Onderzoeker maakt tool voor ontsleutelen door Petya-ransomware getroffen pc's

Een onderzoeker, die op internet bekendstaat als Leo Stone, heeft een tool beschikbaar gesteld waarmee slachtoffers van de Petya-ransomware gratis een sleutel kunnen maken om hun versleutelde harde schijf te ontsleutelen.

Met behulp van de tool kunnen slachtoffers hun gegevens terugkrijgen zonder 0,99 bitcoin, omgerekend 366 euro, of meer te betalen. De tool heet 'hack-petya'. Hij is beschikbaar op GitHub en via een speciaal ingerichte site. Stone bericht op GitHub dat hij de tool heeft ontwikkeld omdat zijn schoonvader getroffen was door de ransomware. Hij gaat niet uitgebreid in op de werking ervan, maar vermeldt alleen dat hij gebruikmaakt van een genetisch algoritme.

Om de sleutel te genereren is het noodzakelijk dat het slachtoffer de harde schijf vanaf bepaalde sectoren uitleest en een verificatiesector van 512 bytes en een nonce van 8 bytes identificeert. Omdat dit voor de gemiddelde gebruiker moeilijk is, heeft een Emsisoft-onderzoeker genaamd Fabian Wosar een andere tool ontwikkeld met de naam 'Petya Sector Extractor'.

Daarmee is een getroffen harde schijf eenvoudig aan een werkende computer aan te sluiten en uit te lezen, zo meldt de site Bleeping Computer. Via deze site is de tool ook te downloaden. De gegevens die deze tool genereert, leveren via de site van Stone vervolgens binnen tien tot dertig seconden een geldige sleutel op. Diverse gebruikers geven aan dat de harde schijf daarmee inderdaad ontsleuteld wordt.

De Petya-ransomware is voornamelijk actief in Duitsland en wordt verspreid door e-mails aan hr-afdelingen van bedrijven waarin een link aanwezig is naar een kwaadaardig Dropbox-bestand, vermomd als portfolio. Als de gebruiker het bestand opent, start de computer opnieuw en wordt het chkdsk-proces uitgevoerd. In werkelijkheid versleutelt de ransomware op de achtergrond het systeem, waarna dit niet meer te starten is.

Het scherm dat Petya-slachtoffers te zien krijgen

Door Sander van Voorst

Nieuwsredacteur

Feedback • 11-04-2016 13:08119

11-04-2016 • 13:08

119 Linkedin

Lees meer

'Maker oorspronkelijke Petya-ransomware geeft privésleutel vrij' Nieuws van 6 juli 2017
Systemen van containerconcern Maersk zijn getroffen door ransomware Nieuws van 27 juni 2017
Europol start samenwerking met politie en beveiligingsbedrijven tegen ransomware Nieuws van 25 juli 2016
PowerWare-ransomware doet zich voor als Locky-variant Nieuws van 22 juli 2016
Nieuwe CryptXXX-ransomware is ook na kopen decryptiesleutel niet te verwijderen Nieuws van 25 mei 2016
Criminelen geven universele sleutel voor TeslaCrypt-ransomware vrij Nieuws van 19 mei 2016
'Ransomware is voor consumenten en bedrijven geen reden tot paniek' Nieuws van 10 mei 2016
Kaspersky: Nederland en België in top drie van doelwitten voor ransomware Nieuws van 6 mei 2016
Trend Micro waarschuwt voor nieuw soort pornoransomware voor Android Nieuws van 11 april 2016
Nieuwe ransomware zet harde schijf op slot Nieuws van 25 maart 2016
Meer producten en artikelen
Netwerk en systeembeheer Ransomware

Reacties (119)

-Moderatie-faq
119
116
84
3
0
10
Wijzig sortering
matthewk
11 april 2016 13:24
Wat mij vooral opvalt is dat er in bedrijven - ik werk ondertussen zelf bij een ict bedrijf - 0 aandacht wordt gegeven aan het spotten van onveiligheden. Werknemers worden hier totaal niet op getraind, terwijl dit wel zou moeten. De mails zijn goed geworden. Heel erg goed. Zo goed zelfs dat het lijkt alsof de mail echt van klanten komt, of van de eigen scanner/printer.

Maar je kan altijd rariteiten spotten. De afzender, bijvoorbeeld. Of spelfouten, rare bestandsnamen en rare bestandsextensies. En hier moet je ook naar kijken. Beter elke dag 15 minuten verliezen door dit soort dingen te checken, dan je hele schijf op slot en te moeten betalen. Waarom symptomen bestrijden als je de oorzaak (gedeeltelijk) kan aanpakken?

