Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 62, views: 26.813 •
Submitter: Falcon

Leverancier van anti-virussoftware Kaspersky waarschuwt voor een gevaarlijke trend in 2007: ransomware. Dit is een vorm van malware die gegevens op de computer van het slachtoffer onbereikbaar maakt; na betaling van 'losgeld' krijgen de gebruikers weer toegang.

Sleutel Deze vorm van afpersing is niet heel nieuw. Al in 2004 dook het eerste ransomware-virus op. Deze malware, onder de naam GPCode, werd in mei van het daaropvolgende jaar voor het eerst in het wild gezien. GPCode, dat in verschillende varianten uit zou komen, versleutelde bestanden op de computer van het slachtoffer. Op de besmette computer werd een melding achtergelaten dat tegen betaling de bestanden weer vrijgegeven zouden worden. De meest recente versie van de malware maakte gebruik van een 660-bit RSA-encryptie, normaal gesproken voldoende om de code niet binnen enkele jaren te kunnen kraken. De schrijver van het virus had echter een fout gemaakt, waardoor medewerkers van Kaspersky de code relatief eenvoudig konden breken.

Een jaar later was het de beurt aan Cryzip, een trojan die ook bestanden op de computer versleutelde. Onder meer .doc-, .zip- en .xls-bestanden werden door de malware in een zipbestand met wachtwoordbeveiliging geplaatst. Ook hier waren aanwijzingen hoe de bestanden terug te krijgen op de computer achtergelaten: daartoe moesten slachtoffers 300 dollar betalen via een 'online portemonnee' zodat het volgen van het geld om de daders te krijgen erg moeilijk zou worden. Medewerkers van Kaspersky konden echter ook deze malware relatief eenvoudig onschadelijk maken. Door de encryptor te reverse-engineren kon het statische wachtwoord voor de zipbestanden achterhaald worden.

Een gedeelte van de Cryzip tekst
Een gedeelte van de tekst van Cryzip met instructies.

Een groot gevaar van ransomware is het feit dat er een gerichte aanval op een bepaald persoon of bedrijf mee kan worden uitgevoerd. De aanvaller kan tijd steken in een plausibel e-mailbericht dat de malware bevat, en het programma kan zich ongemerkt over het bedrijfsnetwerk verspreiden. Na verloop van tijd treedt de encryptieroutine in werking, en ziet het bedrijf zich met een enorme strop geconfronteerd. Als we een stapje verder kijken, zou een scenario kunnen zijn dat de bestanden gedurende lange tijd bij het openen on-the-fly worden gedecrypt. De gebruikers merken niets van het feit dat hun bestanden in feite allemaal versleuteld zijn. Dit kan ertoe leiden dat backups ook niet meer afdoende zijn, deze bevatten immers ook slechts de versleutelde bestanden.

Technologie / Virus / MalwareGezien de potentieel grote bedragen die in deze schimmige markt omgaan, is de verwachting dat dit soort malware alleen maar zal toenemen; het heeft inmiddels volop de aandacht van de georganiseerde misdaad. Gemiddeld is 80 procent van de nieuw ontdekte virussen in de categorie 'crimeware' te scharen: software geschreven voor financieel gewin. Ransomware is niet de enige vorm van crimeware. Er zijn bijvoorbeeld vormen bekend die de werking van de pc vertragen, ook hier wordt een bepaald bedrag geŽist om de computer weer normaal te laten functioneren. Daarnaast komen trojans die bankgegevens of logincodes van online games onderscheppen ook steeds meer voor.

Hoewel tot op heden het ransomwareprobleem zich voornamelijk in Rusland afspeelde wordt ook het westen hier steeds meer door bedreigd. Roel Schouwenberg, medewerker van Kaspersky Lab Benelux, benadrukt daarom nog maar eens het belang van goede backups die ook regelmatig worden gecontroleerd, het liefst op een ander systeem. Hij roept verder op niet te gaan betalen, maar contact op te nemen met een anti-virusbedrijf. De meeste zullen hun uiterste best doen het slachtoffer te helpen. Dit gebeurt vaak - uit het oogpunt van service - zonder kosten. Tot op heden is het nog steeds gelukt de bestanden zonder betaling terug te krijgen. Het lijkt echter een kwestie van tijd dat een virusschrijver wel een fatsoenlijke encryptieroutine schrijft die het voor anti-virusbedrijven onmogelijk maakt nog iets voor het slachtoffer te kunnen beteken.

