Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties

Beveiligingsbedrijf F-Secure heeft de 'klantvriendelijkheid' van verschillende ransomware-varianten onderzocht. Het rapport lijkt met een knipoog geschreven, maar biedt desalniettemin een interessant inzicht in de processen achter ransomware-operaties.

Het onderzoek is opgezet door eerst op zoek te gaan naar varianten van ransomware die voorzien waren van een werkende command-and-control-server, en die de mogelijkheid boden om via verschillende kanalen ondersteuning te krijgen. Daarbij kwamen de onderzoekers uit op vijf types: Het bekende Cerber met daarnaast de varianten Cryptomix, Jigsaw, Shade en Torrentlocker.

Er ontbrak alleen nog een slachtoffer. Dat was echter snel gevonden met het fictieve personage 'Christine', een veertigjarige vrouw met een baan en kinderen, zonder enige kennis van ransomware. Christine zou vervolgens haar eveneens fictieve bestanden laten versleutelen door de verschillende malware-types en zich op de 'klantreis' van een ransomware-slachtoffer begeven. Bij het beoordelen werd onderscheid gemaakt tussen het product, dat wil zeggen de interface van de malware, en de dienstverlening in de vorm van ondersteuning.

f-secure ransomware productDe grote verliezers in de categorie 'product' zijn Jigsaw en Torrentlocker, op de hielen gevolgd door Shade en Cryptomix. Zij scoorden niet hoger dan een drie of vier uit negen mogelijke punten. Zo gaf Jigsaw een neongroene tekst weer met daaronder een paar ontblote borsten en een timer. De interface van Torrentlocker bleek gestolen van neefje Cryptolocker, dus daar kon het ook niet veel punten mee verdienen. Ook bleken de webpagina's alleen in het Nederlands beschikbaar te zijn, iets waarvoor de onderzoekers ook geen verklaring hebben. Andere varianten bevatten bijvoorbeeld alleen een aantal html-pagina's, waar ook geen eer mee te behalen is.

De duidelijke 'winnaar' op het gebied van interface is Cerber met 8,5 punten. Deze malware heeft een professioneel uiterlijk en biedt ondersteuning voor wel twaalf talen. Bovendien kan een slachtoffer gratis een enkel bestand ontsleutelen als een vorm van trial. Ook biedt deze ransomware duidelijk uitleg in de vorm van een tekstbestand op de desktop. De malafide software claimt overigens 'ontworpen te zijn om voorlichting te bieden op het gebied van informatiebeveiliging en te dienen als certificering voor bruikbare antivirussoftware'. Hij sluit af met de boodschap: "samen maken wij het internet een betere en veiligere plek".

f-secure ransomware serviceEr bleek daarnaast een soort omgekeerd verband te bestaan tussen de kwaliteit van interface en dienstverlening. Zo scoort Jigsaw negen uit elf mogelijke punten op het gebied van dienstverlening, ondanks de waardeloze interface. Ook Cryptomix en Shade scoren daarin hoger dan Cerber, dat slechts zes punten ontving. Torrentlocker scoorde maar één punt, doordat er geheel geen antwoord werd gegeven op een ingevuld ondersteuningsformulier.

Ook bleek de vertegenwoordiger van Cerber geen korting te willen bieden op de gevraagde som van 530 dollar. De hoogste korting bood Cryptomix door te zakken van 1900 naar 635 dollar. Ook Jigsaw en Shade boden tot 30 procent 'korting'. In alle gevallen werd alleen betaling via bitcoin geaccepteerd, andere opties waren uitgesloten. Vaak reageerden supportmedewerkers binnen enkele minuten op e-mails en deden dit meerdere keren per dag. Daaruit leiden de onderzoekers af dat reputatie een belangrijke factor is binnen de wereld van ransomware, zonder vertrouwen zouden slachtoffers immers niet betalen.

Aan het einde van het onderzoek is een uitgebreid gesprekslogboek opgenomen met een Jigsaw-'medewerker'. Deze is uiterst behulpzaam in het geven van uitleg over betaling via bitcoin en het verkrijgen daarvan. De conversatie strekt zich uit over meerdere dagen. De onderzoekers hebben uiteindelijk niet betaald voor het ontsleutelen van bestanden. Voor sommige slachtoffers zit er soms echter niets anders op dan het losgeld te betalen, ook al houdt dit deze praktijken in stand. Daarom is het belangrijk om back-ups uit te voeren, regelmatig updates te installeren en verdachte e-mails zeer kritisch te behandelen.

f-secure ransomware interface     De interface van Jigsaw en Torrentlocker

Moderatie-faq Wijzig weergave

Reacties (51)

Ik mag dit soort "onderzoeken" wel. Het is natuurlijk wel een beetje hobby, maar het geeft toch een aantal handvesten waar ook gerenommeerde bedrijven nog best wat van kunnen leren.

