Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 119 reacties

Een onderzoeker, die op internet bekendstaat als Leo Stone, heeft een tool beschikbaar gesteld waarmee slachtoffers van de Petya-ransomware gratis een sleutel kunnen maken om hun versleutelde harde schijf te ontsleutelen.

Met behulp van de tool kunnen slachtoffers hun gegevens terugkrijgen zonder 0,99 bitcoin, omgerekend 366 euro, of meer te betalen. De tool heet 'hack-petya'. Hij is beschikbaar op GitHub en via een speciaal ingerichte site. Stone bericht op GitHub dat hij de tool heeft ontwikkeld omdat zijn schoonvader getroffen was door de ransomware. Hij gaat niet uitgebreid in op de werking ervan, maar vermeldt alleen dat hij gebruikmaakt van een genetisch algoritme.

Om de sleutel te genereren is het noodzakelijk dat het slachtoffer de harde schijf vanaf bepaalde sectoren uitleest en een verificatiesector van 512 bytes en een nonce van 8 bytes identificeert. Omdat dit voor de gemiddelde gebruiker moeilijk is, heeft een Emsisoft-onderzoeker genaamd Fabian Wosar een andere tool ontwikkeld met de naam 'Petya Sector Extractor'.

Daarmee is een getroffen harde schijf eenvoudig aan een werkende computer aan te sluiten en uit te lezen, zo meldt de site Bleeping Computer. Via deze site is de tool ook te downloaden. De gegevens die deze tool genereert, leveren via de site van Stone vervolgens binnen tien tot dertig seconden een geldige sleutel op. Diverse gebruikers geven aan dat de harde schijf daarmee inderdaad ontsleuteld wordt.

De Petya-ransomware is voornamelijk actief in Duitsland en wordt verspreid door e-mails aan hr-afdelingen van bedrijven waarin een link aanwezig is naar een kwaadaardig Dropbox-bestand, vermomd als portfolio. Als de gebruiker het bestand opent, start de computer opnieuw en wordt het chkdsk-proces uitgevoerd. In werkelijkheid versleutelt de ransomware op de achtergrond het systeem, waarna dit niet meer te starten is.

Petya RansomwareHet scherm dat Petya-slachtoffers te zien krijgen

Moderatie-faq Wijzig weergave

Reacties (119)

Wat mij vooral opvalt is dat er in bedrijven - ik werk ondertussen zelf bij een ict bedrijf - 0 aandacht wordt gegeven aan het spotten van onveiligheden. Werknemers worden hier totaal niet op getraind, terwijl dit wel zou moeten. De mails zijn goed geworden. Heel erg goed. Zo goed zelfs dat het lijkt alsof de mail echt van klanten komt, of van de eigen scanner/printer.

Maar je kan altijd rariteiten spotten. De afzender, bijvoorbeeld. Of spelfouten, rare bestandsnamen en rare bestandsextensies. En hier moet je ook naar kijken. Beter elke dag 15 minuten verliezen door dit soort dingen te checken, dan je hele schijf op slot en te moeten betalen. Waarom symptomen bestrijden als je de oorzaak (gedeeltelijk) kan aanpakken?

[Reactie gewijzigd door matthewk op 11 april 2016 13:24]

Waar ik werk is het beter geregeld: IT stuurt af en toe een nep-phishing mail rond. Er zijn drie reacties mogelijk:
- je klikt op een link (en krijgt een kruisje achter je naam)
- je doet niets
- je rapporteert de mail (en krijgt mogelijk een bonus)
Daarnaast wordt er regelmatig gewaarschuwd voor "echte" phishing campagnes (wat mogelijk is omdat er gebnoeg gebruikers zijn die phishing mails rapporteren). Wereldwijd praat je wel over tienduizenden gebruikers bij ons, dus dan loont het de moeite om een beetje beleid te voeren.
- je rapporteert de mail (en krijgt mogelijk een bonus)
Het ligt natuurlijk even aan de grootte van je bedrijf en van de IT-afdeling, maar als ik elke dag van 20 werknemers een rapporteer-mail zou krijgen omdat een random spambot weer phishing-mails heeft doorgestuurd, dan zou mijn mailbox aan het einde van de week alleen maar vervuild raken.

ik zou als systeembeheerder echt niet willen dat alle spam-mailtjes die gebruikers ontvangen "gerapporteerd" worden bij abuse@. Dan ben je als sysadmin de hele week alleen maar bezig om de spamfilters bij te stellen, en dat is onbegonnen werk.

