gerichtere vorm van phishing, waarbij aanvallers de ontvanger een kwaadaardige bijlage of link proberen te laten openen. Word-documenten blijken met een aandeel van iets meer dan 40% de favoriete bijlage voor dit soort aanvallen. Aanvallers kunnen bijvoorbeeld kwaadaardige macro's in een Word-document verbergen dat waarna ingeschakeld malware downloadt, maar ook documenten met exploits die van Office-kwetsbaarheden gebruikmaken komen voor. De uitvoerbare bestandstypes .exe (16,9%%) en .scr (13,7%) volgen op afstand. Bij elkaar opgeteld komen de uitvoerbare bestandstypes op minimaal 36% uit. Wordt er naar niet gerichte e-mailaanvallen gekeken, dan spelen uitvoerbare bestandstypes met een aandeel van 1,3% een veel kleinere rol. Symantec blokkeerde bij de niet gerichte e-mailaanvallen voornamelijk Word-bestanden (55,8%) en Excel-bestanden (15%), gevolgd door zip-bestanden (8,7%). "Office-documenten zoals Word en Excel blijven een populaire manier voor exploits die malware op een aangevallen computer plaatsen", aldus Symantec. bron: security.nl

Een nieuw gelanceerde website helpt slachtoffers van ransomware met het identificeren van de variant die op hun computer bestanden heeft versleuteld, zodat er mogelijk een oplossing kan worden gevonden. ID Ransomware, zoals de website heet, is in staat om 52 ransomware-varianten te detecteren. Hiervoor moeten slachtoffers een versleuteld bestand of de melding van de ransomware uploaden, waarna de website de ransomware probeert te identificeren. Vervolgens krijgen slachtoffers te zien of er voor hun variant een manier is om de bestanden kosteloos te ontsleutelen. Het komt af en toe voor dat ransomware-makers fouten bij het versleutelen maken, waardoor het mogelijk is om de bestanden te ontsleutelen. Wat de geuploade bestanden betreft worden die alleen voor de detectie gebruikt en hierna meteen verwijderd. "Ik kan de vertrouwelijkheid van de gegevens echter niet 100% garanderen. De data worden tijdelijk op een gedeelde host opgeslagen en ik ben niet verantwoordelijk voor wat er met de data worden gedaan", aldus Michael Gillespie, de ontwikkelaar van ID Ransomware. bron: security.nl

Onderzoekers waarschuwen voor een nieuwe ransomware-variant die ieder uur bestanden verwijdert totdat slachtoffers het gevraagde losgeld van 150 dollar betalen. Volgens Lawrence Abrams van Bleeping Computer is het de eerste keer dat ransomware een dergelijk dreigement ook uitvoert. Het gaat om de JigSaw-ransomware, vanwege een getoond masker vernoemd naar een persoon uit de filmreeks Saw. Elk uur verwijdert de ransomware een bestand van de computer en verhoogt vervolgens een teller. Hierdoor worden uiteindelijk meerdere bestanden per uur verwijderd. Als de computer wordt herstart of het ransomware-proces beëindigd zal Jigsaw na te zijn herstart duizend bestanden van de computer verwijderen. Dit proces zal de ransomware bij elke herstart herhalen. Er is echter een manier gevonden waardoor slachtoffers zonder te betalen hun gegevens terug kunnen krijgen. Onderzoekers hebben namelijk een manier gevonden om de bestanden te ontsleutelen en hebben hiervoor een gratis tool (zip) ontwikkeld. Hoe de Jigsaw-ransomware wordt verspreid is onbekend. bron: security.nl

