Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Ransomware' ontgrendelt bestanden pas na spelen PUBG

Een onlangs ontdekte ransomwarevariant, genaamd PUBG Ransomware, vraagt voor het ontgrendelen van bestanden voor de verandering geen losgeld. In plaats daarvan moet het 'slachtoffer' PlayerUnknown's Battlegrounds spelen, of een code invoeren.

De 'ransomware', die ontdekt werd door MalwareHunterTeam, vergrendelt bestanden op de desktop met een .pubg-extensie. Het lijkt om een grap te gaan, aangezien het programma PUBG Ransomware meldt dat het slachtoffer geen geld hoeft te betalen. Om de bestanden weer te ontgrendelen, is het enkel nodig de game PlayerUnknown's Battlegrounds te starten.

Het programma meldt dat het noodzakelijk is om gedurende een uur de battle royale-game te spelen, maar die eis is vrij eenvoudig te omzeilen. De achterliggende code van PUBG Ransomware zoekt enkel naar het activeren van een proces genaamd TslGame.exe, waardoor het aanmaken en uitvoeren van een exe-bestand met deze naam al voldoende is.

Iedereen die er genoeg van heeft om uit een vliegtuig te springen in PlayerUnknown's Battlegrounds, of niet in het bezit is van de game, kan de ransomware bovendien onschadelijk maken door het invoeren van een door het programma weergegeven code.

Een jaar geleden dook er ook al 'ransomware' op die vooral als grap was bedoeld. MalwareHunterTeam, een team dat dat verschillende soorten malware opspoort, vond toen RensenWare. Dit programma eist dat getroffenen een score van 200 miljoen punten behalen in een Touhou-game. Deze voorwaarde is een stuk lastiger te behalen dan die van PUBG Ransomware. Mede daardoor kreeg de maker van Rensenware later spijt en publiceerde hij een tool om de versleutelde bestanden te bevrijden.

Afbeelding van de 'gijzelsoftware'. Bron: MalwareHunterTeam

Door Joris Jansen

Nieuwsredacteur

10-04-2018 • 15:01

107 Linkedin Google+

Reacties (107)

Wijzig sortering
Kan er wel om lachen, misschien dat zo mensen voorzichtiger te werk gaan zonder al te veel schade.
Ik weet het niet. Je weet niet wat er op de achtergrond nog verder wordt “uitgewerkt” door deze “ransomware” . . .
Neem aan dat ze dat ook wel bekeken hebben in de code, op BC vond ik er ook niet meer info over en die zijn vaak meer in depth over dit soort dingen als T.net.

meer info: https://www.bleepingcompu...erunknowns-battlegrounds/
...misschien dat zo mensen voorzichtiger te werk gaan zonder al te veel schade.
Juist niet: als er geen schade is, dan denkt men er verder niet meer bij na, en vergeet men je snel. En klikt men de volgende keer gewoon weer op Kournikova.exe.vbs. (Ook zo volstrekt onnozel dat Microsoft nog steeds per default extenties niet laat zien. Maar dat terzijde...)

[Reactie gewijzigd door kimborntobewild op 10 april 2018 15:38]

(Ook zo volstrekt onnozel dat Microsoft nog steeds per default extenties niet laat zien. Maar dat terzijde...)
Dan kies je wel een heel ongelukkig voorbeeld, want het is niet alsof het uitvoeren van een executable veiliger is dan het uitvoeren van een VB script 8)7
Ik bedoelde Kournikova.jpg.vbs... ;)
Of Kournikova.jpg. vbs
(Een heleboel spaties na de jpg (helaas mod Tweakers mijn post (wat ze niet zouden moeten doen) - de spaties worden verwijderd), waardoor de extentie wegvalt. En ik zag laatst ook speciale karakters in een bestandsnaam, waardoor er aan 't einde toch jpg stond. Zulke speciale karakters (cursor-karakters o.i.d.) in een bestandsnaam zou letterlijk onmogelijk gemaakt moeten worden door Microsoft / Linus.)

[Reactie gewijzigd door kimborntobewild op 10 april 2018 16:54]

Tweakers past uw post niet aan. in html worden meerdere spaties weergegeven als een enkele spatie. Als je de bron bekijkt kan je zien dat alle spaties er nog in zitten.

https://www.wikihow.com/Insert-Spaces-in-HTML
Mja.