[Reactie gewijzigd door matthewk op 11 april 2016 13:24]

Caseman
@matthewk11 april 2016 14:43
Waar ik werk is het beter geregeld: IT stuurt af en toe een nep-phishing mail rond. Er zijn drie reacties mogelijk:
- je klikt op een link (en krijgt een kruisje achter je naam)
- je doet niets
- je rapporteert de mail (en krijgt mogelijk een bonus)
Daarnaast wordt er regelmatig gewaarschuwd voor "echte" phishing campagnes (wat mogelijk is omdat er gebnoeg gebruikers zijn die phishing mails rapporteren). Wereldwijd praat je wel over tienduizenden gebruikers bij ons, dus dan loont het de moeite om een beetje beleid te voeren.
Stoney3K
@Caseman12 april 2016 10:14
- je rapporteert de mail (en krijgt mogelijk een bonus)
Het ligt natuurlijk even aan de grootte van je bedrijf en van de IT-afdeling, maar als ik elke dag van 20 werknemers een rapporteer-mail zou krijgen omdat een random spambot weer phishing-mails heeft doorgestuurd, dan zou mijn mailbox aan het einde van de week alleen maar vervuild raken.

ik zou als systeembeheerder echt niet willen dat alle spam-mailtjes die gebruikers ontvangen "gerapporteerd" worden bij abuse@. Dan ben je als sysadmin de hele week alleen maar bezig om de spamfilters bij te stellen, en dat is onbegonnen werk.

Daar komt nog eens bij dat door dit soort acties mensen de "echte" mails niet meer vertrouwen en straks een rekening missen omdat ze denken dat het een phishing-mail is, terwijl het eigenlijk een legitiem mailtje is van hun bank/verzekeraar/hypotheekverstrekker.

[Reactie gewijzigd door Stoney3K op 12 april 2016 10:15]

anargeek
@matthewk11 april 2016 13:51
Ik vind het eigenlijk onbegrijpelijk dat mensen tegenwoordig (zeker in een IT bedrijf) nog steeds zichzelf besmetten door virussen in mails te openen. Zelfs bejaarden worden via de overheid ingelicht om dit soort mails niet te openen, maar een jantoeter op de marketingafdeling opent wel vrolijk wat er binnenkomt.
Op ons kantoor krijgen we veel malware, die enkel op Windows is gericht (het gebruikt wscript). Ik ben blij dat alle non-developers op Macs werken, want ik vermoed dat dat een hoop hoofdpijn heeft gescheeld totzover.

[Reactie gewijzigd door anargeek op 11 april 2016 13:52]

Blokker_1999
@anargeek11 april 2016 14:10
Een goed uiziende mail waarvan de details kloppen van een firma waarmee je recent nog contact hebt gehad doet zelfs goede ITers er al eens intrappen.
SED
@Blokker_199911 april 2016 18:28
Vervelend is ook dat een goed ingesteld spamfiler niet mag werken omdat veel overheidspost zich niet aan zaken zoals SPF wil houden of als server een heel andere afzender aangeeft dan de bron.
Daarmee kun je een hoop ellende afvangen maar dat kan dus niet nu.
Jorgen
@SED11 april 2016 22:22
Ik word momenteel bestookt door mails met onderwerpen als "uw financieel adviseur vraagt uw aandacht" en "SUGUMAR bla bla bla". Hoevaak ik ook via de eigenschappen de afzender check en hoevaak ik ook complete domeinen blokkeer, ik kom er niet vanaf. Een goed spamfilter met een blacklist en/of whitelist, zou ik graag willen hebben.

Ik maak nu gebruik van Windows Live Mail en heb ook de beschikking over Outlook. Heb je toevallig een tip?
barry457
@Jorgen12 april 2016 10:06
Kijk niet op domein. Dit is toch fake, maar ik ben ipadressen gaan blokken.
Op mijn vorige klus was ik lid van meerdere databases met bekende spammers die alles tegen hield. Werkte zeer goed.
Coffeemonster
@anargeek11 april 2016 15:54
Even één moment van onoplettendheid (door vermoeidheid, stress of zo) kan al voldoende zijn om mensen die wel goed op de hoogte zijn van de risico's erin te laten trappen. Als een gebruiker per ongeluk er een keertje instinkt, kan het goed zijn dat hij er honderden keren daarvoor wel alert op heeft gereageerd.
MsG
@anargeek11 april 2016 14:21
Die bejaarden worden ingelicht ja, maar het betekent niet dat ze dat ook bewust doen. Je wil niet weten hoeveel senioren domweg op alles klikken, omdat ze het ook gewoon niet snappen. Het is ergens ook gek dat je er als gebruiker druk om moet maken. Je zou het als een ontwerpfout van het systeem kunnen zien. Misschien moeten nieuwe OS'en veel meer afgesloten worden en de programmatuur vooraf controleren, net als bij de mobiele app-winkels.
HADES2001
@matthewk11 april 2016 13:30
Hier al 9 infecties op het netwerk gehad en tot 4 keer aan toe ook de file server aangetast.
Het feit blijft "Users are idiots" maakt niet uit hoevaak je ze de training laat doen "Safe browsing and mail" zodra we weer een steekproef houden klikt 5-10% gewoon op de link en mogen ze opnieuw op training.
je doet er niets aan, maar aan de andere kant dankzij dat soort mensen heb ik nog een baan :)
blorf
@HADES200111 april 2016 14:08
Kwestie van beleid denk ik. Voor die idiots moet het blijkbaar wel mogelijk zijn om een zojuist gedownloade .exe uit te voeren met voldoende permissies om (in dit geval) het hele systeem te versleutelen.
HADES2001
@blorf11 april 2016 14:15
Hangt voledig van de cryptoware af, Teslacrypt is de meest voorkomende die word gestart vanuit een PDF en heeft geen admin rechten nodig.
Het tijdperk van virussen/malware die binnen komen als faktuur.pdf.exe is allang voorbij
osmosis
@matthewk11 april 2016 15:15
Ik had laatst voor het eerst een zeer goede te pakken.
Ik trapte er bijna in, kreeg een mail van Twitter waarin stond er succesvol ingelogd was op m'n account vanaf een vreemd IP.

