Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 235 reacties

En op de vijf computergebruikers die slachtoffer wordt van het inmiddels beruchte politievirus, dat een systeem gijzelt, betaalt in de hoop de computer weer te kunnen gebruiken, zegt de Politie. Er zou een sterke toename in het aantal besmettingen te zien zijn.

Al sinds minstens vorig jaar december maakt het zogenoemde politievirus slachtoffers. Deze malware kijkt op basis van het ip-adres uit welk land een gebruiker komt, waarna de pc vergendeld wordt en het slachtoffer een melding krijgt die afkomstig lijkt van het nationale politiekorps. De gebruiker zou zijn systeem volgens de melding voor illegale activiteiten, zoals het downloaden van kinderporno, gebruikt hebben.

Alleen tegen betaling van een boete van bijvoorbeeld 100 euro via de Britse betalingsdienst Ukash zouden de bestanden weer toegankelijk gemaakt worden. Ook na betaling blijft de computer echter op slot. "Eén op de vijf slachtoffers trapt er in en betaalt,” zegt Pim Takkenberg van het Team High Tech Crime van het Korps Landelijke Politiediensten tegen Zembla, dat aandacht aan de malware geeft. Er zijn ook varianten van de malware in omloop, het Buma Stemra-virus genoemd, waarbij de melding weergeeft dat de gebruiker zich schuldig heeft gemaakt aan illegaal downloaden. Volgens Symantec gaat het om bendes uit Rusland en Oekraïne, die er maandelijks een half miljoen euro mee verdienen.

Zembla heeft meerdere computerreparatiebedrijven gesproken die claimen dat er sprake is van een flinke toename. "Een paar maanden geleden ging het om incidenten. Nu krijgen we dagelijks geïnfecteerde machines binnen", zegt een bedrijf terwijl een ander claimt dertig besmettingen per week te moeten verhelpen. 

BumaStemra-virus

 

Lees meer over

Reacties (235)

Reactiefilter:-12350228+1176+218+32
Moderatie-faq Wijzig weergave
Een buurman had het. Uiteindelijk zijn systeem geformateerd, omdat er toch niks nuttigs opstond. (browse only machine)

Maar opvallender was dat het in feite niks is dan een minimale app (ms.exe, 20kb iirc) in de startup, en wat mechanismes die kopien terugzetten.

Met simpelweg "boot met command prompt" kom je er omheen en kan je backupen tot de volgende reboot.

Echt disinfecteren zal lastiger zijn zonder extra software, want er zitten natuurlijk kopieren overal. Ik had alle temp dirs en browse dirs leeggegooid, maar kwam toch terug.

Aangezien het verder niet de moeite waard was, en een reinstall er toch al zat aan te komen, toen maar besloten te formateren.

[Reactie gewijzigd door marcovtjetje op 23 november 2012 14:00]

Maar opvallender was dat het in feite niks is dan een minimale app (ms.exe, 20kb iirc) in de startup, en wat mechanismes die kopien terugzetten.
Meeste malware/virus/andere nare dingen zijn nooit groot. Het zijn maar enkele acties die ze uitvoeren.

Ik ben meer verbaasd hoe dit zo heeft kunnen uitpakken en hoe dom mensen nog kunnen zijn. Aan voorlichting tegenwoordig geen gebrek meer via reclame.

edit:
Echt disinfecteren zal lastiger zijn zonder extra software, want er zitten natuurlijk kopieren overal. Ik had alle temp dirs en browse dirs leeggegooid, maar kwam toch terug.
een aantal extra acties:
- register opschonen
- kijk de appdata of er nog bestanden tussen staan die je verdacht vindt (klik voor youtube link hoe er in te komen, in het engels)
- voer nog een systeem scan uit voor de zekerheid.

Meestal is het dan verwijderd.

