Microsoft waarschuwt voor nieuwe versie CryptoWall-ransomware

Microsoft waarschuwt dat er een nieuwe versie van CryptoWall in omloop is gekomen. De malware 'gijzelt' bestanden door deze te versleutelen. De criminelen achter CryptoWall 3.0 eisen een betaling van circa 500 euro in bitcoin voor de sleutel.

De beveiligingsonderzoekers van Microsoft melden dat het bedrijf tot nu toe 288 besmette machines heeft gedetecteerd met CryptoWall 3.0. Net als vorige versies van CryptoWall wordt alle data op een getroffen computer versleuteld. Tegen betaling kan het slachtoffer de voor ontsleuteling benodigde key 'kopen'. Daarvoor moet in bitcoin een bedrag van circa 500 euro worden betaald; bij vorige versies was dat nog ongeveer 1000 euro. Als de gebruiker niet tijdig betaalt wordt het 'losgeld' door de ransomware verdubbeld.

De nieuwe versie van CryptoWall communiceert deels via het I2P-protocol, een anonimiseringsprotocol, zo meldt de blog Malware Don't Need Coffee. Vorige versies van CryptoWall gebruikten nog het Tor-netwerk. Mogelijk zijn de malwaremakers overgestapt naar I2P in een poging hun identiteit beter te verbergen.

De terugkeer van CryptoWall komt niet onverwacht, al werden enkele maanden lang geen nieuwe versies uitgebracht. De vorige versies hebben naar schatting ruim 830.000 systemen besmet. In mei ondernamen organisaties wereldwijd nog gezamenlijk een actie waardoor het Gameover Zeus-botnet werd verstoord. Dit botnet werd gebruikt voor de verspreiding van CryptoWall.

IT-banen

Reacties (107)

Verwijderd 16 januari 2015 11:17

Het moet toch niet zo moeilijk zijn om een programma te maken die detecteerd als je bestanden versleuteld worden en dat vervolgens blokkeerd.
HitmanPro heeft dat dus gedaan. Is nog gratis ook.
Er staat ook een angstaanjagend filmpje bij die laat zien hoe makkelijk en snel je besmet kunt raken.
http://www.surfright.nl/en/cryptoguard

Johan9711 15 januari 2015 18:37

Gewoon preventief zorgen voor een goede backup, dan is er in zo een geval niets aan de hand. Uiteraard wel zorgen dat je backup disk niet besmet raakt, maar met gezond verstand is dat goed mogelijk.

Wat ik me altijd afvraag bij de ransomware: Het duurt toch verchrikkelijk lang om bijv. 1 TB aan bestanden te versleutelen?

TD-er

@Johan9711 • 15 januari 2015 18:56

[...]

Wat ik me altijd afvraag bij de ransomware: Het duurt toch verchrikkelijk lang om bijv. 1 TB aan bestanden te versleutelen?

Een beetje moderne CPU is al lang niet meer de beperkende factor bij het versleutelen. (hardware AES)
Blijft over de lees/schrijf snelheid. Die is met een moderne hdd zo'n 50 MB/s (lees & schrijf), dus 180 GByte per uur.
Menigeen heeft naast de gedownloade films en series heel weinig aan eigen gemaakte data. Zou me verbazen als dat bij de meeste mensen dus meer dan 180 GB is, dus is in een uurtje te versleutelen. Op PC's met een SSD gaat dat dus sneller.
Al kan ik me voorstellen dat je op full-speed een beetje makkelijker te detecteren bent, dus kan iets meer tijd kosten, maar in een uur tijd kun je al heel veel schade aanrichten. Zeker als je begint bij de nieuwste bestanden.

DaBeast.net @TD-er • 15 januari 2015 19:56

Tegenwoordig bestaat er ook hardware encryptie (Opal drive), waarmee je schijf in 20 seconden encrypted is. Veel moderne schijven hebben deze ondertussen, bv Crucial M500.
http://en.wikipedia.org/wiki/Opal_Storage_Specification

Edit: Wiki

[Reactie gewijzigd door DaBeast.net op 23 juli 2024 22:25]

TD-er

@DaBeast.net • 16 januari 2015 07:32

Zo'n opal drive is niet praktisch voor dergelijke virusschrijvers.
De slachtoffers moeten namelijk ook nog een melding krijgen over hoe te betalen en dat is wat lastig als je OS niet boot zonder wachtwoord.

bart.honhoff @TD-er • 16 januari 2015 10:25

Een beetje fotograaf zal het niet met je "Zou me verbazen als dat bij de meeste mensen dus meer dan 180 GB" eens zijn.

180GB is voor mij iets van een twee maanden fotograferen. En dat doe ik al een aantal jaar.

PaulC @bart.honhoff • 16 januari 2015 15:11

Herkenbaar ! 1 foto (raw+jpg) = +-50 Mb, dus 20 foto's = +-1Gb
En gemiddeld zit ik ook rond de 3 a 400 foto's (niet uitgeselecteerd) per "event"
On Average een 16Gb kaartje zeg maar per keer .

