'Nieuwe virustrend voor 2007: Ransomware'
Leverancier van anti-virussoftware Kaspersky waarschuwt voor een gevaarlijke trend in 2007: ransomware. Dit is een vorm van malware die gegevens op de computer van het slachtoffer onbereikbaar maakt; na betaling van 'losgeld' krijgen de gebruikers weer toegang.
Deze vorm van afpersing is niet heel nieuw. Al in 2004 dook het eerste ransomware-virus op. Deze malware, onder de naam GPCode, werd in mei van het daaropvolgende jaar voor het eerst in het wild gezien. GPCode, dat in verschillende varianten uit zou komen, versleutelde bestanden op de computer van het slachtoffer. Op de besmette computer werd een melding achtergelaten dat tegen betaling de bestanden weer vrijgegeven zouden worden. De meest recente versie van de malware maakte gebruik van een 660-bit RSA-encryptie, normaal gesproken voldoende om de code niet binnen enkele jaren te kunnen kraken. De schrijver van het virus had echter een fout gemaakt, waardoor medewerkers van Kaspersky de code relatief eenvoudig konden breken.
Een jaar later was het de beurt aan Cryzip, een trojan die ook bestanden op de computer versleutelde. Onder meer .doc-, .zip- en .xls-bestanden werden door de malware in een zipbestand met wachtwoordbeveiliging geplaatst. Ook hier waren aanwijzingen hoe de bestanden terug te krijgen op de computer achtergelaten: daartoe moesten slachtoffers 300 dollar betalen via een 'online portemonnee' zodat het volgen van het geld om de daders te krijgen erg moeilijk zou worden. Medewerkers van Kaspersky konden echter ook deze malware relatief eenvoudig onschadelijk maken. Door de encryptor te reverse-engineren kon het statische wachtwoord voor de zipbestanden achterhaald worden.
Een groot gevaar van ransomware is het feit dat er een gerichte aanval op een bepaald persoon of bedrijf mee kan worden uitgevoerd. De aanvaller kan tijd steken in een plausibel e-mailbericht dat de malware bevat, en het programma kan zich ongemerkt over het bedrijfsnetwerk verspreiden. Na verloop van tijd treedt de encryptieroutine in werking, en ziet het bedrijf zich met een enorme strop geconfronteerd. Als we een stapje verder kijken, zou een scenario kunnen zijn dat de bestanden gedurende lange tijd bij het openen on-the-fly worden gedecrypt. De gebruikers merken niets van het feit dat hun bestanden in feite allemaal versleuteld zijn. Dit kan ertoe leiden dat backups ook niet meer afdoende zijn, deze bevatten immers ook slechts de versleutelde bestanden.
Gezien de potentieel grote bedragen die in deze schimmige markt omgaan, is de verwachting dat dit soort malware alleen maar zal toenemen; het heeft inmiddels volop de aandacht van de georganiseerde misdaad. Gemiddeld is 80 procent van de nieuw ontdekte virussen in de categorie 'crimeware' te scharen: software geschreven voor financieel gewin. Ransomware is niet de enige vorm van crimeware. Er zijn bijvoorbeeld vormen bekend die de werking van de pc vertragen, ook hier wordt een bepaald bedrag geëist om de computer weer normaal te laten functioneren. Daarnaast komen trojans die bankgegevens of logincodes van online games onderscheppen ook steeds meer voor.
Hoewel tot op heden het ransomwareprobleem zich voornamelijk in Rusland afspeelde wordt ook het westen hier steeds meer door bedreigd. Roel Schouwenberg, medewerker van Kaspersky Lab Benelux, benadrukt daarom nog maar eens het belang van goede backups die ook regelmatig worden gecontroleerd, het liefst op een ander systeem. Hij roept verder op niet te gaan betalen, maar contact op te nemen met een anti-virusbedrijf. De meeste zullen hun uiterste best doen het slachtoffer te helpen. Dit gebeurt vaak - uit het oogpunt van service - zonder kosten. Tot op heden is het nog steeds gelukt de bestanden zonder betaling terug te krijgen. Het lijkt echter een kwestie van tijd dat een virusschrijver wel een fatsoenlijke encryptieroutine schrijft die het voor anti-virusbedrijven onmogelijk maakt nog iets voor het slachtoffer te kunnen beteken.
