Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties, 16.313 views •
Bron: Viruslist

Na de aankondiging dat ransomware de nieuwe virustrend voor 2007 zou worden, bleef het enige tijd betrekkelijk stil op dit gebied. Kaspersky kondigt nu echter aan dat een nieuwe bestandskaper opgedoken is.

Opvallend is dat de nieuwe malware de eerste ransomtool is die afkomstig is van een 'bank trojan'-bende. Het programma claimt heel wat documenten en foto's met een RSA-4096-encryptiealgoritme versleuteld te hebben. Gebruikers die hun gegijzelde bestanden nog terug willen krijgen, moeten volgens de tool driehonderd dollar betalen voor een ontcijfertool - al is een herstelprogramma inmiddels beschikbaar via antivirustools. Analyse van de malware toonde daarentegen aan dat er van RSA-encryptie geen sprake is. Bovendien zou de ransomware slechts actief zijn van tien tot en met vijftien juli 2007, al is niet helemaal duidelijk wat de achterliggende gedachte is van deze beperkte levensduur. Het opduiken van dit nieuwe stukje ransomware lijkt er echter op te wijzen dat er een nieuwe golf van digitale kidnappers verwacht mag worden. Het belang van het up-to-date houden van antivirusdefinities wordt door vendors dan ook extra benadrukt. Bovendien is het geen overbodige luxe recente backups van belangrijke bestanden beschikbaar te hebben. Zaak is deze backups ook gescheiden van de pc te bewaren om niet het risico te lopen dat ook de reservekopieën gegijzeld worden.

Update 10.56u: Inmiddels is een gratis decryptieroutine online gezet.

Ransomware-detectie

Reacties (44)

Reactiefilter:-144040+117+213+30
Wow, da's bizar!

Maargoed, wil dit dus zeggen dat ze elk willekeurig stukje software/document van je computer kunnen gijzelen? Best lastig, zeker als ze wat bestanden van je netwerk pakken. Mag men eindelijk weer eens met floppies gaan spelen...
Iemand een link naar de herstel programma ?
Wel naar het herstel programma
Je moet ze nageven dat ze best wel inventief zijn eigenlijk...
De eerste misschien, de rest zijn gewoon ordinaire na-apers.
}> Beter (zeer) goed gejat dan slecht bedacht zeggen ze toch altijd?
Deze lijkt me niet om veel geld an te verdienen, maar om te laten zien wat er mogelijk is
ja dat lijkt me inderdaad ook. even spierballen rollen.... vooral omdat het virus na 5 dagen ermee ophoudt...
Dat snap ik niet.. want ransomware bestaat al een aantal jaar.
Totdat er zoveel linux gebruikers zijn, dat ransomware makers zich daarop gaan concentreren ;)
en erachter komen dat het minder makkelijk te exploiten is ;)
Een virus komt in bijna alle gevallen binnen door een gebruiker die zelf toegang geeft.
Ik heb al jaren geen virusscanner en ook al jaren geen virus gehad, omdat ik zeker weet wat ik open en installeer.
Als je een virus op Linux zelf toegang geeft ben je ook de pineut hoor.
minder makkelijk is nog steeds niet onmogelijk, in de sandboxes onder linux zitten heus ook nog wel fouten, - 'je moet ze alleen wel wetten te vinden'

zoeken ernaar doe je enkel niet, voor die 5 linux begruikers, als je met de zelfde inspanning ook in plaats daarvan juist de andere (95) morons had kunne pakken...

(note: morons in deze als zijnde die debielen die hun pc niet updaten)
En weten te vinden is in een OS-OS toch net even makkelijker omdat je de broncode er bij kan halen,

toegegeven het is dan ook weer sneller gefixed, en wordt door meer mensen naar gekeken.
Heh, gaan we weer: gebruiker komt aan een programma, start het programma (dat kan tegenwoordig ook op Linux zonder dat je eerst Emacs moet leren, toch?), en het programma versleuteld vervolgens alle bestanden van gebruiker.

Hoe wil je dat tegenhouden? Precies, niet.

Als Windows gebruikers al zelf zipjes via email gaan uitpakken met bijgeleverde password en vervolgens het programmaatje zelf draaien, dan is daar bitter weinig aan te doen.
met dit verschil.. In linux kan een gebruiker niet bij de rest va het systeem komen, en niemand is zo stom als root standaard te draaien..