Daar komt nog eens bij dat door dit soort acties mensen de "echte" mails niet meer vertrouwen en straks een rekening missen omdat ze denken dat het een phishing-mail is, terwijl het eigenlijk een legitiem mailtje is van hun bank/verzekeraar/hypotheekverstrekker.

[Reactie gewijzigd door Stoney3K op 12 april 2016 10:15]

Ik vind het eigenlijk onbegrijpelijk dat mensen tegenwoordig (zeker in een IT bedrijf) nog steeds zichzelf besmetten door virussen in mails te openen. Zelfs bejaarden worden via de overheid ingelicht om dit soort mails niet te openen, maar een jantoeter op de marketingafdeling opent wel vrolijk wat er binnenkomt.
Op ons kantoor krijgen we veel malware, die enkel op Windows is gericht (het gebruikt wscript). Ik ben blij dat alle non-developers op Macs werken, want ik vermoed dat dat een hoop hoofdpijn heeft gescheeld totzover.

[Reactie gewijzigd door anargeek op 11 april 2016 13:52]

Een goed uiziende mail waarvan de details kloppen van een firma waarmee je recent nog contact hebt gehad doet zelfs goede ITers er al eens intrappen.
Vervelend is ook dat een goed ingesteld spamfiler niet mag werken omdat veel overheidspost zich niet aan zaken zoals SPF wil houden of als server een heel andere afzender aangeeft dan de bron.
Daarmee kun je een hoop ellende afvangen maar dat kan dus niet nu.
Ik word momenteel bestookt door mails met onderwerpen als "uw financieel adviseur vraagt uw aandacht" en "SUGUMAR bla bla bla". Hoevaak ik ook via de eigenschappen de afzender check en hoevaak ik ook complete domeinen blokkeer, ik kom er niet vanaf. Een goed spamfilter met een blacklist en/of whitelist, zou ik graag willen hebben.

Ik maak nu gebruik van Windows Live Mail en heb ook de beschikking over Outlook. Heb je toevallig een tip?
Kijk niet op domein. Dit is toch fake, maar ik ben ipadressen gaan blokken.
Op mijn vorige klus was ik lid van meerdere databases met bekende spammers die alles tegen hield. Werkte zeer goed.
Even één moment van onoplettendheid (door vermoeidheid, stress of zo) kan al voldoende zijn om mensen die wel goed op de hoogte zijn van de risico's erin te laten trappen. Als een gebruiker per ongeluk er een keertje instinkt, kan het goed zijn dat hij er honderden keren daarvoor wel alert op heeft gereageerd.
Die bejaarden worden ingelicht ja, maar het betekent niet dat ze dat ook bewust doen. Je wil niet weten hoeveel senioren domweg op alles klikken, omdat ze het ook gewoon niet snappen. Het is ergens ook gek dat je er als gebruiker druk om moet maken. Je zou het als een ontwerpfout van het systeem kunnen zien. Misschien moeten nieuwe OS'en veel meer afgesloten worden en de programmatuur vooraf controleren, net als bij de mobiele app-winkels.
Hier al 9 infecties op het netwerk gehad en tot 4 keer aan toe ook de file server aangetast.
Het feit blijft "Users are idiots" maakt niet uit hoevaak je ze de training laat doen "Safe browsing and mail" zodra we weer een steekproef houden klikt 5-10% gewoon op de link en mogen ze opnieuw op training.
je doet er niets aan, maar aan de andere kant dankzij dat soort mensen heb ik nog een baan :)
Kwestie van beleid denk ik. Voor die idiots moet het blijkbaar wel mogelijk zijn om een zojuist gedownloade .exe uit te voeren met voldoende permissies om (in dit geval) het hele systeem te versleutelen.
Hangt voledig van de cryptoware af, Teslacrypt is de meest voorkomende die word gestart vanuit een PDF en heeft geen admin rechten nodig.
Het tijdperk van virussen/malware die binnen komen als faktuur.pdf.exe is allang voorbij
Ik had laatst voor het eerst een zeer goede te pakken.
Ik trapte er bijna in, kreeg een mail van Twitter waarin stond er succesvol ingelogd was op m'n account vanaf een vreemd IP.

Ik gebruik Twitter nauwelijks maar heb wel een account, vond wat vreemd dat twitter me zo mail zou sturen immers dacht dat ik alles had uitgezet zo ook aanmeldingsberichten.

