Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 50 reacties

De politie heeft aanwijzingen dat de dader achter de Coinvault-ransomware zich mogelijk in Nederland bevindt. Daarnaast stelt de politie dat het samen met Kaspersky een reeks sleutels in handen heeft waarmee door Coinvault versleutelde bestanden zijn vrij te geven.

Volgens het Team High Tech Crime van de politie zijn er concrete aanwijzingen dat de dader zich mogelijk in Nederland bevindt, maar arrestaties zijn nog niet verricht. De politie sluit echter niet uit dat dit binnen afzienbare tijd alsnog gebeurt. Het onderzoek naar de Coinvault-malware, die eind vorig jaar voor het eerst verscheen, zou op stoom zijn gekomen doordat een bedrijf en een particulier de politie op de aanval attendeerde en hen een mogelijk daderspoor verstrekte.

De politie stelt dat de persoon of personen achter de Coinvault-malware zich specifiek op Nederland hebben gericht. Er zijn circa zevenhonderd systemen bekend waarop de ransomware bestanden heeft versleuteld. Daarnaast zijn er ook honderden infecties in Duitsland en de VS.

In samenwerking met beveiligingsbedrijf Kaspersky Labs zegt het Team High Tech Crime de hand hebben weten te leggen op een serie decryptiesleutels. Deze kunnen gebruikt worden om bestanden die door de ransomware zijn versleuteld te ontgrendelen. Slachtoffers kunnen via een website bekijken hoe een computer kan worden vrij gegeven. Kaspersky levert tevens de benodigde decryptie-applicatie mee en biedt achtergrondinformatie over ransomware en hoe besmette computers na ontgrendeling opgeschoond kunnen worden.

CoinVault

Moderatie-faq Wijzig weergave

Reacties (50)

Vind dit maar een gek bericht.
Stel je voor dat de dader dit bericht leest. Dan maakt die zich toch uit de voeten?
Dit bericht in het artikel is volledig kul en gebaseerd, lijkt me, op non-informatie afkomstig van een relatief falend digitaal opsporingsbeleid.

Vorige maand in ieder geval, met de nieuwste crypto-malwares bij de UvA, gemeentes etc. was er minstens 1 hostname gebruikt die middels geo-locatie in Frankrijk stond (en met een beetje zoeken was zelfs duidelijk in welk rack van de hoster). Deze hoster biedt zijn diensten wereldwijd aan aan consumenten en aan bedrijven maar je IP-adres komt uit een RIPE-block van 14 keuzes (auto-assigned) en je fysieke machine kan je hoogstens kiezen uit 5 fysieke lokaties.

Nou wil ik niet meteen een vingertje wijzen naar Nederlandse hosters maar het is kinderlijk eenvoudig om in NL een machine te leasen (dedicated of virtueel) ondergebracht bij een hoster met een Nederlands KvK en daardoor bijna impliciet een Nederlands IP krijgen. De controle hierop is werkelijk 0 zolang de hoster maar de BTW betaald krijgt; sommige NL-hosters controleren niet eens de naam en de creditcard (true story) als je diensten bij ze afneemt.

Afgezien dus van het feit dat er mogelijk een dader zich daadwerkelijk in NL bevindt/bevond en dan ook nog eens de Nederlandse nationaliteit heeft, kan ik helaas concluderen aan de hand van een aantal signatures van de malware, dat de origine niet uit Nederland komt maar zeer waarschijnlijk uit Litouwen. Een andere signature lijkt zijn origine te hebben gevonden ergens in Midden-Amerika maar helaas was de bijbehorende (underground) site niet meer toegankelijk om dit te verifieren.
Blijkbaar is de conclusie van de politie over de locatie van een verdachte dus niet alleen gebaseerd op de locatie van een server.
De Franse hoster die je noemt is OVH. Overigens prima provider verder, maar je kunt daar inderdaad anoniem een server of VPS huren. Heb daar ooit eens betaald met een prepaid 3V Visa kaart die niet op naam staat. (bank random reader ergens laten liggen, en moest toch tegoed opmaken) .
Maar ze zijn daar ook heel erg snel met het blokkeren van je server als er iets niet klopt.

[Reactie gewijzigd door Madshark op 13 april 2015 18:53]

Durf wel te wedden dan dit een LeaseWeb VPS is. Niets ten nadele van hun, maar ze zijn daar in het verledeb nu eenmaal een populair platforn voor gebleken.
Kom op, even minder tunnel visie graag.
De origine van de code zegt niets over de persoon/personen achter de scam.

De argumenten om het artikel als 'kul' te kwalificeren zijn compleet uit de lucht gegrepen. Net zoals de origine van de malware is de fysieke serverlocatie ook niet van belang. Het artikel stelt ook helemaal niet dat de aanwijzingen afgeleid zijn hiervan. De werkelijke bronnen zullen tot aan het proces ongetwijfeld onbenoemd blijven.

Ergo, je argumenten zijn meer kul dan het artikel.
Maakt het iets uit waar iets gehost is?

Verder vergeet je anonieme betaal methodes, zoals cash, bitcoins en prepaid creditcards.

