Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 89 reacties
Submitter: Moby Dick

ESET heeft een tool uitgebracht voor het ontsleutelen van bestanden die zijn besmet met de nieuwste versies van de TeslaCrypt-ransomware. Het maken van de tool was mogelijk doordat de criminelen de universele encryptiesleutel hebben vrijgegeven.

Met de tool kunnen bestanden die versleuteld zijn door versies 3 en 4 van TeslaCrypt ontsleuteld worden. Volgens de beveiligingsonderzoekers gaat het daarbij om bestanden die door de ransomware de extensies .xxx, .ttt, .micro of .mp3 hebben gekregen.

ESET heeft TeslaCrypt niet gekraakt, maar de verspreiders van de ransomware hebben hun activiteiten gestaakt. Een beveiligingsonderzoeker nam anoniem contact op met de groep en verzocht hen om de universele master key vrij te geven. Tot de verbazing van de onderzoekers werd daar gehoor aan gegeven. De website die slachtoffers moesten bezoeken om het losgeld te betalen toont nu de benodigde sleutel.

Na het vrijgegeven van de encryptiesleutel heeft ESET een TeslaCrypt-decryptor gemaakt. Ook bestaande tools zoals TeslaDecryptor zijn bijgewerkt. In maart waarschuwden beveiligingsonderzoekers nog dat versie 3.0.1 en nieuwer van TeslaCrypt vrijwel onmogelijk te kraken was. Voor oudere versies van de ransomware konden eerder al decryptie-tools gemaakt worden, omdat er kwetsbaarheden in de malware zaten.

Waarom de criminelen de TeslaCrypt-sleutel hebben vrijgegeven, is niet duidelijk. BleepingComputer stelt dat criminelen zijn overgestapt op het gebruik van CryptXXX. Dat is eveneens ransomware die lastig te kraken is, maar Kaspersky heeft ook daar een decryptie-tool voor uitgebracht.

TeslaCrypt is niet meer

Update 08.18: Informatie over ontsleutelmogelijkheid van CryptXXX toegevoegd.

Gerelateerde content

Alle gerelateerde content (18)
Moderatie-faq Wijzig weergave

Reacties (89)

cryptxxx is wel te decrypten ...
Ik ben enkele dagen geleden besmet geraakt met iets wat melding maakt van RSA4096 (in de files in iedere directory staat dan weer RZA4096) en al m'n files hebben de extensie .crypt nu.

Via de tool van Kaspersky is het nochtans niet mogelijk de files te decrypten... het tooltje vraagt achter een geencrypteerde file alsook het origineel maar geeft dan aan dat de file size niet gelijk is (wat inderdaad zo is, de geencrypteerde versie is iets groter).
Tja, het hoeft natuurlijk niet per sť TeslaCrypt te zijn. Vandaag de dag wordt er zo ongeveer iedere week nieuwe ransomware uitgebracht, dus de malware die jouw computer heeft getroffen kan evengoed een van de tig andere exemplaren zijn.

Een kijkje op het forum van BleepingComputer leert dat er naast CryptXXX en TeslaCrypt nog meer ransomware is die van de .crypt-extensie gebruik maakt.
Het is zeker geen Teslacrypt... m'n opmerking slaat op de CryptXXX al geeft https://id-ransomware.malwarehunterteam.com/identify.php aan dat het vermoedelijk CryptXXX, CryptXXX 2.0 of Chimera is (de laatste zou niet te decrypteren zijn).
Wat kut voor je! Enig idee hoe je besmet bent geraakt?
Is een test VM dus is geen ramp... maar ik heb alvast niets geopend in een mail of ergens op geklikt... volgens mij was het dus gewoon het openen van een geinfecteerde website (het feit dat de VM nog op XP staat heeft er natuurlijk niet toe bijgedragen).
Hmm toch wel stom dat dat zo snel kan gebeuren. Ik zit zelf op XP maar heb mijn browser goed dichtgetimmerd en ben voorzichtig.
Ik was ook enorm voorzichtig... maar het was gebeurd voor ik het wist.
Nou, ik ben benieuwd...heb de laatste ca. 10 jaar op XP geen virussen meer gehad.
Ah, dat is ook vers nieuws zo te zien. Ik voeg het toe aan het artikel :)
Ik heb trouwens de volgende dingen gedaan om alles ook weer netjes terug te krijgen.