Uiterraad zou dit ook gelden voor windows, ware het niet dat de mensen daar zo vaak de vraag krijgen om door te gaan dat de meeste dit zonder nadenken doen. Sterker je kunt als je helemaal secure bezig wil zijn je gebruikers in een root-jail leggen. Ook hier is uit te komen het is alleen stukken moeilijker

Ja een gemiddelde linux gebuiker heeft bakken meer kennis dan een windows gebruiker, maar iedere windows gebruiker is te leren dat als er plots de vraag verschijnt voor het root-wachtwoord dat ze toch even moeten kijken waarom
In linux kan een gebruiker niet bij de rest va het systeem komen, en niemand is zo stom als root standaard te draaien..
Een OS kan je op een namiddag terug installeren, dus dat is het grote probleem niet. Het zijn vooral de documenten, foto's, muziek... van de gebruiker en daar kunnen die programma's bij, los van het OS, en dat is meteen ook het geen wat je het minst hard kwijt wil.
Ach, de eerste rootkit die ik ooit tegenkwam, was onder Linux (alweer best lang geleden). En voor je in de gaten hebt dat er een rootkit draait, ben je zomaar een hele tijd verder, tenzij je overal checksums over draait en die regelmatig controleert. En als een hacker een rootkit weet te installeren, dan is ransomware echt piece of cake.
offtopic:
Of een overstap naar Mac OS X O+
Ik heb nu met Windows, Linux, FreeBSD en Mac OS X gewerkt. En ik moet eerlijk zeggen, elk OS heeft zo zijn voor- en nadelen.

Met Windows Vista heb ik minder ervaring. Maar ik mag toch aannemen dat ze daarin veel verbeterd hebben qua security? Dat dit niet 'zomaar' zonder een melding kan gebeuren?
bij heel veel dingen die je onder Vista doet komt er een scherm met daarin de vraag of je wel door wil gaan. De gemiddelde gebruiker is al heel snel geneigd om op Ja te klikken. Dus als er een popup vanaf het internet komt (of een ActiveX melding) zijn het vaak deze gebruikers die weer op Ja klikken... (of Doorgaan)
Als je UAC aan laat staan zal je waarschijnlijk wel enkele meldingen krijgen, waarvan de helft aankondigingen dat je iets gaat moeten bevestigen :)

Meer on-topic : als je backups maakt zullen die in elk geval ver genoeg terug moeten gaan : vorige keer dat ik hier iets over las (is ook alweer even geleden) was het zo dat je bestanden een tijdlang (dagen, weken, maanden, afhankelijk van de ransomware) on-the-fly geencrypteerd en gedecrypteerd werden, zodat je niet direct merkte dat er iets misging.
Als al je backups ook geencrypteerd zijn, ja, dan heb je problemen natuurlijk ...
Hmm, onze voorspelling van ransomware komt niet direct uit.
Ah well, laten we er dan zelf maar eentje de wereld insturen en vervolgens de decryptieroutine online zetten. Everybody will love us...
Als ik het goed begrijp werkt het virus dus maar 5 dagen? Na die periode zijn je bestanden weer ontsleuteld en bruikbaar? Of stopt het virus dan met actief te zijn (bestanden te versleutelen) maar zijn de reeds versleutelde bestanden nog steeds niet bereikbaar?

E.a.a. klinkt nogal dubieus inderdaad, met de komst van Vista denk ik dat steeds minder mensen een virusscanner op hun PC zetten aangezien deze een stuk veiliger is/lijkt. De makers van virusscanners willen hun werk ook graag houden natuurlijk en daar hebben ze misschien dit soort praktijken voor over.
Je zal toch met creditcard ofzo moeten betalen. Dan zijn de makers toch zo op te sporen?

Het zou mij niet verbasen als hier een aantal antivirus bedrijven achter zitten om hun eigen product te kunnen promoten / in de stoplight te kunnen zetten bij klanten.
als de betaling naar een account in Zwitserland of de Kaaiman-eilanden gaat, kun je fluiten naar je geld vanwege het bankgeheim wat daar geldt...

Edit: daarnaast zijn die jongens ook niet gek: ze houden een termijn aan van 5 dagen. Na een week trekken ze de bankrekening leeg en verdwijnen. Er zijn maar weinig overheidsinstanties in staat om binnen een week de opsporing zo ver te laten komen dat ze ook daadwerkelijk bij iemand binnen kunnen vallen. Zeker niet als het gaat om cybercrime waarbij mensen om zulke (relatief) lage bedragen worden afgeperst: dat heeft nou eenmaal een lagere prioriteit dan bijvoorbeeld geweldsdelicten...

[Reactie gewijzigd door Pietervs op 19 juli 2007 11:48]

In Zwitserland is allang al geen bankgeheim meer. Dat was vroeger inderdaad wel zo.
Klinkt als gevaarlijk stukje software. Stel je voor dat zo een stukje een hele schijf of set van schijven (bv. bootpartitie met je data-partitie) kan encrypten met een sterke sleutel dan is het (haast) onmogelijk om de eenmaal ge-encrypte data terug te halen. Je OS kan niet geboot worden en je kunt niet bij data. Staan er onvervangbare bestanden op dan ben je wel genoodzaakt te betalen.
tegen de tijd dat je pc al 15minuten bezig is met data versleutelen, en jij een paar meldingen krijgt: "File is being used, or write protected" oid.......
Het is alleen geschikt voor niet veel gebruikte bestanden, als plaatjes, mp3tjes, word bestanden etc.
OS en drivers ofzo zijn niet zo makkelijk aan te raken op elke pc.