Het hele idee van extensies weglaten is uiteraard bedoelt om het 'gebruiksgemak' van gebruikers te bevorderen.
Ik vind het niet echt noodzakelijk om extensies weer te moeten geven, in een 'goed' OS zou het overbodig moeten zijn. ongeverifieerde (van het internet afkomstige) executables horen je gewoon een waarschuwing te geven wanneer je ze voor het eerst probeert te runnen "Let op! Deze EXECUTABLE komt van een mogelijk onveilige bron van af. Weet je zeker dat je deze EXECUTABLE wilt UITVOEREN?".

Al moet ik toegeven dat ik zelf wél extensies weergeef (en, grappig genoeg, die irritante pijltjes bij snelkoppelingen verberg zodat ze er als gewone iconen/folders uit zien) ik vind het volslagen overbodig om eindgebruikers extensies te laten zien.
Voor zover ik weet krijg je ook zo een indicatie, dus op het moment dat iemand die gewoon wegklikt is het zijn eigen schuld...
Ja, dat is dan ook mijn punt.. windows geeft toch al een paar iteraties lang een waarschuwing weer.. tenzij je die uitschakelt/negeert natuurlijk hehe. :+
Niet akkoord. Wanneer je extenties verbergt moet het net enorm hard opvallen dat die afbeelding ineens wel .jpg toont.
ik zie ook regelmatig nog .jpg.jpg files voorbijkomen hoor |:(
of... .jpeg.jpg

Die vind ik zelf super irritant. .jpg en .jpeg worden door windows wel als 'gelijkwaardig' beschouwd en je kan bijvoorbeeld niet in verkenner zoeken/filteren op .jpg vs .jpeg maar als je een rits foto's selecteert om te renamen krijg je dus doodleuk wel vakantiefoto.jpg, vakantiefoto.jpeg, vakantiefoto (1).jpg, vakantiefoto (1).jpeg, vakantiefoto (2).jpg etc etc etc.

Dát is echt SUPER irritant!
(Ook zo volstrekt onnozel dat Microsoft nog steeds per default extenties niet laat zien. Maar dat terzijde...)
:9~
Wel of geen extensies had bij jou niks uitgemaakt!
Er valt niets te lachen.
Stel dat de maker een tikfoutje heeft gemaakt en spontaan is de laptop/pc naar de zevende hemel.

Dan valt er weinig meer te lachen om dit soort onzin.

:edit
Met tikfoutje doel ik op een programmeerfout

[Reactie gewijzigd door jqv op 10 april 2018 16:04]

Ach je hebt toch een back-up van je data }>
Op zich kan het best een goede wake-up call zijn voor veel mensen...
Zo was er way-back (jaren 90 volgens mij zelfs) een tooltje in omloop die een scherm toonde dat al je bestanden verwijderde. Was geheel nep - maar toonde wel daadwerkelijk jouw bestanden die in rook opgingen. En sloot af met de melding dat het niet echt was (en geloof een reclame naar een anti-virus tool).
Was bijzonder effectief qua bewustmaking van de risico's.
Hoe wil je een pc naar de "zevende hemel" sturen door een stukje software?
Denk op data gebied, maar alsnog je moet ook een backup hebben van je data, anders is je data niet belangrijk genoeg.
Het is te lang om uit te typen, om maar direct even het meest extreme voorbeeld er uit te pikken; https://en.wikipedia.org/wiki/Stuxnet

Daarnaast zijn er nog legio mogelijkheden om dit te bewerkstelligen gezien bv. je 'tegenwoordig' BIOS aanpassingen kan maken vanuit Windows is het dus prima mogelijk om een PC naar de zevende hemel te sturen.

Dit zijn 2 voorbeelden, 1 extreme, de ander wat minder, maar je kan je dus bedenken wat je allemaal zou kunnen doen met 'een stukje software'.
Okee maar door een tikfout?
Programmeer foutje doel ik op.
Dat kan leiden tot grote gevolgen.
Kan het verschil zijn of je geld ineens allemaal Weg is op je bank. Door bijvoorbeeld een overflow. Of dat je overboeking van 10 euro slaagt.

[Reactie gewijzigd door Zezura op 10 april 2018 19:40]

Tja...