Als ze overigens bij een ransomware binnen enkele minuten antwoord kunnen geven op e-mails, waarom kan dit dan bij bedrijven niet?
Heet scheelt nogal of je een ongeschoolde of laaggeschoolde de eerste reactie (+ zoals je hieronder zegt 'glimlach van coolblue') kunt geven, of dat je al direct hoger gekwalificeerd personeel nodig hebt. Kwestie van kosten en baten. En keuzes van management hoeveel support mensen er zijn v.s. hooggekwalificeerd personeel dat naast klantenondersteuning ook nog zijn/haar eigen taak moet uitvoeren. De klant is koning, maar als je alleen maar klanten te woord staat, wordt er ook niets opgelost.
Het kan overal, maar het levert bedrijven geen geld op. Meestal gaat het om een product dat al verkocht is. Het geld is dan al binnen en service zal een bedrijf aan haar reet roesten. Of de kosten wegen niet op tegenover die handjevol mensen die ze als klant verliezen.

Bij cryptolockers moeten ze wel support geven, omdat ze anders merkbaar minder geld binnen krijgen. Bitcoin is nog niet zo ingeburgerd dat jan met de pet dat zomaar snapt.
Dit is idemdito voor veel dienstverleners: Het dienstenpakket mag dan verkocht zijn, maar zonder support zoekt de consument het toch gauw weer bij een concurrent.

Ik denk serieus dat het niet om het geld opleveren draait hier, maar de mindset bij veel beslissingnemers en werknemers. Hier zie je bij bedrijven als CoolBlue een omslag met: "Alles voor die glimlach".
Nou, ik wacht wel voor alsnog op een reactie van de Afrikaanse Prins.. Dus zo snel gaat dat niet.. ;)

OT: Klopt, ligt aan de mindset die men heeft. Zie je ook bij KLM met hun briljante reacties.
KLM heeft hier een 3e partij voor ingeschakeld; wat op zich geen probleem is. Wat wel een probleem is dat dit bedrijf wordt ingeschakeld en afgerekend op hoe weinig geld de antwoorden gekost hebben. Hierdoor worden de reacties op social media vaak inhoudloos en wordt er altijd in Prive Berichten het eea geregeld uiteindelijk. (Source: Sprak laatst een meisje dat voor deze toko werkt)

Daarnaast, die Afrikaanse prins waar jij het over hebt, die wil altijd goud exporteren oid. Dit is natuurlijk een heel andere zwendel dan het versleutelen van je data ;-)

[Reactie gewijzigd door vluggejapienl op 18 juli 2016 15:27]

Ja maak ze vooral wijzer joh. Straks krijgen we nog echt professioneel geschreven phishing mails van de bank, van prinsen uit nigeria en brieven van intrum justitia :+
Pay peanuts, get monkeys.

Die gasten verdienen gewoon veel meer als de gemiddelde servicedesk medewerker. Als je meer betaald kan je beter mensen aantrekken en meer van deze mensen eisen. Daarnaast heb ik mijn detacheringstijd ook veel gezien dat het normaal behandelen van (interne) servicedesk medewerkers je ook al een heel eind brengt.
Twee weken terug stond er een interview met Mikko Hyppönen van F-Secure in het NRC:

http://www.nrc.nl/nieuws/...omputers-3015084-a1510323

Daarin had hij het ook over de 'klantvriendelijkheid' van deze ransomware gasten. Best een aardig artikel waarin ook de sociale component wordt aangestipt achter 'cybercrime'. En dan niet het social engineering deel, maar over slimme jongens en meisjes met een laptop in een sloppenwijk die makkelijker geld verdienen met hacken dan met solliciteren bij b.v. Google.

[Reactie gewijzigd door bartvb op 18 juli 2016 14:44]

Al denk ik niet dat mensen uit de sloppenwijken hierachter zitten. Het zijn eerder hogeropgeleide creatieve mensen die dit doen hoor. Kijk naar het profiel van mensen die opgepakt worden ivm. cybercriminaliteit, bijvoorbeeld die kerel achter the Silk Road. Ook zij bezwijken onder de lokgroep van het grote geld. Geld dat je onmogelijk eerlijk kan verdienen door elke dag 8 uur op kantoor achter een pc te zitten.
Al denk ik niet dat mensen uit de sloppenwijken hierachter zitten. Het zijn eerder hogeropgeleide creatieve mensen die dit doen hoor.
Maar ook die wonen gewoon in sloppenwijken hoor. Betonnen huisjes met een golfdak, meer is het vaak niet. Ze trekken gratis WIFI uit de lucht of gebruiken een dongeltje.
Och, heb je hier een bron voor of lijkt je dit gewoon logisch?
In films zie ik dat ook inderdaad vaak, maar of dat daadwerkelijk ook in het echt zo gaat? Het kan natuurlijk daar niet van. Maar jij zegt het zo overtuigd dat je er vast en zeker een bron van heb, en daar ben ik wel nieuwsgierig naar.. Altijd leuk leesvoer :D
Mijn bedrijf is één van de grootste werkgevers op Freelancer.com en daar tref je heel veel van dit soort jongens aan. Slimme jongens die helaas de pech hebben gehad om in het verkeerde land / de verkeerde kaste geboren te worden. Dus ja, het betonnen huisje met golfdak... Die zitten er gewoon tussen.
Op http://krebsonsecurity.com/ worden wel regelmatig cybercriminelen ontmaskerd door Brian Krebs. Meestal maken die criminelen wel een foutje en hij omschrijft in het detail hoe hij ze dan ontmaskert. Dat is altijd interessant leesvoer. Maar mensen in een betonnen huisje met golfdak, is hij nog niet tegengekomen. Integendeel zelfs. De cybercriminelen stoeven met hun Porsche op Facebook.
Dus Jigsaw is de ransomware die je wilt hebben. Gratis naakt, goede communicatie, korting en daadwerkelijk je bestanden terug.

Ik zeg doen.
Is er een trialversie?
Volgens de tabel wel. 1 bestand, max een halve MB
Misschien bedoelt biglia wel een trial versie om tijdelijk het besturingsysteem te laten locken? :P
"Ja, hallo, media markt? Ik heb van jullie een computer gehad en nu staat daar Cryptomix op. Ik hoorde van mijn neefje dat Jigsaw veel gebruiksvriendelijker is, kan ik dat ruilen?" :+
Volgens mij is dit soort klant vriendelijkheid niet alleen bij cybercrime te vinden. Een kennis van mij vertelde ooit dat ze in zuid afrika beroofd was van haar mobiele telefoon (onder bedreiging met een mes) echter de overvaller gaf aan dat ze de simkaart er uit moest halen omdat ze anders haar contacten kwijt was en ze niet goed bereikbaar meer zou zijn ook na aanschaf van een nieuwe telefoon. Hij was toch alleen geintereseerd in de telefoon.
Soms zie je dan ook dat dit soort roven echt alleen gepleegd worden om de waarde van het gestolen goed. Sommige rovers hebben nog enig onderbuikgevoel bij hetgeen wat ze doen, maar dit zijn pogingen tot overleven; ze hebben immers niks en moeten klaarblijkelijk op deze manier aan hun geld zien te komen.
Dit soort "types" zijn dan ook uit op geld. Dan geef ik ze liever een paar 100 euro's die ze dan direct kunnen spenderen dan mijn telefoon. Naast dat het toestel kompleet dichtzit en nutteloos is behalve voor de onderdelen (alsof iemand een iPhone voor veel geld gaat laten repareren in Zuid afrika en dat niet bij een officiële store laat doen), ben ik liever ¤500 kwijt dan het toestel wat misschien de helft op levert.
Logisch, voor het slachtoffer levert een gestolen telefoon tegenwoordig veel meer narigheid op dan wanneer je ¤500 kwijt bent.

Die ¤500 is dan jammer, maar het scheelt je wel een hele hoop gezeur met verzekering, nieuwe sim-kaart, nummers, e-mail en een heel scala aan accounts waar die telefoon toegang tot heeft.
In principe is de telefoon inderdaad compleet nutteloos voor ze, aangezien hij veelal vergrendeld is met een pincode. Toch lijkt het mij geen fijn idee dat iemand met mijn telefoon ervandoor is gegaan die toegang heeft tot allerlei accounts...
Sws heb ik altijd een lokale sim als ik op vakantie ben. Juist om in dergelijke situaties nog mn eigen sim te behouden. Daarnaast is het ook een stuk goedkoper. Het toestel is goed beveiligd en kan niet zo der meer unlocked worden.
Contacten op je Sim, is dat niet een beetje ouderwets? :?
Ja en daarom heb ik dus een lokale simkaart. Daar neem ik dan een prepaid internet bundel op van 1GB+. Een aantal noodnummers zoals internationaal pinpas/cc blokkeren, internetionale verzekerinngsnummers en wat andere belangrijke gegevens zet ik wel op mn eigen simkaart. Deze stop ik dan in een nokia 3310 achtig apparaat die ik ergens kan verstoppen zodat ik wel snel bepaalde gegevens kan raadplegen in geval van nood.
Hoe klantvriendelijker, hoe groter de kans is dat ze gepakt worden. Bijvoorbeeld deze 2 Nederlanders die verdacht goed Nederlands konden: nieuws: Twee Nederlanders opgepakt op verdenking verspreiding ransomware
Het geschreven Nederlands in de ransomware was namelijk foutloos. Dat laatste verbaasde de onderzoekers bij Kaspersky, omdat Nederlands een 'relatief moeilijke taal is om volledig foutloos te schrijven', aldus een Kaspersky-onderzoeker.
Met je schrijfstijl laat je altijd een spoor achter.
Ik vind dat ze meer betalingsmogelijkheden moeten aanbieden: Visa, Paypal, MasterCard, desnoods bankoverschrijvingen. ;)
Vind ik ook! Handiger voor slachtoffers en maakt de pakkans een stuk groter :+
Ja, deze ironie ligt me wel.
Even wat anders dan het gemiddelde security software/malware rapport.
Nu ff kijken wie de prijs van klantvriendelijkste ransomware in ontvangst wil nemen.
Ik verwacht dat de ceremonie op veel bekijks kan rekenen.
Ik vind het voornamelijk te idioot voor woorden dat er gewoon word gepraat over support medewerkers en een snelle communicatie etc. Al je bestanden worden @!#$% gegijzeld voor losgeld en er word over gesproken alsof het gewoon een bedrijfje is wat bij wijze van aan een consumenten bond testje word onderworpen. Alsof het de noormaalste zaak van de wereld is en het gewoon een deel uitmaakt van ons dagelijks handellen.

Het kan aan mij liggen...Ik weet dat het eerder gemeentegoed begint te worden met dit soort praktijken...maar het is te idioot voor woorden dat er eigenlijk zo luchtig over word gedaan terwijl het voor consumenten een godsvermogen kost om dit op te lossen. Dit is diefstal in de ergste vorm omdat het haast lijkt alsof het word goedgepraat. Ongeacht of dit nu met een knipoog is of niet.

I know...een rant van heb ik jou daar....maar toch...
Maar ze geven je een wijze les omtrent veiligheid van je computer bestanden, dat mag toch wel wat kosten? ;)
Het enige wat dan nog ontbreekt is de Nederlandse wet koop-op-afstand, waarbij je de unlock-key weer terug kunt sturen en geld terug, wanneer deze niet bevalt.
Geen idee of "niet leren van je fouten" ook valt onder deze noemer :)

Maar inderdaad, te gek voor woorden dat dit zo gewoon begint te worden.
Je zou toch haast hopen dat ze een keer de verkeerde te pakken krijgen, die kosten noch moeite spaart om die lui op te sporen en duidelijk te maken dat dit niet kan. (en dan niet zelf probeert het om te zetten in een lucratieve inkomstenbron)
Je weet natuurlijk niet wat voor benden erachter zit, zomaar op onderzoek uitgaan terwijl je misschien bij een Pablo Escobar figuur uitkomt wordt je ook niet vrolijk van..

Het hoeven natuurlijk niet gewoon een paar kids te zijn die vanaf hun zoldertje bij moeders aan het opereren zijn... Kunnen gehele criminele organisaties achter zitten waar je gewoon ver uit de buurt wilt blijven.

Enige wat ik me afvraag, wat doet de overheid (politie etc) aan deze praktijken? Sommige ransomware is nu al ik weet niet hoelang in omloop, wie zit daarachter? Een criminele benden, een paar kinderen, de overheid? Laten we het laatste hopen van niet natuurlijk, maar waarom worden ze niet gepakt, waarom kunnen ze hun gang blijven gaan? Zijn ze gewoon NIET vindbaar of zijn ze wel vindbaar maar kan niemand er iets tegen doen?
Eerder een wijze les dat als je je in Belarus vesticht je met dit soort ongein gewoon wegkomt en zelfs met je "callcenter"geregistreerd kan staan en belasting betalen over je inkomsten...

Ik denk dat je dit in 2 stukken moet bekijken.
1 - de software zelf. Dit zie ik even als een virus. Hier zit de wijze les waar je het over hebt.. Helemaal mee eens. Het is klote...maar helemaal met je eens..Zelfde als phising e.d. in die zin.

2 - dit is waar ik zo kwaad om word. Dit is het feit dat je gewoonweg in gijzeling word genomen om het maar op een heel zwart witte manier te zeggen. En dat dat eigenlijk rustigaan word gezien als een daily business is eigenlijk te gek voor woorden.
Vandaar dat dit ook met een knipoog gedaan is zoals er vermeld staat....
Daarbij vind ik het als consument nog handig om te weten ook, weten wat je het beste kan doen wanneer je met een bepaalde vorm van ransomware te maken hebt. Moet je wel of niet betalen en etc?

Uiteraard het is allemaal fout en slecht en er mag helemaal geen ransomware in omloop zijn... Vandaar ook het knipoog achter dit onderzoek.

Je hebt het artikel dan denk ik ook niet gelezen en/of begrepen. Het is niet de normaalste zaak van de wereld, ja het maakt wel deel uit van ons dagelijks handelen (anders zou het niet zo vaak voorkomen). Er wordt niet luchtig over gedaan, het wordt niet goed gepraat, je begrijpt de knipoog dan ook niet dunkt mij?

Mede doordat het praktisch bij het dagelijks handelen hoort is het altijd handig om te weten wat je moet doen, niemand geeft er voorlichting over..... Nu doet iemand dat, nu heeft iemand onderzoek ernaar gedaan en is dat fout en denk jij dat het goedgepraat wordt? ah-ah dan heb je het simpelweg niet begrepen :)
Point made, mijn "rant" gaat niet over het artikel over het onderzoek zelf. Waar ik mij zo'n zorgen om maak is dat dit in zekere mate gedoogd word door overheden waar zij gevestigd zitten. Als je over een customer service kunt spreken bij een "misdaad organisatie" zoals je hier tegenkomt, dan is het eigenlijk van de zotten dat ze er zo makkelijk mee weg kunnen blijven komen. En dat het eigenlijk alleen maar erger zou kunnen worden.
Dat is waar ik het over heb. Dit heeft niks te maken met het schrijven van het artikel of het onderzoek.
Precies, daar ben ik het volledig mee eens.. Maar daar kan de onderzoeker van bovenstaand artikel niks aan doen.

Zoals ik ook hier ergens in een andere reactie aangeef is het vreemd dat sommige praktijken al ''jaren'' gaande zijn, ze hebben zelfs een KLANTENSERVICE hahahaha.. En ze worden gewoon niet gepakt, alsof het door de overheid gerund wordt zou je bijna denken.
Inderdaad. Het is jammer maar logisch dat dit soort onderzoeken op een enigzins kindelijke maniet gemaakt moeten worden anders schrikt iedereen zich de ... op het moment dat het hen overkomt. Dan kun je beter nuchter er in kunnen kijken en aan de hand van dit soort onderzoeken weten wat je kunt doen.

Veel van dit soort organisaties hebben een oorsprong in Belarus waar ze gedoogd worden en door de nabijheid van Rusland en de corruptie aldaar zij gewoon hun gang kunnen gaan en niemand durft eigenlijk met maatregellen te komen. Dat is gewoonweg te gek voor woorden.
Oh kijk dat wist ik helemaal niet over Belarus..

Daar mag je gewoon ''legaal'' dit soort praktijken uitvoeren? Zoals je ''legaal'' in NL wiet mag roken? legaal-gedoogd min of meer hetzelfde imo.
In het verleden is het meer zo geweest dat er aardig wat "praktijken" (denk boiler room idee om het simpel te houden) gewoon getaxed werden en eigenlijk ook gewoon geregistreerd stonden. De overheid ontvangt gewoon zijn belasting etc. Of nog leuker...lokale overheid zodat er niks geregistreerd staat doormiddel van crea bea boekhouding. Het zijn praktijken zoals je in meer als genoeg landen tegenkomt maar nooit in eenzelfde mate van technologische afpersing als hier en nu. Daarbij is het door de nabijheid van Rusland ook gelijk voor een groot deel afgeschermd van veel bemoeienis van "buitenaf".
Dit vind ik toch wel geniaal XD

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True