Antivirusbedrijf vraagt hulp bij kraken ransomware-encryptie
Antivirusbedrijf Kaspersky roept de hulp in van cryptografen, overheidsinstanties en wetenschappers om een 1024bit-rsa-sleutel te kraken. De sleutel is nodig om de encryptie ongedaan te maken waarmee een nieuw virus bestanden 'gijzelt'.
Kaspersky ontdekte vorige week een nieuwe variant van het oude virus Gpcode, dat onder andere doc-, txt-, pdf-, xls- en jpg-bestanden versleutelt via RSA-encryptie. Het antivirusbedrijf claimt meerdere meldingen te hebben ontvangen van computergebruikers die te maken kregen met deze vorm van ransomware. Zij konden de betreffende bestanden op hun systeem niet meer benaderen en kregen een melding waarin stond dat tegen vergoeding van een bepaald bedrag een 'decryptietool' opgestuurd zou worden die de encryptie ongedaan maakt.
Een aantal jaar geleden lukte het beveiligingsexperts om Gpcode onschadelijk te maken omdat de virusschrijver het encryptie-algoritme niet goed had geïmplementeerd. De sleutel mag echter niet langer zijn dan 660 bits, wil de kraak slagen. De nieuwe generatie van het Gpcode-virus maakt echter gebruik van private sleutels van 1024bit en de schrijver lijkt geleerd te hebben van zijn fouten. "We schatten dat 15 miljoen computers een jaar moeten rekenen om de sleutel te kraken", aldus Aleks Gostev van Kaspersky. Hij roept antimalwarebedrijven, overheden, cryptografen en academici op om te helpen de sleutel te kraken. Kaspersky heeft de publieke sleutel gepubliceerd en een forum opgezet waar internetters ideeën kunnen plaatsen hoe Gpcode aangevallen kan worden.
Reacties (156)
Ik zie een mooie kans voor een nieuwe DPC stampede.
Dat dacht ik ook net. Maar aangezien er 15 milioen computers nodig zijn om de sleutel binnen het jaar te kraken ... 
Tegen die tijd zou ik al lang een clean install gedaan hebben
.
edit@iedereen hieronder
Ik zou mijn waardevolle bestanden terughebben aangezien ik een backup heb.
Maar stel dat ik die niet had.. Ik zou heus niet wachten tot de code gekraakt is hoor! Het zou jammer zijn voor mijn bestanden maarja.. Wat doe je er aan..
Tegen die tijd zou ik al lang een clean install gedaan hebben
.edit@iedereen hieronder
Ik zou mijn waardevolle bestanden terughebben aangezien ik een backup heb.
Maar stel dat ik die niet had.. Ik zou heus niet wachten tot de code gekraakt is hoor! Het zou jammer zijn voor mijn bestanden maarja.. Wat doe je er aan..
[Reactie gewijzigd door Henridv op maandag 9 juni 2008 15:21]
Helaas krijg je met een clean install je files niet unencrypted terug..
Als je een backup hebt van minstens 1 van die bestanden hebt hoeft dat ook niet.
Als je het originele bestand hebt kun je toch die sleutel achterhalen of ben ik nu zo achterlijk.
Als je het originele bestand hebt kun je toch die sleutel achterhalen of ben ik nu zo achterlijk.
Als je het zo stelt ben ik bang dat het laatste van toepassing is.Als je het originele bestand hebt kun je toch die sleutel achterhalen of ben ik nu zo achterlijk.
Het ligt inderdaad iets ingewikkelder dan dat.
Het probleem is dat al je bestanden ge-encrypt worden door een, tot op heden, onkraakbaar algoritme met een, naar alle waarschijnlijkheid random, sleutel.
Als je data ge-encrypt is krijg je het sowieso nooit meer terug, hoeveel geld je ook overmaakt. Want de sleutel heeft niemand geloof mij maar!
Je virus-scanner zal het programma wat de actie uitvoert er ook niet 1,2,3 uithalen aangezien het simpel programma betreft wat enkel een file leest en schrijft. Hooguit worden de bekende versies geblokkeerd maar elk scriptkiddie kan binnen een uurtje een eigen versie maken.
Waar ik als enige heil in zie is de hele encryptietechnologie blokkeren. Dus gewoon alles wat van RSA gebruik maakt blokkeren, maarja hoe gaan we de dingen die we wel echt willen encrypten dan encrypten
Ik denk dat we eventjes een probleem hebben
Het probleem is dat al je bestanden ge-encrypt worden door een, tot op heden, onkraakbaar algoritme met een, naar alle waarschijnlijkheid random, sleutel.
Als je data ge-encrypt is krijg je het sowieso nooit meer terug, hoeveel geld je ook overmaakt. Want de sleutel heeft niemand geloof mij maar!
Je virus-scanner zal het programma wat de actie uitvoert er ook niet 1,2,3 uithalen aangezien het simpel programma betreft wat enkel een file leest en schrijft. Hooguit worden de bekende versies geblokkeerd maar elk scriptkiddie kan binnen een uurtje een eigen versie maken.
Waar ik als enige heil in zie is de hele encryptietechnologie blokkeren. Dus gewoon alles wat van RSA gebruik maakt blokkeren, maarja hoe gaan we de dingen die we wel echt willen encrypten dan encrypten
Ik denk dat we eventjes een probleem hebben
Is het mogelijk om RSA-encryptie te blokkeren?