Ik gebruik Twitter nauwelijks maar heb wel een account, vond wat vreemd dat twitter me zo mail zou sturen immers dacht dat ik alles had uitgezet zo ook aanmeldingsberichten.

Even snel kijken naar adres was iets van "twitter.nolog@mail.ru"
Ah i see :+
Djaboloke
@osmosis11 april 2016 16:20
Same here, looked very legit. Maar dan dacht ik. Ik heb geen twitter op dit adres :p
Anoniem: 463321
@matthewk11 april 2016 13:38
En jij denkt dat elke werknemer 100% nauwkeurig zijn mails bekijkt volgens de door jou genoemde regels? Je zal zelf ook wel weten dat dit in de praktijk niet zo zal werken. Zelfs al is de kennis er bij de gebruikers en letten ze goed op dan nog kan er eens iets doorheen glippen.
Email is bovendien niet de enige manier om de beveiliging te omzeilen dus al je aandacht daarop richten is ook zonde van de tijd. Je schrijft het in je laatste zin ook al (gedeeltelijk).
memphis
@matthewk11 april 2016 13:43
Hier worden we er regelmatig op gewezen. Ook worden we getest met zgn fake mails en wie niet door de test raakt (en met name de IT'ers hier) mag even klassikaal een presentatie volgen..
chaoscontrol
@matthewk11 april 2016 17:27
Andere IT bedrijven, waaronder waar ik werk, stoppen daar wel degelijk moeite in. Dat kun je het bedrijf waar je werkt dus gewoon kwalijk nemen. Sterker nog, bij ons krijg je je netwerk account niet voor je de security awareness training met een 7,50 of hoger behaalt hebt.
revolution-nl
@matthewk11 april 2016 13:28
Wat mij vooral opvalt is dat er in bedrijven - ik werk ondertussen zelf bij een ict bedrijf - 0 aandacht wordt gegeven aan het spotten van onveiligheden.
Dat lijkt mij een zeer kwalijk zaak. Met een goede next gen firewall is ransomware overigens eenvoudig te bestrijden.
matthewk
@revolution-nl11 april 2016 13:30
Lijkt eenvoudig. Maar zelfs de beste watchguard laat er soms wel een paar door ;)
revolution-nl
@matthewk11 april 2016 13:33
Dat is natuurlijk geen probleem. Zolang er maar geen connectie met de C&C servers kan worden gelegd.

Het probleem is dat veel IT'ers niet weten hoe ransomware werkt. Als je niet weet hoe je dreiging technisch in elkaar steekt kan je jezelf er ook niet tegen wapenen.
rvt1
@revolution-nl11 april 2016 13:45
Het is natuurlijk ook niet realistisch voor veel ITers en systeem beheerders om deze kennis in huis te kunnen hebben. De wereld van security, randsomeware gaat zo snel dat dit een vol tijd baan is, dus dit soort beveiliging is eigenlijk alleen weggelegd voor de grotere organisaties, of de MKBers die veel waard zijn en dus veel baat hebben bij zeer goede beveiliging.

Helaas leven we in een wereld waar stelen (in welke vorm dan ook) op het internet bijna gewoon aan het worden is en dat is jammer. Pietje werkt hard voor zijn centjes en wordt onder zijn neus weggekaapt.

Ben blij, dat Leo dit online heeft gezet en hoop dat vele mensen er gebruik van kunnen maken.
revolution-nl
@rvt111 april 2016 13:55
Als IT'er ben je wel verantwoordelijk voor de informatiebeveiliging en continuïteit met de meldplicht datalekken is dit actueler dan ooit.