Reacties (62)
Meestal hebben de grote jongens een rekening op nummer te (bijvoorbeeld op de Kaaiman-eilanden of Zwitserland). Einde oefening met vervolgen: door het bankgeheim van die landen kom je er nooit achter wie het zijn...
"Windows is ransomware"
hier stond een slecht voorbeeld
Denk aan bugs, WGA, cracked versions, windows moet binnen X dagen geactiveerd worden, service packs, end of life, support subscribtions, this software needs windows 2000 or higher to run etc.
Je bent altijd in zekere mate afhankelijk van MS of welke andere softwareschrijver waar je je informatie aan toevertrouwd en nog legaal ook
misschien dat er toch nog een toekomst is voor free software?
aan redstorm; begrijp me niet verkeerd , dit is geen ms-flame, ik ben alleen soms wel bezorgd hierover
je bent in zekere mate afhankelijk van ze, en je moet uiteindelijk blijven betalen om het te kunnen blijven gebruiken
Dat van die belastingdienst is gewoon een domme actie van de belastingdienst wat nooit had mogen gebeuren en wat niet had mogen gebeuren bij zo'n grote organisatie.
Alles wat je niet kwijt wilt dus goed backuppen blijft (nog steeds) het devies lijkt me. En alles wat je op een apparaat hebt staan wat niet via een netwerk toegankelijk is is (vooralsnog) niet hackbaar, hoewel je dan wel nog steeds moet opletten met wat voor disks je erin douwt natuurlijk.
Als het virus alleen maar encrypt en niet decrypt dan staat de decrypt sleutel niet in het geheugen, maar dan zijn je backups weer waardevol.
Waarom denk je dat iemand die zoiets schrijft zo eerlijk is dat je mag decrypten nadat je betaald hebt?
Als hij zijn geld heeft gebeurt er niets meer en zit je nog vast!
Wat heeft reverse engineeren nu te maken met ja data terugkrijgen? Stel je eens het volgende scenario voor:omdat een antivirusbedrijf het toch altijd zal kunnen reverse-engineeren
- gebruiker krijgt op een of andere manier het virus binnen
- het virus communiceert met een serverprogramma (via IRC of zo)
- de server stuurt een paswoord op voor encryptie, dat vervolgens niet op de PC bewaard wordt (of toch niet meer zodra de boodschap verschijnt)
- het slachtoffer betaalt en geeft een unieke code mee als referentie aan de hand van die unieke code kan de maker het wachtwoord voor decryptie bezorgen. Het wachtwoord is echter niet afgeleid uit die code of omgekeerd, wat het kraken ervan zo goed als onmogelijk maakt.
Hierbij maakt het totaal niet uit of het virus gereverse-engineered wordt of niet... de maker kan zelfs de broncode verspreiden als ie wil... eens je data geencrypteerd zonder de sleutel nog op je PC te hebben ben je eraan voor de moeite.
-In Windows XP kan je gegevens coderen, ik vermoed dat die gegevens niet zomaar onbereikbaar gemaakt kunnen worden
-In Windows Vista Ultimate kan je met Bitlocker je belangrijke data op een andere drive zetten en hardwarematig vergrendelen
-Neem een backup op CD van je belangrijke data, dan kan het geen kwaad dat de gegevens onbereikbaar gemaakt zijn
-En vanzelfsprekend: Gebruik een goede virusscanner en maak zo vaak mogelijk updates.
Met de windows XP encryptie worden de gegevens onbeschikbaar voor andere gebruikers. Het virus wat onder jouw account draait kan er gewoon bij en er doodleuk nog een encryptie over heen gooien. De encryptie van windows xp wordt namelijk afgehandeld door het filesystem en programma's merken daar niets van.-In Windows XP kan je gegevens coderen, ik vermoed dat die gegevens niet zomaar onbereikbaar gemaakt kunnen worden.