Aangezien de tool alleen de bestanden decrypt en je daardoor alsnog alle extenties moet aanpassen

In commandrompt:
//Decryptietool gebruiken
ESETTeslaCryptDecryptor.exe "D:/foldernaam"

//Veranderen van extenties van bv .jpg.micro naar .jpg of .docx.micro naar .docx
forfiles /S /M *.micro /C "cmd /c rename @file @fname"

//Deleten van alle recover instructions door die malware
del /s *help_recover_instructions*

//Deleten van alle backup files van eset
del /s *.micro.backup_6_by_eset*

p.s.
Ik heb de cmd geopend in de hoofdmap waarin recursief alle encrypte bestanden zaten.
"we are sorry!"

Wel vriendelijk van ze. Ben benieuwd waarom ze gestopt zijn of waarom er zo makkelijk gehoor aan gegeven werd. Het verbaast mij sowieso dat ze de sleutel gelijk kregen toen ze het vroegen, wat nou als ze het niet hadden gevraagd, hadden we dan nog steeds hiermee moeten worstelen?

Ze zullen ongetwijfeld genoeg geld binnen hebben gehaald, er waren volgens mij meer dan genoeg besmettingen in het bedrijfsleven.
Het enige "bestaansrecht" wat die criminelen hebben is dat ze daadwerkelijk je een key geven op het moment dat je betaald. Wanneer ze na betaling alsnog geen key geven (of kunnen geven omdat ze zogenaamd gestopt zijn), stort de hele "markt" voor cryptolockers in. Op deze manier kunnen ze toch de mensen die ze versleuteld hebben helpen, en kunnen ze hun bedrijfsvoering doorzetten zonder grote "imagoschade".

[Reactie gewijzigd door Magic op 19 mei 2016 08:25]

Zo had ik het nog niet gezien, klopt!
Het is een soort gijzeling: Ze gijzelen uw bestanden en eisen geld voor de vrijlating.

Natuurlijk als elke crimineel op deze manier stopt zullen geinfecteerde mensen vaker wachten in de hoop dat de sleutel gratis vrijkomt.
Voor (vooral) bedrijven verliezen de bestanden hun waarde ook weer na een tijd.

Als opeens al je documenten gelockt zijn, kun je niet een maand uit je neus gaan zitten vreten achter je bureau.
Als je familiefoto's gelockt zijn, dan maar een tijdje wachten.
Als je familiefoto's gelockt zijn, dan maar een tijdje wachten.
of je loopt het risico dat wanneer de criminelen stoppen, je nooit meer de mogelijkheid hebt om je fotos te ontsleutelen...
Backups, mensen!

Offline backups!

En natuurlijk een geteste restore-procedure. Want backups waarvan je niet weet of en hoe die terug te zetten zijn redelijk waardeloos.

Dit is letterlijk de enige verdediging tegen ransomware. Alle andere opties (niet zomaar klikken, updates installeren, plugins uit je browser knikkeren, AV software hebben) moet je ook doen, maar de enige maatregel die gewoon echt werkt is backups!
Dat bedoelde ik als reactie op:

"Natuurlijk als elke crimineel op deze manier stopt zullen geinfecteerde mensen vaker wachten in de hoop dat de sleutel gratis vrijkomt."

Dus "als elke crimineel", dan zouden bedrijven toch niet kunnen wachten.
En overige mensen zouden dan prima kunnen wachten.

Natuurlijk handelt niet elke crimineel zo.
Daarnaast waren die foto's geen goed voorbeeld. Een ander soort bestand dat na een tijd zijn waarde verliest dan, je powerpoint presentaties uit groep 8?
Wat natuurlijk heel leuk kan zijn, maar daar gaat men niet 1 bitcoin (600euro?) voor neerlappen. Dan maar wachten (als toch iedere crimineel dat doet).
Klopt an sich, maar als deze criminelen nog plannen hebben om geld te verdienen aan cryptolocker software dan is het niet heel erg logisch dat ze er nu mee stoppen.

Ik denk eigenlijk dat de programmeur toch wat last kreeg van gewetenswroeging (vanwege de sorry). Een andere mogelijkheid is dat hij geen kans ziet om het betaalde geld voor hem beschikbaar te maken omdat de authoriteiten hem te dicht naderen en er daarom maar mee stopt.
Ze zullen ongetwijfeld genoeg geld binnen hebben gehaald, er waren volgens mij meer dan genoeg besmettingen in het bedrijfsleven.
Criminelen die 'genoeg' geld hebben binnen gehaald? Denk je dat die echt bestaan?