Als je niet voldoende kennis hebt dan dien je dat delegeren aan een collega of een andere partij die wel kennis van zaken heeft.

Wanneer je de kop in het zand steek is dat wat mij betreft onverantwoordelijk en een brevet van onvermogen.
Pietervs
@revolution-nl11 april 2016 16:48
Klopt, maar als jij DE IT-er bent bij een bedrijfje tot 30 werknemers, is security maar 1 van de tientallen dingen waar je je per dag mee bezig "mag" houden... Delegeren? Je mag blij zijn als het management geld beschikbaar heeft gesteld voor een goede firewall!
D11
@revolution-nl11 april 2016 13:53
Ransomware kan ook zonder C&C server de schijf encrypten.
Anoniem: 415698
11 april 2016 13:15
De eerste vraag die bij me opkomt is zorgt dit genetisch algoritme ervoor dat de encryptie omzeild wordt of werd de encryptie gekraakt van deze ransomware?
mendel129
@Anoniem: 41569811 april 2016 13:19
Leuke read: http://www.tgsoft.it/english/news_archivio_eng.asp?id=718
MadMarky
@mendel12911 april 2016 13:45
Voor de mensen die het artikel niet helemaal kunnen volgen:
Petya gebruikt een beperkte karakterset van slechts 54 stuks en gebruikt een key die effectief slechts 8 karakters lang is. Hierdoor heb je 'slechts' 548 mogelijkheden over en dit is voor een computer prima te bruteforcen.

[Reactie gewijzigd door MadMarky op 11 april 2016 14:07]

Blokker_1999
@MadMarky11 april 2016 14:08
Maar dan lijkt het mij dat de oplossing voor de ransomware makers ook zeer eenvoudig is: een langere key met meer karakters.
David Mulder
@Blokker_199911 april 2016 14:16
Yep, komt er op neer dat ze het hebben ingeperkt om zo snel mogelijk zo veel mogelijk data te encrypten zonder dat de gebruiker er iets aan kan doen. (Tenminste, dat snelheid de onderliggende reden zou zijn werd beweert op security.SE) Stel de computer begint super traag te lopen terwijl hij aan het encrypten is dan zou het me niks verbazen als je de computer maar herstart of zelf de ICT helpdesk roept. Maar goed, het klopt inderdaad dat het erg eenvoudig te fixen is.
Jerie
@David Mulder11 april 2016 16:04
De computer wordt niet traag wanneer je de door de malware gegeneerde I/O en CPU op lage (bijvoorbeeld laagste) prioriteit zet. Dat heeft op moderne platformen zoals x86-64 nagenoeg geen effect op de performance van de computer.
spNk
@Jerie11 april 2016 20:29
Ben ik het niet mee eens. Op een normale mechanische HDD is het zeker goed merkbaar. CPU gebruik zal geen probleem zijn maar dat is hedendaags toch al amper een bottleneck.
Jerie
@spNk11 april 2016 21:46
Met PATA van vroeger en x86-32, sure. Tegenwoordig met x86-64 en SATA2 (of zelfs SSDs) niet dusdanig dat het systeem onbruikbaar is. Het gaat er eigenlijk om dat het systeem nog bruikbaar is in de paar dagen tijd van infectie. Dat is het geval.

Ik zal toegeven dat ik niet veel weet van I/O scheduling op Windows, maar wel op Linux. Het meest bekende is top, maar je hebt ook powertop (voor W gebruik) en iotop (voor I/O gebruik). Power doet er niet toe wanneer het geen batterij heeft (bijvoorbeeld PCs), CPU kun je op 100% load zetten op alle cores (bijvoorbeeld 8). De fans zullen dan wel gaan draaien en dat kan de gebruiker misschien bevreemden.

Het punt is dat met een goede scheduler zoiets op laagste prioriteit werkt. Ik weet ook zeker dat bepaalde adware en ransomware zo ook werkte (bijvoorbeeld uTorrent miner). En dat moet je ook qua I/O kunnen schedulen.
spNk
@Jerie11 april 2016 22:21
Nja, ik ben iig bekend met varianten van crypto en torrent locker varianten die het systeem echt enorm vertragen. Deze willen z.s.m. alles versleutelen en vertragen het systeem dusdanig dat het niet meer werkbaar is.
Jerie
@spNk11 april 2016 23:16
Slechte malware dan. Tenzij Windows geen I/O scheduler heeft, maar dat lijkt me sterk. Voor zover ik kon vinden zit het er sinds Vista in. Zo'n malware zou z'n priority dus op very low moeten zetten. Daardoor wordt het systeem niet trager dan een AV scan die op de achtergrond wordt uitgevoerd.
spNk
@Jerie12 april 2016 10:13
Wat maakt het uit? Al je bestanden zijn toch al binnen een paar minuten versleuteld. De gemiddelde gebruiker heeft toch niks door tot het te laat is.
Anoniem: 718569
@spNk12 april 2016 14:09
Op een normale mechanische HDD is het zeker goed merkbaar.
Is eerder bestandssysteem gerelateerd dan hardware gerelateerd. Een ander bestandssysteem met eventueel een andere I/O scheduler kan veel beter overweg met zware I/O.