[Reactie gewijzigd door Wallioo op 23 november 2012 15:21]

Ook ik heb deze meerdere malen voobij zien komen
bij mijzelf, familie en vrienden. vervelende is gewoon dat je gelijk niets meer kunt doen op de pc

Maar even via veilige modus met netwerkmogelijkheden opstarten en Malwarebytes downloaden
en scannen werkt altijd.

zelf gebruik ik Avast antivirus maar ik heb ook pc's voorbij zien komen met Bullguard, Nod32 en Kaspersky.

toch raar dat het virus zich op een of t andere manier zichzelf toch weet binnen te dringen.
Ik ook, vrouw kreeg zowat een hartaanval, ik zo: virusje, haal ik straks wel weer eraf, en toen ze beter las zag ze dat het NL bagger was (oudere politie versie)

Veilige modus, Anti malware bytes, Avast & eventueel HJT log laten checken voor de zekerheid en het werkt weer.
het is wel mogelijk om dit er weer af te krijgen, echter neemt dit tijd en ellende in..
Als je weet wat je doet; hooguit 20 minuten.
Misschien logisch maar als er een tekst in staat zonder spelfouten dan is de kans groot dat ook Nederlandse criminelen meedoen aan dit soort dingen.
Heb je de tekst in de screenshot gelezen? Een spellcheck zal er waarschijnlijk geen fouten in vinden maar het is verre van foutloos nederlands hoor. Ik kan er dan ook echt niet bij dat 20% van de slachtoffers hier in zou trappen, vraag me af of dat wel correct kan zijn.
20% van de mensen praat misschien zelf niet zo goed nederlands of is dyslectisch dusja ik snap dat wel
of raakt in paniek en zien dit als een eenmalige uitweg, vooral als je een enkele keer een album ooit gedownload hebt of laten doen.
Ze hebben wel tijd om de malware te schijven, maar blijkbaar hebben ze geen tijd om de tekst in fatsoenlijk Nederlands te schrijven of om iemand te zoeken die dat voor ze kan doen. Kleine inspanning voor een veel grotere geloofwaardigheid. Ik snap niet waarom er dan toch zoveel mensen intrappen.

Muziek stukken -> muziekstukken
Met het donwloaden de liedjes -> Met het downloaden van de liedjes
enzovoort.
Ach, als politie boetes betalen via het tank-station niet vreemd vindt, val je waarschijnlijk niet over taalfoutjes.

1 op de 5 betaald is overigens wel een boude stelling, aangezien de politie geen idee heeft van het daadwerkelijke aantal infecties, enkel degenen waarvan melding gemaakt.
ze zien de politielogo in beeld, lezen het zwart gedrukte over geldboete en gevangenisstraf...
en bang dat ze zijn betalen ze.

zelf heb ik deze ook gehad, elke week maak ik een 1 op 1 kopie van mijn schijf voor back-up.
dus was een makkie om deze te ''verwijderen''.

aangezien wij de computer gezamelijk gebruiken, mijn vader en ik, en mijn vader zelf het ''klik met je muis virus'' heeft, klikt hij ook elke banner, e-mail, website aan die hij op het scherm ziet.
er wat van zeggen resulteert in ''we gaan klappen krijgen'' virus
Toch is dit virus zo makkelijk te verwijderen,

Boot in safe mode met netwerkopties, mallware antibytes installeren, deze laten updaten en snelle scan doen, duurt 10 minutjes en weg is ie :) voila!
Zo doe ik dat ook, maar dan met SuperAntiSpyware (gratis versie). Vorige week nog een laptopje mee "gered". Sinds ik SAS al jaren succesvol gebruik bij de aanhang die mij als noog in het land der blinde digibeten ziet, draai ik zelf de betaalde versie. Nog altijd tot grote tevredenheid.
En dat moet de gemiddelde huis tuin en keuken gebruiker ook doen? ;)
Of een slimme kennis vragen of hij het kan verhelpen, zo niet dan naar winkel wat dan weer goed is voor economie :P
Is er niemand die zich afvraagt waar je dit virus uberhaupt oploopt?

[Reactie gewijzigd door nl-chrs op 23 november 2012 13:52]

Ik heb hem ook gehad , nadat ik een youtube muziekclip wilde omvormen naar mp3 via een site die dat normaal altijd netjes deed , maar ineens het virus , ik had nergens ja op gezegt in popups , geen exe was nodig om om te vormen niks.

Ik zit op win7 pro 64bit , en veilige modes kwam ik niet in , oplossing zal wel usb stick of cd zijn met antivirus maar ik haalde gewoon - ik zeg wel egwoon maar geen idee eigenlijk waarom ik daar aan dacht - mijn internet kabel eruit en erna pc opstarten dan start heel dat virus gewoon niet op , zelfs niet als je pc normaal opstart ipv veilige modes.