Ik denk dat ze op het punt staan om opgerold te worden.
Ik denk dat er gewoon weinig geld meer binnenkwam, en dat het teveel werk was om de levering van sleutels te blijven ondersteunen. Daarbij wordt het risico van ontdekking ook groter als ze dezelfde methode langer gebruiken. Dat is volgens mij de meest logische reden om zo'n "sympathiek" gebaar te doen. Ze hebben waarschijnlijk ook een veel betere tool klaarstaan of al in gebruik.

Als ze de sleutel niet vrijgeven, dan moeten ze ondersteuning voor hun product blijven bieden. Hun businessmodel is geld verdienen met het verkopen van sleutels voor het ontsleutelen van bestanden. Als nu blijkt dat ze geen betrouwbare leverancier zijn, omdat ze stoppen met het leveren van die sleutels, dan zullen toekomstige "klanten" minder snel geneigd zijn te betalen. Dat ondergraaft hun verdienmodel.

Hun doel is niet om mensen ongelukkig te maken door al hun foto's van kinderen en vakanties te versleutelen en voorgoed ontoegankelijk te maken. Hun doel is geld.
Het zou ook kunnen dat de makers werkten in opdracht van een andere instantie of groep criminelen die niet meer wilde betalen.
Ik vermoed dat de boosdoeners inderdaad gewoon genoeg hebben (of onder een andere naam doorgaan, niemand die kan bewijzen dat het dezelfde mensen zijn.)

Maar dat hun stoppen wil niet zeggen dat de ransomware verspreiding stopt. Maar zo is er wel een stuk minder druk voor de politie om te gaan uitzoeken wie er achter zat :) En dat slaapt toch wat lekkerder als rijke crimineel :P

[Reactie gewijzigd door heuveltje op 19 mei 2016 08:58]

De makers waren inderdaad niet de enige die deze ransom-ware verspreidde.

Zou me niet verbazen dat het ze toch te gortig werd en besloten om de stekker er uit te halen. Er werd niets of niemand meer gespaard.
Begon het bij een enkele persoon en bedrijven maar voordat je het wist waren ziekenhuizen en overheidsgebouwen ook doelwit.

Op het hoogtepunt stoppen zeggen ze altijd.
Ze zullen ongetwijfeld genoeg geld binnen hebben gehaald, er waren volgens mij meer dan genoeg besmettingen in het bedrijfsleven.
Daarom zijn ze gestopt. Genoeg opgestroken? Stoppen.
Het is hiermee wel een bewijs dat decrypten van bestanden uberhaupt mogelijk is. Hiermee vergroten ze de kans dat meer mensen betalen bij nieuwere varianten van het virus.
"Bepaalde resultaten in het verleden bieden geen garantie voor de toekomst" gaat hier goed op denk ik. Je hebt over het algemeen twee soorten ransomware en "aanbieders". De ene zorgt voor een "goede" reputatie wat betreft de mogelijkheid om bestanden terug te krijgen (hier krijg je zelfs een soort mond op mond reclame rond) en de ander vertrekt direct met de noorderzon. Er is ook ransomware bekend waarbij decryptie niet mogelijk is door foutieve implementatie van encryptiealgoritmen.
Je hebt inderdaad gelijk wat betreft de betrouwbaarheid van de 'aanbieder'. Het feit dat het aangebodene een virus is helpt niet erg.

Het wel kunnen decrypten van de bestanden is precies mijn punt. Door goede implementatie van decryptie mogelijkheid en uberhaupt dat de ransomware opzettelijk zo gemaakt is dat de decryptie mogelijk is, corrupten/wissen is makkelijker te maken.
Of ze geven mensen hier hoop mee dat het uiteindelijk wel lukt om de bestanden te decrypten, ook als je niet betaalt
Denk dat ze zich indekken bij mogelijke vervolging. Door de master-key vrij te geven, kun je als dev aangeven dat het om aan te tonen was voor de brakke beveiliging en mensen die ontwetend allemaal bijlages openen. M.a.w. we hebben de mensen gewaarschuwd. Aan de andere kant hebben ze wel mooi verdient lijkt me, en hebben bedrijven en personen schade geleden.

Offtopic: Ik neem aan dat deze verschilt t.o.v. CBT, waardoor deze tool niet daarvoor werkt?
Het heeft al lang niets meer te maken met onwetende mensen... ben enkele dagen geleden besmet geraakt door CryptXXX en heb nergens op geklikt, gewoon vermoedelijk op een verkeerde website terecht gekomen !
Echt? Welk OS / browser gebruik je? En ben je bij met updates? Heb je flash aan staan?
Indekken zal niet gaan hť. Het kwaad is geschied. Met of zonder masterkey. Eerder trachten inperken van de schade en druk van de ketel halen.
Best opmerkelijk dat ze de decryptiesleutels hebben gepubliceerd. Werd het ze te heet onder de voeten of hebben ze 'genoeg' geld geharkt?
Ik denk dat dit een tactiek is om mensen te laten geloven dat ze gestopt zijn met ransomware verspreiden. Nu zullen mensen wat minder alert worden maar gaan zij door onder een andere naam.
misschien werd het ze te heet onder de voeten? Of hebben ze een andere plannen? :?
Het is te hopen dat ze alsnog worden opgepakt...
iets met Jack Bauer en hun familie...
Jack Bauer? Bryan Mills (Liam Neeson) bedoel je?
nope, bedoelde Jack Bauer (Kiefer Sutherland)

[Reactie gewijzigd door Omemanti op 20 mei 2016 20:42]

Filmpje is van Liam Neeson...
Dus? Als iemand een comment achterlaat als reactie. En mijn reactie is "zoiets ja". Dan betekend dat toch niet dat het mijn intentie was om dat fragment aan te halen? Zo goed werkt mijn glazen bol niet.

[Reactie gewijzigd door Omemanti op 21 mei 2016 17:49]

Op zich geen vreemde actie, ik denk dat we de komende periode eigenlijk extra alert moeten worden.

Het gekke is dat al die encryptie partijen super vriendelijk zijn en je 9 van de 10 keer zelfs helpen als iets niet lukt om de bitcoins te betalen.
Ik heb dit zelf ook ondervonden met de CoinVault variant. Kreeg keurig nette mails terug en nog een bedankje ook.

Wat Daan87423 en irritantjoch zeggen is de echte waarheid ben ik bang.
Mensen zakken terug in oude gewoontes en dan slaan ze waarschijnlijk toe met een nieuwere variant.

De meeste dieven hebben nooit genoeg en dat nekt ze uiteindelijk vaak ook.... We zijn er nog niet vanaf in ieder geval.
het is een servicegerichte industrie, dat moet je niet vergeten ;) Dat impliceert dat je zo goed mogelijk moet ondersteunen en vriendelijk zijn (ookal ben je van mening dat deze of gene klant een hork is of een lulhannes).

Ze maken zelf het probleem bij mensen, zodat ze hun service nodig hebben, maar serviceindustrie is het tot en met :)
Maar wat ik nooit begrijp van dit soort oplichtingen, hoe werkt het geld stuk? Want zolang er niet met Bitcoin e.d. wordt gewerkt, kan de bank toch altijd informatie verstrekken aan de politie wie de eigenaar is van de rekeningen waar het zwarte geld naar toe gaat? Ook al staat het er maar even op en gaat het naar de volgende, de eerste rekening(en) waar het op komt te staan is toch al een schakelpunt wat makkelijk onderzocht kan worden?

Of zijn die rekeningen dan ook gestolen?
Er wordt inderdaad gewoon gebruik gemaakt van meerdere Bitcoin rekeningen.
Hoe komt deze software op een computer terecht? Staat daar een artikel over op tweakers?

Ik heb geen flauw idee hoe dit in elkaar zit (gelukkig).
Bedoel je hoe je besmet kan raken?
Ja, ik heb echt geen idee hoe dit probleem ontstaat.
Je kunt geÔnfecteerd raken door e-mails te openen van een onbekend persoon (in dit geval de hackers met botnets) waar een .zip bestand in zit. Als je dit bestand uitpakt,en het bestand opent, ben je al meteen de sjaak. Het bestand wat het virus is, kan een .doc zijn, maar ook een .jpg of .PDF, wat in het .zip bestand zit. Het ligt er aan hoeveel bestanden hij moet versleutelen. Maar na 1 dag krijg je de melding al dat je moet dokken. Dan is er eigenlijk al geen ontkomen meer aan. Tenzij je natuurlijk een decrypter hebt.

Als je je Engels een beetje op orde hebt, kan je dit artikel lezen over hoe het precies werkt: http://www.computerworld....hat-to-do-if-you-are.html
Ok dank.

Oude wijn in nieuwe zakken dus.

Hoe lang wordt al verteld geen vreemde mailberichten te openen?! |:(

Dank voor de info, gelukkig in mijn omgeving nog niet gebeurd.
Kat en muis spel. Blijf updaten, blijf alert! Al de reden om bijvoorbeeld mijn Synology NAS niet meer direct naar buiten te laten gaan.

[Reactie gewijzigd door Ruvetuve op 19 mei 2016 07:45]

Wat deze encryptie malware te maken heeft met Synologys NAS systemen die rechtstreeks aan internet hangen zou ik niet weten. https://en.m.wikipedia.org/wiki/TeslaCrypt

Target specifiek machines met bepaalde games en is op Windows gebaseerd.
Omdat op een heel groot deel van de publiek bereikbare NAS-systemen een .exe aanwezig is van ransomware. Het enige dat moet gebeuren is dat de eigenaar de .exe uit nieuwschierigheid runt.

Speur maar eens rond op Shodan.
Wat bedoel je met publiek bereikbaar? Ik kan van overal ter wereld mijn nas bereiken, maar publiek zou ik het niet noemen met een wachtwoord langer dan die masterkey die hierboven staat.
Met publiek bedoel ik onbeveiligd toegankelijk vanaf het internet. Of je nou toegang krijgt via de webinterface of ftp, zoals ik al zei: speur maar eens rond op Shodan.
Dat is die van mij dus niet, overal zit een wachtwoord voor. En wat is Shodan?
Hangt er even vanaf hoe je wachtwoord ervoor zit. Is NAS rechtstreeks benaderbaar middels port forwarding of een publiek IP-adres en zit dat wachtwoord in de software van je NAS dan ben je afhankelijk van de implementatie van beveiliging in de NAS, en als daar bugs voor naar buiten komen is de kans groot dat je alsnog gekraakt wordt.

NAS-systemen zouden inderdaad, zoals gezegd, niet publiekelijk bereikbaar moeten zijn, zelfs als je geen toegang hebt normaal gesproken. Daar moet een extra laag beveiliging tussen door bijvoorbeeld een SSH-tunnel of een VPN.
Haha

https://www.shodan.io voor de duidelijkheid.
Omdat op een heel groot deel van de publiek bereikbare NAS-systemen een .exe aanwezig is van ransomware.
Een NAS hoort ook niet publiekelijk beschikbaar te zijn. Zet daar een VPN voor. Directe webtoegang kan bijvoorbeeld via ownCloud om zo gecontroleerd bestanden te delen.
Jij en ik weten dat misschien, maar Pietje die zo'n NAS aangesmeerd is door een verkoper van een willekeurige elektronicazaak veelal niet. Hebben we het over routers met een USB-poort, dan is het veelal nog slechter gesteld met de beveiliging. Criminelen maken daar vervolgens gretig gebruik van.
Niet alle IT specialisten weten het blijkbaar.
nieuws: Persoonsgegevens burgers Rotterdam en Oegstgeest waren toegankelijk door fout
:)
Stonden dus op een NAS.

[Reactie gewijzigd door niki_lauda op 19 mei 2016 17:55]

het grote probleem is niet om je syno direct naar buiten te laten wijzen, het grote probleem is wanneer je een pc hebt (liefst client) die een van af het internet te infecteren is, EN die schrijfrechten heeft op je syno..

ik ben overigens (maar dat kan aan mij liggen) nog geen cryptoware tegengekomen die gericht was op linux-based nasware (zoals DSM).
Die is er helaas al geweest: SynoLocker. Je had er geen last van als je je DSM op tijd had bijgewerkt.
idd, ook gelijk niet direct toegankelijke partities aangemaakt voor backups en snapshots richting een externe schijf laten wegschrijven.
Opletten op je poorten en instellingen, dan ben je nog afhankelijk van Synology spftware voor de beveiliging
Is Synology zo kwetsbaar op het netwerk?
Ligt er aan wat voor maatregelen je treft.

B.v. in de firewall kan je regelen dat alleen bepaalde IP's of ranges Kunnen connecten. En je kunt hele regio's uitsluiten (b.v. alles in oost-europa/aziŽ etc..

Sinds ik dat allemaal aan heb is het aantal meldingen van verkeerde logins en ssh aanvallen van 10 per dag naar 2 per maand bij mij...

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True