Even snel kijken naar adres was iets van "twitter.nolog@mail.ru"
Ah i see :+
Same here, looked very legit. Maar dan dacht ik. Ik heb geen twitter op dit adres :p
En jij denkt dat elke werknemer 100% nauwkeurig zijn mails bekijkt volgens de door jou genoemde regels? Je zal zelf ook wel weten dat dit in de praktijk niet zo zal werken. Zelfs al is de kennis er bij de gebruikers en letten ze goed op dan nog kan er eens iets doorheen glippen.
Email is bovendien niet de enige manier om de beveiliging te omzeilen dus al je aandacht daarop richten is ook zonde van de tijd. Je schrijft het in je laatste zin ook al (gedeeltelijk).
Hier worden we er regelmatig op gewezen. Ook worden we getest met zgn fake mails en wie niet door de test raakt (en met name de IT'ers hier) mag even klassikaal een presentatie volgen..
Andere IT bedrijven, waaronder waar ik werk, stoppen daar wel degelijk moeite in. Dat kun je het bedrijf waar je werkt dus gewoon kwalijk nemen. Sterker nog, bij ons krijg je je netwerk account niet voor je de security awareness training met een 7,50 of hoger behaalt hebt.
Wat mij vooral opvalt is dat er in bedrijven - ik werk ondertussen zelf bij een ict bedrijf - 0 aandacht wordt gegeven aan het spotten van onveiligheden.
Dat lijkt mij een zeer kwalijk zaak. Met een goede next gen firewall is ransomware overigens eenvoudig te bestrijden.
Lijkt eenvoudig. Maar zelfs de beste watchguard laat er soms wel een paar door ;)
Dat is natuurlijk geen probleem. Zolang er maar geen connectie met de C&C servers kan worden gelegd.

Het probleem is dat veel IT'ers niet weten hoe ransomware werkt. Als je niet weet hoe je dreiging technisch in elkaar steekt kan je jezelf er ook niet tegen wapenen.
Het is natuurlijk ook niet realistisch voor veel ITers en systeem beheerders om deze kennis in huis te kunnen hebben. De wereld van security, randsomeware gaat zo snel dat dit een vol tijd baan is, dus dit soort beveiliging is eigenlijk alleen weggelegd voor de grotere organisaties, of de MKBers die veel waard zijn en dus veel baat hebben bij zeer goede beveiliging.

Helaas leven we in een wereld waar stelen (in welke vorm dan ook) op het internet bijna gewoon aan het worden is en dat is jammer. Pietje werkt hard voor zijn centjes en wordt onder zijn neus weggekaapt.

Ben blij, dat Leo dit online heeft gezet en hoop dat vele mensen er gebruik van kunnen maken.
Als IT'er ben je wel verantwoordelijk voor de informatiebeveiliging en continuïteit met de meldplicht datalekken is dit actueler dan ooit.

Als je niet voldoende kennis hebt dan dien je dat delegeren aan een collega of een andere partij die wel kennis van zaken heeft.

Wanneer je de kop in het zand steek is dat wat mij betreft onverantwoordelijk en een brevet van onvermogen.
Klopt, maar als jij DE IT-er bent bij een bedrijfje tot 30 werknemers, is security maar 1 van de tientallen dingen waar je je per dag mee bezig "mag" houden... Delegeren? Je mag blij zijn als het management geld beschikbaar heeft gesteld voor een goede firewall!
Ransomware kan ook zonder C&C server de schijf encrypten.
De eerste vraag die bij me opkomt is zorgt dit genetisch algoritme ervoor dat de encryptie omzeild wordt of werd de encryptie gekraakt van deze ransomware?
Voor de mensen die het artikel niet helemaal kunnen volgen:
Petya gebruikt een beperkte karakterset van slechts 54 stuks en gebruikt een key die effectief slechts 8 karakters lang is. Hierdoor heb je 'slechts' 548 mogelijkheden over en dit is voor een computer prima te bruteforcen.

[Reactie gewijzigd door MadMarky op 11 april 2016 14:07]

Maar dan lijkt het mij dat de oplossing voor de ransomware makers ook zeer eenvoudig is: een langere key met meer karakters.
Yep, komt er op neer dat ze het hebben ingeperkt om zo snel mogelijk zo veel mogelijk data te encrypten zonder dat de gebruiker er iets aan kan doen. (Tenminste, dat snelheid de onderliggende reden zou zijn werd beweert op security.SE) Stel de computer begint super traag te lopen terwijl hij aan het encrypten is dan zou het me niks verbazen als je de computer maar herstart of zelf de ICT helpdesk roept. Maar goed, het klopt inderdaad dat het erg eenvoudig te fixen is.
De computer wordt niet traag wanneer je de door de malware gegeneerde I/O en CPU op lage (bijvoorbeeld laagste) prioriteit zet. Dat heeft op moderne platformen zoals x86-64 nagenoeg geen effect op de performance van de computer.
Ben ik het niet mee eens. Op een normale mechanische HDD is het zeker goed merkbaar. CPU gebruik zal geen probleem zijn maar dat is hedendaags toch al amper een bottleneck.
Met PATA van vroeger en x86-32, sure. Tegenwoordig met x86-64 en SATA2 (of zelfs SSDs) niet dusdanig dat het systeem onbruikbaar is. Het gaat er eigenlijk om dat het systeem nog bruikbaar is in de paar dagen tijd van infectie. Dat is het geval.