Reacties (62)

Reactiefilter:-162059+146+211+33
Als je weet waar het geld blijft, dan kun je ook vervolgen.
Meestal hebben de grote jongens een rekening op nummer te (bijvoorbeeld op de Kaaiman-eilanden of Zwitserland). Einde oefening met vervolgen: door het bankgeheim van die landen kom je er nooit achter wie het zijn...
Ransomware in Redmond: Microsoft wordt afgeperst om alle Vista versies gratis te verstrekken :9 :Y)
Dan moet de dader toch wel een HEEL grote hekel aan deze wereld hebben... :+
En denk nu eens na over het volgende ;

"Windows is ransomware"

hier stond een slecht voorbeeld

Denk aan bugs, WGA, cracked versions, windows moet binnen X dagen geactiveerd worden, service packs, end of life, support subscribtions, this software needs windows 2000 or higher to run etc.

Je bent altijd in zekere mate afhankelijk van MS of welke andere softwareschrijver waar je je informatie aan toevertrouwd en nog legaal ook

misschien dat er toch nog een toekomst is voor free software?

aan redstorm; begrijp me niet verkeerd , dit is geen ms-flame, ik ben alleen soms wel bezorgd hierover
je bent in zekere mate afhankelijk van ze, en je moet uiteindelijk blijven betalen om het te kunnen blijven gebruiken
Ik zie windows nog geen losgeld vragen voor mijn documenten :?

Dat van die belastingdienst is gewoon een domme actie van de belastingdienst wat nooit had mogen gebeuren en wat niet had mogen gebeuren bij zo'n grote organisatie.
Dit lijkt me echt tekenend voor de criminalisering van het virusschrijven. Dat ze nu nog lame encrypties gebruiken is nog een geluk, maar dat zal inderdaad waarschijnlijk niet lang duren.

Alles wat je niet kwijt wilt dus goed backuppen blijft (nog steeds) het devies lijkt me. En alles wat je op een apparaat hebt staan wat niet via een netwerk toegankelijk is is (vooralsnog) niet hackbaar, hoewel je dan wel nog steeds moet opletten met wat voor disks je erin douwt natuurlijk. ;)
het is dan ook zo debiel makkelijk om dit soort misdaad te doen, met een lage pakkans.
Het scheelt dat een virus de documenten ook weer moet ontdoen van encryptie, danwel tijdens runtime of na betaling. Als het virus in runtime alles encrypt en decrypt zijn je backups niets waard, maar staat de decryptie sleutel in het geheugen.
Als het virus alleen maar encrypt en niet decrypt dan staat de decrypt sleutel niet in het geheugen, maar dan zijn je backups weer waardevol.
Meh, met de huidige dom-heid van computer gebruikers, kun je net zo goed het decrypten achterwege laten en wegrennen. Het is niet alsof je meer politie achter je aan krijgt, lijkt me. Scheelt weer programmeer werk.
Zoiets dacht ik ook!
Waarom denk je dat iemand die zoiets schrijft zo eerlijk is dat je mag decrypten nadat je betaald hebt?
Als hij zijn geld heeft gebeurt er niets meer en zit je nog vast!
Volgens mij is het wel een enorme hoeveelheid werk om zo'n virus te bouwen. Zo veel zelfs, dat men zich er misschien niet eens aan zal wagen, vooral omdat een antivirusbedrijf het toch altijd zal kunnen reverse-engineeren.
Maar als je hier miljoenenbedrijven mee kan chanteren, ben je met 1 betaling al "binnen." Stel dat je er maar 1 zo gestoord krijgt om te betalen voordat het virus onschadelijk wordt gemaakt: als je je aanval goed hebt gemikt kan dat makkelijk duizenden Euro's, dollar's, wat dan ook opleveren.
omdat een antivirusbedrijf het toch altijd zal kunnen reverse-engineeren
Wat heeft reverse engineeren nu te maken met ja data terugkrijgen? Stel je eens het volgende scenario voor:
- gebruiker krijgt op een of andere manier het virus binnen
- het virus communiceert met een serverprogramma (via IRC of zo)
- de server stuurt een paswoord op voor encryptie, dat vervolgens niet op de PC bewaard wordt (of toch niet meer zodra de boodschap verschijnt)
- het slachtoffer betaalt en geeft een unieke code mee als referentie aan de hand van die unieke code kan de maker het wachtwoord voor decryptie bezorgen. Het wachtwoord is echter niet afgeleid uit die code of omgekeerd, wat het kraken ervan zo goed als onmogelijk maakt.