TD-er

@bart.honhoff • 17 januari 2015 10:34

Een beetje fotograaf zal het niet met je "Zou me verbazen als dat bij de meeste mensen dus meer dan 180 GB" eens zijn.

180GB is voor mij iets van een twee maanden fotograferen. En dat doe ik al een aantal jaar.

Belangrijkste term is "meeste".
Ik heb zelf ook TB's aan eigen gemaakte data waarvan ik het ook heel jammer zou vinden als het verloren zou gaan.
Video-opnamen sinds midden jaren '90 en veel gemonteerd werk.
Maar de hoeveelheid (belangrijke) data die mensen hebben is zeker niet evenredig verdeeld. Ik denk dat (natte vinger werk) 90% van de computereigenaren minder dan 200 GB aan belangrijke data op de computer hebben staan.

Een beetje moderne CPU is al lang niet meer de beperkende factor bij het versleutelen. (hardware AES)

Goedkope Intel processoren (Pentium, Celeron, Atom, Quark en sommige i3) hebben doorgaans geen AES-NI. Die hebben al moeite om een HDD bij te houden, laat staan een SSD. Dure Intel processoren en zowat alle los verkrijgbare AMD processoren (ook de heel goedkope) hebben de Advanced Encryption Standard Instruction Set en daarmee veel hogere doorvoer, als de gebruikte software die extra hardware-instructies ook echt gebruikt. Dat gaat tot enkele GBps voor decryptie en encryptiedoorvoer voldoende om een SSD bezig te houden.

Die slechte processoren zijn in zekere zin beter als je besmet raakt: door de zware CPU-belasting en lagere doorvoer is er mogelijk minder data geencrypteerd voor je de besmetting merkt, de machine afzet en ze naar het forensisch onderzoek stuurt.

Verwijderd @Johan9711 • 15 januari 2015 23:58

Gewoon preventief zorgen voor een goede backup, dan is er in zo een geval niets aan de hand. Uiteraard wel zorgen dat je backup disk niet besmet raakt, maar met gezond verstand is dat goed mogelijk.

Dat is natuurlijk niet preventief. Backups terugzetten is juist de reddingsoperatie voor als het mis is gegaan. Je bent pas preventief bezig als je zorgt dat je niet besmet kunt raken.

Cerberus_tm

@Verwijderd • 16 januari 2015 11:42

Precies. Daarnaast moet je dan een back-upsysteem met version control hebben, anders overschrijft de verlsutelde versie gewoon de goede versie tijdens de eerstvolgende back-up. En voor een back-up schijf betekent het ook dat je 100% moet kunnen garanderen dat het virus geen random schrijfopdrachten aan de schijf kan geven, anders wist hij gewoon je back-ups. Dropbox is wel veilig: je oudere versies kunnen niet verwijderd worden.

PilatuS @Johan9711 • 15 januari 2015 19:08

Je zal dit virus ook vast wel kunnen herkennen aan hoog CPU en HDD gebruik voordat de melding op het scherm komt. De melding komt pas nadat de encryptie klaar is. Afhankelijk van de hoeveelheid data zal de PC uren of zelfs dagen constant bezig zijn.

Nu is dit zien natuurlijk niet voor de gemiddelde persoon, maar het zou mij persoonlijk wel opvallen. Op mijn 2e scherm staat een hoop info over de CPU en HDD's. Als ik daar opeens een uitschieter zie kijk ik altijd even waarom dat zo is.

Verder zal dit virus en nieuwe varianten er van helaas een blijvend iets zijn. Zolang er mensen betalen is het erg makkelijk heel erg veel geld verdienen. Zelfs op het forum hier op Tweakers heb ik al mensen gezien die betalen. Laat staan wat de gemiddelde persoon doet die nooit een backup maakt en veel belangrijke data heeft. De enige manier om dit weg te krijgen is als het ontwikkelen van dit virus meer geld kost dan dat het opleverd, helaas zal dit nooit gebeuren.

RGAT @PilatuS • 15 januari 2015 19:19

Ik neem aan dat deze malware wat slimmer is dan vol encryptie draaien met 100% systeem resources in gebruik, dat valt namelijk iedere gebruiker op als de hdd vollop bezig is, dan kan je nog een quad socket setup hebben, dan is je pc alsnog niet vooruit te branden...
Denk eerder dat de malware rustig zijn tijd neemt, het hoeft niet binnen tien seconden te gebeuren, als het morgen of overmorgen klaar is is dat ook prima, dan is er toch niets meer tegen te doen behalve betalen (vanuit het oogpunt van de ontwikkelaar(s))

Uiteindelijk zal de enige manier om dit soort troep te detecteren het monitoren van bestandshandles zijn, als een programma over X tijd een bovengemiddeld aantal bestanden opent (om te encrypten bijv.) dan is dat mogelijk niet de bedoeling, een beetje AV zal dit toch wel zien?