Ik heb helemaal geen behoefte om bestanden te encrypteren...
Ik heb helemaal geen behoefte om bestanden te encrypteren...
Lijkt me makkelijker om het hele virus te blokkeren, dan. Of gewoon alle virussen.
Nee, je kunt dus niet willekeurig code blokkeren.
Nee, je kunt dus niet willekeurig code blokkeren.
Theoretisch zou je schrijfacties die te veel random zijn kunnen blokkeren. Maar dat kost weer extra CPU tijd.
"Als je een backup hebt "...
als, ja dan..
Maar daarmee kun je nog steeds de voor de decryptie benodigde sleutel niet achterhalen. Enkel de sleutel die voor de encryptie gebruikt is, maar die staat ook gewoon in het virus, dat is het probleem niet.
als, ja dan..
Maar daarmee kun je nog steeds de voor de decryptie benodigde sleutel niet achterhalen. Enkel de sleutel die voor de encryptie gebruikt is, maar die staat ook gewoon in het virus, dat is het probleem niet.
En jij hebt daarmee je waardevolle bestanden terug?
Als de bestanden waardevol waren was je ze in eerste instantie niet kwijt geraakt.
Dan had je ze idd wel gebackupped
Er is een verschil tussen 'niet op waarde schatten' en 'niet waardevol zijn'. Soms besef je pas hoe waardevol iets is als het er niet meer is.
Jaja... als ze ècht hééél waardevol waren, was je pc nooit geïnfecteerd geraakt. 
Wat denk je zelf wat de rede is geweest dat de maker van dit stukje software met een nieuwe versie is gekomen...?
Wat denk je zelf wat de rede is geweest dat de maker van dit stukje software met een nieuwe versie is gekomen...?
Om alle sleutels te kraken? Ik weet niet hoe hij encrypt, maar je zou toch éénmalig kunnen betalen(tja mag eigenlijk niet) en daarna die code gebruiken om de rest de decrypten.
Verder is de gemiddelde tijd dat je de code kraag maar de helft(het kan zelfs de eerste zijn). Ik ben geen expert op dit gebied maar als ik dat wel zou zijn zou ik zeker proberen mee te helpen waar nodig.
Verder is de gemiddelde tijd dat je de code kraag maar de helft(het kan zelfs de eerste zijn). Ik ben geen expert op dit gebied maar als ik dat wel zou zijn zou ik zeker proberen mee te helpen waar nodig.
In de meeste gevallen krijg je die sleutel ook helemaal niet als je betaalt.
niets houdt hem tegen om ondertussen na het toesturen van de private key je pc opnieuw te infecten met een andere publieke key.
En als wij 15 miljoen jaar computertijd doneren waarna de sleutel boven water komt is het probleem toch weer hetzelfde? Hij gaat een tien minuten achter zijn toetsenbord zitten en genereert 1 nieuwe key... van 2048 bits... en dan? 999 biljoen jaar computertijd investeren lijkt me niet haalbaar (in praktijk nog veel meer, maar even voor het idee), dus ik denk dat het een verloren gevecht is.
Computers opnieuw installeren om problemen met rootkits uit te sluiten en goed beveiligen. Gewoon maar opnieuw genereren die data, dus brieven opnieuw uittypen, hiscores opnieuw halen en ontwerpen opnieuw tekenen. En dan wel backups maken natuurlijk, niet leuk, wel leerzaam.
Computers opnieuw installeren om problemen met rootkits uit te sluiten en goed beveiligen. Gewoon maar opnieuw genereren die data, dus brieven opnieuw uittypen, hiscores opnieuw halen en ontwerpen opnieuw tekenen. En dan wel backups maken natuurlijk, niet leuk, wel leerzaam.
15 miljoen computers doen er 1 jaar over...
De bestanden op elke computer zijn geëncrypteerd met telkens andere keys. Het is dan ook niet de bedoeling om de keys te brute-forcen en zo mensen te helpen hun bestanden terug te winnen, maar om fouter te vinden in het encryptiealgoritme dat de virusschrijver gebruikt heeft. Een kleine fout volstaat om een willekeurige key in een veel snellere tijd te kraken, wat de mensen dan zelf zullen kunnen doen.
als de virusmaker zijn code statisch heeft gelinked met bijvoorbeeld GnuPG library dan zullen daar niet veel fouten inzitten... Hij zou dan volgens de LGPL wel de code moeten vrijgeven, maar dat zal hem worst wezen :-)
Met een beetje "geluk" gebruikt hij de oude debian openssl sleutels :-) nieuws: Random number generator van Debian-openssl blijkt al jaren voorspelbaar
Met een beetje "geluk" gebruikt hij de oude debian openssl sleutels :-) nieuws: Random number generator van Debian-openssl blijkt al jaren voorspelbaar
Misschien dan dat de vertaling hier fout is, maar het artikel vraag wel degelijk om het kraken van een key, niet het kraken van het algoritme. en het is ook de key die gepubliceerd zou zijn, niet het gebruikte algoritme.
@ Roland
heb je enig idee hoe deze encryptie werkt?