Maar dat maakt voor opsporing helemaal niet uit.

Zolang iemand zo slim is om diensten in Europa af te nemen hebben ze een half jaar de tijd om dat te onderzoeken.

Ook kan het zijn dat men juist onrust wil veroorzaken, als je iet uit zijn hol wil krijgen werkt rook en vuur het beste.

Als je dan een tap op zijn lijnen heb kan diens angst/paniek juist onzorgvuldig communiceren triggeren waarmee je mogelijk zaak hard kunt krijgen.

Dat ze ergens sleutels gevonden hebben heeft al aan dat politie en diens helpers zelf al e.a. aan onrechtmatig handelen op hun geweten hebben op zijn minst diefstal van die sleutels.

Ook kan het zijn dat iemand in zijn omgeving erachter kwam en het is gaan melden.
Mogelijk hebben ze al een aantal mensen op het oog en hopen ze dat via verdacht verkeer de dader zichzelf bevestigd of verraad.

Het is in ieder geval goed dat er sleutels zijn en dat er software is voor de decryptie. Dat zou de cashflow naar de dader(s) moeten verminderen. Schofterige chantagesoftware. De enige echte beveiliging is preventief een back-up op een veilige locatie te hebben van je belangrijkste bestanden.
Ook natuurlijk
1) Niet klikken op .exe bestanden die je niet kent.
2) Emails met gecomprimeerde (rar, zip) niet openen en of als er een .exe inzit deze niet openen.
3) Websites die je een flashplayer of ander programma willen laten downloaden zonder je naar de officiele site door te sturen niet vertrouwen. En dan geldt natuurlijk weer stap 1)

[Reactie gewijzigd door Balder1984 op 13 april 2015 16:23]

Ook natuurlijk
1) Niet klikken op .exe bestanden die je niet kent.
2) Emails met gecomprimeerde (rar, zip) niet openen en of als er een .exe inzit deze niet openen.
Dat weet jij, dat weet ik, maar hoeft maar 1 van die 500 gebruikers in mijn bedrijf te zijn die het niet weet.
Virusscanners vangen de nieuwste niet en ineens zijn alle bestanden waar die gebruiker bij kan versleuteld. Dus de enige echte beveiliging is een backup.
Ja en die backup moet wel 1 file zijn als die op dezelfde computer staat, kan je gratis decrypten ;P
Bestanden op laptops zelf zijn niet mijn verantwoordelijkheid, ook dat weten die gebruikers heel goed :p maar ook daar krijg ik nog net iets te vaak vragen over of ik ze terug kan zetten uit een backup
Als je Windows gebruikt: previous versions een idee?
Dat ben ik sowieso met je eens.
Tevens je medewerkers een korte cursus geven.
En op goed geluk gebeurt het je misschien nooit.

Ow en weet je het niet zeker roep iemand erbij natuurlijk.

[Reactie gewijzigd door Balder1984 op 13 april 2015 16:51]

Back-up locatie is ook schrijftaal voor deze malware dus die kan ook de backups encrypten..
Dus wat heb je dan aan backups ??
Misschien willen ze hem/haar uit de tent lokken ofzo hiermee.
Mischien weten ze het al, ligt er een tap, en met een nieuwsbericht zoals deze er wat meer info wegkomt van die tap. :) You never know.

Het is en blijft ransomware in de meest ernstigste vorm. Mensen worden afgeperst om geld te betalen voor hun eigen bestanden.
Als ze weten wie dat is maakt diegene zich daardoor alleen maar meer verdacht. en wie weet maakt hij/zij daardoor fouten. er zal vast wel een tactiek achter zitten
Misschien is dat wel wat ze willen. Mensen in het nauw maken rare sprongen.
Misschien willen ze dat juist, dat die persoon tickets koopt.
Niet als deze nog bij mama woont :)
Toch wel 'interessant' dat de ransomware ook echt af te kopen is, dus laten we even stellen 'eerlijk' is.
Heel simpel, als ze de data niet ontsleutelen nadat iemand betaald heeft, dan betaald een ander persoon zowiezo niet meer, gezien die toch nooit zn data meer terug zou krijgen.

Na betaling krijg jij je de data weer terug, dus blijft men ook betalen hiervoor..... want ja, soms is die data belangrijk
Onder ons 'tweakers' inderdaad een goed punt, maar de normale computer geburiker trapt ook nog meermaals in phishing e-mails (wat waarschijnlijk in de eerste instantie de besmetting al veroorzaakte) terwijl men heel hard roept: Is niet echt, werkt niet (behalve in Cyanide & Happiness: https://www.youtube.com/watch?v=s3zjRcMnRNY )
Ja als het niet "eerlijk" was dan had de tweede persoon en verder nooit betaald natuurlijk. Verder blijft het gewoon chantage.

