Userbase

Kreeg net deze binnen, en mijn naam + adres stond in de mail:

Geachte heer / mevrouw,

Op vrijdag 24 februari om 16:50 heeft een van onze chauffeurs geprobeerd om een pakket voor ACHTERNAAM af te leveren op het onderstaande adres.

ACHTERNAAM
STRAAT
PC GEMEENTE

Door onbekende reden is het onze chauffeur niet gelukt om deze bestelling te bezorgen. Wij willen u verzoeken om een nieuwe afspraak te maken om alsnog deze levering te voltooien.

Om een nieuwe afspraak te maken dient u het afsprakenformulier dat automatisch voor u is gegenereerd van onze website te downloaden en in te vullen. U kunt dit formulier vervolgens mailen naar [email protected]
Het is tevens mogelijk om de bestelling op een ander adres te laten bezorgen.

Het afsprakenformulier is te vinden op onze website: http:// schalkstransport punt be/formulieren/2749135.doc

Alle benodigde gegevens alsmede de afzeneders en inhoud van het pakket zijn te vinden in het bovenstaande formulier.

Let op! het is alleen mogelijk om een nieuwe afspraak via het afsprakenformulier te maken. Het is niet mogelijk om telefonisch of op een andere manier een nieuwe afspraak te maken.


Met vriendelijke groet,

Marie Hartelman

Uiteraard dat je niet kan bellen, en een word formulier moet downloaden maakt het verdacht!
Hoeveel mensen gaan daar weer niet intrappen?
één van mijn klanten had dus prijs, medewerker clickt op link of attachment en prijs

Dat is dan toch op een werkstation waar geen recente Windows updates opstaan mag ik hopen?

En welke virus scanner had je klant ?

Stonden zijn Word macro's dan actief voor "vreemde" documenten ?

Lijkt heel gelijkaardig aan https://userbase.be/forum/viewtopic.php ... 55#p609055

r2504 schreef:En welke virus scanner had je klant ?

Stonden zijn Word macro's dan actief voor "vreemde" documenten ?

Geen idee, wij doen hun IT niet, wij leveren aan hen audio apparatuur.

Maar de CEO stond naast mij en vertelde dat ze de kassa / mail pc's van drie vestigingen offline hadden gehaald door die cryptolocker, er lag een vpn tussen de winkels en ze vreesden voor het ergste.

Toch straffe verhalen altijd, cryptolockers zijn en blijven een actuele bedreiging zowel privé als professioneel.

Ik test de antivirus bij klanten op regelmatige basis en peper hen ook altijd goed in dat ze bij elke vorm van twijfel gewoon de mail moeten verwijderen. Als er echt een factuur dient betaald te worden of als er echt een pakje op komst is dan zal dat wel terecht komen.

En als je dan al getroffen bent is een back-up niet altijd 100% sluitend, hoe regelmatig werd de back-up genomen? zijn de NTFS rechten mee genomen? ...

Simon963 schreef:Toch straffe verhalen altijd, cryptolockers zijn en blijven een actuele bedreiging zowel privé als professioneel.

In een professionele omgeving mag je ervan uitgaan dat ze een deftige backup hebben (en anders moet men maar op de blaren zitten)... dit is echter niet het geval bij de meeste privé personen en vaak gaan zo oa. kostbare documenten en foto's verloren.

Simon963 schreef:En als je dan al getroffen bent is een back-up niet altijd 100% sluitend, hoe regelmatig werd de back-up genomen? zijn de NTFS rechten mee genomen? ...

Daarom dat het belangrijk is dat je goede backup tools gebruikt... al zie ik hier vaak mensen zelfs voor professionele doeleinden (thuis doe je wat je wil) een browsel van eigen scripts en cloud services aanbevelen (om het zo goedkoop mogelijk te maken) die hieraan totaal niet voldoen.

r2504 schreef:In een professionele omgeving mag je ervan uitgaan dat ze een deftige backup hebben (en anders moet men maar op de blaren zitten)...

Ik heb al bedrijven gezien met meer dan 1 vaste IT'er die er toch niet in slagen een sluitende back-up te hebben.
Mijn eerste vraag is altijd de volgende: "Wat als dit gebouw er nu niet meer is, wat doe je dan?"
En dan begin ik nog niet over het feit dat de meeste bedrijven hun back-up plan nooit echt testen...