Ik zal toegeven dat ik niet veel weet van I/O scheduling op Windows, maar wel op Linux. Het meest bekende is top, maar je hebt ook powertop (voor W gebruik) en iotop (voor I/O gebruik). Power doet er niet toe wanneer het geen batterij heeft (bijvoorbeeld PCs), CPU kun je op 100% load zetten op alle cores (bijvoorbeeld 8). De fans zullen dan wel gaan draaien en dat kan de gebruiker misschien bevreemden.

Het punt is dat met een goede scheduler zoiets op laagste prioriteit werkt. Ik weet ook zeker dat bepaalde adware en ransomware zo ook werkte (bijvoorbeeld uTorrent miner). En dat moet je ook qua I/O kunnen schedulen.
Nja, ik ben iig bekend met varianten van crypto en torrent locker varianten die het systeem echt enorm vertragen. Deze willen z.s.m. alles versleutelen en vertragen het systeem dusdanig dat het niet meer werkbaar is.
Slechte malware dan. Tenzij Windows geen I/O scheduler heeft, maar dat lijkt me sterk. Voor zover ik kon vinden zit het er sinds Vista in. Zo'n malware zou z'n priority dus op very low moeten zetten. Daardoor wordt het systeem niet trager dan een AV scan die op de achtergrond wordt uitgevoerd.
Wat maakt het uit? Al je bestanden zijn toch al binnen een paar minuten versleuteld. De gemiddelde gebruiker heeft toch niks door tot het te laat is.
Op een normale mechanische HDD is het zeker goed merkbaar.
Is eerder bestandssysteem gerelateerd dan hardware gerelateerd. Een ander bestandssysteem met eventueel een andere I/O scheduler kan veel beter overweg met zware I/O.

Nu is het wel zo dat in dit geval de ransomware dus ook wel het zwakste bestandssysteem er uit pikt (omdat het Windows specifiek is en dus NTFS specifiek).
Dat lijkt me sterk. Het encrypten van je HDD is een I/O bound operatie: het lezen en schrijven kost veel meer tijd dat het versleutelen zelf. Een grotere key gebruiken gaat geen merkbare verschillen in performance geven.
Voor mensen die het technisch willen bekijken is de link hierboven zeer informatief en leerrijk. Bedankt mendel129!
Mooi om te zien hoor, maar de makers van de ransomware zijn ook niet dom, en zullen dus ook binnen een paar weken doorkrijgen dat er dit soort tools online komen. Over een aantal weken zullen ze dan ook de lekken gaan dichten, waardoor er misschien helemaal geen tools meer werken. Net zoals bij TeslaCrypt 3.0. Die is ook zo goed als dichtgetimmerd.
De makers van tegenmaatregelen zijn ook niet dom en zullen dus ook weer met nieuwe tools online komen. Het zal een kat- en muisspel blijven.
Het is in elk geval goed dat bepaalde bestaande gevallen nu middels een tool te verhelpen zijn.
Nee. TeslaCrypt is volgens beveiligingsonderzoekers niet te kraken. Dus een tool tegen TeslaCrypt 3.0.1 maken is zinloos.

Bronnen:
nieuws: Experts: TeslaCrypt-ransomware nu onmogelijk te kraken

http://blog.talosintel.co...01-tales-from-crypto.html

Daarbij moet ik inderdaad wel zeggen (onderstaande reactie van mezelf):
Het is te kraken ja. Alles is inderdaad te kraken. Maar ga jij een brute-force doen op die reten sterke encryptie van TeslaCrypt? Dan ben je nog wel even wat jaartjes bezig.. helemaal op een gemiddelde pc.

[Reactie gewijzigd door AnonymousWP op 11 april 2016 13:58]

Met tijd lukt alles, als iemand minimale fout vind in teslaCrypt is het gedaan. Of je gaat lang genoeg keys tegen je PC aangooien tot die hem pakt. Beiden kost zeeën van tijd maar is te doen.
Wat te maken is, is te kraken!