[Reactie gewijzigd door Ramon op 13 april 2015 16:04]

Toch wel 'interessant' dat de ransomware ook echt af te kopen is, dus laten we even stellen 'eerlijk' is.
Nee, zelfs niet tussen aanhalingstekens. Dit is op geen enkele manier 'eerlijk' te noemen. Ik hoop dat ze de verantwoordelijke pakken en dat hij/zij financieel helemaal kapot gemaakt wordt.
Ben benieuwd of het brein hierachter een Nederlander is. Als je de verhalen zo leest zal er in ieder geval flink geld verdiend zijn met de goede klantenservice :+ 8)7
VOC mentaliteit straalt er wel een beetje vanaf :D
Ben benieuwd of het brein hierachter een Nederlander is.
Het brein... Is dat niet Tim Kuik? :P
<offtopic>Stel dat meneer de ontwikkelaar zich onder ons bevind... Dat hij een member is van de Tweakers community... Best een raar idee als je erover nadenkt.</offtopic>

Ik hoop dat de polite geen steken laat vallen als de dader inderdaad een Nederlander is. Dit is echt een lage manier van mensen geld aftroggelen.. Je weet dat foto's en dergelijke erg dierbaar kunnen zijn, maar daar hebben deze lui blijkbaar geen enkel respect voor!
Uiteindelijk een beetje hetzelfde als 'normale' diefstallen... Als ze maar geld opleveren.
Of je het nu verkoopt aan een vreemde of aan de oorspronkelijke eigenaar (die er hoogstwaarschijnlijk het meest voor over heeft in dit geval).

Geld is geld toch? :X

[Reactie gewijzigd door .SnifraM op 13 april 2015 16:27]

Lijkt een beetje op "je verrader slaapt nooit" meer dan dat de politie echt concreet iets heeft kunnen vinden.
En dat voor een randsomware die al zoveel 'schade' heeft gemaakt.
Dat geeft veel vertrouwen dat als er een echte gerichte aanval zou zijn we hier snel op kunnen reageren.
Ik hoop dat ze die gasten pakken, ik vind het zo ontzettend laag. Niveautje: stelen van bejaarden. Iemand is kwetsbaar: ha laat ik daar lekker misbruik van gaan maken. Miezerig en laf.
Aan de hand van het Kaspersky artikel kunnen ze de IV en KEY bepalen aan de hand van het getoonde bitcoin adres; beetje jammer dat ze dat stuk niet beschreven hebben.

Zie ook https://noransom.kaspersk...nvault-decrypt-manual.pdf

[Reactie gewijzigd door CMG op 13 april 2015 16:08]

THTC heeft wel de decryptiesleutels, maar elk bestand is toch versleuteld door een key dat is aangemaakt door een PRNG. Als THTC i.s.m. Kaspersky een decryptietool wilt uitbrengen, dan kunnen zij beter 'het algoritme' achterhalen. Dit valt alleen maar de brute forcen lijkt mij en dat lijkt mij niet de oplossing.

Had het THTC / Kaspersky Labs beter dit bericht niet kunnen uitbrengen.. zijn makers nu dan niet op de hoogte en zit versie 2.0 nu niet op de loer van de makers? Push update wat door CNC wordt uitgevoerd en slachtoffers zijn nog meer de piesang.

Toevoeging
Het stomme is eigenlijk dat dit eigenlijk nu pas bekend wordt/is. Dit doet mij denken aan het bericht van @SanderBakker op Tweakers. Link: http://gathering.tweakers...message/43306984#43306984

Nederlands -> Versie 1.0.1.1 CoinVault http://i.imgur.com/GVKTyVu.png
Engels -> Versie 1.1.0.0* CoinVault http://ic.tweakimg.net/ext/i/imagenormal/2000561232.png
* = Ik geloof deze versie, kan iemand natrekken?

De versie die in het artikel getoond wordt is een nieuwere versie (zoals je de GUI ziet). Z'n oorspronkelijke doel was misschien wel op de Nederlanders gemunt, maar is toen gegaan op groter bereik en de taal omgezet is naar Engels.

[Reactie gewijzigd door CyberDonky op 13 april 2015 17:03]

Mogen ze de daders snel opsporen en vast zetten.
Ik ben zelf getroffen en heb uiteindelijk betaald omdat de foto's mij te belangrijk waren. ( en ja ik heb back-ups tot in de puntjes geregeld ik werd echter getroffen tijdens het laden van mijn camera kaart zie forum )
Support vanuit CoinVault was gek genoeg uitstekend geregeld. Ik mailde nadat ik betaald had en werd tot de laatste foto geholpen tijdens decrypten dat dan weer wel.

[Reactie gewijzigd door GeeMoney op 13 april 2015 20:32]

waarom zou de dader die bitcoin wallet uberhaupt gebruiken? ik zou gewoon alles zen gang laten gaan en na een aantal jaren (5 - 10) deze op anonieme credit cards pompen
de kans bestaat dat bitcion na 5-10 jaar 0 komma 0 waard is. het is nog steeds geen erkend valuta. als de dader er wat aan over wil houden zal die op een zekere tijd iets met de coins moeten doen.

Ik ben wel benieuwd wat ze met dit (opzettelijk gelekte) nieuws willen bereiken? hopen ze dat de dader(s) zijn ransomeware van een update voorziet omdat die nu zonder betaling te ontgrendelen is? Daarmee hopen op een fout van der dader(s) die als goede extra bewijslast kan dienen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True