Ik heb weet van een bedrijf met bijna 500 miljoen euro omzet waarbij de mensen van het IT departement met servers in de handen naar buiten zijn gelopen bij een bedrijfsbrand...

En weet je wie daar verantwoordelijk voor is?
"We willen systeem x en y om extern te backuppen."
"Daar is geen budget voor."
Et voila.

Voor alle duidelijkheid, ik wou niemand met de vingen wijzen.
En inderdaad, je moet budget krijgen maar langs de andere kant moet je ook een case kunnen bouwen om dat budget te verantwoorden.
Zomaar iets willen is te kort door de bocht, hoe dan ook, in bovenstaand geval zal een en ander wel duidelijk geworden zijn.

tb0ne schreef:Ik heb weet van een bedrijf met bijna 500 miljoen euro omzet waarbij de mensen van het IT departement met servers in de handen naar buiten zijn gelopen bij een bedrijfsbrand...

Ik heb voor een grote PCI compliant speler gewerkt, daar hadden ze zelfs een apart gebouw enkele km's verder, zoals uit een oude jaren 60 film, met zelfs backup bureau's en oubollige vergarderzaal voor als er iets zou gebeuren met de hoofdvestiging.

tb0ne schreef:Ik heb weet van een bedrijf met bijna 500 miljoen euro omzet waarbij de mensen van het IT departement met servers in de handen naar buiten zijn gelopen bij een bedrijfsbrand...

Maar wil dat dan zeggen dat ze geen backup hadden? Moest mijn kot afbranden dan ga ik ook niet alles laten afbranden met de gedachte "ach, ik restore de backup later wel" als ik mijn Synology nog kan redden.

tb0ne schreef:langs de andere kant moet je ook een case kunnen bouwen om dat budget te verantwoorden

"Uwen business is failliet als we de data verliezen."
</end case>


Eerlijk?
Ik steek daar weinig tot geen energie meer in.
Als ze het nut van backups niet willen inzien kunnen ze op de blaren gaan zitten.

Als ze mij inhuren om de IT te doen, dan gaan ze er toch vanuit dat ik mijn job ken, mag ik hopen.
Als dat niet gaat, zoek dan een ander.

Ik ben als ITer een "stevige basis bouwer"; dat betekent dat waar ik kom, een stevige fundering uitgebouwd wordt waarop de IT kan draaien.
Dat wil zeggen backups, virtualisatie indien wenselijk (meestal wel), een goeie router, firewall, dual homed internet indien wenselijk (ook weer meestal wel, met de cloud tegenwoordig), en managed switchen (layer 3 gigabit in de core, layer 2 daarbuiten) om vlans uit te bouwen, wifi aps, een domein met fatsoenlijke policies, ...

Enfin, de organisaties die wel pcs op de desk willen, smartboards, beamers, etc etc etc, maar geen budget willen besteden aan de funderingen, daar verspil ik niet veel woorden meer aan.
"Een groot appartementsgebouw bouw je ook niet met houten funderingen in een zandgrond", zeg ik altijd.

Die van de transportfirma hebben we een tweetal maanden geleden ook eens gehad. De geestigaards aan het onthaal hebben de bijlage uiteraard geopend. Besmetting is gelukkig niet verder dan de pc geraakt. Toen was het trouwens een nieuw virus, doorgespeeld naar mcAfee, was nog onbekend en zat een dag later in de DAT files. Als het nog steeds hetzelfde virus is dat de ronde doet zou die dus allang gedetecteerd moeten worden. Office files met macro's worden hier trouwens by default tegengehouden door de spamfilter, maar mails met een link in zijn natuurlijk een ander verhaal.

Hier met GPO's trouwens het uitvoeren van exe's en nog een reeks andere bestanden geblokkeerd voor zowat alle locaties behalve deze waar legitieme software staat. Zoiets houdt al heel veel brol buiten. Want je mag je gebruikers nog opleiden gelijk zot, er is altijd één kieken die het bestand toch moet open doen en virusscanners, firewalls en andere malware tools zijn geen absolute garantie dat alles wordt tegengehouden.

Wat betreft backups, iets wat veel sysadmins vaak vergeten: Uw backups laten wegschrijven in een folder waar de domeinadmin geen rechten in heeft. Backuptoepassing schrijft dat daar weg met zijn eigen user waar verder niks en niemand aan kan. Ik blijf ook bij mijn motto: "Geen backup is geen compassie".

ub4b schreef:daar hadden ze zelfs een apart gebouw enkele km's verder, zoals uit een oude jaren 60 film, met zelfs backup bureau's en oubollige vergarderzaal voor als er iets zou gebeuren met de hoofdvestiging.

Zo gek vind ik dat niet?
Waar ik nu werk is dat ook en die plannen worden om de zoveel tijd ook echt getest: een batterij mensen moet dan binnen de tijd naar het andere gebouw en operationeel zijn
Hun bonus hangt er (oa) van af

En euhm... wij doen dat zelf ook.
Als ik een belangrijke meeting van thuis moet doen (in een andere tijdzone bv), regel ik altijd dat ik bij iemand anders terechtkan mocht mijn internet plots weigeren.

Vorig bedrijf waar ik werkte had prod en backup in dezelfde ruimte staan.

yaris schreef:Vorig bedrijf waar ik werkte had prod en backup in dezelfde ruimte staan.

Wij hebben storage + ESX hosts op twee locaties staan, replicatie tussen beide. Backup staat op een derde locatie en we hebben nog een taperobot op een vierde locatie. Toegegeven, ik heb niet te klagen qua budgetten en we hebben voldoende locaties en eigen fiber om dit allemaal geregeld te krijgen.

Ik heb de laatste tijd ook veel meldingen gekregen van een nieuwe mail die de ronde doet, gaat over een valse factuur met externe link.

En de .zip in de link in kwestie bevat een cryptolocker, opletten dus. Ik heb dat domein plan-technik.at op de blacklist gezet in onze antispam, heel wat collega's hier kregen de mail, telkens van dat domein. De url in uw voorbeeld is anders dan de mails die wij kregen, lastig te blokkeren dus tenzij je heel dropbox blokkeert.

Ja ik plaatste de @plan-technik.at ook op de blacklist maar morgen is dat waarschijnlijk al weer aan ander domein...
Staat momenteel nog niet op een blacklist alvast https://mxtoolbox.com/SuperTool.aspx?ac ... n=toolpage#

Simon963 schreef:Ik heb de laatste tijd ook veel meldingen gekregen van een nieuwe mail die de ronde doet, gaat over een valse factuur met externe link.

spam.png

ook gehad

Als je factuur krijgt van partij waar je geen zaken mee doet, waarom in godsnaam openen .....?
Ik begrijp de domheid van sommig personeel niet.

Ik ga die mail eens namaken en een script achter de link steken die hun gebruikersnaam wegschrijft naar \\SERVER\HIDDEN\geklikt.txt, zo kan ik zien wei er allemaal op de link klikt.

https://github.com/gophish/gophish kan hierbij helpen!

Nu ook fake facturen via dropbox, net weer zo'n mail zien passeren

Wordt intussen vanaf verschillende domeinen verzonden. Mails met urls die dl.dropboxusercontent.com bevatten vliegen eruit in de spamfilter vanaf nu.

Ik lees net een artikel over crypt0l0cker! http://cookieverwijderen.nl/ransomware/crypt0l0cker En nu, hier op het forum. Het ziet eruit als een grootschalige aanval )))

Ook al binnen gehad hier op het werk! Gelukkig wel deftige backup
Volledig Dropbox werd op groepsniveau hier nu geblocked.

Als iemand DE oplossing heeft voor het decrypten.... even roepen aub!

axs schreef:Als iemand DE oplossing heeft voor het decrypten.... even roepen aub!

Welke cryptolocker is het? De aanpak hangt af van de precieze variant. Als je het niet weet, beschrijf dan de symptomen (welke extensies hij gebruikt, wat je eventueel van informatie ziet, etc).

Ik wil je wel waarschuwen dat "DE oplossing" voor een deel van da varianten helaas het aankopen van Bitcoin is.

"Transportvirus" mag dan wel de sensationele naam zijn die HLN erop plakt in hun drang naar clicks, maar dat is niet de naam van een gekende ransomware.

De vraag is dus welke ransomware, hier vind je bv enkele namen (maar deze lijst is niet volledig).

Hoe kan ik de naam te weten komen?

En er zit weer een niet zo lief beestje op de loer:
http://www.zdnet.be/nieuws/191374/stone ... -schijven/