PilatuS @RGAT • 15 januari 2015 19:23

Dat is een goed punt. Ik vraag mij af hoe dit precies zit. Stel het virus gebruikt maar 15% van de CPU en HDD, dan kan het bij sommige PC's lang duren. Mijn PC heeft naast een 1TB SSD ook nog 2x een 4TB HDD. Als het virus maar weinig gaat gebruiken dan zijn we denk ik weken verder tot dat het klaar is. Ik vraag mij af of het virus inderdaad minder gebruikt dan wat de PC kan, en zo ja, hoeveel dan.

GeeMoney @PilatuS • 15 januari 2015 20:57

Ik kan je verklappen dat het enorm snel gaat en dat komt:

Ze encrypten alleen de eerste (zeg 40) bytes van een file. Hiermee wordt hij onleesbaar doordat de header etc. nu versleuteld is.
Het zoeken en versleutelen van dit kleine beetje data kan dus enorm rap gaan zelfs op langzame pc's en schijven.

Ik heb dit namelijk zelf meegemaakt in een minuut of 5 had hij mijn oude i3 laptop volledig versleuteld en de disk was 500GB waarvan 180GB gevuld.

The Underminer @GeeMoney • 15 januari 2015 22:42

Wow, dat is vrij geniaal. Inderdaad jammer van het verspilde talent

Enai @The Underminer • 16 januari 2015 07:29

Wees maar zeker dat dit soort mensen ook wel bij de geheime dienst werkt.

PilatuS @GeeMoney • 15 januari 2015 21:08

Dat hebben ze erg slim gedaan dan. Zelfs bij mij zou mijn complete PC dus erg snel gedaan zijn. Jammer dat ze deze energie en kennis in zulk soort dingen stoppen. Het zou bijna verboden moeten zijn om te betalen. Hoe meer mensen betalen hoe erger het word. Beetje hetzelfde als de piraten in Somalië betalen bij een gijzeling.

MneoreJ @Johan9711 • 15 januari 2015 18:43

Je kunt gewoon bestand voor bestand werken bij openen en sluiten (de bestanden waar je dagelijks mee werkt zijn waarschijnlijk waardevol), en op de achtergrond, asynchroon. De malware heeft tenslotte geen haast; zolang hij maar klaar is voor de makers verdwenen zijn.

FreezeXJ @MneoreJ • 15 januari 2015 19:31

Juist wel, als hij gedetecteerd wordt kan ie gestopt worden. Voor die tijd moet er voldoende versleuteld zijn, alhoewel vaak de 20 laatst geopende documenten (Windows houdt heel handig een lijst bij) een goed startpunt is.

Tittah @Johan9711 • 16 januari 2015 12:11

Wat ik me altijd afvraag bij de ransomware: Het duurt toch verchrikkelijk lang om bijv. 1 TB aan bestanden te versleutelen?

Als ik het mij goed herinner, worden alleen de eerste x bytes van het bestand versleuteld. Ik kan mij voorstellen dat dit snel kan gaan...

Johan9711 @Tittah • 16 januari 2015 12:13

Wanneer je dus een bestandsformaat gebruikt met een belachelijk lange header, ben je beter beveiligt tegen ransomware?

The GUI @Johan9711 • 15 januari 2015 18:42

Dat klopt, dat is afhankelijk van de snelheid van de PC. De meeste ransomware richt zich ook als eerste op documenten en afbeeldingen en vervolgens op de overige bestanden omdat aan documenten en foto's vaak meer waarde gehecht wordt.

User321 @Johan9711 • 15 januari 2015 21:20

Bij veel van dit soort malware wordt maar een klein deel (eerste 2-4MB van elk bestand) daadwerkelijk gecrypt, maar dat maakt ze alsnog onbruikbaar natuurlijk..

Verwijderd @Johan9711 • 16 januari 2015 16:32

"Uiteraard wel zorgen dat je backup disk niet besmet raakt"
en dat is nu juist lastig.
Dat je besmet raakt met malware of een virus wil niet zeggen dat het direct zijn werk gaat doen. 'slimme' malware kan wachten tot je backup gekoppeld is. Of... je hele backup aan foto's in dropbox versleutelen.
Als je echt belangrijke data hebt (foto's b.v.), zou ik het op dvd zetten, plus op een externe disk.
Maar voorkomen is altijd beter dan genezen.
grt. Ralph

Galinsky 15 januari 2015 22:01

Ik had vorige week zondag dit 'virus' te pakken. Echt werkelijkwaar alles dat zijn bestandextenties ondersteund was encrypt op alle schijven van de pc behalve de C schijf. Gelukkig van het meeste een backup dit is het "enige dat werkt om het hele virus op te lossen" maar natuurlijk niet alles is terug want ik maak niet elke avond een nieuwe backup.

Wat opvallend is is dat volgens mij niks op mijn C schijf is encrypt niks gevonden dat corrupt is tot nu toe. Ook durf ik niet opnieuw te backuppen want straks overschrijf ik iets met een encrypt bestand dit is namelijk werk van elk bestand uitproberen.

De c schijf is een ssd en staan alleen wat office documenten op dus het kan zijn dat hij dat raargenoeg niet ondersteund (een officedocument).

Maar mensen maak backups!

[Reactie gewijzigd door Galinsky op 23 juli 2024 22:25]

BUR @Galinsky • 15 januari 2015 23:08

Hoe ben je eraan gekomen? Via torrents oid? Als het duidelijk is hoe dit gebeurt zou het een nuttige toevoeging zijn aan het artikel!

[Reactie gewijzigd door BUR op 23 juli 2024 22:25]

Galinsky @BUR • 16 januari 2015 00:02

Ik mag het niet zeggen maar ik torrent inderdaad vrij wat. Ik denk echter niet dat ik het via die weg heb gekregen. Ik heb ongeveer een week voor het virus veel gezocht naar een screen recorder voor games etc. ik heb er toen een stuk of 10 gedownload of verscheidene site's om te kijken hoe ze werken opties en dergerlijke. Sinds die tijd gaf de ingebouwde virusscanner van windows 10 telkens melding van virus (mijn vermoeden gaat naar de (!action) screen recorder) weet wel dat ik het niet via de officiele site heb gedownload!. ik heb zelf een diepe scan en virus verwijderen gedaan maar hij bleef een melding geven over een virus. Ongeveer na 3 dagen was dat over. Daarna heb ik volgens mij niks bijzonders gedaan qua downloaden. Toen kreeg ik een interessante melding de dag voor dat het virus kwam. Ik weet niet meer precies wat het te melden had het ging om een gebruikers actie. als ik op annuleren of accepteren drukte kwam hij telkens terug (ik kon ook niks anders doen dan erop drukken) als ik afmelde en weer aanmelde was het weg maar zodra ik de pc opnieuw opstarte kwam het weer. Ik werd daar zat van die zondag en wilde het toen ook gaan oplossen maar doordat ik er zat van werd heb ik iets van 50x op enter gedrukt (zorgde er dus voor dat ik 50x op annuleren of accepteren drukte) toen ging de melding weg en kwam het virus ervoor. Met betalen. toen direct pc afgesloten. Uit reacties zeggen ze dat het lang duurd voordat alles encrypt ik zelf heb daar niets van vernomen. Zondag ochtend werkte voor zover ik weet alle liedjes nog die ik op de pc had staan ook vlak voordat ik de pc afsloot was alles intact. daarna na dat virus direct pc uit en hardeschijven ontkoppelt. Toen pc weer aan virus volledig verwijderd met avg en andere gratis virusscanners voor de zekerheid. Ik zag dat niks op mijn ssd was gencrypt dus ik was al blij maar nadat ik mijn hardeschijf er weer op aansloot bleek al mijn muziek wel corrupt te zijn. Alle vakantiefoto's ook. Dit alles bijelkaar is ongeveer 150GB dat hij heeft moeten encrypten. Alle games en savegames zijn niet aangetast. Als ik ervan uitga dat die melding dat virus heeft geactiveerd in iedergeval die melding daar toestemming voor vraagt dan heeft dat virus alles kunnen encrypten in 5 seconden. En dan is dat ook nog verspreid in +-40000 bestanden.

[Reactie gewijzigd door Galinsky op 23 juli 2024 22:25]

GabrielWB @Galinsky • 16 januari 2015 01:02

Uit nieuwsgierigheid; Heb jij gedeelde mappen/schijven/nas systemen in je netwerk? Zo ja, ben jij daar ook versleutelde/corrupte bestanden gevonden?

Ik heb al een hoop gelezen over deze encryptierommel maar ik ben toch benieuwd wat er gebeurd als het virus zaken tegen komt als gedeelde mappen en netwerkschijven met schrijf-rechten. En ook wat voor een schade ik zou kunnen verwachten mocht zo'n rotvirus ooit mijn netwerk binnen te weten komen.
Later we zeggen dat ik een vergelijkbare hobby heb

In ieder geval gelukkig voor jouw dat de schade toch enigzins beperkt is gebleven.

Galinsky @GabrielWB • 16 januari 2015 07:27

Ik heb inderdaad gedeelde bestanden met een andere pc. Hier staat soms wat documentjes in om door die andere pc te laten printen soms ook fototjes en deze zijn inderdaad ook encrypt. Nu je het zegt overigens volgens mij alleen de bestanden die ik met mijn pc heb gedeeld de bestanden die de andere pc heeft gedeeld zijn niet encrypt. Ik heb ik met de andere pc nergens last van. Met nas etc. heb ik geen ervaring..