Het gaat hier om encryptie die bestaat uit 2 keys, een public en een private key. De public key (die gepubliceerd is) is publiek beschikbaar maar enkel met die key kun je niets decrypten omdat je voor het decrypten ook de private key nodig hebt. En dat is dus de key die gekraakt moet worden. Als het algoritme een fout bevat is het vinden van de key veel sneller gedaan (minder mogelijkheden).
heb je enig idee hoe deze encryptie werkt?
Het gaat hier om encryptie die bestaat uit 2 keys, een public en een private key. De public key (die gepubliceerd is) is publiek beschikbaar maar enkel met die key kun je niets decrypten omdat je voor het decrypten ook de private key nodig hebt. En dat is dus de key die gekraakt moet worden. Als het algoritme een fout bevat is het vinden van de key veel sneller gedaan (minder mogelijkheden).
Dit soort virussen is meestal heel slim. Het is niet direct duidelijk dat je het hebt, ondertussen sluipt het wel mooi in je backups. Na een x tijd zet hij dan de boel ineens op slot, zodat je backup ook geëncrypt is.
Kan je ons uitleggen hoe dit virus een backup die op een write-once medium (dvd-r) geschreven is op slot kan zetten? Of een backup op tape? Of een backup naar een netwerklocatie die standaard niet beschikbaar is?
Volgens mij bedoelt hij dat het virus bestanden begint de encrypten zonder dat je het in de gaten hebt. Stel dat het virus een maand op je pc staat, en bestanden encrypt die je in die maand niet gebruikt. Als je met je backups maximaal een maand terug kunt in de tijd (full backup), en het virus zich net buiten die periode activeert, heb je dus een backup van een boel geencrypte bestanden.
Een niet ondenkbaar scenario, tenzij het virus echt random bestanden encrypt (dan merk je het snel zat).
Een niet ondenkbaar scenario, tenzij het virus echt random bestanden encrypt (dan merk je het snel zat).
@ B-man
maar als dat gebeurd, moet hij de bestanden ook weer live devrypten, zodat je ze nog kan gebruiken, daarvoor is dus de decryptielsleutel nodig, die dan in het programma aanwezig moet zijn..
maar als dat gebeurd, moet hij de bestanden ook weer live devrypten, zodat je ze nog kan gebruiken, daarvoor is dus de decryptielsleutel nodig, die dan in het programma aanwezig moet zijn..
Dat kan, maar als je die backups aankoppelt (desnoods als alleen lezen) op een computer die het virus niet heeft zal er ook niets met die bestanden gebeuren. Misschien dat je een Word document nog met een macro zou kunnen uitrusten die het document encrypt, maar dat is hoe vergezocht ook het enige (systeemtijd terugzetten, netwerkkabel eruit en de macro heeft alsnog niets door, of je schoont het document gewoon van macro's, kan ook nog) . In de praktijk niets aan de hand dus, alleen je backup schijven (als het al een normale kopie betreft) niet aan de besmette machine hangen.
Het enige dat dan nog zou kunnen is dat het virus zich in de machine nestelt en automatisch encrypt/decrypt zodat het al die tijd al versleuteld op de harddisk staat. In dat geval niet zelf te zien, maar direct op te merken als je een document ergens heen kopieert en het vanaf een andere plek probeert te openen. Of de ontvanger kan er niets mee en slaat alarm, of je hebt zojuist een backup gemaakt
Het enige dat dan nog zou kunnen is dat het virus zich in de machine nestelt en automatisch encrypt/decrypt zodat het al die tijd al versleuteld op de harddisk staat. In dat geval niet zelf te zien, maar direct op te merken als je een document ergens heen kopieert en het vanaf een andere plek probeert te openen. Of de ontvanger kan er niets mee en slaat alarm, of je hebt zojuist een backup gemaakt
[Reactie gewijzigd door Bas van der Doorn op maandag 9 juni 2008 17:01]
Dan kan je die bestand dus niet lezen. Het gaat erom dat het virus enige tijd op je pc kan staan, al je bestanden die je maakt / bewerkt / backupt naar cd dvd netwerk locatie wat dan ook encrypt en zonder dat jij het ziet op de achtergrond decrypt als jij het bestand wilt lezen. Ook backups die op DVD staan. Dan opeens verloopt er een timer en stopt het virus met op de achtergrond decrypten. Zie dan maar eens een backup terug te zetten. Die zijn ook encrypt. Als je die DVD met backups op andere pc probeert te lezen zal je een reeks onleesbare bestanden zien.Dat kan, maar als je die backups aankoppelt (desnoods als alleen lezen) op een computer die het virus niet heeft zal er ook niets met die bestanden gebeuren.
Betalen Dan heb je ze terug. 
Al dan niet wat eurootjes lichter.
Iemand een idee hoeveel de dader van de versleutelingsactie vraagt? Als ie nog geen 10 euro vraagt, dan is ie slim. Als ie 1000 euro vraagt, dan kan ie het natuurlijk wel vergeten. En wie zegt dat zijn decryptie tool werkt? Stel dat ie ineens andere documenten met een andere encryptie versleutelt, dan ben je nog verder van huis.
