Zoeken

EFS Ransomware

Er zijn momenteel exploits beschikbaar die gebruiken maken van windows EFS voor ransomware. Een diepere uitleg over hoe de ransomware dit doet is hier te vinden:


Windows komt pas in week 2 van februari met een update. Tot die tijd zij er 2 mogelijkheden om veilig te zijn voor deze ransomware:

  • Het uitschakelen van windows EFS. Dit kan door de volgende registry key op waarde 1 te zetten: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration

  • Een acces protection regel aanmaken je beveiligingssoftware die ervoor zorgt dat de encryptie key die door EFS gegenereerd wordt niet kan worden verwijderd. EFS zet de key standaard neer in:

%APPDATA% \Microsoft\Crypto\RSA\sid\ (where sid is the user SID)

%ProgramData% \Microsoft\Crypto\RSA\MachineKeys\


Indien je geen gebruik maakt van EFS is het uitschakelen hiervan de veiligste optie.



Tips voor McAfee beheerders

Door de bovenstaande acces protection rule in ENS aan te maken, zorg je er voor dat enkel de key blijft staan. Mocht de ransomware niet door de anti-virussoftware worden gedetecteerd, heb je op die manier altijd de key die nodig is voor het decrypten van de bestanden. Voor een betere detectie van ransomware en zero-day malware adviseren we het volgende:

  • Schakel ASMI in. Deze optie staat by default op observe mode. ENS kan voor advanced script scanning gebruik maken van AMSI, de advanced scriptscanning host in Windows. Ransomware dat via een script (js, vbs etc) actief wordt op de computer wordt hierdoor beter gedetecteerd.

ASMI voor McAfee ENS
  • Upgrade naar ENS 10.7. Dit zorgt er voor dat Real protect (artificial intelligence onderdeel van ENS ATP) ook kan inhooken op AMSI, met alle voordelen van dien.


Neem voor vragen of advies contact op met onze beveiligingsexperts:

t:   085-018 57 61

m: support@mydigitals.nl

5 keer bekeken

Nieuws & Tips

© 2019 MyDigitals

  • Black LinkedIn Icon