Hierbij maakt het totaal niet uit of het virus gereverse-engineered wordt of niet... de maker kan zelfs de broncode verspreiden als ie wil... eens je data geencrypteerd zonder de sleutel nog op je PC te hebben ben je eraan voor de moeite.
Enkele tips:
-In Windows XP kan je gegevens coderen, ik vermoed dat die gegevens niet zomaar onbereikbaar gemaakt kunnen worden
-In Windows Vista Ultimate kan je met Bitlocker je belangrijke data op een andere drive zetten en hardwarematig vergrendelen
-Neem een backup op CD van je belangrijke data, dan kan het geen kwaad dat de gegevens onbereikbaar gemaakt zijn
-En vanzelfsprekend: Gebruik een goede virusscanner en maak zo vaak mogelijk updates.
-In Windows XP kan je gegevens coderen, ik vermoed dat die gegevens niet zomaar onbereikbaar gemaakt kunnen worden.
Met de windows XP encryptie worden de gegevens onbeschikbaar voor andere gebruikers. Het virus wat onder jouw account draait kan er gewoon bij en er doodleuk nog een encryptie over heen gooien. De encryptie van windows xp wordt namelijk afgehandeld door het filesystem en programma's merken daar niets van.
-In Windows Vista Ultimate kan je met Bitlocker je belangrijke data op een andere drive zetten en hardwarematig vergrendelen
Ja, maar wat, zoals in het hoofdartikel gezegd wordt, als het virus alles al geencrypt heeft en alles automatisch decrypt totdat er een bepaalde tijd is verstreken? Dan zijn je backups ook encrypted.
-Neem een backup op CD van je belangrijke data, dan kan het geen kwaad dat de gegevens onbereikbaar gemaakt zijn
Hier geld hetzelfde.
Zelf encrypten heeft geen enkele zin als de ransomware er nog een encryptie overheen gooit. De encryptiefeatures in Windows zorgen er alleen maar voor dat andere gebruikers niets met jouw bestanden kunnen, ook niet als ze toegangsrechten hebben. De ransomware draait onder jouw account en heeft met die encryptie dus niets te maken, aangezien die transparant is voor programma's.

Backups maken is alleen zaligmakend in deze context als je de backups daarna controleert op een onafhankelijke (oncompromitteerbare) machine. Dat zullen weinig gebruikers doen.

Er zijn wel afdoende oplossingen voor dit probleem (zoals alle schrijfrechten op bestanden onder te brengen op een speciaal account, dat alleen uitgezochte programma's mag draaien) maar die gaan erg ver en zijn voor de gewone gebruiker niet te doen. Dit soort problemen zijn alleen structureel aan te pakken als je er in het begin al rekening mee houdt.
Ja, goed om erover na te denken.

- Gegevens door XP gecodeerd laten opslaan zal waarschijnlijk niet helpen. Een trojan zal eenvoudig de gecodeerde bestanden openen, XP zal ze op dat moment gedecodeerd aanbieden, waarna de trojan zijn encoding klus doet en het bestand weer aan XP teruggeeft. XP encodeert dit dan nogmaals alvorens het op te slaan. Alleen met behulp van de trojan zul je weer een volledig ongecodeerd bestand terugkrijgen.

- Bitlocker kan helpen als daardoor de trojan geen toegang kan krijgen tot de bestanden. Er is overigens weinig hardwarematigs aan vergrendeling die door software wordt bestuurd. Ik weet niet of de gebruiker een aparte toestemming moet geven om een andere drive weer aan te koppelen of dat dat automatisch gebeurt bij het aanmelden in Windows. Alleen als het handmatig moet, los van het aanmelden bij Windows biedt het bescherming. Maar zogauw als je de drive een keer koppelt dan kan de trojan toeslaan.