Dan heb je ze terug. Al dan niet wat eurootjes lichter. Iemand een idee hoeveel de dader van de versleutelingsactie vraagt? Als ie nog geen 10 euro vraagt, dan is ie slim. Als ie 1000 euro vraagt, dan kan ie het natuurlijk wel vergeten. En wie zegt dat zijn decryptie tool werkt? Stel dat ie ineens andere documenten met een andere encryptie versleutelt, dan ben je nog verder van huis.
Hoezo is 10 euro vragen slimmer? ¤ 10 traceren zal toch niet veel meer moeite kosten dan ¤1000 traceren?
Ontvanger oppakken, hij zal de private key toch ergens opgeslagen moeten hebben.
Ontvanger oppakken, hij zal de private key toch ergens opgeslagen moeten hebben.
Ben ik de enige die de link legt met http://core.tweakers.net/...reekt-petaflopsgrens.html???
Het zou denk ik wel ietsje kosten om dat ding te mogen gebruiken, maar als er geen uitweg is kan dat apparaat idd handig worden gebruikt om het probleem op te lossen.
Je zou het uit moreel oogpunt kunnen doen de VS is tohc in strijd met terorisme, dit is computerterorisme, en daar mag je niet aan toegeven. Wanneer deze jongen meehelpt zal dat zeker aanzienlijk in tijd helpen.
Of ze doen het gewoon niet, net als ieder ander persoon die even nadenkt. 1 jaar rekenen om zo'n key te kraken? Over een jaar komt ie met versie nogwat.1 die hetzelfde werkt, maar dan met een 2048 bits key. Weg moeite. Daar gaat toch niemand z'n cpu-tijd aan verspillen?
of die wordt toegevoegd aan folding@home met de PS3, dan schiet het misschien wat harder op...
of gewoon aan folding@home met de kracht van de grafische kaart in pc's?
dat is NOG sneller ^^
dat is NOG sneller ^^
Eenmaal dat deze gekraakt is, kan de schrijver van dit virus dan niet gewoon een andere encriptiekey nemen?
En meteen een sleutel van 2048 bits nemen zodat de kraaktijd weer met een aantal ziljard jaren verlengd wordt.
Ja, dat schoot me ook te binnen maar je was met net voor.
Volgens mij kan een enkele PC meer varianten van het virus per dag aanmaken, dan dat "het brein" van Kaspersky ook maar 1% dichter bij de oplossing is gekomen van de huidige vorm van het virus.
Volgens mij kan een enkele PC meer varianten van het virus per dag aanmaken, dan dat "het brein" van Kaspersky ook maar 1% dichter bij de oplossing is gekomen van de huidige vorm van het virus.
Het gaat er meer om dat ze dan iig een platform hebben om in de toekomst zo'n zelfde soort virussen ook het hoofd te kunnen bieden.
In wat voor periode van tijd? Kun je dan niet gewoon beter altijd al je documentjes backuppen op meerdere veilige locaties?
Uiteraard, maar ik denk dat Kaspersky ook op zoek is naar een eventueel genie, wat middels een omweg de encryptie-methode zelf ook kan "kraken", je weet maar nooit. Anders zie ik weinig reden om de sleutel zo openbaar te zetten. Als dat gebeurt of men vind een manier om deze sleutel te kraken, dan kunnen we de opvolger van de opvolger van de OV kaart ook maar beter alvast laten opvolgen. Het blijft een kat en muis spel, alhoewel dit een hele lastige is.
Het is nog een beetje erger, hij kan het ook elke week doen :-P (met de reeds geinfecteerde computers en nieuwe)
Ik vraag me af waarop Kaparsky baseerd dat er slechts 1 private RSA key gebruikt wordt, want anders is het toch voor slechts 1 ransomware geinfecteerd bestand eenmalig het gevraagde bedrag neerleggen en dan heb je toch de private key?
Uit het artikel:
Uit het artikel:
Ik denk dat het virus gewoon twee mails verstuurd. 1 mailtje naar de virus verspreider (met daarin de private key) en het mailtje naar het slachtoffer.Zij konden de betreffende bestanden op hun systeem niet meer benaderen en kregen een mail waarin stond dat tegen vergoeding van een bepaald bedrag de private sleutel opgestuurd zou worden die de encryptie ongedaan maakt.
[Reactie gewijzigd door Niemand_Anders op maandag 9 juni 2008 15:11]
Waarschijnlijk gebruikt die software een random gegeneerde sessiesleutel om de bestanden te versleutelen, en stopt hij de sessiesleutel in een bestandje dat met de public RSA key wordt versleuteld. Dat bestandje moet je dan naar de auteur sturen, hij decrypt de boel met zijn RSA private key en stuurt je de sessiesleutel terug. Na betaling op Zwitserse bankrekening natuurlijk.
@EdwinG: sessiesleutels kun je alleen bruteforcen, met 2^160 mogelijkheden (AES) wordt je daar niet gelukkig van. Voor RSA zijn er snellere technieken, die ook nog eens als voordeel hebben dat als je die sleutel kraakt, je alle sessiesleutels meteen ook hebt.
@EdwinG: sessiesleutels kun je alleen bruteforcen, met 2^160 mogelijkheden (AES) wordt je daar niet gelukkig van. Voor RSA zijn er snellere technieken, die ook nog eens als voordeel hebben dat als je die sleutel kraakt, je alle sessiesleutels meteen ook hebt.