Nu is het wel zo dat in dit geval de ransomware dus ook wel het zwakste bestandssysteem er uit pikt (omdat het Windows specifiek is en dus NTFS specifiek).
ATS
@David Mulder11 april 2016 16:05
Dat lijkt me sterk. Het encrypten van je HDD is een I/O bound operatie: het lezen en schrijven kost veel meer tijd dat het versleutelen zelf. Een grotere key gebruiken gaat geen merkbare verschillen in performance geven.
Anoniem: 415698
@mendel12911 april 2016 13:27
Voor mensen die het technisch willen bekijken is de link hierboven zeer informatief en leerrijk. Bedankt mendel129!
AnonymousWP
11 april 2016 13:16
Mooi om te zien hoor, maar de makers van de ransomware zijn ook niet dom, en zullen dus ook binnen een paar weken doorkrijgen dat er dit soort tools online komen. Over een aantal weken zullen ze dan ook de lekken gaan dichten, waardoor er misschien helemaal geen tools meer werken. Net zoals bij TeslaCrypt 3.0. Die is ook zo goed als dichtgetimmerd.
Anoniem: 463321
@AnonymousWP11 april 2016 13:24
De makers van tegenmaatregelen zijn ook niet dom en zullen dus ook weer met nieuwe tools online komen. Het zal een kat- en muisspel blijven.
Het is in elk geval goed dat bepaalde bestaande gevallen nu middels een tool te verhelpen zijn.
AnonymousWP
@Anoniem: 46332111 april 2016 13:29
Nee. TeslaCrypt is volgens beveiligingsonderzoekers niet te kraken. Dus een tool tegen TeslaCrypt 3.0.1 maken is zinloos.

Bronnen:
nieuws: Experts: TeslaCrypt-ransomware nu onmogelijk te kraken

http://blog.talosintel.co...01-tales-from-crypto.html

Daarbij moet ik inderdaad wel zeggen (onderstaande reactie van mezelf):
Het is te kraken ja. Alles is inderdaad te kraken. Maar ga jij een brute-force doen op die reten sterke encryptie van TeslaCrypt? Dan ben je nog wel even wat jaartjes bezig.. helemaal op een gemiddelde pc.

[Reactie gewijzigd door AnonymousWP op 11 april 2016 13:58]

Tjidde
@AnonymousWP11 april 2016 13:57
Met tijd lukt alles, als iemand minimale fout vind in teslaCrypt is het gedaan. Of je gaat lang genoeg keys tegen je PC aangooien tot die hem pakt. Beiden kost zeeën van tijd maar is te doen.
AnonymousWP
@Tjidde11 april 2016 14:08
Zie m'n edit.
Antarloka
@AnonymousWP11 april 2016 13:53
Wat te maken is, is te kraken!

Het zal uiteraard niet gemakkelijk zijn, maar uiteindelijk is ALLES te krijgen.

En ja onderzoekers roepen dat wel vaker. Dat deze onderzoekers het niet begrijpen, wil niet zeggen dat het echt niet te kraken is.

En in dat tweakers bericht naar waar je verwijst staat ook " zo goed als onmogelijk".
Dat is wel een heel verschil!

[Reactie gewijzigd door Antarloka op 11 april 2016 13:55]

AnonymousWP
@Antarloka11 april 2016 13:55
Het is te kraken ja. Alles is inderdaad te kraken. Maar ga jij een brute-force doen op die reten sterke encryptie van TeslaCrypt? Dan ben je nog wel even wat jaartjes bezig.. helemaal op een gemiddelde pc.
Antarloka
@AnonymousWP11 april 2016 14:17
Dus iedereen heeft een gemiddelde pc?
Je kan ook rekenkracht voor bepaalde tijd huren, dus als iemand hier echt wat voor wilt maken, zijn daar altijd mogelijkheden voor!
AnonymousWP
@Antarloka11 april 2016 14:20
Tuurlijk kun je er Xeon-servers tegenaan gooien, maar sommige encryptie is nou eenmaal zo sterk, dat je dan alsnog maanden bezig bent. Tegen die tijd heb je al aardig wat stroom verbruikt als alle Xeon-Phi's en 'gewone' Xeons volop aan het denken zijn.
Antarloka
@AnonymousWP11 april 2016 14:31
Supercomputers huren kan ook gewoon in de cloud. Dan heb je geen stroomkosten. Dat all-in!

