Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 235 reacties, 54.202 views •

En op de vijf computergebruikers die slachtoffer wordt van het inmiddels beruchte politievirus, dat een systeem gijzelt, betaalt in de hoop de computer weer te kunnen gebruiken, zegt de Politie. Er zou een sterke toename in het aantal besmettingen te zien zijn.

Al sinds minstens vorig jaar december maakt het zogenoemde politievirus slachtoffers. Deze malware kijkt op basis van het ip-adres uit welk land een gebruiker komt, waarna de pc vergendeld wordt en het slachtoffer een melding krijgt die afkomstig lijkt van het nationale politiekorps. De gebruiker zou zijn systeem volgens de melding voor illegale activiteiten, zoals het downloaden van kinderporno, gebruikt hebben.

Alleen tegen betaling van een boete van bijvoorbeeld 100 euro via de Britse betalingsdienst Ukash zouden de bestanden weer toegankelijk gemaakt worden. Ook na betaling blijft de computer echter op slot. "Eén op de vijf slachtoffers trapt er in en betaalt,” zegt Pim Takkenberg van het Team High Tech Crime van het Korps Landelijke Politiediensten tegen Zembla, dat aandacht aan de malware geeft. Er zijn ook varianten van de malware in omloop, het Buma Stemra-virus genoemd, waarbij de melding weergeeft dat de gebruiker zich schuldig heeft gemaakt aan illegaal downloaden. Volgens Symantec gaat het om bendes uit Rusland en Oekraïne, die er maandelijks een half miljoen euro mee verdienen.

Zembla heeft meerdere computerreparatiebedrijven gesproken die claimen dat er sprake is van een flinke toename. "Een paar maanden geleden ging het om incidenten. Nu krijgen we dagelijks geïnfecteerde machines binnen", zegt een bedrijf terwijl een ander claimt dertig besmettingen per week te moeten verhelpen. 

BumaStemra-virus

 

Lees meer over

Reacties (235)

Reactiefilter:-12350228+1176+218+32
Moderatie-faq Wijzig weergave
1 ... 4 ... 9
Het valt mij tegen van Tweakers.net dat er bij zo'n bericht als dit geen linkje naar een oplossing wordt gegeven.
Heel snel op cntrl+shift+esc drukken, voor 30 sec oid, daarna cntrl+o in je temp folder zoeken naar vage .exe's die daar dus duidelijk NIET horen, verplaatsen, rebooten en je zou het moeten kunnen deleten. (Heeft bij mij gewerkt met een bundespolizei achtig virus).
Ik ben deze van de zomer tientallen keren tegen gekomen op computers van klanten. Het muteert een beetje daarom is het steeds weer een beetje uitzoeken waar wat weggehaald moet worden. Bij sommigen is het zelfs 2x binnen gehengeld. Het lijkt dankbaar gebruik te maken van het luie patchbeleid van de meeste internetters maar ook van de vertraging tussen publicatie van exploits voor bijvoorbeeld java en flash en de update.

Mij valt het juist op dat het de laatste maand veel minder voor komt (slechts twee keer). Ook heb ik nog niemand gehoord die het daadwerkelijk heeft betaald.
Wat wel vervelend is is dat als een pc te lang aan blijft staan werkelijk alle mappen in het windows profiel (mijn documenten. start menu, favorieten, enz.) hidden en read only gemaakt worden.


edit: wat een toeval ik krijg net door dat microsoft de analyse afgerond heeft van een variant die ik opgestuurd heb: https://www.microsoft.com...73-4c62-a8b1-502f0894a2f8
Alert level high had ik niet verwacht...

[Reactie gewijzigd door bitflusher op 23 november 2012 21:29]

Wat ik dus regelmatig mee maak bij dit virus/ mallware is dat het opstarten in de veilige modus jammer genoeg ook niet meer werkt, dan krijg je het zelfde scherm. Maar dit gebeurd niet altijd.

Mijn ervaring is ook dat met meerdere gebruikers je meestal bij iedere gebruiker het zelfde scherm te zien krijgt.

Die Kaspersky rescue disk moet je inderdaad wel eventjes downloaden vanaf een niet besmette computer. Maar dat is voor de meeste tweakers denk ik geen probleem de meeste alhier hebben wel meer dan 1 pc in huis.
Simpele oplossing:
Als je pc opstart heb je ongeveer 30 seconden om microsoft word te openen. Op het moment dat je dan de melding krijgt druk je ctrl alt delete en sluit je de PC af. De PC moet dan word forceren af te sluiten. Hiervoor sluit hij echter het virusprogramma al af en heb je een kort moment waarop "forceren annuleren" kan klikken. Op dat moment ben je van je virusprogramma af en zit je nog in windows. Scannertje laten draaien en voila.
Zonde, ik kreeg hem laatst op m'n ma's oude xp eeepc.
Makkelijker dan menig ander virus om te verwijderen.
Er wordt een fake ctfmon systeem bestand in je temp map gezet en deze wordt elke keer opgestart simpelweg via een entry in je start menu-opstarten.

Een korte trip naar veilige modus, bestand en start up entry verwijderen en alles was weer ok.

Wil eigenlijk linux op die oude eee-pc zetten maar m'n ma is bang dat ze het dan allemaal niet meer snapt, voor win7 is hij een beetje oud en zwak helaas, en win7 nogmaals kopen is momenteel te prijzig voor haar.
Dit heb ik ook gehad. msconfig > startup daarin stond een proces met n of andere russische naam. Deze uitgezet en het virus start niet meer op. Daarna het virus verwijderen met een scanner of handmatig verwijderen als je weet waar die zit. voila
Booten met Hirens Bootcd en dan mini xp starten.
Daarna verdachte exe's wegknikkeren in startup etc.
Reboot en klaar ben je.
Ik heb zelf al 1 pesoon gehad die het er al 2 keer op heeft gehad eerste keer hitman pro er over gedaan in veilig modus met net werk, omdat ik te beroerd ben om er voor the betalen heb ik ze er naar zelf even met de hand verweiderd. De laaste keer pc overnieuw geinstalleerd. en de pc geupdate heb nog niet gehoord dat er problemen zijn momenteel. maar vraag mij af hoe het er op is gekomen.
Afloggen, inloggen als andere user (bv als Administrator, maar dan moet deze wel aan staan; standaard uit in Vista/Win7), en cleanen met MBAM.
Als MBAM niet start (sommige malware is zo slim dat geen enkele .EXE meer draait) dan de mbam.exe even kopieren en explorer.exe noemen.
1 ... 4 ... 9

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True