Je zou toch maar een bedrijf oprichten, het geld rolt binnen.... 100k, 500k, 1miljoen, 1,5miljoen, 2 miljoen, 2.1miljoen... 2.147miljoen... eeeen al je geld is weg :+ :9

Hoeft niet eens een 'tikfoutje' te zijn, gewoon slordigheid in het correct voorkomen/afvangen/afhandelen van mogelijke errors kan al enorme problemen opleveren. Software ontwikkelaars kunnen dit soort programma fouten door juiste Q&A/bugtesting detecteren en verhelpen, maar in het geval van zo'n ransomware programma is dat niet echt aan de orde en gezien je mensen hun bestanden aan het versleutelen bent kan dat erg nare gevolgen hebben gezien allerlei mensen allerlei datamangement 'technieken' hanteren en er slootladingen aan programmas zijn die willekeurige gebruikers kunnen draaien die actief data manipuleren als essentieel onderdeel voor het correct functioneren van die programmas.
Een stukje software in c++ geschreven kan meer doen dan je denkt ;) Je kan er assembly code mee schrijven en daarmee kan je echt wel iemand zijn systeem om zeep helpen.

Overigens zie ik het nut niet van om iemand zijn data te locken.
Kijk maar uit voor opcode, is nog gevaarlijker dan assembly. Daarmee kan je mensen knettergek maken :)
Een stukje software in c++ geschreven kan meer doen dan je denkt ;) Je kan er assembly code mee schrijven en daarmee kan je echt wel iemand zijn systeem om zeep helpen.
Sorry, maar dit slaat nergens op :). Met assembly kun je niet ineens hele speciale dingen. Als je met programmacode een PC om zeep wil helpen, dan moet je dat al snel zoeken in de richting van oververhitting, en dat lukt je wel in elke programmeertaal, zelfs in je browser. Áls het al mogelijk is, want over het algemeen zijn CPU's en GPU's daar tegen beveiligd.

In ring 0 kun je natuurlijk meer dingen (want dan kun je direct de hardware aanspreken), maar dan zul je daar eerst in moeten proberen te komen. En om dat te bereiken zul je idd al snel een native omgeving moeten hebben, die oa C++ en assembly je bieden.

[Reactie gewijzigd door .oisyn op 10 april 2018 16:20]

Ik had het niet over fysiek om zeep helpen
Waarom zou drivers overschrijven niet in bijv. C#, Python of PHP kunnen? Kun je eens aangeven waar je dan specifiek assembly voor moet gebruiken?

Als dat al zou kunnen, want over het algemeen kan dat dus niet, om 2 redenen: je hebt er administrator rechten voor nodig, en drivers die in gebruik zijn zijn gewoon gelockt door het OS.
Ik vind het totaal niet om te lachen.
Omdat jij je autodeuren niet afsluit, vind ik het grappig om je interieur onder te smeren met mayo ?

Zou graag even willen 'spreken' met een virus/ransomware schrijver.
In april vorig jaar downloadde ik een mod van steam workshop voor football manager 2015. Helaas was het geen mod die deed wat er beloofd werd, maar wiste en overschreef deze alle bestanden op alle schijven behalve de NAS welke uitgeschakeld stond.

Noem jij dat maar grappig.
Als je dan toch een vergelijking wil maken met auto's dan zou dit eerder moeten zijn: omdat jij je autodeuren niet afsluit plak ik je interieur onder de stickers die je er eerst af moet halen ( zonder dat er plak spul achterblijft)...

Natuurlijk is het niet grappig als je ransomware op je pc hebt, maar in dit geval had het veel erger kunnen zijn.
Nee, je moet eerst verplicht een uur apenkooien voordat je de stickers mag verwijderen.
In mijn opinie maakt het niet uit of je wordt gedwongen een geldbedrag over te maken of een game te spelen. Het is gewoon crimineel gedrag dat als zodanig moet worden beschouwd en vervolgd.
Of iemand heeft een grap uitgehaald of dit is een proof-of-concept test. In plaats van een game kun je natuurlijk ook vereisen dat je slachtoffer bijvoorbeeld een cryptominer draait.
Dit lijkt me inderdaad wel de meest logische verklaring.
PUBG gebruiken als POC, de workarounds vinden en die verbeteren en daarna deze ransomware inzetten zodat mensen hun bestanden kunnen unlocken door een cryptominer te draaien.