Het zal uiteraard niet gemakkelijk zijn, maar uiteindelijk is ALLES te krijgen.

En ja onderzoekers roepen dat wel vaker. Dat deze onderzoekers het niet begrijpen, wil niet zeggen dat het echt niet te kraken is.

En in dat tweakers bericht naar waar je verwijst staat ook " zo goed als onmogelijk".
Dat is wel een heel verschil!

[Reactie gewijzigd door Antarloka op 11 april 2016 13:55]

Het is te kraken ja. Alles is inderdaad te kraken. Maar ga jij een brute-force doen op die reten sterke encryptie van TeslaCrypt? Dan ben je nog wel even wat jaartjes bezig.. helemaal op een gemiddelde pc.
Dus iedereen heeft een gemiddelde pc?
Je kan ook rekenkracht voor bepaalde tijd huren, dus als iemand hier echt wat voor wilt maken, zijn daar altijd mogelijkheden voor!
Tuurlijk kun je er Xeon-servers tegenaan gooien, maar sommige encryptie is nou eenmaal zo sterk, dat je dan alsnog maanden bezig bent. Tegen die tijd heb je al aardig wat stroom verbruikt als alle Xeon-Phi's en 'gewone' Xeons volop aan het denken zijn.
Supercomputers huren kan ook gewoon in de cloud. Dan heb je geen stroomkosten. Dat all-in!

En als je er nou als bedrijf zijnde geld mee kan verdienen is het natuurlijk nog interessanter. Kijk bijvoorbeeld naar cellebrite die de FBI hielp met de beruchte iphone hack.
Je beseft toch dat bij goede encryptie we niet spreken over een paar uurtjes om het te kraken he? Als er AES 256 wordt gebruikt spreken we over alle computers op de planeet die samenwerken en dan nog vele miljoenen miljarden keren de huidige leeftijd van het universum zouden nodig hebben. En nee dat is niet overdreven. We spreken hier over getallen die zo groot zijn dat als je elk deeltje in het zichtbare universum zou tellen je nog altijd maar aan een miljardste zit van het aantal mogelijke keys die je moet checken.

En kraak je dat op een of andere manier? Dan ga je over naar een 512bit of 1024bit key. Voor 512 mag je dan voor elk deeltje in het universum een nieuw universum maken en de deeltjes in al die universums tellen en dan kom je nog niet in de buurt. Voor 1024 ga je nog een laagje dieper...

Begin je het probleem te zien?

[Reactie gewijzigd door Niosus op 11 april 2016 23:18]

AES 256 bit brute forces duurt met 300 miljard computers welke gemiddeld 10 miljoen keys/s kunnen verwerken ongeveer 1.254.856.009.386.230.000.000.000.000.000.000.000.000.000.000.000.000 jaar.

Echter wil dit niet zeggen dat er niet een lek/bug/passthrough/algoritme of wat dan ook gaat worden gevonden.
En dat kost niets?
Wat denk je? Zouden ze de stroomkosten misschien niet in de huur meenemen?
Plus het duurt momenteel nog gewoon (veel) te lang.

[Reactie gewijzigd door servies op 12 april 2016 07:53]

In theorie valt het te kraken, maar in de praktijk niet. Als een gemiddelde pc enkele eeuwen nodig heeft om het te bruteforcen is het dus praktisch onkraakbaar.
Van de andere kant zijn er nu best wat slachtoffers die maatregelen gaan nemen tegen trojans, en ik hoop dat ze nu de 2e besmetting voorkomen. Dat is alweer minder toekomstig inkomen voor smeerlappen.

De meeste mensen/bedrijven beginnen helaas pas met beveiligen nadat ze getroffen zijn... Deze aanval raakt de nodigen, en ik hoop/verwacht dat ze nu een kleinere kans hebben om nogmaals gepakt te worden.
Mogelijk dat de ontwikkelaar van deze tool daarom ook niet precies uitlegd hoe de tool werkt, zodat het niet "gefixt" kan worden. Die strategie hanteerden onderzoekers ook bij (eerdere versies van) TeslaCrypt, hoewel die bug uiteindelijk toch door de ransomware-makers werd opgelost.