SaWey @GabrielWB • 16 januari 2015 09:19

Laatst heb ik op het werk een dergelijk probleem gehad. Iemand had dit soort malware opgelopen en het begon op de netwerkshares bestanden te encrypten.
Deze malware werd gelukkig tijdig gestopt en de schade was beperkt.
Malware verwijdert en de bestanden van de backup van de avond voordien teruggeplaatst.
Het was wel even schrikken toen ik zag dat er bestanden op de shares waren aangetast, maar 'gelukkig' liet de malware, in elke map waar bestanden geëncrypteerd werden, een bestand achter met de decrypt instructies, op die manier kon ik zoeken naar de bestanden die aangetast waren.

YangWenli @Galinsky • 16 januari 2015 01:06

Piraat volgende keer ook even malwarebytes premium. Will seed

swimmer4 15 januari 2015 18:38

En hoe kan je er tegen beveiligen?
Want wat ben je met een waarschuwing als je niet weet hoe je dit kan voorkomen.

Verwijderd @swimmer4 • 15 januari 2015 18:56

Door vaak backups te maken en deze op meerdere locaties op te slaan.
Er is software die steeds de wijzigingen in de achtergrond incrementeel bijhoudt en de backup daarvan maakt.
Voor privégebruik maak ik zelf 3 copys die ik semi-verspreid opsla op 2 locaties.

swimmer4 @Verwijderd • 15 januari 2015 19:12

Ik maak backups op onedrive maar daarmee zal ik ook alles kwijt zijn vermits alles direct synchroniseert. Ik weet wel dat je nog andere backups kan nemen. maar ik bedoelde eigenlijk bestaat er iets die voorkomt dat je bestanden versleuteld worden.

PilatuS @swimmer4 • 15 januari 2015 19:18

maar ik bedoelde eigenlijk bestaat er iets die voorkomt dat je bestanden versleuteld worden.

De standaard dingen om geen virus te krijgen helpen hiervoor. Dus een goede up to date virusscanner draaien. Niet downloaden via vage bronnen. Niet naar vreemde vage site's gaan. Als jij met je PC niets anders doet dan naar een paar 'goede' site's gaan, zal je dit virus nooit krijgen. Staat het virus op je PC en ziet je virusscanner het niet dan heb je een probleem. Het enige wat je kan doen is er voor zorgen dat het er niet opkomt.

Verder raad ik aan altijd een goede backup te hebben op een externe schijf die niet aangesloten is op de PC. Hangt je backup schijf standaard aan de PC zal deze net zo hard hetzelfde probleem hebben als de interne schijven.

JasperM @PilatuS • 15 januari 2015 19:34

Goed advies. Vergeet echter niet dat je soms ook via "goede" sites, vaak via de advertentie banners, besmet kan raken.
Zorg dus ook dat je de laatste systeemupdates geïnstalleerd hebt staan en vergeet vooral de Flash plugin, PDF (Acrobat ) plugin en Java niet te updaten.

Persoonlijk zet ik deze plugins altijd uit in de browser en blokkeer banners (sorry Tweaker.net) het liefst.

Verwijderd @JasperM • 15 januari 2015 22:05

Groot gelijk heb je. Adverteerders en hun hosts hebben keer op keer bewezen niet volwassen genoeg te zijn om te vertrouwen. Het is ronduit schandelijk dat er (zelfs hier) nog ads in Flash worden gepubliceerd, software die er zo langzamerhand erg bekend staat vanwege een gebrek aan veiligheid.

RGAT @swimmer4 • 15 januari 2015 19:22

Geen internetverbinding en dan nog voorzichtig zijn als je het 100% wilt voorkomen...
Voorkomen dat je geraakt wordt is lastig, en altijd een kosten-baten analyse, hoeveel is bescherming je waard.
Een hele simpele backup zou iets zijn als instellen dat syncs met de cloud drie of vier dagen wachten (Als dat mogelijk is met je cloudstorage) waardoor je altijd zoveel tijd hebt problemen te spotten en de sync te voorkomen zodat je data nog te herstellen is.

Cerberus_tm

@swimmer4 • 16 januari 2015 11:52

One Drive heeft, net als Dropbox, versiecontrole. Op Dropbox in elk geval is het onmogelijk om de geschiedenis van oudere versies te wissen, zodat je altijd veilig zit, in dit geval. Ik vermoed dat hetzelfde geldt voor de versiecontrole van One Drive.

mjl @Verwijderd • 15 januari 2015 23:41

Met 3 copies hoop ik dat je deze niet allemaal gelijk houd. Anders heb je snel 3 encrypted kopien als je pech hebt. Ik heb 2 backups die ik om de maand sync met de pc en NAS. Mocht ik encrypted files backupen heb ik de kopie van de maand ervoor nog.

Met deze oplopende ransom demands kan het al uit om een paar 4tb USB schijven te kopen. Mijn Alu hoedje vermoed dat de hdd fabrikanten er achter zitten! 👻

Verwijderd @mjl • 16 januari 2015 00:08

Ik denk niet dat de ransomware een maand op zich laat wachten met het vragen om geld. Maar het is altijd slim om wat verschillende periodes aan te houden wat backups betreft. Voor sommige zaken kan een maand best erg lang zijn.

mjl @Verwijderd • 17 januari 2015 09:36

Ik verwacht het ook niet.... De kans op detectie wordt steeds groter. Aan de andere kant als de encryptie al klaar is is tijd geen issue zolang de decryptie key niet gevonden kan worden.

Brummetje

@Verwijderd • 15 januari 2015 19:18

En er voor zorgen dat deze backups NIET te benaderen zijn nadat ze gemaakt zijn. De vorige versie ging namelijk heel leuk over het netwerk alles op het netwerk ook nog even encrypten

hansg @swimmer4 • 15 januari 2015 19:03

Goed punt. Ik maak backups... Kunnen die ook getroffen worden? Hoe snel wordt duidelijk dat je een infectie hebt - voor of na je al je backups geroteerd hebt?

mjl @hansg • 15 januari 2015 23:46

Dat klinkt eng. Ransomeware die kan zien hoe jij je backups maakt (aan de hand van geïnstalleerde software bijv) en dan als je dat gedaan hebt pas met de losgeld eis komt. Ik hoop dat het niet zover komt...

Toch de backups op een ander systeem testen op leesbaarheid. De decryptie key zit daar in iedergeval niet op en encrypted files komen dan bovenwater.

Vooralsnog worden bijv. shadowcopies ontzien, maar het is een kwestie van tijd totdat niks meer foolproof is - alles maar weer uitprinten! 😁

[Reactie gewijzigd door mjl op 23 juli 2024 22:25]

Patrick_st @mjl • 16 januari 2015 05:54

Een klant van mij had een paar maanden terug de torrentlocker te pakken.
Het eerste wat deze variant probeert is alle shadowcopies te verwijderen.

Mits de gebruiker voldoende rechten heeft, ben je de shadowcopies gewoon kwijt.

mjl @Patrick_st • 16 januari 2015 18:37

Was te verwachten. Ze leren wel snel die criminelen....

Cerberus_tm

@mjl • 16 januari 2015 11:55

Zorg dat je een back-upsysteem gebruikt dat de oude versies in stand houdt, zoals Dropbox. Het enige is dat ze misschien je hele Dropbox kunnen saboteren door je e-mailadres en je wachtwoord te verwijderen. Misschien is 2-factor authentication toch wel een goed idee met Dropbox, ik ga eens kijken.

mjl @Cerberus_tm • 16 januari 2015 18:39

Inderdaad. 2FA vond ik altijd maar omslachtig maar begin steeds meer het nu in te zien bij meer critische data en accounts.

Ik wil wel de keeus houden. Niet ieder Gmail account is me evenveel waard.

Cerberus_tm

@mjl • 16 januari 2015 22:07

Tuurlijk, ik heb het tot nu toe alleen voor mijn hoofd-Google-account. Facebook en de rest vind ik minder boeiend. Misschien moet ik het wel voor Lastpass eigenlijk...
Wel wordt het dan extra kut als ze je telefoon stelen!

gidion1987 @swimmer4 • 16 januari 2015 09:01

Ik heb helaas ook temaken gehad met deze troep. 80.000 bestanden kwijt, wat ik ga echt niet betalen! De backups waren ook besmet. De ransomware kwam via een systeem binnen die veel aanstaat maar weinig achter wordt gewerkt.

Ik heb nu:
- Alle schrijfrechten verwijderd van netwerk shares
- De gebruikers allemaal geen admin gemaakt
- Backups veel beter ingericht en via SFTP naar een externe lokcatie
- CryptoPrevent geinstalleerd. Dit zou de ransomware moeten tegenhouden die mijn bestanden willen encrypten.

Verwijderd 15 januari 2015 19:06

misschien een domme vraag, maar als je de data zelf al versleutelt? Dan weten ze iig niet wat voor data het is.
Werkt cryptolocker ook terwijl je als gebruiker met beperkte rechten werkt?

maartenvdezz @Verwijderd • 15 januari 2015 19:12

Je kan versleutelde data versleutelen. Wat voor rechten? NTFS gaat nergens over, er is niks versleuteld en data is gewoon beschikbaar. Probeer het maar op een willekeurige Linux distro.

[Reactie gewijzigd door maartenvdezz op 23 juli 2024 22:25]

fm77 @maartenvdezz • 15 januari 2015 19:17

Maar de versleutelde data heeft niet de bekende document extensies lijkt me. Ik heb veel data in een truecrypt container staan, zonder extensie. Dus ik neem aan dat die overgeslagen wordt door dit virus.

maartenvdezz @fm77 • 15 januari 2015 19:22

Waarom zou een bestand zonder extensie worden overgeslagen? Sowieso is dit gewoon full disk encryption lijkt me.

Edit: Zoals aan de reacties af te lezen is versleuteld het alleen bestanden met een bepaalde extensies, dus je hebt inderdaad gelijk.

[Reactie gewijzigd door maartenvdezz op 23 juli 2024 22:25]

fm77 @maartenvdezz • 15 januari 2015 19:23

Volgens mij niet.. Wat ik ervan begrijp is dat het puur om documenten gaat. Je kan nog gewoon in je windows omgeving komen.

GeeMoney @maartenvdezz • 15 januari 2015 20:59

De applicatie gaat juist op zoek naar extensies, er is zelfs een algemene bekende lijst welke extensies encrypted worden.
Je bestanden zijn (tot nu toe) veilig als je ze dus een onbekende extensie geeft.

Galinsky @maartenvdezz • 16 januari 2015 00:35

Nee dit is niet zo. Ik heb zelf ervaring gehad met dit virus. Enkele bestanden worden encrypt. zoals alle .png bestanden worden niet encrypt terwijl .jpg weer wel. .m4a werd voor de helft encrypt ik kon zr wel openen maar halverwege het liedje stopte hij ermee. Alle games/savegames waren totaal niet corrupt. En al mij office documenten .docx en pdf waren wonder boven wonder ook niet encrypt.

Verwijderd @fm77 • 16 januari 2015 00:11

Zolang je niet net bezig bent in je container wel. En aangezien je dat wel eens zal zijn blijft het ook daarmee oppassen geblazen.
Het zou mij niets verbazen als er straks ook malware komt die gewoon alles encrypt wat er aan bestanden of directories voor komt.Dan ben je zeker het haasje bij een besmetting.

PolarBear @maartenvdezz • 15 januari 2015 21:19

1. Een cryptolocker die een Linux variant boot en dan files gaat encrypten valt wel op.
2. Onder Windows kan een beperkte user niet zo maar alle bestanden aanpassen. Maar wel de eigen document van de user zelf. Dat is meteen ook vaak de waardevolste data.
3. NTFS ondersteund encryptie (EFS) op bestandsniveau, alleen dat is transparant, als je als gebruiker bent ingelogd en je hebt rechten op een met EFS encrypted bestand dan kan de cryptolocker er ook bij.

maartenvdezz @PolarBear • 16 januari 2015 09:04

Ik had het niet over EFS, maar over de ACL aanpassen. Ik ging ervan uit dat windoos8 het hier over had.

Dit: "als je als gebruiker bent ingelogd en je hebt rechten op een met EFS encrypted bestand dan kan de cryptolocker er ook bij." is wat ik bedoelde met "Je kan versleutelde data versleutelen."

fsfikke @Verwijderd • 15 januari 2015 19:16

Volgens mij interesseert hun de data sowieso niet. Als de data belangrijk genoeg is voor het slachtoffer zien ze het geld wel tegemoet. Zij hoeven zelf die classificering niet te maken. Laat staan hoeveel tijd en moeite het zou kosten om de data ook daadwerkelijk in te zien van iedereen.
Nu draait er op de geïnfecteerde PC's gewoon lokaal een scriptie-programma'tje.

bush @Verwijderd • 15 januari 2015 19:17

Ook met "beperkte" rechten kan je nog aan je Eigen documenten/foto's, dat is logisch, als de malware dus draait binnen één van jouw processen kan het dus je documenten encrypteren.

Scuur 15 januari 2015 20:19

Misschien een domme vraag, maar mijn onedrive account staat gewoon in windows verkenner. Betekent dit dat wanneer ik door dit virus gepakt zou worden ook mijn gehele onedrive encrypt wordt?

Berkeley @Scuur • 15 januari 2015 20:33

Ja, als het automatisch synct wel

Scuur @Berkeley • 15 januari 2015 20:56

Dan gaan we dat voor de zekerheid maar even uitzetten. Thanks.

mjl @Scuur • 15 januari 2015 23:48

Ik zou even naar de winkel gaan en een paar USB schijven kopen. Goedkoper dan betaalde cloudopslag en je hebt zelf de controle over je backups.

Verwijderd @Berkeley • 16 januari 2015 00:15

Ook als je ze niet automatisch synct zijn je lokale bestanden de klos. Ga jij handmatig syncen zonder te weten dat er iets met je bestanden aan de hand is dan is in de cloud ook alles naar de kloten.

erikloman @Scuur • 15 januari 2015 20:31

Ja. Ook Dropbox ed diensten zijn vatbaar.

