← Terug naar het overzicht

EFS ransomware

Er zijn momenteel exploits beschikbaar die gebruiken maken van windows EFS voor ransomware.

Er zijn momenteel exploits beschikbaar die gebruiken maken van windows EFS voor ransomware. Een diepere uitleg over hoe de ransomware dit doet is hier te vinden:

Windows komt pas in week 2 van februari met een update. Tot die tijd zij er 2 mogelijkheden om veilig te zijn voor deze ransomware:

  1. Het uitschakelen van windows EFS. Dit kan door de volgende registry key op waarde 1 te zetten: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration

  2. Een acces protection regel aanmaken je beveiligingssoftware die ervoor zorgt dat de encryptie key die door EFS gegenereerd wordt niet kan worden verwijderd. EFS zet de key standaard neer in:

%APPDATA% \Microsoft\Crypto\RSA\sid\ (where sid is the user SID)
%ProgramData% \Microsoft\Crypto\RSA\MachineKeys\

Indien je geen gebruik maakt van EFS is het uitschakelen hiervan de veiligste optie.

Tips voor McAfee beheerders

Door de bovenstaande acces protection rule in ENS aan te maken, zorg je er voor dat enkel de key blijft staan. Mocht de ransomware niet door de anti-virussoftware worden gedetecteerd, heb je op die manier altijd de key die nodig is voor het decrypten van de bestanden. Voor een betere detectie van ransomware en zero-day malware adviseren we het volgende:

  • Upgrade naar ENS 10.7. Dit zorgt er voor dat Real protect (artificial intelligence onderdeel van ENS ATP) ook kan inhooken op AMSI, met alle voordelen van dien.

  • Schakel ASMI in. Deze optie staat by default op observe mode. ENS kan voor advanced script scanning gebruik maken van AMSI, de advanced scriptscanning host in Windows. Ransomware dat via een script (js, vbs etc) actief wordt op de computer wordt hierdoor beter gedetecteerd:

Meer weten?

Co Ploegaert helpt je graag verder. Je kunt hem bereiken op: co@mydigitals.nl

Contact

Neem contact met ons op. We helpen je graag verder!

Contact
Volgend artikel

Hoe stel je een upgrade policy in voor SentinelOne?

Een upgrade policy instellen voor SentinelOne lijkt misschien ingewikkeld, maar met een gestructureerde aanpak is het prima te doen. Hier is een stappenplan om je op weg te helpen.