En als je er nou als bedrijf zijnde geld mee kan verdienen is het natuurlijk nog interessanter. Kijk bijvoorbeeld naar cellebrite die de FBI hielp met de beruchte iphone hack.
Niosus
@Antarloka11 april 2016 23:17
Je beseft toch dat bij goede encryptie we niet spreken over een paar uurtjes om het te kraken he? Als er AES 256 wordt gebruikt spreken we over alle computers op de planeet die samenwerken en dan nog vele miljoenen miljarden keren de huidige leeftijd van het universum zouden nodig hebben. En nee dat is niet overdreven. We spreken hier over getallen die zo groot zijn dat als je elk deeltje in het zichtbare universum zou tellen je nog altijd maar aan een miljardste zit van het aantal mogelijke keys die je moet checken.

En kraak je dat op een of andere manier? Dan ga je over naar een 512bit of 1024bit key. Voor 512 mag je dan voor elk deeltje in het universum een nieuw universum maken en de deeltjes in al die universums tellen en dan kom je nog niet in de buurt. Voor 1024 ga je nog een laagje dieper...

Begin je het probleem te zien?

[Reactie gewijzigd door Niosus op 11 april 2016 23:18]

Antarloka
@Niosus12 april 2016 13:45
AES 256 bit brute forces duurt met 300 miljard computers welke gemiddeld 10 miljoen keys/s kunnen verwerken ongeveer 1.254.856.009.386.230.000.000.000.000.000.000.000.000.000.000.000.000 jaar.

Echter wil dit niet zeggen dat er niet een lek/bug/passthrough/algoritme of wat dan ook gaat worden gevonden.
servies
@Antarloka12 april 2016 07:52
En dat kost niets?
Wat denk je? Zouden ze de stroomkosten misschien niet in de huur meenemen?
Plus het duurt momenteel nog gewoon (veel) te lang.

[Reactie gewijzigd door servies op 12 april 2016 07:53]

AnonymousWP
@Antarloka11 april 2016 14:31
Dan nog duurt het erg lang.
THA_ErAsEr
@Antarloka11 april 2016 14:55
In theorie valt het te kraken, maar in de praktijk niet. Als een gemiddelde pc enkele eeuwen nodig heeft om het te bruteforcen is het dus praktisch onkraakbaar.
FreezeXJ
@Anoniem: 46332111 april 2016 13:31
Van de andere kant zijn er nu best wat slachtoffers die maatregelen gaan nemen tegen trojans, en ik hoop dat ze nu de 2e besmetting voorkomen. Dat is alweer minder toekomstig inkomen voor smeerlappen.

De meeste mensen/bedrijven beginnen helaas pas met beveiligen nadat ze getroffen zijn... Deze aanval raakt de nodigen, en ik hoop/verwacht dat ze nu een kleinere kans hebben om nogmaals gepakt te worden.
anargeek
@AnonymousWP11 april 2016 13:32
Mogelijk dat de ontwikkelaar van deze tool daarom ook niet precies uitlegd hoe de tool werkt, zodat het niet "gefixt" kan worden. Die strategie hanteerden onderzoekers ook bij (eerdere versies van) TeslaCrypt, hoewel die bug uiteindelijk toch door de ransomware-makers werd opgelost.

En als diezelfde personen dan weer geinfecteerd raken door bijlages uit emails te openen, vraag ik me af of het nog wel nut heeft deze mensen te ontsleutelen.
AnonymousWP
@anargeek11 april 2016 13:37
Uiteindelijk zullen de cryptolocker-makers er wel achter komen hoe de tool werkt. Vergeet niet dat de makers zelf ook tools kunnen maken, om te testen of hun ransomware te kraken is of niet.
anargeek
@AnonymousWP11 april 2016 13:48
Uiteraard, het blijft een kat & muisspel. Maar dat is natuurlijk geen reden om geen tools uit te brengen om te ontsleutelen wat we kunnen. Totdusver is Petya niet onkraakbaar, dus dat is goed nieuws. Maar het is wachten op de reactie van de makers.
In de tussentijd kunnen we alleen aan zoveel mogelijk mensen nog maar eens vertellen dat ze bijlages niet moeten openen als ze het bestand niet van te voren hadden verwacht. En betere virusscanners op mailservers en computers zetten.
AnonymousWP
@anargeek11 april 2016 13:50
Als ik bestanden download van Het Internet, haal ik ze altijd eerst door Virustotal heen voordat ik ze open :).
aval0ne
@AnonymousWP12 april 2016 00:09
En die heeft 100% nauwkeurigheid?
AnonymousWP
@aval0ne12 april 2016 00:24
Nee. Maar de virussen lopen altijd voor op de bedrijven hè..

De bedrijven moeten het virus eerst nog opnemen in hun database.
Nighthawk213
@AnonymousWP11 april 2016 13:21
Maar het betekent als het goed is wel dat alle huidig geïnfecteerde computers met deze tool ontsleuteld kunnen worden. Tenzij de hackers op de een of andere manier updates kunnen pushen naar al vergrendelde computers, wat mij ook een onlogische kwetsbaarheid lijkt.
AnonymousWP
@Nighthawk21311 april 2016 13:27
De huidige kunnen inderdaad ontsleuteld worden ja. Tenzij ze hun cryptolocker gaan updaten inderdaad. De mensen met de nieuwe versie kunnen dan niet meer decrypten.
biglia
11 april 2016 13:44
Wat gebeurt er eigenlijk wanneer je betaalt? Wordt er effectief een sleutel afgeleverd? Via e-mail ofzo?
AnonymousWP
@biglia11 april 2016 13:50
Dat is altijd maar afwachten. Sommige zijn hier wel eerlijk in, en sommige niet. Dan betaal je, maar krijg je je code niet, en hebben zij je geld.
MsG
@AnonymousWP11 april 2016 14:27
De meesten uiteraard wel. Als ze namelijk massaal niet zouden helpen dan zou het businessmodel compleet instorten. Daarom zie je zelfs vertaalde handleidingen, digitale helpdesken, klantenservice, alles om de ervaring maar zo goed mogelijk te houden. Bizar idee, maar in de ogen van de criminelen wel logisch.
AnonymousWP
@MsG11 april 2016 14:28
Inderdaad een gek idee. Klantvriendelijk zijn als crimineel zijnde :P.
Ge Someone
@AnonymousWP11 april 2016 15:21
Ja, wilt u een factuur met of zonder BTW ;)
Blokker_1999
@biglia11 april 2016 14:15
De meesten zullen inderdaad een sleutel sturen. Dit om hun eigen reputatie hoog te houden. Als van een bepaalde cryptolocker bekend werd dat ze geen sleutels meer opsturen, dan zullen mensen ook niet meer gaan betalen.
SteveWoz
@Blokker_199911 april 2016 14:32
Hoe weten de makers dat precies jij voor jouw computer betaald hebt en welke sleutel ze dan op moeten sturen?
Delgul
@SteveWoz11 april 2016 14:47
Waarschijnlijk aan de bitcoin rekening waar je geld naartoe stuurt? Dat kan per slachtoffer uniek zijn en is simpel te koppelen aan een encryptie key...
HADES2001
@biglia11 april 2016 14:22
momenteel is het in 95% van de gevallen dat je je key krijgt, vergis je er niet in dat het voor hun gewoon normale zaak is geworden. als jij elke dag 1000 systemen infecteerd en maar 1% betaald dan is dat al duizenden per dag.
de wat slimmere crypto's passen zich ook aan kwa prijs aan de hoeveelheid data die versleuteld is.
Er is al een ziekenhuis geweest die tientallen bitcoins heeft betaald om een paar systemen weer operationeel te krijgen.
Als je dan niet de sleutel afgeeft gaan mensen ook niet meer betalen.
rogier1974
11 april 2016 13:20
Quote: ' Daarmee is een getroffen harde schijf eenvoudig aan een werkende computer aan te sluiten en uit te lezen, zo meldt de site Bleeping Computer. "

Hoe zit dit verhaal met Bitlocker dan? Is de schijf wel te benaderen vanaf een andere pc?
mendel129
@rogier197411 april 2016 13:23
Bitlocker maakt gebruik van een ander algoritme :)

Valt eveneens zoals hierboven te bruteforcen. Maar gaat véééél langer duren...

[Reactie gewijzigd door mendel129 op 11 april 2016 13:25]

ASS-Ware
@mendel12911 april 2016 13:54
Ik denk dat hij doelt op het decrypten van door ransomware encrypted files op een met bitlocker encrypted disk.
jeroen3
@rogier197411 april 2016 13:25
Met bitlocker is hij dubbel versleuteld. Maar daar zou je het password van moeten weten, zo niet dan heb je dubbel pech.
rogier1974
@jeroen311 april 2016 13:31
Haha de meeste mensen weten het wachtwoord van hun wifi niet eens meer, laat staan dat ze hun bitlocker key ergens opgeslagen hebben.