Maar zodra je de kabel er weer terug er indoet als de pc opgestart is , heb je gelijk weer je buma stemra in beeld. Dus een antimalware programma kon ik niet installen want had geen internet , gelukkig staan er hier 2 pc's naast elkaar , en daar malwarebytes anti-malware setup.exe en avira antivir free setup.exe op downgeload en via usb stick op mijn geinfecteerde pc geinstalleerd en erna gescant ... klaar.

Heel veel mensen hier zeggen ook dat ze voor familie het virus hebben verwijderd en ik neem dan aan dat die hun pc naar degene hebben gebracht die het weer gefixt heb , en computerzaken ook veel hier die het fixen , maar ik denk dus dat gewoon op dat moment pc's zijn zonder internet en dan kan veilige modus wel , ook al is het niet nodig , volgens mij kan je dan gewoon normaal opstarten en erna via usb backups maken , want voordat ik het had , was het ook bij een vriend van mij en toen heb ik zo backups gemaakt erna format / reinstall want hij moest zo ie zo eindelijk is van xp naar 7.

Ik had enkelt windows defender op mijn pc , en die is gewoon shit ... volgens mij , maar vooral uit test gebleken van de conumentenbond , avira free antivir is de beste van de free versies bleek uit die test.

[Reactie gewijzigd door schietdammer op 24 november 2012 04:28]

Jawel, ik vraag me ook af hoe je hier aan komt... moet haast wel een 'ik zie een knop, dus ik klik er op' actie zijn.
Nee via advertenties of java kwetbaarheden of sommige mails als je die alleen al aanklikt kunnen voldoen.

Of door een verkeerde download :P.
Meestal worden deze bemachtigd via porno sites etc, Beetje slimme icter doet dit dan ook via ubuntu of een virtual pc ;)
Niet nodig. Er wordt gebruik gemaakt van kwetsbaarheden in bijvoorbeeld java. Een verkeerde site laden is genoeg voor besmetting zonder dat ergens toestemming voor gegeven hoeft te worden.
Drive-by downloads.

De bekendste voorbeelden, dit jaar nog, zijn bij nu.nl en bij nrc.nl.

Kwaadwillenden smokkelen onveilige code in een advertentie. Die wordt geplaatst op de website. De gebruiker (en browser) herkennen de site als 'vertrouwd' en draaien de onveilige code.

Die exploiteert vervolgens bekende kwetsbaarheden in out-of-date versies van Flash, Java, of andere plug-ins die toegang tot het systeem hebben.

En klaar.
Dat is eigenlijk de kern van het probleem. Dat een willekeurige advertentie programmatuur kan installeren door er alleen met je browser langs te komen.

Wie dat ooit bedacht heeft..

Het kan heel nuttig zijn als het door goedwillenden gebruikt wordt, maar het kan net zo makkelijk door kwaadwillende gebruikt worden.

De websites hebben tekst, plaatjes, filmpjes en wat interactieve formulieren soms. Waarom al die taaltjes zijn gekomen die veel engere dingen kunnen, is mij een beetje een raadsel gebleven. En als je het dan toch doet, maak het zo dat het standaard allemaal uit staat.
Deze heeft mijn vrouw een poosje ook op de laptop weten te krijgen. Nadat ze op een of andere vage website was geweest waar je gratis series online kunt kijken. Gewoon windows opnieuw installeren en je zit weer goed.
Gewoon windows opnieuw installeren en je zit weer goed.
En meteen al je data kwijt (documenten, vakantiefoto's e.d.) als je die er op hebt staan.
Met een backup had dat probleem niet bestaan ;-)
Deze heeft mijn vrouw een poosje ook op de laptop weten te krijgen. Nadat ze op een of andere vage website was geweest waar je gratis series online kunt kijken. Gewoon windows opnieuw installeren en je zit weer goed.
Tja gewoon windows overnieuw instaleren is natuurlijk de best virus verwijderaar. Kom kom, minuutje op het internet en je weet hoe je dit kan verwijderen, je bent een tweaker or je bent het niet.
Wat voor virusscanner/browser gebruikte je vrouw toen? Dan gebruik ik die in ieder geval niet.

[Reactie gewijzigd door intGod op 23 november 2012 13:05]

Ik heb al een heleboel klanten gehad welke het KLPD virus op hun computer hebben gehad. Daarbij ben ik eigenlijk elke gangbare virusscanner tegen gekomen, zowel de gratis al betaalde versies.
O.a. AVG, Avira, Security Essentials, Bullguard, Norton, NOD32 etc.
ik gebruik internet explorer 9, nod32 en windows firewall.. maar ik verwacht dat ze op die website gewoon een plugin heeft geinstalleerd om een filmpje te kunnen kijken ofzo ;)
dan nog zou nod32 hebebn moeten ingrijpen...

of het ding was uitgezet, niet up to date????
Misschien toch maar eens inloggen als gewone gebruiker inplaats van administrator ?
Dankjewel tweakers voor het leesbare High-res plaatje |:(
En je wil in detail lezen wat er op staat omdat.... ? :?

Anders bezoek je gewoon even een louche site, kan je het gewoon live meemaken ;)
offtopic:
Met Tineye kan je afbeelding zoeken op andere sites. in hogere resolutie: http://www.abuse.ch/wp-content/uploads/ransomware_nl.jpg .

ontopic:
hier in de organisatie ben ik hem ook al een paar keer tegen gekomen desondanks we wel alle updates hadden (java / flash).

even booten in safe mode, uitschakelen in msconfig, programma Rkill laten lopen en scannen met anti-malwarebytes en dan is het meestal al opgelost.

[Reactie gewijzigd door thomasjuuu op 23 november 2012 13:38]

Via Google vind je zo een grotere afbeelding :
http://tinyurl.com/politievirus

Ik zelf heb een computer winkel, wij krijgen wekelijks ook meerdere laptop's en computers binnen met het 'politie virus'. Nu moet ik zeggen dat er de laatste tijd een afname is en dat we nu nog meer een enkele gebruiker binnen krijgen met het virus.

Het lijkt er toch op dat anti-malware en virus scanners ze tegenhouden via webprotectie. Tijd geleden was er ook een vertegenwoordiger van Panda Antivirus op bezoek bij ons. Ze vertelde dat er ook een paar duizend varianten van dit type. Zo heb je er ook bijvoorbeeld 1 die je webcam activeert en vervolgens aangeeft dat het word opgenomen.
Al met al is het gewoon heel erg smerig virus, vaak oudere mensen die per ongeluk ergens op hebben geklikt betalen de boete gewoon. Veel klanten van ons nemen ook meteen contact op met de politie en komen er al snel achter dat het gewoon oplichting is.

edit : Wat mij ook zelf opvalt is dat bijna alle besmette pc's meldingen hebben dat java of adobe flash out of date is. Eerder zag ik ook al een artikel dat hier vaak de besmetting doorheen komt, houd dus allen dat soort programma's up to date! Filehippo heeft daar een goede programma voor : http://filehippo.com/updatechecker/

[Reactie gewijzigd door egelalexander op 23 november 2012 14:20]

Ik deel dezelfde ervaring.
Meestal staat er op de PC een oudere versie van Java (versie 6). Bij computers met Java 7 ben ik het KLPD virus nog niet tegen gekomen.
Ben het virus al meerdere malen tegengekomen bij andere mensen. Enkele tips:

Virus staat vaak in c:/users/username/appdata/roaming of c:/windows/system32
Heb het toevallig vandaag ook gezien in de roaming map en dan adobe..
Gebruik MalwareBytes' Anti-Malware om het te verwijderen, werkt perfect.
Gewoon de computer opstarten, via F8 naar het opstartmenu en dan kiezen voor Windows met opdrachtpromp.. als je dan in windows komt, de opdrachtpromp verlaten met exit en via de taskmanager de explorer opstarten.

Wat ook kan is de computer gewoon opstarten, dan komt het witte scherm. kiezen voor ctrl-alt-del.. en dan andere gebruiker of afmelden kiezen. Als het goed is zegt windows dat er nog iets in de achtergrond draait, dan snel kiezen voor annuleren. Dat witte scherm is dan al weg, en kan je gewoon in windows om alles te verwijderen.

Wil je dat het virus geen vat op je heeft... zorg ervoor dat je username een spatie bevat..

Bijv. "Piet de Vries" is het virus niet op te starten, omdat bij het opstarten en om het hele pad " " gezet moet worden, en dat gebeurt vaak niet. Windows start het virus/malware dan niet op.

Tot op heden altijd nog kunnen verwijderen!

Op dit item kan niet meer gereageerd worden.



LG Nexus 5X Apple iPhone 6s FIFA 16 Microsoft Windows 10 Home NL Star Wars: Battlefront (2015) Samsung Gear S2 Skylake Samsung Galaxy S6 edge+

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True