En als diezelfde personen dan weer geinfecteerd raken door bijlages uit emails te openen, vraag ik me af of het nog wel nut heeft deze mensen te ontsleutelen.
Uiteindelijk zullen de cryptolocker-makers er wel achter komen hoe de tool werkt. Vergeet niet dat de makers zelf ook tools kunnen maken, om te testen of hun ransomware te kraken is of niet.
Uiteraard, het blijft een kat & muisspel. Maar dat is natuurlijk geen reden om geen tools uit te brengen om te ontsleutelen wat we kunnen. Totdusver is Petya niet onkraakbaar, dus dat is goed nieuws. Maar het is wachten op de reactie van de makers.
In de tussentijd kunnen we alleen aan zoveel mogelijk mensen nog maar eens vertellen dat ze bijlages niet moeten openen als ze het bestand niet van te voren hadden verwacht. En betere virusscanners op mailservers en computers zetten.
Als ik bestanden download van Het Internet, haal ik ze altijd eerst door Virustotal heen voordat ik ze open :).
En die heeft 100% nauwkeurigheid?
Nee. Maar de virussen lopen altijd voor op de bedrijven hè..

De bedrijven moeten het virus eerst nog opnemen in hun database.
Maar het betekent als het goed is wel dat alle huidig geïnfecteerde computers met deze tool ontsleuteld kunnen worden. Tenzij de hackers op de een of andere manier updates kunnen pushen naar al vergrendelde computers, wat mij ook een onlogische kwetsbaarheid lijkt.
De huidige kunnen inderdaad ontsleuteld worden ja. Tenzij ze hun cryptolocker gaan updaten inderdaad. De mensen met de nieuwe versie kunnen dan niet meer decrypten.
Wat gebeurt er eigenlijk wanneer je betaalt? Wordt er effectief een sleutel afgeleverd? Via e-mail ofzo?
Dat is altijd maar afwachten. Sommige zijn hier wel eerlijk in, en sommige niet. Dan betaal je, maar krijg je je code niet, en hebben zij je geld.
De meesten uiteraard wel. Als ze namelijk massaal niet zouden helpen dan zou het businessmodel compleet instorten. Daarom zie je zelfs vertaalde handleidingen, digitale helpdesken, klantenservice, alles om de ervaring maar zo goed mogelijk te houden. Bizar idee, maar in de ogen van de criminelen wel logisch.
Inderdaad een gek idee. Klantvriendelijk zijn als crimineel zijnde :P.
Ja, wilt u een factuur met of zonder BTW ;)
De meesten zullen inderdaad een sleutel sturen. Dit om hun eigen reputatie hoog te houden. Als van een bepaalde cryptolocker bekend werd dat ze geen sleutels meer opsturen, dan zullen mensen ook niet meer gaan betalen.
Hoe weten de makers dat precies jij voor jouw computer betaald hebt en welke sleutel ze dan op moeten sturen?
Waarschijnlijk aan de bitcoin rekening waar je geld naartoe stuurt? Dat kan per slachtoffer uniek zijn en is simpel te koppelen aan een encryptie key...
momenteel is het in 95% van de gevallen dat je je key krijgt, vergis je er niet in dat het voor hun gewoon normale zaak is geworden. als jij elke dag 1000 systemen infecteerd en maar 1% betaald dan is dat al duizenden per dag.
de wat slimmere crypto's passen zich ook aan kwa prijs aan de hoeveelheid data die versleuteld is.
Er is al een ziekenhuis geweest die tientallen bitcoins heeft betaald om een paar systemen weer operationeel te krijgen.
Als je dan niet de sleutel afgeeft gaan mensen ook niet meer betalen.
Quote: ' Daarmee is een getroffen harde schijf eenvoudig aan een werkende computer aan te sluiten en uit te lezen, zo meldt de site Bleeping Computer. "

Hoe zit dit verhaal met Bitlocker dan? Is de schijf wel te benaderen vanaf een andere pc?
Bitlocker maakt gebruik van een ander algoritme :)

Valt eveneens zoals hierboven te bruteforcen. Maar gaat véééél langer duren...

[Reactie gewijzigd door mendel129 op 11 april 2016 13:25]

Ik denk dat hij doelt op het decrypten van door ransomware encrypted files op een met bitlocker encrypted disk.
Met bitlocker is hij dubbel versleuteld. Maar daar zou je het password van moeten weten, zo niet dan heb je dubbel pech.
Haha de meeste mensen weten het wachtwoord van hun wifi niet eens meer, laat staan dat ze hun bitlocker key ergens opgeslagen hebben.

Ja dan idd dubbel pech, maarja ook gelijk van die ransomware af, en gelijk met een clean install beginnen
Hoe zit dit verhaal met Bitlocker dan? Is de schijf wel te benaderen vanaf een andere pc?
Als je toegang kan krijgen tot het geheugen dan kom je bij de Biltlocker key.
Kan via DMA (Direct memory Access), Cold boot met Linux kernel om geheugen uit te lezen. Wordt gebruikt in zogenaamde Princeton attacks. Je kan het zelfs doen door het geheugen te verwijderen. Lastige daarbij is wel dat je die dat super koel moet houden.
Laten we gewoon al die vreemde digitale valuta verbannen, dan geven we dit soort afpersers toch ook geen ruimte meer om hun praktijken uit te oefenen.

Op dit moment heb ik het idee dat de "bitcoin" en al zijn familie alleen nog maar bestaan om illegale praktijken zoals deze te voeden.
Dan verzinnen ze wel wat anders (leg een zakje geld neer op locatie X, of maak geld over met Western United, money transfer naar Nigeria). Pak liever het probleem aan: sluit dropbox! :+

[Reactie gewijzigd door latka op 11 april 2016 13:34]

Of Dropbox zou deze bestanden automatisch kunnen verwijderen van hun servers. Dat kan toch niet zo moeilijk zijn.

Ze kunnen wel naar een andere provider gaan, maar dat is anders. Dropbox is bekend voor de meeste gebruikers. Dat geeft meer vertrouwen, ook al heeft Dropbox niets met de inhoud van bestanden te maken.

[Reactie gewijzigd door biglia op 11 april 2016 14:06]

Nu heb ik om diverse redenen sterk mijn bedenkingen bij de bitcoin als vervanger van de huidige betaalmiddelen, maar als we alles gaan verbieden wat eventueel ook kan gebruikt worden door criminelen kunnen we beter allemaal in een holletje onder de grond kruipen. Er is letterlijk niets te bedenken dat niet door criminelen misbruikt kan worden.
Laten we gewoon al die vreemde digitale valuta verbannen, dan geven we dit soort afpersers toch ook geen ruimte meer om hun praktijken uit te oefenen.

Op dit moment heb ik het idee dat de "bitcoin" en al zijn familie alleen nog maar bestaan om illegale praktijken zoals deze te voeden.
https://coincenter.org/20...root-cause-of-ransomware/
Hoe zie je zo'n ban in de praktijk voor je?
Als jij en ik en nog een groepje individuen afspreken dat we elkaar voor producten en/of diensten gaan "betalen" in turfblokken en daar dus een waarde aan gaan plakken is daar feitelijk toch niemand die daar wat aan kan doen?

De natuurlijke eigenschappen van bitcoin maken het aantrekkelijk om te gebruiken, maar je kan net zo goed weer gewoon met geldezels gaan werken o.i.d.
Zo'n valuta verbieden vanwege criminele activiteiten slaat als een tang op een varken, los van de de discussie rondom haalbaarheid van zo'n verbod.

[Reactie gewijzigd door Alpha Bootis op 11 april 2016 13:55]

Laten we gewoon al die vreemde digitale valuta verbannen, dan geven we dit soort afpersers toch ook geen ruimte meer om hun praktijken uit te oefenen.
Ja want fiat geld zoals dollars en euro's wordt natuurlijk nauwelijks gebruikt door afpersers of andere criminelen :')

Hoe zie je dat trouwens voor je, "laten we het verbannen"? Zoals men ook al 20 jaar piraterij probeert uit te bannen? Er is vraag naar, het biedt nieuwe mogelijkheden, het heeft nut voor voldoende mensen, en dus blijft het. En doordat het volledig gedecentraliseerd is (net als bittorrent) kan het niet worden verbannen, of we nou willen of niet.
Op dit moment heb ik het idee dat de "bitcoin" en al zijn familie alleen nog maar bestaan om illegale praktijken zoals deze te voeden.
Dat komt wellicht omdat media liever dit soort sappige verhalen publiceren (lekker makkelijk scoren) in plaats van de idealistische en innovatieve kant van Bitcoin te belichten, en daarmee misschien wel eens kritische vraagtekens te zetten bij het huidige geldsysteem.
Bitcoin wordt wel degelijk als normaal betaalmiddel gebruikt, zowel online als IRL, bijvoorbeeld bij meer dan 100 winkels in Arnhem.
Laats nog Filemon staat strak gekeken waar hij anabole ging kopen. Was gewoon geld in een niet doorzichtig envelop opsturen naar ... (meestal een brievenbus die je anoniem kan huren. Er blijven altijd manier om het te doen.
Laats nog Filemon staat strak gekeken waar hij anabole ging kopen. Was gewoon geld in een niet doorzichtig envelop opsturen naar ... (meestal een brievenbus die je anoniem kan huren. Er blijven altijd manier om het te doen.
Maar allemaal veel en veel moeilijker, onhandiger en makkelijker voor de politie te onderscheppen (ik zou zelf met plezier die postbus in de gaten houden) dan met bitcoins. Filemon wilde iets hebben en betaalde graag, ik denk niet dat een slachtoffer met plezier betaald.

Ik ben geen voorstander van het verbieden van bitcoins maar feit is dat dit soort praktijken waarschijnlijk niet zouden bestaan zonder een veilige en vooral makkelijke manier van betalen.
Tuurlijk is het moeilijker. maar ik geef alleen aan dat meerdere wegen naar rome lijden. en criminelen zal je altijd hebben.

En ja Filemon wilde iets. Maar als je pc gelokt is wil je ook wat. Anders zal je niet betalen.
'Dat is niet zo' incomming in 3...2...1..

Maar je hebt wat mij betreft gelijk, het schuilen achter het 'de banken zijn ook evil' is een minderheid, het gros geniet van de anonimiteit met illegaliteit als uitgangspunt (zie ook TOR).
Je stelligheid suggereert dat je feiten kent, dat lijkt mij persoonlijk erg sterk.
Ja, en waar is encryptie voor nodig? Dat gebruik je toch alleen maar als je iets te verbergen hebt.

/sarcasme
Vroeger gebruikte men Ukash, Western Union.
ja laten we bitcoin stoppen want dan stopt criminaliteit.
laten we tor network stoppen want dan stopt criminaliteit
want in het verleden heeft het ook zo gewerkt
Laten we piratebay blokken want dan stoppen downloads.
laten we limewire blokken want dan stoppen downloads
laten we napster blokken want dan stoppen muziekdownloads
zie je het patroon?
mensen vinden wel weer een andere oplossing.
Dit zat er al aan te komen, het was al bekend dat deze nog niet sterk genoeg was.
Encrypties als Teslacrypt 3.X en 4.X zijn eigenlijk de ergste, hier is geen andere oplossing voor behalve te betalen.
Voor de mensen die meer willen weten over de ransomware's met encryptie kijk gerust eens op http://www.bleepingcomputer.com/
Hier word snel nieuws gepost over de encrypties, bieden ze hulp bij het indentificeren van welke encryptie, en indien mogelijk de oplossing
De oplossing is je backups terugzetten ... O+
De oplossing is je backups terugzetten ... O+
Kwestie van tijd totdat ransomware in je UEFI gaat zitten en vandaar uit meteen herinfecteert.
Dan gaan backups ook niet meer helpen. Sterker nog; dan heb je wel eens kans dat ook je backups opgeslokt worden. Beter om in dit soort gevallen nooit direct te restoren vanaf de master copy van je backup. ;-)
backups terugzetten --> wipe & reinstall --> backup copy'n ...

Ik dacht dat tweakers dat wel zouden vatten.
Ik ben wel benieuwd over welk advertentienetwerk dit gaat.
Wij hebben 5 april een melding van een bezoeker gehad dat we Exploit: JS/Axpergle.BO verspreidden. We konden dit echter niet reproduceren en hebben ook slechts 1 melding gehad en we maken gebruik van verschillende advertentienetwerken.
Axpergle zie ik hier ook vaak passeren. Opmerkelijk via allemaal legitieme sites & hoofdzakelijk .be domeinen. Moet ergens een geïnfecteerd advertentie netwerk zijn dat vooral op de benelux actief is.
is er ook al zo'n oplossing voor het ctb locker virus?
http://qooqle.nl/?q=ctb+locker+decrypter

Kom op zeg.. een Google zoekopdracht en je weet het antwoord.
Goed nieuws dus. Maar zoals men al aangeeft, preventie is altijd beter. Iemand hier suggesties wat betreft een goede virus/malware scanner?
Jezelf en een adblocker ;).
Haha oke oke. Maar wat is in jouw ervaring de beste virusscanner?
Kaspersky is een goede. Bitdefender is ook niet slecht.
Kaspersky gebruikte ik vroeger, maar werd een steeds zwaarder programma om te draaien. Nu draai ik Malwarebytes, is dat een goede?
Malwarebytes Premium is zeker een aanrader. Maar Malwarebytes is een Anti-Malware. En geen anti-virus.
Oh, ik dacht dat er de facto geen verschil was tussen virussen en malware. Is er ook iets dat malware en virussen aanpakt? Een alles in één oplossing?
Dat weet ik zo 1,2,3 niet :P. Een leuk topic om door te lezen en eventuele info te vragen: [Virusscanners] Discussietopic deel 4
Ah oke, dank je voor de info!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True