Ja dan idd dubbel pech, maarja ook gelijk van die ransomware af, en gelijk met een clean install beginnen
Anoniem: 463321
@rogier197411 april 2016 13:33
Hoe zit dit verhaal met Bitlocker dan? Is de schijf wel te benaderen vanaf een andere pc?
Als je toegang kan krijgen tot het geheugen dan kom je bij de Biltlocker key.
Kan via DMA (Direct memory Access), Cold boot met Linux kernel om geheugen uit te lezen. Wordt gebruikt in zogenaamde Princeton attacks. Je kan het zelfs doen door het geheugen te verwijderen. Lastige daarbij is wel dat je die dat super koel moet houden.
HADES2001
11 april 2016 13:18
Dit zat er al aan te komen, het was al bekend dat deze nog niet sterk genoeg was.
Encrypties als Teslacrypt 3.X en 4.X zijn eigenlijk de ergste, hier is geen andere oplossing voor behalve te betalen.
Voor de mensen die meer willen weten over de ransomware's met encryptie kijk gerust eens op http://www.bleepingcomputer.com/
Hier word snel nieuws gepost over de encrypties, bieden ze hulp bij het indentificeren van welke encryptie, en indien mogelijk de oplossing
svennd
@HADES200111 april 2016 13:38
De oplossing is je backups terugzetten ... O+
R4gnax
@svennd11 april 2016 14:40
De oplossing is je backups terugzetten ... O+
Kwestie van tijd totdat ransomware in je UEFI gaat zitten en vandaar uit meteen herinfecteert.
Dan gaan backups ook niet meer helpen. Sterker nog; dan heb je wel eens kans dat ook je backups opgeslokt worden. Beter om in dit soort gevallen nooit direct te restoren vanaf de master copy van je backup. ;-)
svennd
@R4gnax11 april 2016 15:22
backups terugzetten --> wipe & reinstall --> backup copy'n ...

Ik dacht dat tweakers dat wel zouden vatten.
Rixard
11 april 2016 16:08
Ik ben wel benieuwd over welk advertentienetwerk dit gaat.
Wij hebben 5 april een melding van een bezoeker gehad dat we Exploit: JS/Axpergle.BO verspreidden. We konden dit echter niet reproduceren en hebben ook slechts 1 melding gehad en we maken gebruik van verschillende advertentienetwerken.
sprankel
@Rixard11 april 2016 16:47
Axpergle zie ik hier ook vaak passeren. Opmerkelijk via allemaal legitieme sites & hoofdzakelijk .be domeinen. Moet ergens een geïnfecteerd advertentie netwerk zijn dat vooral op de benelux actief is.
Fr12koen
11 april 2016 17:15
is er ook al zo'n oplossing voor het ctb locker virus?
AnonymousWP
@Fr12koen11 april 2016 19:49
http://qooqle.nl/?q=ctb+locker+decrypter

Kom op zeg.. een Google zoekopdracht en je weet het antwoord.
old_spice
11 april 2016 20:21
Goed nieuws dus. Maar zoals men al aangeeft, preventie is altijd beter. Iemand hier suggesties wat betreft een goede virus/malware scanner?
AnonymousWP
@old_spice11 april 2016 23:48
Jezelf en een adblocker ;).
old_spice
@AnonymousWP12 april 2016 20:54
Haha oke oke. Maar wat is in jouw ervaring de beste virusscanner?
AnonymousWP
@old_spice12 april 2016 21:38
Kaspersky is een goede. Bitdefender is ook niet slecht.
old_spice
@AnonymousWP12 april 2016 22:25
Kaspersky gebruikte ik vroeger, maar werd een steeds zwaarder programma om te draaien. Nu draai ik Malwarebytes, is dat een goede?
AnonymousWP
@old_spice13 april 2016 00:47
Malwarebytes Premium is zeker een aanrader. Maar Malwarebytes is een Anti-Malware. En geen anti-virus.
old_spice
@AnonymousWP13 april 2016 20:22
Oh, ik dacht dat er de facto geen verschil was tussen virussen en malware. Is er ook iets dat malware en virussen aanpakt? Een alles in één oplossing?
AnonymousWP
@old_spice13 april 2016 20:23
Dat weet ik zo 1,2,3 niet :P. Een leuk topic om door te lezen en eventuele info te vragen: [Virusscanners] Discussietopic deel 4
old_spice
@AnonymousWP13 april 2016 20:26
Ah oke, dank je voor de info!
AnonymousWP
@old_spice13 april 2016 20:27
Graag gedaan :).
revolution-nl
11 april 2016 13:22
Een schijf met bitlocker kan je altijd een andere PC aansluiten . Er wordt dan door Windows gevraagd om de de sleutel in te voeren.

Als je slachtoffer wordt van ransomware ben ik overigens sowieso van mening dat je beveiliging op meerdere fronten tekort schiet.

Firewall, patchmanagement van je machine, bewustzijn van de gebruiker.

[Reactie gewijzigd door revolution-nl op 11 april 2016 13:23]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee