Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 96, views: 71.437 •
Submitter: himlims_

Een nieuw virus imiteert boodschappen van onder meer de Nederlandse en Duitse politie. Gebruikers krijgen een mededeling dat ze 'illegale activiteiten' hebben ondernomen; ze moeten een 'boete' betalen om hun pc weer te kunnen gebruiken.

Op basis van het ip-adres bepaalt het Windows-virus uit welk land een gebruiker komt, waarna een zogenaamde boodschap van het nationale politiekorps wordt getoond. Het virus vergrendelt de computer; gebruikers wordt medegedeeld dat hun computer voor illegale activiteiten, zoals het downloaden van kinder- en dierenporno, is gebruikt. Om hun pc zogenaamd weer te kunnen gebruiken, moeten gebruikers via Ukash een 'boete' betalen. Na betaling gebeurt er echter niets: de pc's blijven gelockt. Bovendien halen de virusmakers de Ukash-portemonnee van een gebruiker leeg.

Voor zover Microsoft kan inschatten, zijn er circa 28.000 mensen besmet met de ransomware. Het grootste deel van de besmettingen, meer dan negen op de tien, was in Duitsland. Het precieze aantal Nederlandse besmettingen is niet bekendgemaakt, maar relatief klein. De boetes die de software mensen dwong om te betalen, varieert: in Nederland vroeg de software 100 euro, terwijl Duitsers tussen de 50 en 250 euro moesten betalen.

Ransomware is niet nieuw, maar voor zover bekend is het niet eerder voorgekomen dat malware zichzelf als een boodschap van de politie vermomde. Overigens is die vermomming niet altijd even goed: in Nederland bestond deze uit de driekleur met de letters 'Politie' er op, terwijl in Spanje een verkeerde benaming van het politiekorps werd gebruikt.

Het virus wordt geïnstalleerd wanneer een bezoeker op een legitieme webpagina komt die is geïnfecteerd met javascript van de aanvallers. Die javascript-code zorgt ervoor dat vier verschillende plugins worden geladen: als één daarvan kwetsbaar is, kan de malware worden geïnstalleerd. De malware maakt gebruik van kwetsbaarheden in Adobe Reader, Flash Player, de Java Runtime Environment en een kwetsbaarheid in oude Windows-versies. Voor zover bekend werkt de malware niet op andere besturingssystemen.

Het virus maakt geen gebruik van zero day-exploits. Dat zijn kwetsbaarheden die nog niet bekend waren. Gebruikers kunnen infectie met het virus dus voorkomen door de software op hun pc bij te houden.

Nagemaakte politiemalware

Reacties (96)

En gewoon ff bankrekeningetje natrekken en invallen? Of zit dat er niet in?

Dit is wel erg lame, maargoed knap dat ze je pc zo kunnen vergrendelen, gewoon een reset knop duwtje werkt niet?
mja zoveel samenwerking gebeurd er niet in digitale opsporingswereld.
Kijk voor de gein eens een TED talk van Mikko.
Waar heb je dat vandaan? Er gebeurd juist enorm veel en er staat nog veel meer in de pijplijn qua samenwerking.

En wat betreft een resetknopje induwen; nee. Dat is wel stom als je als ransomwaremaker je zo snel laat aftroeven. Er zijn zat virussen die je hele MBR of register slopen om je PC onklaar te maken. Doorgaans nestelen de echt hardnekkige virussen zich diep in je PC. Gelukkig gebeurt het nauwelijks meer dat men virussen schrijft om PC's te slopen en/of onklaar te maken maar het meeste wat ik tegenkom zijn trojans om informatie los te peuteren en phishing en dergelijke vormen, allemaal gericht om geld te verdienen.

EDIT:

Oh, en waarom men nu pas echt grootschalig wat doet aan hi-tech-criminaliteit en men niet in 1986 daar al mee begon? Ik gooi het op geld. Computers slopen voor de hobby met een floppy is tot daar aan toe, maar jezelf miljoenen toe-eigenen is diefstal en is net wat zwaarder-wegend dan vandalisme waar relatief weinig schade aan zit.

