Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 235, views: 53.091 •

En op de vijf computergebruikers die slachtoffer wordt van het inmiddels beruchte politievirus, dat een systeem gijzelt, betaalt in de hoop de computer weer te kunnen gebruiken, zegt de Politie. Er zou een sterke toename in het aantal besmettingen te zien zijn.

Al sinds minstens vorig jaar december maakt het zogenoemde politievirus slachtoffers. Deze malware kijkt op basis van het ip-adres uit welk land een gebruiker komt, waarna de pc vergendeld wordt en het slachtoffer een melding krijgt die afkomstig lijkt van het nationale politiekorps. De gebruiker zou zijn systeem volgens de melding voor illegale activiteiten, zoals het downloaden van kinderporno, gebruikt hebben.

Alleen tegen betaling van een boete van bijvoorbeeld 100 euro via de Britse betalingsdienst Ukash zouden de bestanden weer toegankelijk gemaakt worden. Ook na betaling blijft de computer echter op slot. "Eén op de vijf slachtoffers trapt er in en betaalt,” zegt Pim Takkenberg van het Team High Tech Crime van het Korps Landelijke Politiediensten tegen Zembla, dat aandacht aan de malware geeft. Er zijn ook varianten van de malware in omloop, het Buma Stemra-virus genoemd, waarbij de melding weergeeft dat de gebruiker zich schuldig heeft gemaakt aan illegaal downloaden. Volgens Symantec gaat het om bendes uit Rusland en Oekraïne, die er maandelijks een half miljoen euro mee verdienen.

Zembla heeft meerdere computerreparatiebedrijven gesproken die claimen dat er sprake is van een flinke toename. "Een paar maanden geleden ging het om incidenten. Nu krijgen we dagelijks geïnfecteerde machines binnen", zegt een bedrijf terwijl een ander claimt dertig besmettingen per week te moeten verhelpen. 

BumaStemra-virus

 

Lees meer over

Reacties (235)

Reactiefilter:-12350228+1176+218+32
1 2 3 ... 9
http://windows.microsoft....-windows-defender-offline

Hiermee zou het moeten lukken :)
Scannen vanaf een usb stick zonder windows op te starten.
Ik dacht er ineens weer aan; dat is omdat ze zichzelf in de vingers snijden wanneer ze een goed bericht opstellen:

Deze personen hebben profijt van mensen die niet al te helder zijn, en snel in een zielig bericht trappen. Als ze goede berichten schrijven bereiken ze ook mensen die wel weten hoe ze dit moeten aanpakken, en word het simpelweg het zoveelste bekende mailtje/virus. It's a circle.

Ik herinner me een boek hierover, maar volgens mij is deze onderstaande PDF soortgelijk.

Bron:
http://research.microsoft.com/pubs/167719/whyfromnigeria.pdf
Ik moet wekelijks meerdere van zulke besmettingen herstellen...

de oorzaak is simpel; outdated JAVA...
wie z'n java dus niet update en op een besmette site komt (of op pornosites komt die het virus propageren; want daar komt het vaak voor) kan er op rekenen dat zijn pc besmet zal worden vroeg of laat...

een antivirus helpt niet altijd; aangezien het niet echt als virus herkend wordt door de meeste antivirussoftwares... het is namelijk een gldige en gesigneerde microsoft dll als je de eigenschappen van het bestand gaat bekijken die gewoon mee wordt ingeladen met windows...
juist omdat hij niets 'malicious' doet wordt hij vaak niet herkend (hij wist niets, wijzigt ook niets aan je pc... gaat enkel full screen en schakelt tijdelijk een aantal functies uit, iets wat een game even goed zou kunnen doen)

via safe mode kan je hem perfect verwijderen...
Best ook wel scannen op virussen, want in sommige gevallen is hij binnengekomen via een trojan ipv rechtstreeks, en dan is het zaak om ook die trojan te verwijderen.... Vaak is dan je antivirus al gedeactiveerd; gebruik dan een usb-stick of een boot-cd om te scannen.. (avg, kaspersky, ... gratis te downloaden)
het politie ransomware virus doet echt niets meer dan wat ik omschreven heb hoor ...

het aanpassen van registry en taskmgr echt onmogelijk maken (melding "taakbeheer is uitgeschakeld door de administrator / u moet administrator rechten hebben om taakbeheer uit te voeren) gebeurt niet door de ransomware maar daar is een ander virus schuldig aan...
dan heb je dus al meerdere virussen op je pc staan..

nu hoef je daarvoor geen gpedit.msc te gebruiken (in windows xp home zit dat trouwens niet in; enkel in de pro versie heb je dat want da's iets voor policies te beheren). Je kan je taskmgr ook terughalen door een aantal registry keys te wissen die het virus heeft toegevoegd.

ff googlen zal je zeker helpen. Ik heb laatst zelf nog een pc van een klant gehad waar al enkele jaren norton antivirus op draaide en die nu ook ineens het ransom virus had... toen ik 'm scande met m'n avg stick bleken er meer dan 80 virussen op te staan... omdat het al een oudere XP machine was (vl werk om te herinstalleren / updates / software ...) besliste ik om toch te gaan voor de removal...
hebben al de virussen verwijderd; dan in windows via safe mode het gijzelvirus eruit gehaald (was dus verstopt in een geldige microsoft dll in de system32 folder met een random filenaam). en daarnaa MBAM gedraaid om nog eens een hoopje virussen / rootkits te verwijderen (avg is ook niet feilloos).
Daarna de problemen aangepakt, want hier was ook dat probleem met taakbeheer dat foutmeldingen gaf.. ondertussen kon ik wel procexp heel de tijd gebruiken... maar via een klein zoekopdrachtje had ik meteen gevonden dat er dus een aantal registry entries gewist konden worden... en ja hoor; de pc werkte weer als een zonnetje... nadien nog eens een laatste keer MBAM gedraaid terwijl ik ingelogd was op de accounts van de pc en outlook, IE, FF en WLMail had openstaan om zeker te zijn qua scripts enzo... kwam er nog eentje kijken bij outlook... die ook verwijderd en dan was de pc volledig clean...
1 uurtje werk; 103 virussen in de vuilbak; Norton ook verwijderd en een deftig AV erop gezet.... klant zeer blij
Je kan het niet vanop een besmette pc doen, want je geraakt helemaal niet voorbij dat 'politie-scherm' ;)
Bijgevolg kan je dus ook niet online laten scannen :P
Gewoon vanop een andere pc een stickje maken met een scanner erop.

Hoewel je hem ook manueel kan verwijderen, heb ik al meerdere keren gedaan.
Meestal staat er gewoon een vreemd genaamd bestandje in 1 van de startup-locaties van Windows (startmenu, registry, ...)
Bij sommige varianten kan je gewoon opstarten in Safe Mode.
Lukt dat niet, dan kies je voor 'Opstarten met command-prompt' en start je zo Explorer.exe of regedit.exe

Als je die files weghaald, kan je gewoon normaal opstarten en dan een scan laten doen om de restjes weg te halen :)
Er zijn meerdere versies van het virus op pad op het web, ik verwijder ze dagelijks bij mij op de zaak (Computerwinkel).
De een is met een KAV bootcd uit te schakelen, de ander door gewoon in veilige modus opstart bestanden te verwijderen.

Er zijn echter ook vartianten die zich diep in het OS nestelen en zelfs windows updates e.d. om zeep kunnen helpen.

In die gevallen gaan wij een klant niet met een half werkende PC naar huis sturen en zeggen van "85 aub, het virus is verwijderd (maar uw PC krijgt geen updates van windows meer)"
Als er dan een herinstallatie uitgevoerd moet worden is dat voor diezelfde 85, Backup erbij is een uurtarief van 55. Daar gaat wel wat meer tijd in zitten meestal. is er dan bijv. ook nog iets aan de PC kapot blijkt te zijn (HDD of RAM) dan wordt dat natuurlijk ook meegenomen in de evt. reparatiekosten. Hier wordt echter NIETS gerepareerd zonder klantaccoord.

Klachten over de prijs krijg je altijd, klanten zien alleen het eindresultaat. Wat er aan tijd heeft ingezeten om alles weer te fixen zien ze natuurlijk niet. Daarom maken wij altijd een lijst aan met de gedane werkzaamheden. Ook dan snappen ze het vaak nog niet maar kunnen ze wel zien dat er 3 of 4 pagina's met werkzaamheden zijn.

Laatst had ik weer een nieuwe versie die in 100% correct nederlands was en bijvoorbeeld de webcam activeerde zodat de klant nog meer het idee kreeg van dit is officieel. Ook was de pagina veel meer met informatie gevuld en hoge resolutie plaatjes van instanties.

Edit;

De enige manier om er zeker van te zijn dat het virus compleet verwijderd is (vooral de middenmoot aan hardnekkigheid) en voorlopig ook niet terug komt:

KAV live cd. (Haalt ook meteen alle andere meegekomen virussen eruit, een virus is meestal niet alleen, daarom is een restore ook gewoon geen oplossing)
Veilige modus opstarten
Temp files leeg gooien
Opstartlijst opschonen
Mbam draaien
Superantispyware oid
Softwarelijst nakijken en eruit knikkeren wat je er gewoon niet in wl hebben
Normaal opstarten
Evt nog een combofix indien er GEEN SQL gedraait wordt (helpt SQL installaties om zeep)
Software lijst verder opschonen indien sommige progs niet verwijderd konden worden in safe mode
Windows updates
Java/flash/reader en evt silverlight, shockwave etc etc updaten ( virus komt eigenlijk altijd via java binnen afaik)

Dit alles na een HDD en memtest ivm evt. Foutive resultaten of vastlopers tijdens scans. Ook is het een beetje lullig als de HDD het begeeft na of zelfs tijdens de werkzaamheden. Al een keer mee gemaakt namelijk.

[Reactie gewijzigd door ScytheNL op 24 november 2012 01:33]

ik heb dit virus ook gehad, echter ik heb deze wel met succes kunnen verwijderen,

ik heb gebruik gemaakt van de kaspersky rescuedisk 10. Deze werkt met een linux omgeving.

http://www.winportal.nl/kaspersky-rescue-disk

Het is mogelijk om te gaan scannen maar dit resulteert niet altijd,
Het is beter zelf via de explorer naar verdachte bestanden te gaan zoeken.

Bij mij had het virus een rare naam in de Temp en Appdata folder, deze had als icoontje een porche logo. Aangezien ik verder niets met porche heb kon ik ervan uitgaan dat die map besmet was.

Na het verwijderen van de inhoud van die map en nadat ik de map Temp had leeggehaald was het virus verdwenen. en kon ik windows weer benaderen op de gebruikelijke manier.
Er zijn meer varianten als ik zo lees uit reacties.

Er is dus een variant dat dit dus ook niet kan.
Je moet het dan via een bootable USB stick/CD starten, zoeken naar de bestanden (meestal in Temp en appdata map) en daarna het register opschonen.
in safe mode booten, in de AppData/roaming map de EXE vervangen door een leeg tekstdocument met dezelfde naam en extensie en in msconfig bij opstarten de exe uitvinken en je bent ervan verlost.

Overigens komt het virus er door een verouderde Java-versie, waarna de kwaadaardige Java-toepassing gebruik maakt van een lek in Internet Explorer om verder te geraken dan de Java-sandbox. Slim trucje.

Update: zo werkt het in elk geval voor het "politievirus" dat de Belgische variant toont. Maar als ik me niet vergis is dat, zoals het artikel zegt, hetzelfde virus met een andere webpagina via IP-check.

[Reactie gewijzigd door bramvandeperre op 23 november 2012 14:06]

Download en brand de Kaspersky Rescue Disk hier
- boot vanaf die CD,
- kies voor Graphic Mode,
- In het scan scherm dat tevoorschijn komt, klik je op de grote rode diamant. Hierdoor gaat Kaspersky even updaten.
- Scannen

Heeft bij mij alle besmette PCs gecleand!
Het virus zelf is niet zo moeilijk te verwijderen. In de Veilige modus kan je het virus uitschakelen in msconfig waardoor het virus niet meer automatisch mee opstart. Vervolgens kun je met Malwarebytes Anti-Malware en Anti-Rootkit het virus van je computer afhalen zonder enig probleem. Zo heb ik het virus al van verscheidene computers kunnen verwijderen.
Veilige modus werkte voor mij (Windows XP) niet. Veilige mode "command prompt only" wel.

Mogelijk OS versie (en malware versie?) afhankelijk dus.

[Reactie gewijzigd door marcovtjetje op 23 november 2012 13:14]

Mijn broer had deze melding ook. Heb het op deze manier opgelost :

- Computer opstarten (F8) : Windows starten met opdrachtprompt
- Als Windows is gestart typ je in de console "regedit"
- Blader naar deze locaties :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup

- Kijk of hier ongebruikelijke zaken instaan. Schrijf de bestandslocatie(s) hiervan op.
- Gebruik de console om naar de betreffende map te dirigeren en verwijder het betreffende bestand (kan ook met wildcards, bijvoorbeeld *.exe)
- Verwijder vervolgens de vermeldingen in het Windows Register.
- Start computer normaal op
- Doe voor de zekerheid een virusscan m.b.v. TrendMicro Housecall

Bij mijn broer stond er een of andere wazige file in een van de TEMP mappen van Windows. Het Windows register gaf dit handig aan welk bestand dit was. Nadat ik de bovenstaande procedure heb doorgevoerd was het systeem weer normaal te gebruiken.
Via Google vind je zo een grotere afbeelding :
http://tinyurl.com/politievirus

Ik zelf heb een computer winkel, wij krijgen wekelijks ook meerdere laptop's en computers binnen met het 'politie virus'. Nu moet ik zeggen dat er de laatste tijd een afname is en dat we nu nog meer een enkele gebruiker binnen krijgen met het virus.

Het lijkt er toch op dat anti-malware en virus scanners ze tegenhouden via webprotectie. Tijd geleden was er ook een vertegenwoordiger van Panda Antivirus op bezoek bij ons. Ze vertelde dat er ook een paar duizend varianten van dit type. Zo heb je er ook bijvoorbeeld 1 die je webcam activeert en vervolgens aangeeft dat het word opgenomen.
Al met al is het gewoon heel erg smerig virus, vaak oudere mensen die per ongeluk ergens op hebben geklikt betalen de boete gewoon. Veel klanten van ons nemen ook meteen contact op met de politie en komen er al snel achter dat het gewoon oplichting is.

edit : Wat mij ook zelf opvalt is dat bijna alle besmette pc's meldingen hebben dat java of adobe flash out of date is. Eerder zag ik ook al een artikel dat hier vaak de besmetting doorheen komt, houd dus allen dat soort programma's up to date! Filehippo heeft daar een goede programma voor : http://filehippo.com/updatechecker/

[Reactie gewijzigd door egelalexander op 23 november 2012 14:20]

1 2 3 ... 9

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013