[Reactie gewijzigd door Arnoud Engelfriet op maandag 9 juni 2008 22:15]
Zou het in dat geval niet logischer zijn om gewoon sessie-sleutels te gaan proberen? Tenzij de sessie sleutels langer zijn dan de RSA sleutels natuurlijk.
Dat is toch dweilen met de kraan open? Er worden in de tijd dat 1 zo'n sleutel gedecrypt wordt 5 andere besmet.
Uitgaande mail op je router loggen.
Dat helpt niet, want die data is gewoon beschikbaar. Je moet 'alleen' de private key van de virus auteur hebben, waarmee je weer de key kunt bemachtigen die jouw files encrypt heeft. Dus als ze die ene sleutel kunnen breken, dan zijn alle bestanden voor deze versie van het virus weer 'bevrijd'. Blijft het probleem dat de auteur gewoon naar 2048 bits gaat en je dan alsnog andere stappen moet nemen, zoals betalen en gewoon achter het geld aan gaan, mannetje oppakken en zo de boel weer 'in orde' brengen. Kapersky geeft hiermee een verkeerd signaal af naar mijn idee, straks wil iedere scriptkiddie zijn eigen 'zoek mijn sleutel' actie beginnen...
misschien iets om de super computer van een paar nieuwsitems terug mee te testen
edit: @mngm blijkbaar dus niet
edit: @mngm blijkbaar dus niet
[Reactie gewijzigd door Sporedd op maandag 9 juni 2008 14:36]
yikes! Zelfs al lukt hem om deze sleutel te kraken... hoe lang zal dan de volgende sleutel zijn?
Op tijd back ups maken dat scheelt!
Op tijd back ups maken dat scheelt!
Of de virusschrijver wacht wat langer en "activeert" dan pas zijn virus. Dan heb je niet altijd wat aan je backups aangezien die dan ook versleutelt zijn/.
Als het virus zich zou activeren na een bepaalde tijdspanne zouden je backups niet automatisch versleutelen, vermits ze dus eerst de klok moeten kunnen checken. Als je dus eerst je klok terugdraait op je PC en dan je backups terugplaatst is er niks aan de hand. En daar zal de virusschrijver in kwestie ook wel rekening mee gehouden hebben omdat dit bij vroegere virussen die zich activeerde na een bepaalde tijd (zoals het millennium virus) ook zo werd omzeild.
Kan dit geen klusje zijn voor een supercomputer?
Misschien iets voor Superman computer...
nieuws: Militaire supercomputer doorbreekt petaflopsgrens
On topic: Hoe ongelooflijk frusterend het moet zijn om je bestanden kwijt te zien maar eigenlijk toch ook weer niet. Kan men de persoon niet achterhalen door middel van een transactie?
edit: veels te laat.... blijkbaar niet zo snel
nieuws: Militaire supercomputer doorbreekt petaflopsgrens
On topic: Hoe ongelooflijk frusterend het moet zijn om je bestanden kwijt te zien maar eigenlijk toch ook weer niet. Kan men de persoon niet achterhalen door middel van een transactie?
edit: veels te laat.... blijkbaar niet zo snel
[Reactie gewijzigd door CR35 op maandag 9 juni 2008 14:39]
het gekke is dat je hem moet betalen, het moet dan toch ook mogelijk zijn om hem gewoon te arresteren.
En verplicht zijn sleutels vrij te geven. Of gewoon de rest van zijn leven in de gevangenis door te brengen. Zijn keuze.
En verplicht zijn sleutels vrij te geven. Of gewoon de rest van zijn leven in de gevangenis door te brengen. Zijn keuze.
western union money transfer: gewoon je nummertje van de transactie geven en je krijgt je geld.
dit systeem is ironisch genoeg juist ontwikkeld voor mensen die zich niet KUNNEN identificeren (cfr inwoners van het een of andere afgelegen dorp in Kenia oid. Eens dat het geld in het systeem zit, weet je ook niet waar het wordt afgehaald, totdat het te laat is.
dit systeem is ironisch genoeg juist ontwikkeld voor mensen die zich niet KUNNEN identificeren (cfr inwoners van het een of andere afgelegen dorp in Kenia oid. Eens dat het geld in het systeem zit, weet je ook niet waar het wordt afgehaald, totdat het te laat is.
Ik heb n beter idee. Traceer de funds van die gast en die gast zelf. Dan via een ietwat meer basale manier van kraken de code achterhalen: Gewoon met 'n lekkere hoeveelheid mankracht alles wat die gast aan systemen heeft in beslag nemen. Dan vervolgens dat door de mangel halen. Ow, en die gast z'n nek om draaien.
Het feit dat er gecommuniceerd moet worden met de virusschrijver is het zwakke punt van dit virus. Het maakt de schrijver identificeerbaar en dus persoonlijk een target.
Het feit dat er gecommuniceerd moet worden met de virusschrijver is het zwakke punt van dit virus. Het maakt de schrijver identificeerbaar en dus persoonlijk een target.
ze geven mijn Zwitserse bankrekening toch niet vrij
of er moet weer een Duitser mijn gegevens door spelen
of er moet weer een Duitser mijn gegevens door spelen
Ja, dat mis ik in het verhaal. Zou toch een eitje moeten zijn om aan de hand van de getroffen gebruikers die kerel te traceren? Of heeft dat manneke (man(nen)/vrouw(en)/groep whatever) een mooi gordijntje om z'n activiteiten opgetrokken en hoe ziet dat dan er uit?