Zie je aan wel meer vormen van criminaliteit terug ;)

[Reactie gewijzigd door NoxiuZ op 19 december 2011 17:52]

Met "verdienen" bedoel je natuurlijk "stelen"? Ik kan dit nou niet echt geld verdienen noemen.
Social engineering is makkelijker voor ransomware-makers. Knap is het niet, virussen kunnen nou eenmaal zeer effectief verschillende delen van je systeem & OS infecteren (denk aan bestanden, bootsectors, registry, maar ook zelfs de bios) en dermate volledige controle krijgen om te doen wat/waarvoor ze (of verwante malware) geprogrammeerd zijn. Het is niet onmogelijk om er om heen te komen en te verwijderen, maar ze mikken op dat percentage mensen die er ofwel intrappen of gewoon geen risico willen nemen en betalen.
katvangers zitten er waarschijnlijk tussen, bijvoorbeeld jongeren van 16 of 17 die je 100 euro geeft om hun rekening een tijdje te gebruiken.

Je trekt rekeningen na, maar bij de echte daders kom je dan niet zo snel.

[Reactie gewijzigd door Dikkiedikdik op 19 december 2011 15:18]

Een reboot werkt niet nee, meeste van dit soort malware past je registry aan, voornamelijk het gedeelte waarin je shell wordt bepaald. Normaliter is dat explorer.exe, maar dat wordt dan dus aangepast naar de executable van de malware zelf. Dan is 'ie altijd actief, ook in de veilige modus. Moet je buiten Windows om in de registry duiken om de shell weer terug te zetten naar wat het moet zijn.
Hoe kan het nu zijn dat er nog steeds geen goede virusbescherming is voor dit soort dingen?

[Reactie gewijzigd door klubnikka op 19 december 2011 17:24]

Goedemorgen, heb je het filmpje van TED gezien? Iedere secondes komen er nieuwe virussen binnen. De criminele markt zit ook niet stil. En het aantal onbeschermde mensen is nog steeds aanwezig.
Als je het over deze specifiek hebt: die is er al lang. Je hebt nog geen eens een virusscanner nodig, als je software up-to-date is komt het virus niet op je computer.

Voor nagenoeg alle virussen is het zo dat je computer updaten, een virusscanner hebben en een beetje recent besturingssysteem hebben zat is. De zwakste schakel is normaal gesproken niet de mogelijke bescherming die de computer heeft, maar de gebruiker.
Euh.. het bestand waar dit virus over gaat bevind zich in de temp directory van de computer... na het omzeilen van auto boot van deze overlay (opstarten via veilige modus), kan het bestand verwijderd worden uit deze map :)


Hierna is het direct van de hele computer af...

Meer informatie over deze malware is gepubliceerd in m'n t.net blog
IT: Ja hoor, daar is ie weer.. Malware.

[Reactie gewijzigd door mmjjb op 19 december 2011 22:51]

Er geloofwaardig ook als je zo'n melding krijgt? 'betalen om je computer weer te mogen gebruiken'??
Zou wat zijn al de politie op die manier ging handelen. Maar des te vervelender een dergelijk virus,. De meeste tweakers zullen er nooit intrappen. Maar zoals ik het noem 'huis tuin en keukengebruikers' wel. Vrij ernstige ontwikkeling dat virusschrijvers niet alleen maar pc onbruikbaar maken. Maar er dus ook geld aan verdienen op een simpele manier.
Vooral de wat oudere mensen die al zat problemen hebben met een PC te gebruiken zullen hier snel intrappen.

Persoonlijk zou ik het heel vreemd vinden als ik zo een melding kreeg en eerst eens contact op nemen met de Politie.

Gewoon weer een nieuwe variant van scareware.

Het vervelende is dat plugins de grootste veroorzaker zijn hier. Weer een reden om browsers eigenlijk altijd te sandboxen, volgens mij voorkomt dat de helft van de infecties tegenwoordig.
Het is dus méér dan Scareware alleen.Het scareware gedeelte bestaat (net zoals bij scareware programma's) uit het feit dat je moet betalen.

Echter na betaling kan je je pc nog niet gebruiken

Je kan browsers wel sandboxen, maar dan ben je er nog niet: Adobe Reader, Flash Player, de Java Runtime Environment en een kwetsbaarheid in oude Windows-versies
Mee eens vind het nou niet echt geloofwaardig verhaal, ''eerst betalen en dan mag je pc weer gebruiken..'' Ik zou der zelf inderdaad nooit intrappen maar ben bang een hele hoop mensen die er geen verstand van hebben wel.
Erg jammer dat ze de naam van de politie hier door ''extra'' zwart maken, ze hebben al geen goede naam ivm de politie spyware hier en in Duitsland en dit gaat zeker niet helpen.
Mee eens vind het nou niet echt geloofwaardig verhaal, ''eerst betalen en dan mag je pc weer gebruiken..'' Ik zou der zelf inderdaad nooit intrappen maar ben bang een hele hoop mensen die er geen verstand van hebben wel.
In het artikel staat duidelijk dat de PC's gelockt zijn, dus het is geen kwestie van intrappen.
Na betaling gebeurt er echter niets: de pc's blijven gelockt.
Er staat niet *hoe* ze gelockt zijn. Als het het standaard lockscherm is, kun je ze toch gewoon unlocken met je wachtwoord? En als het een custom "lock"scherm is, kun je het toch afsluiten met de task manager? Volgens mij is dit wel degelijk iets waar alleen domme mensen intrappen...
Want task manager etc. worden niet buiten spel gezet door een virus ??
Bij mij niet... je moet een aantal waarden in HKLM in het register aanpassen om iets dergelijks voor elkaar te krijgen. Laat ik mijn Win7 nou net zo ingesteld hebben dat UAC dan direct om een wachtwoord vraagt.... Wat denk je dat ik doe als een website ervoor zorgt dat die dialoog verschijnt? Juist... Cancel, sluiten, en site blacklisten.

De enige manier om de computer te besmetten is een keihard lek in een proces dat al admin- of systeemrechten heeft zoals "services.exe". Iets dergelijks geldt dan natuurlijk voor elk OS; als een systeemproces besmet kan worden via een lek dan ben je de sjaak.

[Reactie gewijzigd door Katsunami op 19 december 2011 19:54]

Er geloofwaardig ook als je zo'n melding krijgt? 'betalen om je computer weer te mogen gebruiken'??
Nouja, dat gebeurt ook bij non-ransomware - Windows, bijvoorbeeld, schakelde terug naar een beperkte modus als bleek dat je een illegale versie had, of zolang je je Windows installatie niet geactiveerd had.
Of zelfs bij perfect legale installaties, soms.
De enige "beperking" bij Windows was dat je de achtergrond niet kon instellen....
Virus is al tijden actief, en kaapt computer waarna die terug gekocht kan wordne voor 100 piek; http://www.security.nl/ar...mputer_voor_100_euro.html

zie ook; http://opgelicht.admin.tr...nshot_melding_politie.jpg
Wordt de PC ook werkelijk vrijgegeven na het betalen van de 'boete'? Dat zou ik wel mooi vinden :D
antwoord: Nee, de pc wordt niet vrijgegeven en je ushak-portemonnee wordt leeggehaald.
Heb dit virus idd een aantal maanden geleden al eens van een PC moeten halen.
OEF, dit is wel pittig...

Dus zelfs als je niks download, en gewoon op een normale site komt kan dit toeslaan, je hoeft dus als ik het goed begrijpt niks te downloaden?! Dat is wel heel erg pittig zeg!!!

Erg zonde van al die lekken!
Mijn eigen website heeft me 2 jaar geleden eens besmet doordat ik hem bezocht. Iemand had mijn FTP account gehacked waarna in elke HTML, JS en PHP pagina een stuk JavaScript was toegevoegd dat de gebruiker besmette zodra je op die pagina kwam. Mijn virusscanner (ik geloof dat ik al Avast gebruikte) merkte het wel maar liet toch net te veel toe. Vreemd genoeg ging hij daarna wel zeuren als ik de JavaScript code ook maar probeerde te copy-pasten in een texteditor. Het erge is dat ik niet eens IE gebruikte maar Opera...

Al met al is het wel opgelost (reinstall van Windows; password change voor FTP != hosting password; alle files opnieuw geupload vanaf lokale kopie) maar het toont wel aan hoe snel het kan gebeuren, ook met up-to-date software.
Mijn eigen website is ook een keer door een dergelijke virus-boer onder handen genomen, waarschijnlijk zijn ze binnengekomen door een exploit in het wiki-pakket dat ook op die bak draaide (die wiki werd in het verleden al meermalen vernield door spambots).

Die van m'n broer is een paar weken terug ook gepakt, hij had via een website een trojan te pakken en die had het wachtwoord uit z'n FTP programma waarschijnlijk doorgeseind. Binnen een uur lag z'n hele site overhoop.

Manier is inderdaad hetzelfde als jij beschrijft, van alle paginas wordt de broncode gewijzigd en een stuk javascript ge-embed.
Hmmm, lijkt me verschrikkelijk als me dat zou overkomen. Zo blijkt toch maar dat NoScript, ABP en Ghostery op een up to date *zet direct updates aan* linux mint 12 toch niet zo'n heel wereld vreem idee is.
Als jij je software niet update: ja. Als je je software wel update: nee. Er worden blijkbaar enkel oude lekken gebruikt.
Hoe zou het betalingssysteem opgezet zijn? Paypal? Credit card? iDeal? :)

Dit is zoiets waar vooral onervaren computergebruikers in trappen, met name ouderen lijken me hier het meeste vatbaar voor. Het gebruiken van het hele web vereist toch een bepaalde flexibiliteit, en dosis gezond verstand om niet in de problemen te raken af en toe. Ik ben benieuwd of alle generaties internetgebruikers daar mee om kunnen gaan nu en in de toekomst.
Weer een rede extra om bij opa en oma en een OSX machine te laten draaien.
Zo veilig is OSX nou ook weer niet. Er zijn nou eenmaal niet zoveel virussen voor omdat er weinig gebruikers zijn in tegenstelling tot Windows.
Dat is onzin, je praat anderen na. Die stelling is heel makkelijk onderuit te halen met een tegenargument: het grootste deel van de webservers draait Linux (of een andere *nix variant). Waarom zijn het toch iedere keer de IIS servers die gehackt worden?

Of dit: waar denk je dat een hacker meer aan heeft: een dikke multicore webserver met bergen diskspace op een snelle lijn, of jouw saaie thuiscomputertje met jouw vakantiefoto's, illegale games en muziekcollectie, die meestal niet eens altijd aan staat? En waarom pakken ze dan toch die nutteloze desktop en niet de webserver? Juist ja, omdat die windows desktop een makkelijker doelwit is.
Ik zeg ook niet dat OSX noch windows een makkelijk doelwit is. Ik zeg alleen dat OSX op zichzelf niet veel veiliger is dan Windows.

Zie bijvoorbeeld: http://www.tomshardware.c...ty-snow-leopard,8704.html
Reden om opa en oma gewoon een goede virusscanner te geven die zichzelf up-to-date houdt zonder vragen te stellen...
ukash = prepaid betaalmiddel (zoiets als wallie: in nederland wat bekender)
lol, ik vind hem leuk. Nog niet hier tegengekomen op werk :)
In ieder geval, natrekken (bankrek) en die mensen op brood en water zetten.

Zo vaak zie je oplichters te werk gaan, waarbij wel het bankrekeningnr bekend is. Wat is dan nog het probleem om die mensen op te pakken? dit is een uniek nr gekoppeld aan een persoon.
tja, katvanger voor de naam van de rekening, en geld meteen door sluisen.
Anonieme bankrekeningen bestaan ook wel hoor, op naam van een papieren bedrijf op de Kaaimaneilanden met als eigenaar een bedrijf op de Galapagoseilanden welke weer administratief gekoppeld is met een bedrijf in Congo dat de beheertaken uitvoert namens een tussenpersoon die uiteindelijk je tante met die contant betaalde te dure auto blijkt te zijn.

Niets is onmogelijk, maar criminelen kunnen het (internationale) opsporingsinstanties wel verrekte moeilijk maken, zeker als ze om de haverklap verhuizen, telkens andere namen/bankrekeningnummers aanmaken en wat al niet meer. Als de geldstroom dan eindelijk is gevolgd, is de rekening al weer leeg en het bedrijf opgeheven...
Wat denk je van de rompslomp om via de bureaucratie iets gedaan te krijgen.
Dit is een grote fout die de virus makers hebben gemaakt.
Waar je (voor zover ik weet) in nederland eigenlijk geen aangifte kunt doen voor oplichten beneden de 100 euro. Is net doen alsof je van de politie bent een misdrijf.

De virus schrijver heeft opeens de politie het benodigde handvat gegeven wat ze nodig hadden.
Onzin. Ik heb wel eens aangifte gedaan voor oplichting van 80 euro.
Het zal ook eens niet met Flash Player te maken hebben. Wat een ellende.

Zullen ook vast wel weer mensen zijn die zo stom zijn, om in te gaan op de melding.

Daarom moet je ook never updates accepteren als je in een browser bent. Niet te vertrouwen.

Enkel en alleen vanuit de applicatie updates installeren en je hebt hier nooit last van.

Als je Avast hebt, nog niet bekend of die het tegen kan houden:
http://forum.avast.com/index.php?topic=36118.0
Dat is een thread uit 2008, met als laatste post op June 10, 2008, 02:15:16 AM. Met andere woorden, ik denk niet dat dit om hetzelfde virus gaat.
oke, maar de hamvraag is , hoe kom je er van af als je pc op slot gezet is door dat virus ? zijn er uberhaupt manieren tegen om de normale burger hier tegen te beschermen, kan me voorstellen dat als een kind op de pc van pa zit ook zoiets per abuis kan gebeuren !
Vrij eenvoudig:
Je start windows op in veilige modus met opdrachtprompt --> regedit --> HKEY_Current_User --> software --> microsoft --> windows --> current version --> run. Dan klik je op vasja en verwijder je de waarde (het eindigt op upd.exe).

En controleer of er nog meer slachtoffers binnen je reg zijn als:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "******.exe" Dit moet ten alle tijde explorer.exe zijn.

Dan kun je weer opstarten. Nog wel even een update uitvoeren en een scan over de pc uiteraard.

[Reactie gewijzigd door kramerty88 op 19 december 2011 14:54]

Vrij eenvoudig:
Je start windows op in veilige modus met opdrachtprompt --> regedit --> HKEY_Current_User --> software --> microsoft --> windows --> current version --> run. Dan klik je op vasja en verwijder je de waarde (het eindigt op upd.exe).

En controleer of er nog meer slachtoffers binnen je reg zijn als:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "******.exe" Dit moet ten alle tijde explorer.exe zijn.

Dan kun je weer opstarten. Nog wel even een update uitvoeren en een scan over de pc uiteraard.
Dat is niet altijd het geval. Ik heb soms last gehad van redelijk hardnekkige rootkits die één host-proces hebben en van daaruit weer losse processen spawnen die voortdurend anders heten. Die child-processen hernoemen (of kopiëren) op hun beurt weer de .EXE file waar de rootkit in uithangt naar eentje met een andere bestandsnaam, en zo kun je blijven zoeken.

De écht slimme virussen/rootkits installeren zich niet meer in de "CurrentVersion\Run" sleutel maar als (pseudo-legitieme) service of zelfs als kernel-stuurprogramma. Waardoor ze zelfs in veilige modus nog kunnen worden uitgevoerd.
Wat dan "soms" nog helpt is gebruik maken van een boot-cd met virusscanner.

Dat werkt echter niet altijd (bijv bij versleutelde harde schijven).
1) Pa moet zorgen dat zijn PC up-to-date is
2) Het zijn gewone sites, dus kind of pa maakt niks uit

Maar naar mijn idee; nooit kinderen op Pa's PC laten ;)
Kinderen hun eigen PC (2e hands of zelf sparen) werkt hier prima. Dochter (12) heeft een 2e handsje goed genoeg voor internet en school opdrachten, zoon (14) heeft zelfs dusdanig gespaard dat hij een zwaardere PC heeft dan pa. (En pa en ma hebben elk hun eigen laptop)
Ik houd de PC's up-to-date, maar loopt een PC tegen een virus aan; jammer dan...... ik wil even proberen, maar daarna is het "format c:" (maar da's gelukkig nog niet voorgekomen)
Zo werkt het hier ook, met daarbij de kanttekening dat de pc's van de kinderen via een " eigen" accespoint gaan, en via opendns lopen.

Zo blokkeer je aardig wat ongewenste rommel op die pc's
Ik denk niet dat een ander access point en openDNS echt heel kunnen betekenen voor de veiligheid voor de pc's van uw kinderen.
Echter, wel weer voor uw pc, want uw kinderen kunnen wel degelijk een goeie aanvalsvector zijn mocht u toevallig een belangrijk persoon voor een aanvaller zijn.

Ik bedoel -met alle respect-, uw kinderen zijn waarschijnlijk een stukje naiever dan u m.b.t. het gevoelig zijn voor social engineering.

Vanuit de pc's van uw kinderen word het lastig om in een ander netwerk te komen. Bijv. het netwerk waar uw pc zich in bevind. Zat uw pc in hetzelfde netwerk zoals (ik maar even aanneem) LessRam heeft, dan is een "man in the middle" aanval prima uit te voeren, ookal zijn de pc's allemaal up to date. (Ook is daar mac, linux, hp-ux, solaris, plan9, netware een makkelijk slachtoffer). Ik heb het dan hier niet over rooten van een doos, maar bijv. hele dagen loggen wat je uitspookt op het internet totdat de aanvaller zijn benodigde data bij elkaar heeft voor zijn doel (chantage? informatie? gewoontes ter ondersteuning van identiteits diefstal?)
In mijn geval hoeft pa niet bang te zijn voor iets wat het "kind" doet, want die heeft er een stuk meer verstand van. Kindlief heeft dan ook jaren geleden Ubuntu voor pa geinstalleerd en sindsdien heeft ie nooit meer problemen met z'n pc gehad en komt ie een heel stuk minder met newbie vragen aanzetten over programma's die niemand gebruikt/kent maar bij dit-en-dat stuk hardware zaten en dus maar geinstalleerd werden. Zelfs de webcam was een kwestie van inpluggen en gaan, dat heb ik windows nog nooit zien doen. Maar goed, ik dwaal af...
Jajaja, blabla. Mijn versie dan maar.

"Mam, ik heb eens een andere Windows (= volledig geïnstalleerde Arch Linux met Gnome 2 destijds) op de computer gezet. Is de laatste nieuwe versie. Kun je eens kijken of je hiermee kunt werken?"

10 minuten later:

- "Die nieuwe Windows ziet wel heel anders uit. Nou ja, Internet en e-mail ziet er bijna hetzelfde uit, maar waar zit Paint Shop Pro?"

"Eh... die werkt jammer genoeg niet meer. De vervanger is dit programma hier (GIMP)."

10 minuten later:

- "Dat programma vind ik niet handig. Daar kan ik niet mee werken."
"Je moet er gewoon even aan wennen...."

10 minuten later:

- "Waar zit die Magix Studio nou?"
"Uh... die werkt ook nog niet op deze Windows...."

- "Dan wil ik mijn oude Windows weer terug.

En dat was dat wat Linux aangaat. Met OSX zou precies hetzelfde gebeuren. De moraal van het verhaal: Je kiest niet het besturingssysteem en zoekt daarbij werkende programma's; je kiest de programma's waarmee je wil werken en draait die op het bijpassende OS. Soms zijn die mogelijkheden uitwisselbaar, maar vaak niet. Iemand die Aperture per se wil gebruiken *moet* op een Mac draaien; iemand die (zoals ik) Visual Studio nodig heeft *moet* Windows draaien.

[Reactie gewijzigd door Katsunami op 19 december 2011 20:32]

Is het nou zó moeilijk voor dit soort virus-makers om even te zoeken naar de juiste logo's en benamingen? Altijd zo sullig dit soort neppe berichten vol foutjes :+

Op dit item kan niet meer gereageerd worden.