User321 @Scuur • 15 januari 2015 21:15

Ja, maar gelukkig kun je bij de meeste cloud storage providers terug naar een vorige versie van je bestanden (al kan het vaak maar met 1 bestand per keer, dus moet je haast wel een scriptje knutselen als je veel bestanden hebt)

willemoldemans 16 januari 2015 01:49

Ik gebruik al een tijdje CrashPlan en sync iedere nacht vanuit mijn server photos en documenten. Op mijn locale PC staan alleen wat bestandjes downloads die vervangbaar zijn. Dus als ze me te pakken krijgen kost het me vooral veel tijd. CrashPlan heeft een oneindige file history, harstike handig voor dit soort rommel

jeroen7s @willemoldemans • 16 januari 2015 09:53

als het een oneindige file history heeft, heeft het dan niet heel veel opslag nodig?

Arunia @willemoldemans • 16 januari 2015 11:02

Ik gebruik ook crashplan en dat zou inderdaad wel fijn zijn. Mijn whs 2011 maakt ook een kopie naar een andere schijf toe. Maar goed, bij verandering wordt dat natuurlijk ook meteen overschreven.

Maar dan ben ik iig erg blij met mijn CP abo van 4 jaar nog.

boner 15 januari 2015 18:42

Zie onderstaande link. Je kunt achterhalen wie wanneer met de bitcoins heeft betaald. Dus weet je ook aan wie het losgeld is uitbetaald.

https://en.bitcoin.it/wiki/Anonymity

Of vergis is mij weer eens deerlijk.

VincentdeVreede @boner • 15 januari 2015 18:55

Ook op het bitcoin netwerk kun je bitcoins laten verdwijnen. Zijn speciale netwerken voor opgericht, het kost je een bepaald bedrag (tussen de 5 en 10 procent) en deze doen dan je bitcoins witwassen.

De bitcoins worden gescheiden, verstuurd naar honderden accounts, elk van deze honderden splitsen ook weer de bitcoins en sturen deze ook weer door naar honderden, vaak nog even via een bekende grote bitcoinbeurs en weer door naar honderden accounts. Uiteindelijk komt alles ergens weer bij elkaar maar door de vele overmakingen is het bedrag gewoon (bijna, het is in theorie mogelijk) niet te volgen.

[Reactie gewijzigd door VincentdeVreede op 23 juli 2024 22:25]

Cerberus_tm

@VincentdeVreede • 16 januari 2015 12:03

Als je met een computer de hele Blockchain grondig analyseert zou ik toch denken dat je het volledige bitcoinverkeer in kaart kunt brengen en dus ook deze betalingen kunt herleiden? In de trant van: als het in theorie kan, kan een computer het.

GerardVanAfoort

15 januari 2015 23:23

Naast mijn SSD heb ik in mijn ouwe Dell bakkie nog 2 schijven die gespiegeld (handmatig) zijn. Dit voor als er een de geest geeft. De aller belangrijkste documenten staan ook altijd op 2 SD kaartjes.

Prettig gevoel die 2 schijven, maar in deze context nog prettiger dat ik vanaf nu maar heb besloten om er permanent eentje in het bios uit te schakelen. Gaat alleen nog aan zodra ik ga spiegelen (soms 1 keer per week, en soms 2 maanden niet). Mijn data ga ze niet volledig "onbruikbaar" maken :-)

mjl @GerardVanAfoort • 15 januari 2015 23:28

Ik zou toch een echte offline Back-up gebruiken en dan het liefst twee die je afwisselend gebruikt. Mocht je dan je encrypted file over een Back-up zetten heb je de voorlaatste nog.

Overigens kun je de Dell bios met de juiste scripts ook vanuit het os benaderen en aanpassen. Dus failsafe is je oplossing niet, een wachtwoord op je bios is in iedergeval aan te raden, wat bij oudere Dell machines ook niet safe is omdat die te omzeilen zijn.

GerardVanAfoort

@mjl • 16 januari 2015 09:12

Bedankt voor de tip! Inderdaad dat bios password is volgens mij met jumpers te verplaatsen te omzeilen. Maar de crypto boefjes zal dat misschien ook wel van binnenuit lukken.
Ik zal eens kijken naar een hdd casing, kan die ouwe ide behuizing met dito schijf :-) ook een keer weg.
Overigens mijn echt belangrijke documenten staan altijd op meerdere SD kaarten, welke dan ook weer "overal" liggen. Mocht de tent een keer affikken.

jerrycan92 15 januari 2015 18:33

Quote: Waarom de malwaremakers zijn overgestapt naar I2P is niet duidelijk.

Dat is wel degelijk duidelijk. Er is al meerdere keren nieuws verschenen dat Tor verkeer te herleiden is, wat criminelen liever niet hebben. Om deze reden zijn er ook al een groot aantal illegale sites van het Tor netwerk verdwenen.

Het is nu weer wachten tot de politie toegang tot het I2P netwerk toegang krijgt, maar voorlopig lijkt dat nog niet het geval.

Auteur

Dimitri R @jerrycan92 • 15 januari 2015 18:35

Je hebt gelijk, fixed.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (107)

Sorteer op:

Weergave: