Hoe Sophos ransomware in de kiem smoort

Sophos

Sophos @ Belgium Tech Show

Ransomware groeit in sneltempo uit tot één van de populairste tools van cybercriminelen. Nieuwe technieken moeten de malware beter bestrijden.

Heel wat mensen worden tegenwoordig geconfronteerd met ransomware. De malware die je computer gijzelt is erg lucratief voor cybercriminelen en securityspecialisten hebben er nog niet altijd een pasklaar antwoord op.

“Hoe leuk zou het zijn dat je de ransomware die de dag van vandaag bestaat, zou kunnen tegenhouden zonder dat je moet wachten op nieuwe definities, zodat zelfs Patient Zero kan worden beschermd? En hoe interessant zou het zijn om te weten waar infecties vandaan komen?”, opent Lars Putteneers, Sales Engineer bij Sophos zijn pitch op het podium van onze Belgian Tech Show. Die vragen wil Sophos beantwoorden met zijn nieuwe technologie Intercept X.

Elk jaar komen er meer dan 100 miljoen unieke malwares bij, ofwel zo’n 400.000 per dag. Vaak gaat het slechts om een kleine aanpassing van een bestaande malware, maar dat is voldoende om antivirussoftware om de tuin te leiden. Dagelijks vullen securityspecialisten hun databanken aan met duizenden nieuwe samples, maar het blijft dweilen met de kraan open. “Met definities alleen kan je al die malware niet meer tegenhouden”, stelt Putteneers. “Je hebt extra bescherming nodig.”

Met Intercept X wil Sophos de malware stoppen voor die op je systeem wordt uigevoerd. “Er zijn een twintigtal verschillende technieken die altijd gebruikt worden om een exploit op een systeem te zetten en een zwakheid uit te buiten”, legt Putteneers uit. Intercept X herkent en blokkeert die technieken. Zo kan malware waar nog geen definitie van bekend is toch worden tegengehouden en wordt ook Patient Zero beschermd. Er bestaat echter ook legitieme software die beroep doet op deze technieken, zoals onder meer Cisco WebEx en Spotify. “Daarom werken we met een whitelist,” verduidelijkt Putteneers. “De eindgebruiker kan zelf applicaties whitelisten en die worden dan eerst door Sophos gecontroleerd.”

Ransomware

Om ransomware te bestrijden, gaat Intercept X de bestandstoegang monitoren. “Wanneer een proces of applicatie write access vraagt naar een document gaan we vanuit een eigen ontwikkelde applicatie een just-in-time back-up maken,” vertelt Putteneers. Sophos heeft hiervoor een eigen applicatie ontwikkeld omdat alternatieven zoals de schaduwkopieën van Windows of back-ups van Veeam reeds bekend zijn bij de malwaremakers en gewoon mee worden geëncrypteerd.

Wanneer het document weer wordt weggeschreven, controleert Intercept X of het nog steeds een gewoon document is. Zo ja, dan wordt de back-up verwijderd en kan het document zijn verdere leven leiden. Blijkt het document geen gewoon document meer te zijn en  is het onleesbaar voor de originele applicatie, dan wordt het verder opgevolgd. Het achterliggende proces wordt afgestopt en de originele bestanden worden teruggezet uit de back-up.

Aanvullend

Intercept X werd ontwikkeld om exploits en cryptolockers te bestrijden, maar niet om virussen (executables die de gebruiker zelf moet uitvoeren) te detecteren. Je hebt daarnaast dus nog altijd een degelijke antivirus nodig. De software is gebaseerd op Hitman Pro, dat sinds enige tijd in handen is van Sophos en onder die naam nog altijd gratis aan consumenten wordt verdeeld. 

Intercept X is specifiek gericht op bedrijven. Naast het tegenhouden van exploits voert de software ook een zogenaamde root-cause analysis uit. Die analyse gaat op zoek naar de manier waarop de exploit is binnengekomen in het bedrijfsnetwerk, bijvoorbeeld via een website of e-mail, en welke gebruiker verantwoordelijk is.

Bekijk hier de video van Sophos’ pitch van Intercept X op de Belgian Tech Show:

Bron: www.zdnet.be

 

Fedora upgraden naar versie 24

Fedora 24

Fedora 24

Vorige week kwam van de Linux-distributie Fedora versie 24 uit. Hoe upgrade je een Fedora 23-systeem naar Fedora 24?

Fedora upgraden naar versie 24

Om naar de nieuwste Fedora-versie te upgraden, moest je tot nu toe altijd je toevlucht nemen tot de commandline. Dat is nu verleden tijd in Fedora Workstation. Als je een volledig up-to-date Fedora 23 draait, kun je upgraden naar Fedora 24 met de app Sofware (gnome-software). De app geeft je dan een notificatie als er een nieuwe upgrade voor Fedora beschikbaar is. In de tab Updates krijg je dan de optie om de upgrade te downloaden en te installeren.

Draai je niet de Workstation-editie of gebruik je een andere desktopomgeving dan GNOME, dan verloopt het proces op de commandline in de volgende stappen:

1. Back-up je systeem

Hoewel er normaal niet veel misloopt, maak je het best voor de zekerheid een reservekopie van al je bestanden voor je aan de upgrade begint. Lees ook eerst de release notes van Fedora 24 na om te controleren of je niet tegen problemen zult aanlopen.

2. Update al je software

Zorg dat al je software up-to-date is. Dat doe je met de app Software of met de volgende opdracht op de commandline:

$ sudo dnf upgrade --refresh

3. Installeer de dnf plug-in

Installeer de plug-in voor systeemupgrades met:

$ sudo dnf install dnf-plugin-system-upgrade

4. Download de upgrades

Start de upgrade naar Fedora 24 met:

$ sudo dnf system-upgrade download --releasever=24

Deze opdracht downloadt upgrades voor alle pakketten die voor Fedora 24 nodig zijn. Als dependencyproblemen in bepaalde pakketten de upgrade tegenhouden, voeg dan de optie --allowerasing toe. De systeemupgrade verwijdert de boosdoeners in dat geval. Kijk dan wel goed na of de upgrade geen essentiële pakketten verwijdert.

5. Reboot en upgrade

Herstart je systeem in het ugpradeproces met:

$ sudo dnf system-upgrade reboot

Na de herstart begint je Fedora-systeem het upgradeproces. Daarna herstart je systeem nog eens en log je in je verse Fedora 24-systeem in.

6. Los problemen op

Soms merk je dat bepaalde zaken na de upgrade niet meer werken. Raadpleeg dan de Fedora-wiki voor mogelijke oplossingen.

Bron: www.pcmweb.nl

 

  • Weekdeals (728x90)