Na jaren van afwezigheid krijgt Firefox eindelijk een sandbox wat de veiligheid, stabiliteit en de prestaties van de browser moet verbeteren, zo heeft Mozilla laten weten. Firefox is nog de enige van de grote browsers die niet over een sandbox beschikt. Microsoft kwam begin 2008 met meerdere processen voor IE, gevolgd door Chrome zes maanden later. Safari volgde in de zomer van 2011, maar Firefox moest het zonder doen. Een sandbox wordt als een zeer belangrijke beveiligingsmaatregel gezien, omdat het kan voorkomen dat via een kwetsbaarheid er meteen toegang tot het systeem kan worden verkregen. Vorig jaar blies Mozilla het "Electrolysis" of "e10s" project nieuw leven in. Hierbij gebruikt Firefox geen enkel proces meer voor de browser, maar meerdere. Dit heeft verschillende voordelen voor gebruikers, aldus Mozilla's Dan Callahan. In het geval een geopende browsertab bijvoorbeeld crasht zal dit niet meer betekenen dat heel Firefox crasht, zoals nu het geval is. Ook zorgt het scheiden van processen ervoor dat straks sandboxes voor webcontent kunnen worden gemaakt. Verder zou het ook de prestaties verbeteren, omdat de nieuwe architectuur van meerdere processen het mogelijk maakt om het werk over meerdere cpu-cores te verdelen. Callahan merkt op dat sommige mensen zich zorgen maken dat het implementeren van een dergelijke architectuur het geheugenverbruik van Firefox drastisch zal vergroten. Dit is niet het geval, aldus de Mozilla-engineer. Hoewel meerdere processen een grotere geheugenafdruk hebben dan een enkel proces zou de impact beperkt moeten zijn. Zo blijkt een voorlopige testversie van Firefox 10% tot 20% meer geheugen te verbruiken. Dit zou echter de helft minder zijn dan wat Google Chrome op dezelfde website gebruikt. "Om ervoor te zorgen dat we niet teveel werkgeheugen verbruiken, zal de eerste versie van e10s alleen een enkel extra proces voor webcontent gebruiken", merkt Callahan op. Naarmate de architectuur efficiënter met het werkgeheugen omgaat zullen er meerdere processen worden toegevoegd. Wanneer de sandbox in de uiteindelijke versie van Firefox zal verschijnen is onbekend. "De overstap op meerdere processen is een investering in de toekomst. We lossen een technische schuld af en herontwerpen de architectuur van Firefox op een fundamenteel niveau. Net zoals elke verandering van deze omvang brengt dit allerlei uitdagingen met zich mee", aldus Callahan. Zo zullen veel add-ons moeten worden aangepast. De sandbox is al wel te testen in de Firefox-versie voor ontwikkelaars. bron: security.nl

Een nieuwe ransomware-variant die onlangs veel stof liet opwaaien omdat het een deel van de harde schijf versleutelt waardoor de computer niet meer kan opstarten is door een onderzoeker gekraakt. Het gaat om de Petya-ransomware die eind maart verscheen en de master file table (MFT) van de harde schijf versleutelt, waardoor het bestandssysteem niet is te lezen en Windows niet meer kan worden gestart. Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is een exe-bestand. Zodra het bestand wordt geopend crasht de computer en zal die automatisch herstarten. Vervolgens krijgt de gebruiker een melding te zien dat er een schijfcontrole plaatsvindt. In werkelijkheid wordt de de MFT echter versleuteld. Een beveiligingsonderzoeker genaamd Leo Stone werd door zijn schoonvader benaderd. De man had de "c.v." geopend en nu kreeg hij een melding te zien dat er losgeld moest worden betaald. Stone besloot de ransomware te onderzoeken en ontwikkelde uiteindelijk een algoritme dat de sleutel genereert waarmee de door Petya versleutelde computer kan worden ontsleuteld. Het achterhalen van de informatie waarmee het algoritme aan de slag kan is voor veel gebruikers vrij lastig. Daarom zijn er verschillende handleidingen verschenen waarin dit wordt uitgelegd. Vervolgens moet de gevonden informatie op deze pagina worden ingevoerd, waarna er een decryptiesleutel wordt gegenereerd. bron: security.nl

Een nieuw ontdekte ransomware-variant die allerlei bestanden in een met een wachtwoord beveiligd rar-bestand opslaat bevat een kwetsbaarheid, waardoor slachtoffers kosteloos hun bestanden kunnen terugkrijgen. De meeste ransomware-exemplaren gebruiken niet te kraken encryptiealgoritmes voor het versleutelen van bestanden op besmette computers. Dat geldt niet voor een nieuw exemplaar genaamd CryptoHost. Deze ransomware laat slachtoffers weten dat hun bestanden zijn ze versleuteld, maar dat is niet het geval. Ze zijn namelijk in een met een wachtwoord beveiligd rar-bestand opgeslagen. Het wachtwoord dat de ransomware genereert is echter eenvoudig te achterhalen, zo meldt onderzoeker Lawrence Abrams van Bleeping Computer. De ransomware gebruikt namelijk de naam van het rar-bestand aangevuld met de naam van de ingelogde gebruiker. Oorspronkelijk wilde Abrams de kwetsbaarheid niet bekendmaken, omdat de ransomware-ontwikkelaar dit in een nieuwe versie kan verhelpen. Een andere website heeft het probleem volgens Abrams op onverantwoorde wijze bekendgemaakt, waarop hij nu ook heeft besloten de details vrij te geven. Voor slachtoffers van deze ransomware die hun wachtwoord niet kunnen achterhalen heeft een andere onderzoeker inmiddels een wachtwoordgenerator gemaakt. bron: security.nl