Ja, maar wat, zoals in het hoofdartikel gezegd wordt, als het virus alles al geencrypt heeft en alles automatisch decrypt totdat er een bepaalde tijd is verstreken? Dan zijn je backups ook encrypted.-In Windows Vista Ultimate kan je met Bitlocker je belangrijke data op een andere drive zetten en hardwarematig vergrendelen
Hier geld hetzelfde.-Neem een backup op CD van je belangrijke data, dan kan het geen kwaad dat de gegevens onbereikbaar gemaakt zijn
Backups maken is alleen zaligmakend in deze context als je de backups daarna controleert op een onafhankelijke (oncompromitteerbare) machine. Dat zullen weinig gebruikers doen.
Er zijn wel afdoende oplossingen voor dit probleem (zoals alle schrijfrechten op bestanden onder te brengen op een speciaal account, dat alleen uitgezochte programma's mag draaien) maar die gaan erg ver en zijn voor de gewone gebruiker niet te doen. Dit soort problemen zijn alleen structureel aan te pakken als je er in het begin al rekening mee houdt.
- Gegevens door XP gecodeerd laten opslaan zal waarschijnlijk niet helpen. Een trojan zal eenvoudig de gecodeerde bestanden openen, XP zal ze op dat moment gedecodeerd aanbieden, waarna de trojan zijn encoding klus doet en het bestand weer aan XP teruggeeft. XP encodeert dit dan nogmaals alvorens het op te slaan. Alleen met behulp van de trojan zul je weer een volledig ongecodeerd bestand terugkrijgen.
- Bitlocker kan helpen als daardoor de trojan geen toegang kan krijgen tot de bestanden. Er is overigens weinig hardwarematigs aan vergrendeling die door software wordt bestuurd. Ik weet niet of de gebruiker een aparte toestemming moet geven om een andere drive weer aan te koppelen of dat dat automatisch gebeurt bij het aanmelden in Windows. Alleen als het handmatig moet, los van het aanmelden bij Windows biedt het bescherming. Maar zogauw als je de drive een keer koppelt dan kan de trojan toeslaan.
- backup op CD, en dan zelfs bij voorkeur op een CD-R (niet herschrijfbaar) is een heel veilige actie, die alleen door een apparaat die de data in graniet beitelt kan worden overtroffen.
Ook de bestanden die gecodeerd zijn (met bijv. Win XP) kun je nog eens coderen. Gecodeerde data blijft data (bestanden).-In Windows XP kan je gegevens coderen, ik vermoed dat die gegevens niet zomaar onbereikbaar gemaakt kunnen worden
Verder blijft het dan zaak die oude backup-CD's ook te bewaren en/of later te testen op een schoon systeem gezien de mogelijk 'on the fly' decryptie periode.
DigiD bijv. wordt steeds belangrijker omdat je er steeds meer mee kan en dus zijn de mogelijke catastrophes ook groter als iemand daar misbruik van weet te maken.
Nu blijkt dat niet alleen kaart en PIN nodig zijn om in te loggen, daarna wil dat systeem ook nog's een sessie-PIN die gestuurd is via SMS!
Wel veilig... alleen jammer voor ons dat ze dat Singaporese mobieltje al een jaar geleden opgezegd heeft. (Fingers crossed wat betreft credit-card, dus...)
"comes to a halt" hoezo anglicisme?
De nederlandse vertaling hiervan luidt:"tot staan komen".
Post dan op engelstalige sites...
Dit soort berichtjes zijn eerder leuke reclame voor de anti-virusbedrijven om de mensen bang te maken. (als ik suggereer dat ze dit soort berichten zelf de wereld in zouden kunnen brengen zal ik wel als -10 paranoia worden beoordeeld
).Dus geld laten storten op de kaaimaneilanden, via cuba nog even langs Bosnië en voila, het kost je jaren voordat je een spoortje te pakken hebt. Stel dat ze ¤10.000,- eisen, dan denk ik niet dat een bedrijf dit gaat proberen terug te halen, dat kost meer dan dat het oplevert. En de criminelen hebben toch iets van ¤5000,- winst (ik reken even een redelijke bankcommissie voor 3 van die hops).
OK, uiteindelijk zit het natuurlijk wel *net* iets ingewikkelder in elkaar, maar dan nog: het ontbreken van een internationale rechtspraak in zaken met betrekking tot het internet is een grote storende factor voor het aanpakken van dit soort dingen. Voor de duidelijkheid: ik pleit niet voor of tegen, ik signaleer alleen...
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht Galaxy S
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