- backup op CD, en dan zelfs bij voorkeur op een CD-R (niet herschrijfbaar) is een heel veilige actie, die alleen door een apparaat die de data in graniet beitelt kan worden overtroffen.
-In Windows XP kan je gegevens coderen, ik vermoed dat die gegevens niet zomaar onbereikbaar gemaakt kunnen worden
Ook de bestanden die gecodeerd zijn (met bijv. Win XP) kun je nog eens coderen. Gecodeerde data blijft data (bestanden).

Verder blijft het dan zaak die oude backup-CD's ook te bewaren en/of later te testen op een schoon systeem gezien de mogelijk 'on the fly' decryptie periode.
Nog even en internet wordt zo onbetrouwbaar en gevaarlijk als medium dat de digitalisatie van de samenleving tot een halt komt.

DigiD bijv. wordt steeds belangrijker omdat je er steeds meer mee kan en dus zijn de mogelijke catastrophes ook groter als iemand daar misbruik van weet te maken.
Je ziet inderdaad bij banken bijvoorbeeld al dat je voor je wachtwoord ook een hale briefwisseling nodig hebt. Alles om het maar zo veilig mogelijk te houden. Maar vergis je niet; ook dat is "hackbaar" alleen dan niet op een digitale manier.
Mijn vrouw wilde laatst dat ik haar Singaporese credit-card checkte toen ik eerder dan haar terugkeerde van vakantie (wij moesten in Malaysie een hotel boeken in een internet-cafť - vandaar onze bezorgdheid)...

Nu blijkt dat niet alleen kaart en PIN nodig zijn om in te loggen, daarna wil dat systeem ook nog's een sessie-PIN die gestuurd is via SMS!

Wel veilig... alleen jammer voor ons dat ze dat Singaporese mobieltje al een jaar geleden opgezegd heeft. (Fingers crossed wat betreft credit-card, dus...)
@Teigetje
"comes to a halt" hoezo anglicisme?
De nederlandse vertaling hiervan luidt:"tot staan komen".
Post dan op engelstalige sites...
Dus je moet betalen om je gegevens weer te kunnen gebruiken? Staat er dan naar welk bankrekeningnummer het bedrag moet worden gestort, en dan is de dader meteen opgespoord.
Nee hoor, een zwitsers rekeningnummer en de crimineel is al niet op te sporen. Zo zijn er nog genoeg andere constructies te bedenken.
Vraag me af of dit echt veel slachtoffers gaat eisen. Bij die online betaalsites (paypal e.d.) worden alle acties en transacties tot in den treure gelogd, dus het lijkt me eenvoudig te achterhalen waar het geld heen gaat...

Dit soort berichtjes zijn eerder leuke reclame voor de anti-virusbedrijven om de mensen bang te maken. (als ik suggereer dat ze dit soort berichten zelf de wereld in zouden kunnen brengen zal ik wel als -10 paranoia worden beoordeeld :X).
Wire het geld een aantal keren door via allerlei vage banklanden en justitie kan ook niet ťťn twee drie dat geld (en dus de eigenaar) achterhalen.... Denk maar bijvoorbeeld aan het strikte bankgeheim van Zwitserland dat tot niet zo heel lang geleden prima werkte.

Dus geld laten storten op de kaaimaneilanden, via cuba nog even langs BosniŽ en voila, het kost je jaren voordat je een spoortje te pakken hebt. Stel dat ze §10.000,- eisen, dan denk ik niet dat een bedrijf dit gaat proberen terug te halen, dat kost meer dan dat het oplevert. En de criminelen hebben toch iets van §5000,- winst (ik reken even een redelijke bankcommissie voor 3 van die hops).
En de eigenaren van die online portomonnee's zijn ook niet te achterhalen? Hallo justitie :P
Een groot probleem hierbij is internationaal recht. Veel van die dingen worden gedaan vanaf een of ander adres in bijvoorbeeld Zimbabwe of Nigeria, waar heel andere wetten gelden. Het enige wat men hoeft te doen is een land zoeken waar de wetten voldoende achterlopen op de huidige stand van zaken op internet en geen uitleveringsverdrag heeft met Nederland.

OK, uiteindelijk zit het natuurlijk wel *net* iets ingewikkelder in elkaar, maar dan nog: het ontbreken van een internationale rechtspraak in zaken met betrekking tot het internet is een grote storende factor voor het aanpakken van dit soort dingen. Voor de duidelijkheid: ik pleit niet voor of tegen, ik signaleer alleen...

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Privacy Sony Microsoft Apple Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013