Dat zou het geval zijn als dit iemand is die in het Westen zich bevind echter het zou mij niet verbazen als het hier om een Rus of andere Oostblokker gaat. Dit maakt het dan opeens ook een stuk moeilijker om enerzijds zijn rekening te blokkeren, anderzijds om de desbetreffende persoon(en) aan te pakken.
Verder als hij echt vervelend wilt zijn publiceert hij zijn virus en hebben we binnen de kortste tijd tich varianten van scriptkiddies die de wereld zuur maken. Hoe dan ook hier zijn ze zeker niet snel vanaf en een "simpele" kraak is hier niet de oplossing.
Verder als hij echt vervelend wilt zijn publiceert hij zijn virus en hebben we binnen de kortste tijd tich varianten van scriptkiddies die de wereld zuur maken. Hoe dan ook hier zijn ze zeker niet snel vanaf en een "simpele" kraak is hier niet de oplossing.
Dan is het betalen van de ransom goedkoper dan een prive sleutel te gaan brute forcen. En dan gelijk een claim indienen bij de leverancier van de applicatie die is misbruikt. Investeer nog eens zo'n bedrag om een fatsoenlijk beveiligingsplan te implementeren.
jij denkt dat hij je de sleutel geeft dan.
je zal hem moeten oppakken en vervolgen
dan heb je kans dat je op zijn pc de key kan vinden
je zal hem moeten oppakken en vervolgen
dan heb je kans dat je op zijn pc de key kan vinden
Ik vermoed dat hij dan wel de key geeft. Anders zou niemand meer betalen. Is het na tig-1000 betalingen over. Geeft hij wel de key.... dan blijft iedereen betalen.
Je zou zeggen dat als het om een Rus of Oostblokker gaat dat ze daar ook wat makkelijker doen in het omleggen van die mensen... Dusja Als je hem eenmaal hebt..
Als je hem eenmaal hebt..Ja even een geheime rekening traceren wat de overheid waar hij zijn geld heeft staan niet toe staat.
en hij zal het niet in zijn eentje doen, dus zullen er nog meer mensen met hetzelfde virus zitten, dan nog moet de sleutel gekraakt worden.
en hij zal het niet in zijn eentje doen, dus zullen er nog meer mensen met hetzelfde virus zitten, dan nog moet de sleutel gekraakt worden.
Die geldstromen verlopen vaak via dubieuze transfers. Dus die zijn niet zomaar te achterhalen. Ik verwacht dat er ook wel iets van een katvanger tussen zit.
Het is natuurlijk niet de virusschrijver, maar degene die het virus gebruikt om geld mee te verdienen die je op die manier zou kunnen achterhalen. Helaas zal het waarschijnlijk een constructie zijn dat er geld overgemaakt moet worden via Western Union. Bij een Western Union kantoor verschijnt dan iemand die is ingehuurd om het geld op te halen.
Meest waarschijnlijk is dat dit gebeurt in een land waar de wetshandhaving op dit gebied niet al te goed zal zijn, zodat de pakkans niet zo heel groot is. En het leukste: na het overmaken van het geld ontvang je natuurlijk GEEN sleutel.
Mag ik trouwens uit het lijstje van file extensies opmaken dat je met OpenOffice wel veilig zou zijn? Met een uitgekiend backup/compare systeem is dit natuurlijk te ondervangen. Als je dagelijks backups maakt en deze bovendien vergelijkt met de vorige backup set en alarm slaat op het moment dat een file wel is aangepast waar je dat niet verwacht dan kun je nog zonder al te grote problemen terug naar de vorige versie. Dit staat of valt natuurlijk met hoe goed je kan detecteren of een wijziging verwacht of onverwacht is, iets wat natuurlijk niet helemaal triviaal is.
Meest waarschijnlijk is dat dit gebeurt in een land waar de wetshandhaving op dit gebied niet al te goed zal zijn, zodat de pakkans niet zo heel groot is. En het leukste: na het overmaken van het geld ontvang je natuurlijk GEEN sleutel.
Mag ik trouwens uit het lijstje van file extensies opmaken dat je met OpenOffice wel veilig zou zijn? Met een uitgekiend backup/compare systeem is dit natuurlijk te ondervangen. Als je dagelijks backups maakt en deze bovendien vergelijkt met de vorige backup set en alarm slaat op het moment dat een file wel is aangepast waar je dat niet verwacht dan kun je nog zonder al te grote problemen terug naar de vorige versie. Dit staat of valt natuurlijk met hoe goed je kan detecteren of een wijziging verwacht of onverwacht is, iets wat natuurlijk niet helemaal triviaal is.
valt moelijk te 'traceren' als dat allemaal via de services van bijvoorbeeld Western Union gaat.
Aan de hand van de zin:
Verder zouden ze dan de GPU's moeten gebruiken om de sleutel te kraken, herinner me nog een FP bericht dat dat een x malen sneller ging als met de CPU. Fastra anyone?