Ik vind dit beetje rare trend, als een programma geinstalleerd is dat encrypt, dan kun je met wat moeite ook gewoon weer decrypten. Vooral als je weet wat het orginele bestand was.
één foto backuppen, of één .doc document is dus al genoeg om heel snel de juiste key te vinden.
Neemt niet weg dat het erg onbeschoft is.
Als je programma zich kan nestelen in/naast de kernel, en bij een aanroep van een encrypte file het bestand 'tijdelijk' ontsleuteld dan zal het OS daar geen last van hebben. Als het programma geladen kan worden voordat de kernel geladen kan worden, kan het de kernel encrypten en zich daarna verwijderen. Kortom dan ben je de sleutel kwijt.

Een andere methode zou zijn maak een copy van het journaling file system, verwijs het OS naar het kopie. Versleutel het originele journaling system en eenmaal versleutelt, maak een leuke bootloader en verwijder het kopie van je JFS. Door alleen het JFS te versleutelen zal, het een programma in de orde van een paar seconden het werk kunnen doen verrichten ipv van een half uur.
Ik vind dit beetje rare trend, als een programma geinstalleerd is dat encrypt, dan kun je met wat moeite ook gewoon weer decrypten. Vooral als je weet wat het orginele bestand was.
Dat is dus gewoon niet waar. RSA encryptie werkt met twee sleutels. Met de ene sleutel kun je data decrypten dat met de andere geencrypt is. Meestal is een van de twee sleutels publiek (dus voor iedereen beschikbaar) en de andere is privé (alleen de eigenaar kent die sleutel).

Als Alice data naar Bob wilt sturen die alleen hij mag lezen, dan doet ze dat middels de publieke sleutel van Bob. Omdat alleen Bob z'n eigen privé sleutel weet, is hij de enige die de data kan ontcijferen. Authenticatie kan er ook mee: als Alice zeker wilt zijn dat Bob weet dat de data van háár afkomstig is, en niet van iemand anders, dan encrypt ze het met haar eigen privé sleutel. Omdat Bob alleen zinnige data terugkrijgt met de publieke sleutel van Alice, weet hij zeker dat Alice de enige kan zijn die de data versleuteld heeft.

Een dergelijke sleutel mapt x bits op x andere bits. Wat jij suggereert is dat je de privé sleutel van iedereen kunt achterhalen als je hun publieke sleutel weet, wat haaks staat op het ontwerp van het encryptie-algoritme. Je kan immers een bestand met zijn publieke sleutel encrypten, en dan heb je zowel het origineel als de versleutelde data. Natuurlijk kun je de sleutel in principe ook wel ontcijferen, maar vrijwel alleen met hele kleine sleutels. Als de sleutel maar 8 bits is, dan zijn er maar 28 (256) verschillende mappings van 8 bits reeksen mogelijk. Door 28 verschillende 8-bits reeksen (maw een bestandje van 256 bytes) te versleutelen, kun je de mapping ontcijferen. Echter, doorgaans zijn de sleutels 256 bits en meer, en hier in het artikel spreken ze zelfs van 4096 bits (wat overigens niet echt blijkt te zijn, maar dat terzijde). Dan heb je dus 24096 verschillende 4096-bits reeksen aan data nodig om de mapping te bepalen (oftewel, 24108 bits of 24105 bytes - ter vergelijking, een terabyte aan data is slechts 240 bytes). Een simpel bestandje waarvan je het origineel nog hebt gaat je dus never nooit hiet helpen bij het ontcijferen van de decryptie-sleutel.

[Reactie gewijzigd door .oisyn op 19 juli 2007 13:08]

Waarna je je bestanden alsnog niet terugkrijgt, mits je nog meer betaalt enz enz enz en zo ben je zo 3000 euro verder ;)
Als ze beet hebben, doen ze het ook goed :(
Denk je dat ze uberhaupt zo coulant zijn jou de files terug te geven?
Ja. Om de simpele reden dat ze dan nog meer mensen geld af kunnen persen.

Want zodra bekend wordt dat je na betaling alsnog je bestanden niet terug krijgt, zal niemand meer zo gek zijn om ze te betalen.
En van wie gaat de gemiddelde gebruiker binnen die vijf dagen horen dat betalen zin heeft.
Er zijn er genoeg die het proberen ookal geef je ze geen sleutel, er bestaat zelfs nog de kans dat iemand het in paniek nog een keer probeerd door weer te betalen. 8)7

Jij hebt wel een heel bijzonder goede indruk van de communicatie tussen mensen die opgelicht worden.
Raar eigenlijk dat er nog oplichters bestaan he ;)
Wat heeft het voor nut om de PC onbootable te maken? Ze willen alleen dat je niet bij je bestanden kan, je moet nog wel kunnen booten, anders kan je toch niet aan de gegevens voor de betaling komen?

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBLG

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True