Na minen van voldoende coins, worden je bestanden vrijgegeven.
Maar iedereen kan zomaar een .exe renamen en die uitvoeren. Het wordt al meer een uitdaging als je op zoek gaat naar een specifieke Windows service en die aanroept. Of een geregistreerde DLL-file.
Hoe kun je zo'n .exe maken of het spel spelen terwijl je bestanden vergrendeld zijn? :?
Omdat alleen specifieke bestanden vergrendeld zijn (.jpg, .tiff, .docx, .xlsx).
Executables zijn niet vergrendeld, dus je kunt gewoon het volgende doen:
copy c:\windows\system32\notepad.exe c:\temp\TslGame.exe
c:\temp\TslGame.exe
Heb er zelf geen last van, haha, maar oké, dit wist ik nog niet, bedankt :)
Het doel is maximaal schade doen, dus in plaats van de hele schijf te verkloten doen ze enkel files die handig zijn om het geld binnen te trekken (office bestanden / foto's / ...) klein en snel te encrypteren.
Misschien even meer verdiepen in wat "Ransomware" in het algemeen is en in wel vormen.

In dit geval versleuteld het je bestanden, maar uiteraard niet allemaal.
Bijvoorbeeld alleen jouw documenten, fotos en alles wat op je bureaublad staat.
Alleen die specifieke bestanden kun je niet meer openen.
Je bent in staat om gewoon programma's te openen mits deze niet zijn vergrendeld.

Uit een ander artikel: "When the PUBG Ransomware is launched it will encrypt a user's files and folders on the user's desktop and append the .PUBG extension to them."

Ransomware bestaat ook in de vorm dat het je systeem vergrendelt. Dan is het uiteraard inderdaad niet mogelijk om deze handelingen te doen, maar ze zullen je dan ook niet vragen om even iets te starten, ze zullen je geld eisen!
Had leuk geweest als je per se "Winner Winner Chicken Dinner" moet halen. :P
Dat valt waarschijnlijk niet goed te controleren.

[Reactie gewijzigd door dat_zal_wel op 10 april 2018 15:38]

Als je verplicht username moest invullen wel, dan kan je gewoon via diverse trackers zien wanneer je een winst hebt behaald.
Ja dan vul je toch een username in van iemand die net gewonnen heeft? Nee lijkt me inderdaad niet eenvoudig te tracken. Tenzij er allerlei API’s voor PUBG zijn waar het mee zou kunnen.
Ik heb ooit via een programma internet packets onderschept tijdens het spelen van een spel.
Je kon toen bepaalde packets nog een aantal keer naar de server sturen voor meer geld.

Het zou misschien dus kunnen dit zo te controleren
Een beetje in de trant van: "dit is een overval! Nee hoor grapje, ik kom collecteren voor de hartstichting."
Dan loop je de kans op hartaanvallen.
des te meer reden om gul te geven! :Y)
Ik heb toch een hart van steen, dus ze kloppen dan bij de verkeerde aan. :+
Het is niet het worst-case scenario. "Grappig", zoals veel commentaren hier zeggen, is het zeker niet.

In hoeverre is dit "echt" ransomware? Worden de bestanden ook daadwerkelijk ge-encrypt? Zelfs al krijg je de code, mag je waarschijnlijk nog enkele uren gaan wachten voordat het decrypt proces klaar is. Ook vraag ik me af welke attack vector(s) dit virus gebruikt? Springt het zelf over van computer naar computer, gebruik makend van een of andere 0-day exploit, of moet de gebruiker dit downloaden en uitvoeren?

Als het virus de bestanden encrypt, en daarna direct de decrypt key geeft, snap ik het nut er niet van. Waarom dan uberhaupt encrypten? Waarom niet gewoon de mogelijkheid geven het venster te sluiten?

Weten ze zeker dat er niet onder water nog een rootkit wordt geďnstalleerd? Dit lijkt me meer een afleidingsmanoeuvre, die de gebruiker laat denken dat zijn computer weer "veilig" is, terwijl er onder water nog allemaal crap op de PC aanwezig is.
Een beetje als een bank overvallen met een clownsneus; vraag om een beschrijving van de dader, en iedereen weet dat de dader een clownsneus droeg. Maar niet hoe lang of hoe oud hij was.
Als je dit op je werk krijg, heb je heel wat uit te leggen. :D
Dit is misschien voorwerk van iets groters. Een proof of concept. Ben benieuwd in welke kwaadaardige vorm we dit terug zien komen.
Geen leuke grap, je zal maar een deadline hebben.
"viral marketing" en "going viral" nemen hier hele nieuwe betekenissen mee aan.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True