Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties, 26.901 views •
Submitter: Falcon

Leverancier van anti-virussoftware Kaspersky waarschuwt voor een gevaarlijke trend in 2007: ransomware. Dit is een vorm van malware die gegevens op de computer van het slachtoffer onbereikbaar maakt; na betaling van 'losgeld' krijgen de gebruikers weer toegang.

Sleutel Deze vorm van afpersing is niet heel nieuw. Al in 2004 dook het eerste ransomware-virus op. Deze malware, onder de naam GPCode, werd in mei van het daaropvolgende jaar voor het eerst in het wild gezien. GPCode, dat in verschillende varianten uit zou komen, versleutelde bestanden op de computer van het slachtoffer. Op de besmette computer werd een melding achtergelaten dat tegen betaling de bestanden weer vrijgegeven zouden worden. De meest recente versie van de malware maakte gebruik van een 660-bit RSA-encryptie, normaal gesproken voldoende om de code niet binnen enkele jaren te kunnen kraken. De schrijver van het virus had echter een fout gemaakt, waardoor medewerkers van Kaspersky de code relatief eenvoudig konden breken.

Een jaar later was het de beurt aan Cryzip, een trojan die ook bestanden op de computer versleutelde. Onder meer .doc-, .zip- en .xls-bestanden werden door de malware in een zipbestand met wachtwoordbeveiliging geplaatst. Ook hier waren aanwijzingen hoe de bestanden terug te krijgen op de computer achtergelaten: daartoe moesten slachtoffers 300 dollar betalen via een 'online portemonnee' zodat het volgen van het geld om de daders te krijgen erg moeilijk zou worden. Medewerkers van Kaspersky konden echter ook deze malware relatief eenvoudig onschadelijk maken. Door de encryptor te reverse-engineren kon het statische wachtwoord voor de zipbestanden achterhaald worden.

Een gedeelte van de Cryzip tekst
Een gedeelte van de tekst van Cryzip met instructies.

Een groot gevaar van ransomware is het feit dat er een gerichte aanval op een bepaald persoon of bedrijf mee kan worden uitgevoerd. De aanvaller kan tijd steken in een plausibel e-mailbericht dat de malware bevat, en het programma kan zich ongemerkt over het bedrijfsnetwerk verspreiden. Na verloop van tijd treedt de encryptieroutine in werking, en ziet het bedrijf zich met een enorme strop geconfronteerd. Als we een stapje verder kijken, zou een scenario kunnen zijn dat de bestanden gedurende lange tijd bij het openen on-the-fly worden gedecrypt. De gebruikers merken niets van het feit dat hun bestanden in feite allemaal versleuteld zijn. Dit kan ertoe leiden dat backups ook niet meer afdoende zijn, deze bevatten immers ook slechts de versleutelde bestanden.

Technologie / Virus / MalwareGezien de potentieel grote bedragen die in deze schimmige markt omgaan, is de verwachting dat dit soort malware alleen maar zal toenemen; het heeft inmiddels volop de aandacht van de georganiseerde misdaad. Gemiddeld is 80 procent van de nieuw ontdekte virussen in de categorie 'crimeware' te scharen: software geschreven voor financieel gewin. Ransomware is niet de enige vorm van crimeware. Er zijn bijvoorbeeld vormen bekend die de werking van de pc vertragen, ook hier wordt een bepaald bedrag geŽist om de computer weer normaal te laten functioneren. Daarnaast komen trojans die bankgegevens of logincodes van online games onderscheppen ook steeds meer voor.

Hoewel tot op heden het ransomwareprobleem zich voornamelijk in Rusland afspeelde wordt ook het westen hier steeds meer door bedreigd. Roel Schouwenberg, medewerker van Kaspersky Lab Benelux, benadrukt daarom nog maar eens het belang van goede backups die ook regelmatig worden gecontroleerd, het liefst op een ander systeem. Hij roept verder op niet te gaan betalen, maar contact op te nemen met een anti-virusbedrijf. De meeste zullen hun uiterste best doen het slachtoffer te helpen. Dit gebeurt vaak - uit het oogpunt van service - zonder kosten. Tot op heden is het nog steeds gelukt de bestanden zonder betaling terug te krijgen. Het lijkt echter een kwestie van tijd dat een virusschrijver wel een fatsoenlijke encryptieroutine schrijft die het voor anti-virusbedrijven onmogelijk maakt nog iets voor het slachtoffer te kunnen beteken.

Reacties (62)

Reactiefilter:-162059+146+211+33
Moderatie-faq Wijzig weergave
Dit lijkt me echt tekenend voor de criminalisering van het virusschrijven. Dat ze nu nog lame encrypties gebruiken is nog een geluk, maar dat zal inderdaad waarschijnlijk niet lang duren.

Alles wat je niet kwijt wilt dus goed backuppen blijft (nog steeds) het devies lijkt me. En alles wat je op een apparaat hebt staan wat niet via een netwerk toegankelijk is is (vooralsnog) niet hackbaar, hoewel je dan wel nog steeds moet opletten met wat voor disks je erin douwt natuurlijk. ;)
Het scheelt dat een virus de documenten ook weer moet ontdoen van encryptie, danwel tijdens runtime of na betaling. Als het virus in runtime alles encrypt en decrypt zijn je backups niets waard, maar staat de decryptie sleutel in het geheugen.
Als het virus alleen maar encrypt en niet decrypt dan staat de decrypt sleutel niet in het geheugen, maar dan zijn je backups weer waardevol.
Volgens mij is het wel een enorme hoeveelheid werk om zo'n virus te bouwen. Zo veel zelfs, dat men zich er misschien niet eens aan zal wagen, vooral omdat een antivirusbedrijf het toch altijd zal kunnen reverse-engineeren.
omdat een antivirusbedrijf het toch altijd zal kunnen reverse-engineeren
Wat heeft reverse engineeren nu te maken met ja data terugkrijgen? Stel je eens het volgende scenario voor:
- gebruiker krijgt op een of andere manier het virus binnen
- het virus communiceert met een serverprogramma (via IRC of zo)
- de server stuurt een paswoord op voor encryptie, dat vervolgens niet op de PC bewaard wordt (of toch niet meer zodra de boodschap verschijnt)
- het slachtoffer betaalt en geeft een unieke code mee als referentie aan de hand van die unieke code kan de maker het wachtwoord voor decryptie bezorgen. Het wachtwoord is echter niet afgeleid uit die code of omgekeerd, wat het kraken ervan zo goed als onmogelijk maakt.

Hierbij maakt het totaal niet uit of het virus gereverse-engineered wordt of niet... de maker kan zelfs de broncode verspreiden als ie wil... eens je data geencrypteerd zonder de sleutel nog op je PC te hebben ben je eraan voor de moeite.
Maar als je hier miljoenenbedrijven mee kan chanteren, ben je met 1 betaling al "binnen." Stel dat je er maar 1 zo gestoord krijgt om te betalen voordat het virus onschadelijk wordt gemaakt: als je je aanval goed hebt gemikt kan dat makkelijk duizenden Euro's, dollar's, wat dan ook opleveren.
Meh, met de huidige dom-heid van computer gebruikers, kun je net zo goed het decrypten achterwege laten en wegrennen. Het is niet alsof je meer politie achter je aan krijgt, lijkt me. Scheelt weer programmeer werk.
Zoiets dacht ik ook!
Waarom denk je dat iemand die zoiets schrijft zo eerlijk is dat je mag decrypten nadat je betaald hebt?
Als hij zijn geld heeft gebeurt er niets meer en zit je nog vast!
het is dan ook zo debiel makkelijk om dit soort misdaad te doen, met een lage pakkans.
Dit lijkt me echt tekenend voor de criminalisering van het virusschrijven. Dat ze nu nog lame encrypties gebruiken is nog een geluk, maar dat zal inderdaad waarschijnlijk niet lang duren.
Dat virusje wat ik schreef in 1998 is nog veel gevaarlijker en nu nog. Het overschrijft de eerste miljoen sectoren van je harddisk met nullen en overschrijft je BIOS gegevens met nullen (all to default). In eerste instantie was het programmaatje om een systeem voor 100% schoon te krijgen en hem daarna weer nieuw leven in te blazen.

Ik heb het nooit versprijd want ik ben toch een slag anders dan virusschrijvers. Ik pas het alleen nog toe op ernstig besmette systemen waarvan de BIOS data ook corrupt is, niet om mensen te pesten! Bootable CD, 20 seconden werk. Weg alle rotzooi en weer een schone start met deze keer een goede virusscanner want daar ontbreekt het nog vaak aan bij mensen.

Deze vorm is dus heel goed te bestrijden:
1. Betaal enkel en alleen vis Rembours!!
2. Vul nooit meer in dan strikt noodzakelijk in een form.
3. Zet de SSDP discovery service disabled
4. Zet de NetBIOS helper service op disabled
5. Zet de Computer Browser service op disabled
6. Zet de Remote registry service op disabled
7. Zet "install on demand" in IE uit!
8. Zet "Use third party browser plugins" op uit!

Nu zul je een stuk harder te pakken zijn voor hun en gebruik daarbij ook nog eens je verstand bij het surfen en je bent een van de burgers die een sterk verminderde kans loopt op besmetting. Ik ben er niet bang voor al gebruik ik Vista en die kan ook op slot!
Dat virusje wat ik schreef in 1998 is nog veel gevaarlijker en nu nog. Het overschrijft de eerste miljoen sectoren van je harddisk met nullen en overschrijft je BIOS gegevens met nullen (all to default). In eerste instantie was het programmaatje om een systeem voor 100% schoon te krijgen en hem daarna weer nieuw leven in te blazen.
Waarom noem je dat "veel gevaarlijker"? Dat is hooguit een dag werk terwijl je alles van backup herstelt, en het werkt alleen als je als admin draait. Vervelend als het gebeurt, maar vergelijk het eens met het andere. Het gaat hier nou net om het geleidelijk corrumperen van gegevens dat zo geniepig is. Gaan je backups maar terug tot een maand? Jammer, de malware stond er al langer op en heeft je backups waardeloos gemaakt.

Voor een bedrijf kan dit het verschil zijn tussen een dag omzetverlies en faillissement.
Betaal enkel en alleen vis Rembours!!
Ik betaal het meestal contant.
Maar ja, haal het dan ook bij de visboer, en bestel geen vis online... (3 week levertijd etc.)
:+
Samenvatting van je lijstje met dingen:
1. installeer Linux
2. koffie

:+
Nog even en internet wordt zo onbetrouwbaar en gevaarlijk als medium dat de digitalisatie van de samenleving tot een halt komt.

DigiD bijv. wordt steeds belangrijker omdat je er steeds meer mee kan en dus zijn de mogelijke catastrophes ook groter als iemand daar misbruik van weet te maken.
Je ziet inderdaad bij banken bijvoorbeeld al dat je voor je wachtwoord ook een hale briefwisseling nodig hebt. Alles om het maar zo veilig mogelijk te houden. Maar vergis je niet; ook dat is "hackbaar" alleen dan niet op een digitale manier.
Mijn vrouw wilde laatst dat ik haar Singaporese credit-card checkte toen ik eerder dan haar terugkeerde van vakantie (wij moesten in Malaysie een hotel boeken in een internet-cafť - vandaar onze bezorgdheid)...

Nu blijkt dat niet alleen kaart en PIN nodig zijn om in te loggen, daarna wil dat systeem ook nog's een sessie-PIN die gestuurd is via SMS!

Wel veilig... alleen jammer voor ons dat ze dat Singaporese mobieltje al een jaar geleden opgezegd heeft. (Fingers crossed wat betreft credit-card, dus...)
@Teigetje
"comes to a halt" hoezo anglicisme?
De nederlandse vertaling hiervan luidt:"tot staan komen".
Post dan op engelstalige sites...
Als we een stapje verder kijken, zou een scenario kunnen zijn dat de bestanden gedurende lange tijd bij het openen on-the-fly worden gedecrypt. De gebruikers merken niets van het feit dat hun bestanden in feite allemaal versleuteld zijn.
Als je dit wilt doen heb je een decodeersleutel nodig lijkt me, ook voor de ransomware zelf. Deze moet dus wel ergens meegecodeerd zijn dan. Na een beetje reverse engineering lijkt het me ook mogelijk om zelf deze decryptie weer te doen (of met behulp van een bonafide bedrijf als een antivirus-lab).
En zolang je een backup terugzet waarbij de geencrypte bestanden nog leesbaar zijn kan je nmw eenvoudig een kopie maken van je software. (Dankzij de onthefly decryptie)
Tot het moment dat de ransomware in actie komt, bijvoorbeeld na een bepaalde tijd, en de 'on-the-fly' decryptie uitgeschakeld wordt.

Ik kan me zelfs voorstellen dat er een nieuwe executable gedownload wordt die de decryptiefunctie niet meer in zich heeft, zodat reverse-engineren niet veel zin heeft.
Enkele tips:
-In Windows XP kan je gegevens coderen, ik vermoed dat die gegevens niet zomaar onbereikbaar gemaakt kunnen worden
-In Windows Vista Ultimate kan je met Bitlocker je belangrijke data op een andere drive zetten en hardwarematig vergrendelen
-Neem een backup op CD van je belangrijke data, dan kan het geen kwaad dat de gegevens onbereikbaar gemaakt zijn
-En vanzelfsprekend: Gebruik een goede virusscanner en maak zo vaak mogelijk updates.
-In Windows XP kan je gegevens coderen, ik vermoed dat die gegevens niet zomaar onbereikbaar gemaakt kunnen worden.
Met de windows XP encryptie worden de gegevens onbeschikbaar voor andere gebruikers. Het virus wat onder jouw account draait kan er gewoon bij en er doodleuk nog een encryptie over heen gooien. De encryptie van windows xp wordt namelijk afgehandeld door het filesystem en programma's merken daar niets van.
-In Windows Vista Ultimate kan je met Bitlocker je belangrijke data op een andere drive zetten en hardwarematig vergrendelen
Ja, maar wat, zoals in het hoofdartikel gezegd wordt, als het virus alles al geencrypt heeft en alles automatisch decrypt totdat er een bepaalde tijd is verstreken? Dan zijn je backups ook encrypted.
-Neem een backup op CD van je belangrijke data, dan kan het geen kwaad dat de gegevens onbereikbaar gemaakt zijn
Hier geld hetzelfde.
Zelf encrypten heeft geen enkele zin als de ransomware er nog een encryptie overheen gooit. De encryptiefeatures in Windows zorgen er alleen maar voor dat andere gebruikers niets met jouw bestanden kunnen, ook niet als ze toegangsrechten hebben. De ransomware draait onder jouw account en heeft met die encryptie dus niets te maken, aangezien die transparant is voor programma's.

Backups maken is alleen zaligmakend in deze context als je de backups daarna controleert op een onafhankelijke (oncompromitteerbare) machine. Dat zullen weinig gebruikers doen.

Er zijn wel afdoende oplossingen voor dit probleem (zoals alle schrijfrechten op bestanden onder te brengen op een speciaal account, dat alleen uitgezochte programma's mag draaien) maar die gaan erg ver en zijn voor de gewone gebruiker niet te doen. Dit soort problemen zijn alleen structureel aan te pakken als je er in het begin al rekening mee houdt.
Ja, goed om erover na te denken.

- Gegevens door XP gecodeerd laten opslaan zal waarschijnlijk niet helpen. Een trojan zal eenvoudig de gecodeerde bestanden openen, XP zal ze op dat moment gedecodeerd aanbieden, waarna de trojan zijn encoding klus doet en het bestand weer aan XP teruggeeft. XP encodeert dit dan nogmaals alvorens het op te slaan. Alleen met behulp van de trojan zul je weer een volledig ongecodeerd bestand terugkrijgen.

- Bitlocker kan helpen als daardoor de trojan geen toegang kan krijgen tot de bestanden. Er is overigens weinig hardwarematigs aan vergrendeling die door software wordt bestuurd. Ik weet niet of de gebruiker een aparte toestemming moet geven om een andere drive weer aan te koppelen of dat dat automatisch gebeurt bij het aanmelden in Windows. Alleen als het handmatig moet, los van het aanmelden bij Windows biedt het bescherming. Maar zogauw als je de drive een keer koppelt dan kan de trojan toeslaan.

- backup op CD, en dan zelfs bij voorkeur op een CD-R (niet herschrijfbaar) is een heel veilige actie, die alleen door een apparaat die de data in graniet beitelt kan worden overtroffen.
-In Windows XP kan je gegevens coderen, ik vermoed dat die gegevens niet zomaar onbereikbaar gemaakt kunnen worden
Ook de bestanden die gecodeerd zijn (met bijv. Win XP) kun je nog eens coderen. Gecodeerde data blijft data (bestanden).

Verder blijft het dan zaak die oude backup-CD's ook te bewaren en/of later te testen op een schoon systeem gezien de mogelijk 'on the fly' decryptie periode.
Vraag me af of dit echt veel slachtoffers gaat eisen. Bij die online betaalsites (paypal e.d.) worden alle acties en transacties tot in den treure gelogd, dus het lijkt me eenvoudig te achterhalen waar het geld heen gaat...

Dit soort berichtjes zijn eerder leuke reclame voor de anti-virusbedrijven om de mensen bang te maken. (als ik suggereer dat ze dit soort berichten zelf de wereld in zouden kunnen brengen zal ik wel als -10 paranoia worden beoordeeld :X).
Wire het geld een aantal keren door via allerlei vage banklanden en justitie kan ook niet ťťn twee drie dat geld (en dus de eigenaar) achterhalen.... Denk maar bijvoorbeeld aan het strikte bankgeheim van Zwitserland dat tot niet zo heel lang geleden prima werkte.

Dus geld laten storten op de kaaimaneilanden, via cuba nog even langs BosniŽ en voila, het kost je jaren voordat je een spoortje te pakken hebt. Stel dat ze §10.000,- eisen, dan denk ik niet dat een bedrijf dit gaat proberen terug te halen, dat kost meer dan dat het oplevert. En de criminelen hebben toch iets van §5000,- winst (ik reken even een redelijke bankcommissie voor 3 van die hops).
Ransomware in Redmond: Microsoft wordt afgeperst om alle Vista versies gratis te verstrekken :9 :Y)
Dan moet de dader toch wel een HEEL grote hekel aan deze wereld hebben... :+
En denk nu eens na over het volgende ;

"Windows is ransomware"

hier stond een slecht voorbeeld

Denk aan bugs, WGA, cracked versions, windows moet binnen X dagen geactiveerd worden, service packs, end of life, support subscribtions, this software needs windows 2000 or higher to run etc.

Je bent altijd in zekere mate afhankelijk van MS of welke andere softwareschrijver waar je je informatie aan toevertrouwd en nog legaal ook

misschien dat er toch nog een toekomst is voor free software?

aan redstorm; begrijp me niet verkeerd , dit is geen ms-flame, ik ben alleen soms wel bezorgd hierover
je bent in zekere mate afhankelijk van ze, en je moet uiteindelijk blijven betalen om het te kunnen blijven gebruiken
Ik zie windows nog geen losgeld vragen voor mijn documenten :?

Dat van die belastingdienst is gewoon een domme actie van de belastingdienst wat nooit had mogen gebeuren en wat niet had mogen gebeuren bij zo'n grote organisatie.
Als je dit wilt doen heb je een decodeersleutel nodig lijkt me, ook voor de ransomware zelf. Deze moet dus wel ergens meegecodeerd zijn dan. Na een beetje reverse engineering lijkt het me ook mogelijk om zelf deze decryptie weer te doen (of met behulp van een bonafide bedrijf als een antivirus-lab).
Fout, als het goed is bewaard de schrijver zelf de sleutel en is deze niet reversible in de code zelf.

Het is wel mogelijk dat hij een sub sleutel bewaart in het register. De hoofdsleutel is nodig om het geheel terug te zetten na een crash, daarom is het ook zo gevaarlijk.

Had je Windows 2000 of XP dan had je ook een recovery agent disk nodig voor je gegevens na een crash. De sleutel is dus subextern.

Ben je een ťchte DIE-HARD ga dan terug naar FAT32 }>
Als hij on-the-fly decrypt wel. Als hij dit niet doet, dan niet. Verder kan de encryptiesleutel opgevraagd worden via internet. De schrijver houdt dan de decryptiesleutel voor zichzelf. Het virus begint dan gewoon pas als hij succesvol een sleutel heeft kunnen bemachtigen via internet. En met de bestanden die het langst niet gebruikt zijn, zodat de detectie zo laat mogelijk is. (Of geef ik nu te veel tips...)
En de eigenaren van die online portomonnee's zijn ook niet te achterhalen? Hallo justitie :P
Een groot probleem hierbij is internationaal recht. Veel van die dingen worden gedaan vanaf een of ander adres in bijvoorbeeld Zimbabwe of Nigeria, waar heel andere wetten gelden. Het enige wat men hoeft te doen is een land zoeken waar de wetten voldoende achterlopen op de huidige stand van zaken op internet en geen uitleveringsverdrag heeft met Nederland.

OK, uiteindelijk zit het natuurlijk wel *net* iets ingewikkelder in elkaar, maar dan nog: het ontbreken van een internationale rechtspraak in zaken met betrekking tot het internet is een grote storende factor voor het aanpakken van dit soort dingen. Voor de duidelijkheid: ik pleit niet voor of tegen, ik signaleer alleen...
* batavier slaat gewoon geen bestanden meer op


Gewoon maar weer pen & papier gebruiken.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True