Als dit waar is: dus de virusversprijder zou dan ook daadwerkelijk de sleutel geven: kunnen ze dat toch 1 keer doen en die sleutel copieeren, of denk ik nu te makkelijk?Zij konden de betreffende bestanden op hun systeem niet meer benaderen en kregen een mail waarin stond dat tegen vergoeding van een bepaald bedrag de private sleutel opgestuurd zou worden die de encryptie ongedaan maakt.
Verder zouden ze dan de GPU's moeten gebruiken om de sleutel te kraken, herinner me nog een FP bericht dat dat een x malen sneller ging als met de CPU. Fastra anyone?
[Reactie gewijzigd door cc_tuner op maandag 9 juni 2008 14:46]
inderdaad, was ook mijn idee. Tenzij natuurlijk er verschillende keys in omloop zijn. Dan is het bruteforce kraken van een key ook niet echt een goede manier.
http://fastra.ua.ac.be/en/index.html ;-)
klik
klik
[Reactie gewijzigd door haneev.nl op maandag 9 juni 2008 14:52]
Het lijkt mij onlogisch om maar één sleutel te genereren, ik zou van elk bestand een unieke 1024 bit sleutel maken. Deze man, is waarschijnlijk niet traceerbaar want anders hadden ze dit al lang gedaan.
Ik had het al eerder gelezen; maak altijd back-ups. Maar dit klinkt makkelijker dan het is, want hoeveel gebruikers denken niet van "het overkomt mij toch niet"? Of, hebben de hulpmiddelen om te back-uppen. Je kunt wel bijvoorbeeld een Externe hardeschijf hebben, maar daar heb je niks aan want deze wordt waarschijnlijk ook geinfecteerd door dit virus. Of je moet al een andere bestandsysteem er op zetten, wat helaas niet wil want anders had je ook geen virus gehad.
Ik had het al eerder gelezen; maak altijd back-ups. Maar dit klinkt makkelijker dan het is, want hoeveel gebruikers denken niet van "het overkomt mij toch niet"? Of, hebben de hulpmiddelen om te back-uppen. Je kunt wel bijvoorbeeld een Externe hardeschijf hebben, maar daar heb je niks aan want deze wordt waarschijnlijk ook geinfecteerd door dit virus. Of je moet al een andere bestandsysteem er op zetten, wat helaas niet wil want anders had je ook geen virus gehad.
Waarom is een externe HD geen oplossing ?Je kunt wel bijvoorbeeld een Externe hardeschijf hebben, maar daar heb je niks aan want deze wordt waarschijnlijk ook geinfecteerd door dit virus. Of je moet al een andere bestandsysteem er op zetten, wat helaas niet wil want anders had je ook geen virus gehad.
Je merkt dat je bestanden geinfecteerd zijn, even een format C en hupsaké virus weggeflikkerd. Alles netjes terug installen en bestanden terugzetten.
Er even vanuit gaande dat dat virus zich bepert tot enkel je C schijf?
Maakt niet uit waar je je storage allemaal laat, je hebt een poel storage en alles kan geinfecteerd/geencrypt worden.
Maakt niet uit waar je je storage allemaal laat, je hebt een poel storage en alles kan geinfecteerd/geencrypt worden.
Omdat het niet om een simpel virus met wat geïnfecteerde bestanden gaat, maar een virus wat je bestanden/documenten zélf versleuteld.
Leuk als je dan zoals jij zegt ff een "format c" doet, maar dan zijn nog steeds je kostbare bestanden (documenten etc) versleuteld
Volgens mij heb je het nieuwsbericht totaal niet gelezen?
Leuk als je dan zoals jij zegt ff een "format c" doet, maar dan zijn nog steeds je kostbare bestanden (documenten etc) versleuteld
Volgens mij heb je het nieuwsbericht totaal niet gelezen?
Er even vanuit gaande dat dat virus zich bepert tot enkel je C schijf?
Maakt niet uit waar je je storage allemaal laat, je hebt een poel storage en alles kan geinfecteerd/geencrypt worden.
Ik begrijp jullie "probleem" niet.Omdat het niet om een simpel virus met wat geïnfecteerde bestanden gaat, maar een virus wat je bestanden/documenten zélf versleuteld.
Leuk als je dan zoals jij zegt ff een "format c" doet, maar dan zijn nog steeds je kostbare bestanden (documenten etc) versleuteld
Volgens mij heb je het nieuwsbericht totaal niet gelezen?
Ik heb op dit moment een externe HD als back-up van mijn bestanden. Elke week wordt die bijgewerkt. Merk ik nu morgen dat mijn bestanden op mijn PC versleuteld zijn, dan formateer ik gewoon mijn PC'tje zodat het virus weg is. Ik installeer Windows opnieuw, sluit mijn externe HD aan en kopieer mijn bestanden terug naar de verse install, klaar is kees.
En dan maakt het toch niet uit of dat virus zich beperkt tot de C-schijf of niet... Voorwaarde is natuurlijk wel dat je externe HD niet dag en nacht aan je PC hangt zoals bij sommige het geval is. Maar dat is bij mij niet het geval, dus kan er met de bestanden niets gebeuren...
Graag jullie reactie.
Edit:
Overigens zou ik nog even willen benadrukken dat ik altijd het nieuwsbericht lees alvorens hier te reageren. Anders krijg je van dat geblaat van kippen zonder kop...
[Reactie gewijzigd door High-Voltage2 op maandag 9 juni 2008 18:54]
Maar hoeveel anders is dit dan een virus wat je bestanden voorgoed vernietigt? Het resultaat blijft hetzelfde met als enig verschil dat je bij dit virus misschien ooit nog de mogelijkheid hebt te decrypten. Ik zie het punt niet echt. back-up is het sleutelwoord in dit verhaal. Er zijn ook virussen die zich pas na een bepaalde tijd actief maken en dan alles alsnog vernietigt zonder encryptie. Dit virus is net zo gevaarlijk als elk ander virus met dus nogmaals de uitzondering dat bij dit virus eventueel ooit nog de mogelijkheid bestaat dat je je bestanden terugkrijgt.
Als die kerel daadwerkelijk contact opneemt via email is hij toch makkelijk traceerbaar? Zoiezo als hij een eigen domeinnaam heeft.
Ik adviseer je om eerst eens het eea over email te lezen.
Begin daarbij eerst eens met het SMTP protocol. ;-)
Ps. Ik heb je een mailtje gestuurd dat een voorbeeld is van het feit dat dit niet gaat werken, ik hoop dat je hier wat aan hebt
Begin daarbij eerst eens met het SMTP protocol. ;-)
Ps. Ik heb je een mailtje gestuurd dat een voorbeeld is van het feit dat dit niet gaat werken, ik hoop dat je hier wat aan hebt
[Reactie gewijzigd door psyBSD op maandag 9 juni 2008 15:06]
En hoe weet de virusschrijver het juiste e-mailadres van zijn slachtoffer?
Ik denk dat de mail niet echt verstuurt wordt, maar dat het bestand waar de mails worden in opgeslagen (meestal een eenvoudig tekstbestand met alle mails achter elkaar, en het bestand al dan niet met een eigen extensie) wordt geopend en rechtstreeks wordt aangepast. Zo "ontvang" je ook de mail zonder dat die verstuurd wordt. Op deze manier heb je ook geen behoefte aan smtp of domeinen.
Ik denk dat de mail niet echt verstuurt wordt, maar dat het bestand waar de mails worden in opgeslagen (meestal een eenvoudig tekstbestand met alle mails achter elkaar, en het bestand al dan niet met een eigen extensie) wordt geopend en rechtstreeks wordt aangepast. Zo "ontvang" je ook de mail zonder dat die verstuurd wordt. Op deze manier heb je ook geen behoefte aan smtp of domeinen.
Vaak wordt zo'n virus nog steeds via mail verspreid.
Emails staan niet als "plain text" in een bestandje met een exotische extensie maar in een DBEn hoe weet de virusschrijver het juiste e-mailadres van zijn slachtoffer?
Ik denk dat de mail niet echt verstuurt wordt, maar dat het bestand waar de mails worden in opgeslagen (meestal een eenvoudig tekstbestand met alle mails achter elkaar, en het bestand al dan niet met een eigen extensie) wordt geopend en rechtstreeks wordt aangepast. Zo "ontvang" je ook de mail zonder dat die verstuurd wordt. Op deze manier heb je ook geen behoefte aan smtp of domeinen.
Maar niet op elke computer moeten mails opgeslagen zijn hoor, mensen die webmail gebruikben bijvoorbeeld...
Dat van dat email adres is me ook een raadsel hoor.
Zal vast wel ergens in het register van windows staan (je settings van outlook of wat voor mailprog dan ook. Vast via de een of andere default API uit te lezen.).
Ik denk niet dat het zo moeilijk is een progje te schrijven wat je default mailapp uitzoekt en dan via een api het mailadres van je default account opvraagt en daar vervolgens een mail bij neerplempt.
Ik denk niet dat het zo moeilijk is een progje te schrijven wat je default mailapp uitzoekt en dan via een api het mailadres van je default account opvraagt en daar vervolgens een mail bij neerplempt.
@Rune
Of de 'autocomplete' geschiedenis uitlezen, die is ook vast eenvoudig te benaderen als je de locatie van die geschiedenis weet. Staan altijd leuke dingen in die geschiedenis. Kijk maar ns hoeveel dingen je (on)gemerkt opslaat op je computer.
Algemeen:
Stel dat zijn decryptietool niet werkt? Als je betaald hebt, dan weet hij je rekening nr., je naam, etc. en hij kan je nog verder bedonderen door de tool niet te laten werken, of andere bestanden weer te encrypten. Dan ben je nog verder van huis
Of de 'autocomplete' geschiedenis uitlezen, die is ook vast eenvoudig te benaderen als je de locatie van die geschiedenis weet. Staan altijd leuke dingen in die geschiedenis. Kijk maar ns hoeveel dingen je (on)gemerkt opslaat op je computer.
Algemeen:
Stel dat zijn decryptietool niet werkt? Als je betaald hebt, dan weet hij je rekening nr., je naam, etc. en hij kan je nog verder bedonderen door de tool niet te laten werken, of andere bestanden weer te encrypten. Dan ben je nog verder van huis
Zoiezo? omg. Lees dit wil je: http://www.chillism.nl/20...een-toch-een-duits-woord/
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
