Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 160 reacties

De nieuwe versie van de CryptXXX-ransomware is ook na het kopen van een decryptiesleutel niet te verwijderen, zo melden verschillende gebruikers. De vorige twee versies vertoonden dit probleem niet.

Verschillende slachtoffers doen hun beklag bij de site BleepingComputer, die meldt dat de ransomware onlangs een update naar versie 3.0 heeft gekregen. Die zou er onder andere voor zorgen dat ook de criminelen zelf niet in staat zijn om een getroffen systeem te ontsleutelen, waardoor slachtoffers voor niets een sleutel aanschaffen.

CryptXXX vertoont al langer gebreken en het beveiligingsbedrijf Kaspersky was in staat om voor de vorige twee versies een gratis decryptietool te ontwikkelen. Voor de nieuwste versie is zo'n tool echter nog niet beschikbaar. Het is voor slachtoffers dan ook raadzaam om te wachten tot Kaspersky met een nieuwe tool komt, in plaats van een decryptiesleutel aan te schaffen. Het is onduidelijk of de personen achter CryptXXX opzettelijk de verkeerde sleutels leveren of dat zij zelf een fout hebben gemaakt.

Onlangs werd bekend dat de makers van de TeslaCrypt-ransomware het project hebben opgegeven. Zij plaatsten een mededeling op hun pagina waarin zij een universele decryptiesleutel publiceerden en waarin zij zich verontschuldigden. Ook raadden zij in een later bericht zelf een decryptietool met de naam TeslaDecoder aan. Het wordt aangenomen dat de CryptXXX-ransomware de vervanging voor TeslaCrypt wordt. CryptXXX is voornamelijk te herkennen aan de extensie '.crypt' van versleutelde bestanden.

Moderatie-faq Wijzig weergave

Reacties (160)

Wat wij veel zien gebeuren is dat medewerkers via webmail (SSL) ransomware binnen halen. Een goede UTM oplossing of NGFW (application aware) met IPS en SSL inspectie is tegenwoordig eerder een must dan een luxe om dergelijke aanvallen buiten de deur te houden. Toch zie je nog veel bedrijven die enkel beschikken over een traditionele firewall.
SSL inspectie is echt not done in deze tijd.
Het is onzin om dat in zulke algemene termen te poneren.

Ten eerste, je bent een werkgever en je kunt aan je eindgebruikers prima aangeven dat je SSL-verkeer op jouw eigen infrastructuur. Geef bij je medewerkers duidelijk aan dat ze mee kunnen kijken op hun verkeer, en als ze niet willen dat je meekijkt, dat ze hun eigen apparaten mogen aansluiten op het gastennetwerk. Het gastennetwerk heb je vanzelfsprekend volledig gescheiden van je eigen infrastructuur. Zorg dat je hier duidelijk over communiceert en dat medewerkers weten wat er gebeurt, en mijns inziens zou er dan geen probleem mogen zijn.

Daarnaast kun je deze systemen meestal zo configureren dat je bepaalde websites ontziet van deze SSL-inspectie. Zo kun je bank- en zorgdomeinen whitelisten omdat je als werkgever niet geinteresseerd zou moeten zijn in wat je medewerkers hierop te zoeken hebben en het in de praktijk geen risico is voor malware. De makers van deze firewalls houden hier relevante lijsten voor bij, en je kunt deze ook zelf configureren/customizen op de behoeftes van de eindgebruikers. Maar ja, je kijkt wel mee op persoonlijk e-mail/file sharing want daar komt de malware vandaan!

Je moet er als organisatie zeker meer je best voor doen dan alleen het knopje op de firewall aanzetten. Maar als je dat doet, dan is gegeven de huidige dreigingen juist iets van deze tijd.

[Reactie gewijzigd door DCK op 25 mei 2016 17:19]

Not done? Misschien wel, maar aan de andere kant ook hoogst noodzakelijk!
Probleem met SSL is dat de (virus en malware scannende) firewall anders ook niet meer ziet wat er langs komt.
SSL wordt (overigens terecht) meer en meer gebruikt, dus vanuit veiligheidsoogpunt https dan maar blokkeren is ook niet meer houdbaar. Verkeer moet echter wel gescand worden, dus een MITM opzet op de firewall is dan de enige optie...

Gezien de snelheid waarmee nieuwe malware e.d. wordt ontwikkeld is het ook geen optie meer om alleen maar te vertrouwen op de scanner op het endpoint, maar wil je bij de voordeur al zoveer mogelijk zooi tegenhouden. Voor hetgene wat daar dan toch doorheen komt heb je dan altijd de endpoint-scanners nog.
SSL offloading is soms gewoon nodig, klaar.

Jij denkt dat al het verkeer op facebook intern ook SSL is, of bij tweakers ?

Intern is trusted dus of je nu SSL offloading doet op je FW/loadbalancer/proxy maakt echt geen ruk uit.
SSL offloading is soms gewoon nodig, klaar.
SSL offloading is iets anders. Dat is prima; ik als originator van verkeer kan prima zelf beslissen op welk punt ik dat ga versleutelen.

Waar 't hier om gaat is gewoon een SSL MitM door een derde persoon en dat is inderdaad not done.
Offloading is hetzelfde, je bent immers MitM, het is gewoon weer een andere benaming.
Nee; offloading is dat de (backend) webservers de content genereren, en dat een daarvoor geplaatste reverse proxy de SSL sessie met de client heeft en de boel encrypt.

[Webserver] <-- http --> [Proxy] <-- https --> [Client]

Waar we het nu over hebben is geen offloading; de SSL verbinding wordt alleen in het midden ontsleutels, gescand, en weer met een ander certificaat versleuteld.

[Webserver] <-- https --> [MITM] <-- https (met self signed cert) --> [Client]
Ja dat is Offloading, wat je erna mee doet is aan de MitM ;) Als hij slim is encrypt hij weer.

Hoe denk je dat al die bedrijven die online antispam, etc leveren doen over TLS, etc ?
Het idee wat je hebt is prima, alleen je gebruikt de verkeerde term en zaait daarmee verwarring.
Ik weet wel wat dergelijke services en devices doen, alleen dat heet geen offloading :)
Offloading betekend letterlijk; de load weghalen/wegzetten/ontlasten.

Oftewel wat je doet is het splitsen van de workload. De webservers kunnen al hun CPU en memory gebruiken voor het genereren van pagina's, en hoeven zich niet druk te maken om de encryptie. De reverse proxy hoeft zich vervolgens niet druk te maken om de pagina, die krijgt hij kant en klaar aangeleverd. Enige wat die hoeft te doen is te encrypten en door te sturen.

Als ik de boel zo zou instellen dat de verbinding tussen de webbrowser en de firewall/IPS via unencrypted http verloopt, en die firewall vervolgens naar buiten over https de connectie opbouwd, *dan* is het offloading. Ik haal dan de decryptie load weg van mijn clients, en hou die alleen op de firewall. Doe ik alleen een MitM op die firewall, maar is de connectie tussen de client en de firewall ook weer SSL, dan wordt er nergens load weggehaald en is het dus geen offloading :)
Mee eens, het is idd wel wat meer dan SSL inspectie.
De firewalls (Fortigate) die wij op het werk gebruiken, en waar ik op doelde, noemen het deep inspection.
SSL inspection is alleen het controleren/inspecteren van de langskomende SSL certificaten en de negiotiation, en verder niks. Bij deep inspection ontsleutelt hij het verkeer, scant het, en versleutelt het weer. Hij genereerd daarvoor on-the-fly een wildcard certificate voor het betreffende domein. Het CA cert waarmee hij dat doet is self-signed, maar wordt via een Windows group policy aan de clients gegeven als trusted CA.
Het is een enorme inbreuk op de privacy maar ik zie ook het probleem wel met het binnenhalen van dit soort rotzooi.

Wat ze bij ons doen op het werk is bepaalde sites zoals online bankieren niet inspecteren, kan je zien doordat je het gewone certificaat van de bank ziet en niet dat van de firewall. Bij andere sites zie ik idd daar ze het verkeer inspecteren. Ik vind dit wel een goed compromis.

Maar webmail is idd echt een probleem, ik krijg wel een stuk of 5 cryptolocker mails per dag binnen op het moment op mijn privé adres. Sommigen best geraffineerd. Ik kan me voorstellen dat mensen daar wel eens intrappen en zo'n attachment openen en dan heb je echt een probleem in je bedrijf.

Dus ik denk eigenlijk dat je er als bedrijf niet meer omheen komt. En de meeste personeelsleden hebben tegenwoordig toch ook een smartphone om privé dingen op te doen.

[Reactie gewijzigd door GekkePrutser op 25 mei 2016 13:10]

Daarom is bij ons op het werk het netwerk gescheiden. We hebben een wifi voor gasten en telefoons. Op het "werk" net zijn zaken als webmail geblokkeerd.
Het is een enorme inbreuk op de privacy maar ik zie ook het probleem wel met het binnenhalen van dit soort rotzooi.

Wat ze bij ons doen op het werk is bepaalde sites zoals online bankieren niet inspecteren, kan je zien doordat je het gewone certificaat van de bank ziet en niet dat van de firewall. Bij andere sites zie ik idd daar ze het verkeer inspecteren. Ik vind dit wel een goed compromis.

Maar webmail is idd echt een probleem, ik krijg wel een stuk of 5 cryptolocker mails per dag binnen op het moment op mijn privé adres. Sommigen best geraffineerd. Ik kan me voorstellen dat mensen daar wel eens intrappen en zo'n attachment openen en dan heb je echt een probleem in je bedrijf.

Dus ik denk eigenlijk dat je er als bedrijf niet meer omheen komt. En de meeste personeelsleden hebben tegenwoordig toch ook een smartphone om privé dingen op te doen.
Ik vind het wel meevallen met inbreuk op de privacy wanneer een geautomatiseerd systeem er tussen zit om op bedrieigingen te scannen, mits er voldoende procedurele en technische maatregelen zijn genomen dat er geen menselijke interactie nodig is.

Dus een ssl termineren op een scan systeem, geautomatiseerd content scannen en daarna weer versleuteld doorsturen zou geen probleem moeten zijn.
een beetje zichzelf respecterende proxy inspecteert wel degelijk alle SSL verkeer. Daar zijn hele goede oplossingen voor die gewoon het groene balkje tonen op je browser. Dat is ook de reden waarom de meeste banken zelf een end-to-end encryptie leggen tussen de app en de bank als eenmaal de ssl sessie loopt.
CryptXXX verspreid zich via gehackte websites of malvertising campagne met behulp van exploit kits zoals het Angler Exploit Kit. Het maakt daarbij gebruik van bekende kwetsbaarheden waaronder Adobe Flash Player.

Als zou de medewerker de malware binnen halen via webmail of SSL zou het in een goed beheerde omgeving nooit uitgevoerd mogen worden. Terwijl wanneer men gebruik maakt van een kwetsbaarheid, de rechten worden overgenomen van de getroffen applicatie of componenten en daarbij is de kans groter dat het encryptie proces slaagt.

SSL inspectie houd een dergelijke aanval niet tegen, een IPS en goede end-point-protectie wel, mits deze aanval bekend is bij de leverancier en onderdeel uit maakt van de gebruikte definities.
mits deze aanval bekend is bij de leverancier en onderdeel uit maakt van de gebruikte definities.
Wat natuurlijk net zo hard geldt voor een SSL MitM device.
Gewoon de inkomende mail scannen. Dan hoef je het verkeer van je mailserver naar de clients niet meer te scannen.

Ik accepteer geen ander certificaat dan dat van de site zelf. Ik gebruik SSL omdat ik de tussenliggende connectie niet vertrouw, dus als de firewall daar tussen gaat zitten, dan pech, dan kan ik die site dus niet bezoeken vanaf die lokatie.
(Privé)webmail is van een heel andere orde dan reguliere mail via SMTP. Door het scannen van binnenkomende mail via SMTP ondervang ik nog niet de webmail via SSL. Privé webmail van medewerkers loopt natuurlijk niet via de (corporate)mailserver van je bedrijf maar rechtstreeks via HTTPS naar je cliënt.
Dit is mogelijk het beste wat ooit heeft kunnen gebeuren in deze wereld van cryptolockers. Omdat de "service" bij andere lockers altijd zo goed was, was betalen veelal goedkoper en makkelijker dan een back-up terugzetten, als die er is tenminste. Dit betekende dus een constante inkomstenbron voor de criminelen.
Nu betalen niet leidt tot het terugkrijgen van je bestanden, moeten mensen wel de back-up terugzetten (of hun verlies nemen). Er gaat geen geld meer naar de criminelen toe, dus voor hun is het niet meer zinvol om deze cryptolockers te verspreiden.
"Nu betalen niet leidt tot het terugkrijgen van je bestanden, moeten mensen wel de back-up terugzetten (of hun verlies nemen). Er gaat geen geld meer naar de criminelen toe, dus voor hun is het niet meer zinvol om deze cryptolockers te verspreiden."

De criminelen hebben deze virus gemaakt. Waarom zouden hun, hun eigen inkomsten bron gaan vernietigen? Het maakt hun echt niks uit of ze jouw een neppe of een echte key sturen. Mensen blijven ze toch wel betalen voor de "key"
Je gooit je eigen ruiten in als je een 'product verkoopt' wat defect is en onherstelbaar blijkt te zijn. Een ezel stoot zich geen twee keer aan dezelfde steen namelijk. Met een 'degelijk product' weet je zeker dat er mensen zullen blijven komen/kopen. Dat geldt dus ook voor dit soort ransomware.
Mensen weten het verschil niet tussen dit virus of een andere variant hiervan. Jij hebt virus A koopt key en werkt. Verteld tegen je buren die virus B hebben, maar hun key werkt niet. Dan heb je beide toch key gekocht. Verkoop is het zelfde gebleven, omdat jij geen verschil in het virus kon zien als een leek.
En de overbuurman heeft ook virus A en praat met de buren die virus B hebben en koopt daarom geen key. Terwijl als virus B ook netjes had gewerkt dan had hij wel een key gekocht. Dus minder inkomsten voor criminelen.

Zodra er bij het grote publiek bekend wordt dat een key kopen geen oplossing meer is zullen heel veel mensen dat dus ook niet meer gaan doen.

Ik vind het een goede ontwikkeling dat key's kopen geen oplossing meer is.
Toch heeft Romancito wel wat gelijk. Als deze ransomware blijft weet de wereld uiteindelijk wel dat de kans bestaat dat het toch niet werkt... wellicht een kans van 50-50% op een werkende sleutel.

Daarom heeft deze ransomware misschien wel het effect dat niemand meer zal betalen en alleen uitgaat van verlies en/of backups. De winfactor voor criminele organisaties is zodoende maar van korte duur, door deze ransomware maken ze toekomstig het verdienmodel van elke cryptolockers kapot. Dat is een prima vooruitgang mijn inziens.

En laten we eerlijk wezen, voorkomen blijft beter dan genezen. Zo ook het maken van backups. Wat ik persoonlijk hoop is dat op basis van deze nare software uiteindelijk betere backupmethoden komen, bruikbaar voor iedereen en waar dan ook. Want hoe check je bijvoorbeeld 1TB data op corrupte of versleuteling van enkele bestanden? ik heb daar persoonlijk nog maar weinig over gevonden en zou toch erg wenselijk zijn.
Normaal gesproken winnen mensen die besmet zijn met ransomware wel wat informatie in bij een expert. Die kan ze als het goed is wel vertellen of het voor de betreffende cryptolocker mogelijk is om te decrypten zonder een sleutel te kopen, of er alleen gedecrypt kan worden met een sleutel of dat je ook na betaling geen bruikbare sleutel krijgt. Er zal altijd wel een deel van de slachtoffers zijn die blind betaalt zonder eerst wat onderzoek te doen, maar de opbrengsten van ransomware die niet in staat is te decrypten zullen veel lager zijn dan bij ransomware waar dat wel het geval is.
welke ransomware zal ik vandaag een kiezen....

CryptXXX.. aah nee daar hoor ik slechte dingen over.
doe mij maar TeslaCrypt want daar krijg je gratis codes bij...

zo werkt het dus niet.
If the word gets around…

Zou jij een behoorlijk bedrag betalen, terwijl je overal leest dat je geen (goede) sleutel krijgt?
Na een tijdje betaald niemand meer en is het een stuk minder lucratief voor criminelen. Althans, in de ideale wereld…
maar als er geen backup bestaat
en ook al is de kans kleiner als 0.000001 procent

zal bedrijf voor een xx bedrag toch proberen zijn belangrijke gegeven terug te halen
en zal een persoon voor het juiste xx bedrag toch proberen zijn foto's terug te krijgen.


dus als gebruiker en als bedrijf gewoon je backup strategie op orde hebben.

ow en cloudstorage is geen backup. want bij Google Drive, OneDrive, DropBox, etc,
worden ook gewoon encrypted bestanden gesynced :)

[Reactie gewijzigd door Proxx op 25 mei 2016 12:58]

Ze weten op een manier wat voor bedrijf je bent. Waarschijnlijk aan de hand van alle data en plakken daar een prijs op. Een kennis werd gevraagd om te helpen zo een virus te verwijderen als hij onder dat bedrag kon blijven. Bedrag was iets tussen de 10 en 25k
Al kun je bij Google Drive en Dropbox wel oude versies van bestanden terug halen ;)
Die wellicht ook al versleuteld zijn.
maar ik neem aan dat je binnen 30 dagen (zolang zijn er oudere versies) toch wel in de gaten hebt dat sommige bestanden niet meer te openen zijn?
Het probleem is een leek leest dit totaal niet of snapt het niet. Die betalen toch wel. Mensen met een klein beetje verstand gokken er op. Alleen de ICT-ers zullen zeggen we betalen niet, want we hebben een back-up of we wachten wel.
Een leek snapt dan ook niets van hoe te betalen.
Volgens mij heb jij nooit zo'n virus gezien? Staat zeg maar stap voor stap uitgelegd hoe dit moet. Een kind van 6 zou dit nog kunnen doen..
Zeker wel.
De uitleg is in het engels wat voor velen al niet duidelijk is. Staat vol technische termen die een leek niet begrijpt. Betalen moet op de meest vreemde wijzes plaatsvinden. Een leek snapt net aan hoe Ideal werkt.
Laat mij maar eens een uitleg zien die een leek begrijpt. Vergeet niet je IT-bril af te zetten.
Genoeg leken die betaald hebben. Soms zelfs Nederlandse support, of een helpdesk. Hoe gebruiksvriendelijker hoe meer mensen alsnog betalen. Want Jan Modaal maakt echt geen backups.
moet je eens voor de lol replyen op zoeen mail, in het Nederlands, dat je het niet snapt ;)

Hun serviceniveau wat ze dan laten zien is veelal van een niveau waar bedrijven veel lering uit kunnen trekken (en niet gek: het is hun businessmodel in essentie. Buiten het punt dat ze je opzadelen met een probleem, helpen ze je het op te lossen).
Nope. Als mensen nu bijvoorbeeld Cryptxxx gaan googlen en dit bericht vinden, dan weet je dat je hoe dan ook je bestanden niet meer terug krijgt. Als je uitvind dat 'betrouwbare' crypto's als Locky WEL netjes alles unlocken, dan is betalen nog een optie als je echt iets terug wilt hebben. Als er nou op jouw PC zou staan 'Cryptoxxx unlockt je PC voor 2BTC', terwijl je nu weet dat ze dat niet doen, ga je dan alsnog betalen?
Heb jij ooit jouw oma gezien Google naar een crypto virus en dat ze begreep wat er stond? Ik denk het niet. Zo zijn er heel veel mensen die dit niet kunnen. Voor hun is het makkelijkste en het duidelijkste om een key te kopen.
Mn oma belt mij :P Mn opa, tantes en ooms ook. Bovendien moeten de meeste van die lockers in Bitcoin betaald worden. Kennen ze ook niet, dus dan zullen ze ook niet betalen.
Dat zijn uitzonderingen dan. Er staat precies uitgelegd wat je moet doen en wat het is. Een leek wordt zo erg overgehaald dat het vertrouwbaar is. Niet iedereen heeft een ICT-er in zijn familie.
Wat is eigenlijk je punt? Je houdt hele verhalen op over dat criminelen heus nog wel geld verdienen, maar ik heb niet het idee dat ergens in je relaas nog een punt verscholen zit.

De oorspronkelijke reactie was gericht tegen iemand die zei dat dit een positieve ontwikkeling is, omdat het mogelijk meer mensen ervan weerhoudt om geld te betalen.
Ben je het daar nu mee oneens of niet? De argumenten die je gebruikt zeggen namelijk alleen maar dat er nu mensen zijn die geld betalen voor een oplossing en dat er straks ook nog mensen zijn die geld betalen voor een oplossing. Ik heb niet het idee dat dit ooit in twijfel werd getrokken.
Aangezien dat dit al jaren voorkomt dat je geen of een neppe key krijgt en mensen nog steeds betalen, zegt al genoeg he. Dat dit niet elke dag in het nieuws staat is iets anders. Aangezien jullie zo PRO kennis hebben twijfel ik er toch veel aan.

Vind jij het positief dat als je betaald en vervolgens niks krijgt? Ik ben er niet mee eens.. Betalen aan hun is sws al illegaal en een crimineel is niet vertrouwbaar. Ik beweer alleen maar dat mensen hoe dan ook zullen blijven betalen. Aangezien dit in het verleden ook al gebeurd is. Verkeerde keys worden al jaren mee geleverd. Zodra het 1x in het nieuws komt is het 1 weekje paniek daarna niks meer.
Je bent je weer aan het afzetten tegen een niet-bestaand probleem. Je gebrekkige grammatica en spelling maakt het ook uiterst moeilijk om een discussie gaande te houden, zonder dat we in semantische nonsens belanden.

Het lijkt me dan ook verstandig voor ons allemaal om een punt achter dit conversatieboompje te zetten.
En jij ziet diezelfde oma wel eventjes een key kopen? 8)7
Aangezien het jip en janneke taal is, ja.
Voor jou is het jip en janneke taal. Oma begint te stuiteren bij Bitcoin en vreemde banken die ze niet kent. Ze vindt pinnen in de supermarkt al zo'n opgave, laat staan digitaal bankieren.
Nope, jij doet net of de criminelen altijd dezelfde zijn, maar deze groep was parasitair en haalt het vertrouwen in het kopen van de key onderuit. Ik denk dat deze mensen het zeer zwaar gaan krijgen als ze ooit geïdentificeerd gaan worden (vanuit het blackhat circuit.)
Ik doe dat helemaal niet... Welk vertrouwen? Wie vertrouwt nu een crimineel? Die kun je nooit 100% vertrouwen. Het vertrouwen in de key gaat hierdoor echt niet onderuit. Er zijn veel te veel mensen die dit niet kennen. En dan heb je nog verschillende variants. Je buren hebben virus A kopen key en werkt. Vertellen dit aan jouw andere buren die hebben virus B werkt de key niet. Ze weten het verschil niet in de virus, maar hebben beide gekocht. Verkoop blijft het zelfde.
criminelen kun je wel degelijk 100% vertrouwen :) Vergeet niet dat ten eerste het label "crimineel" op iemand wordt geplakt op basis van een regel. Als ik Jack Daniels verkoop in Iran ben ik een crimineel dus.

Echter, als ik jack daniels wil verkopen daar, moet ik zorgen dat ik betrouwbaar ben. Dat ik lever, dat ik goed lever en dat ik dat ook blijf doen, dat ik discreet om zal gaan met mijn klanten enz. Waarom? Omdat er anders simpelweg niet veel te verdienen valt en mensen erg snel klaar zijn met bij mij te kopen.

Sterker nog: men gebruikt voor onderzoeken zelfs vaker zaken als illegale "backstreetshops" waar men medicatie verpatst, simpelweg om te kijken op basis waarvan mensen beslissen die winkel te vertrouwen en die andere winkel niet. Wat meer digitaal gericht: diverse darkweb marketplaces lieten zien dat ze verdomd goede service hadden, simpelweg omdat het hele businessmodel daarop dreef.

Dus "wie vertrouwt nu een crimineel?" heeft als antwoord: Iedereen, zolang die crimineel betrouwbaar is in het leveren van zijn/haar diensten en/of goederen :)
Of ze verplaatsen zich naar Locky oid, een ransomware variant die wel 'goed' werkt.
Als het bij het ene type ransomware betalen niet leidt tot het verkrijgen van de sleutel zal men een stuk terughoudender zijn bij ransomware die tot nu toe wel de sleutel gaf.
Er honderden crypto lockers actief. Sommige gebaseerd op elkaar, andere onafhankelijk van elkaar geschreven. Er is zelfs source code beschikbaar waar mee je zelf crypto lockers kunt maken. Aan copy cats geen gebrek omdat he zo winstgevend is. Maar dan moet de criminelen achter de variant wel bekend staan als betrouwbaar, dat je je bestanden terug krijgt als je betaalt. Dat de criminelen achter deze variant dat niet doen schiet hun in de voet. Maar niet de criminelen achter de andere versies. Ik snap niet dat antivirus tegen woordig niet actief in de gaten houdt of bestanden geyncrepteerd worden en zo nodig ingrijpt.
het vertoont gebreken ? het zijn toch de criminelen die zoiets maken ,,
wat geeft een crimineel erom of er gebreken in zitten , zolang ze maar geld verdienen ...
Dat lijkt me het hele euvel. Als je schijf gelocked is en je doet een zoekopdracht en krijgt op verschillende fora te lezen dat na betaling de hele handel weer vrij gegeven wordt. Dan wil je wel betalen.

Nu krijg je op allerlei fora te lezen dat zelfs betalen niet helpt. Dus waarom zou je dan betalen. De criminelen hebben er dus alle baat bij dat het decrypten werkt. Dat levert hen meer geld op dan dat het niet werkt.

Persoonlijk vind ik het een hele smerige maar toch briljant gevonden criminele methode. Mits het werkt natuurlijk.
Jep, en ze gooien niet alleen hun eigen glazen in maar ook die van de hele "business". Want ook collega-criminelen zullen minder snel geld kunnen vangen als Jan Modaal net van z'n collega gehoord heeft dat betalen niet helpt.
Ja,ze zijn gewoon zo stom geweest dit virus te maken zonder dat ze zelf toegang er tot hebben.Zoiets is dan ook geen cryptolocker meer ,maar een destruct virus geworden.
Persoonlijk vind ik het echt schofterig een variant te sturen die je zelf niet kan ontsleutelen,maar wel geld vragen.Zulke criminelen maken zich in het circuit niet populair,eerder worden ze gezien als klootzakken die de handel om zeep helpen.Persoonlijk denk ik dat ze zelf een fout gemaakt hebben,en dat daardoor de key`s niet werken.Iets in de software verkeerd geschreven ,en dus net als bij een echt slot waarvan de cilinders verkeerd geslepen zijn ,niet met het sleuteltje te openen zijn.

Maar ja er gaat in de criminele wereld ook wel eens wat mis.De drugs zijn te vaak versneden ,of de wapens weigeren enz..Spullen zijn nep enz.Als crimineel kan je niet openbaar werken en alle resources benutten.Als gewoon eerlijk zaken man,wel.Die kunnen een product afleveren wat gewoon goed werkt,bij criminelen,moet je altijd afvragen of iets wel goed is,want het blijven mensen die opereren in de onderwereld.

[Reactie gewijzigd door tweaker1971 op 25 mei 2016 14:43]

Als je als slachtoffer gaat googlen naar cryptXXX en er staan overal artikelen dat er na betaling je de bestanden niet terugkrijgt zullen veel mensen niet gaan betalen.
Omdat zodra problemen als deze zich voordoen, ze zichzelf in de voet schieten. Als bekend wordt dat ook na het betalen voor een decryptiesleutel de bestanden niet weer beschikbaar worden, zullen mensen deze niet meer aanschaffen. Hiermee valt hun hele systeem dus weg.
De business 2 business markt tussen criminelen is ook vrij levendig. Er zijn zat criminelen die wel ransomware willen uitmelken maar niet zelf zo'n pakket willen bouwen, die kopen van andere criminelen dan een totaalpakket. Als dat niet werkt verkoopt het ook daar slecht.

Criminelen hebben ook gewoon een businesscase, als het niets oplevert doen ze het niet, en daarbinnen hebben ze allang door dat ransomware waarbij de key kopen WEL helpt veel meer oplevert dan ransomware waarbij de key kopen niet helpt. Als de slachtoffers zich op een makkelijke manier kunnen vrijkopen zullen ze dat doen. Als in de 'markt' bekend wordt dat keys kopen geen zin heeft doen ook de slachtoffers dat niet meer.
Logisch toch? Als de versleutelde bestanden gratis ontsleuteld kunnen worden verdienen de criminelen niks en als de versleutelde bestanden niet ontsleuteld kunnen worden zelfs na betalen dan verdienen de criminelen ook niks.
zelfs na betalen
Dan is er toch betaald? 8)7 (en dus verdiend). Het probleem is dat men niet meer gaat betalen als vooraf al bekend is dat je daarmee toch je bestanden niet terugkrijgt.
Het gaat erom dat als bekend is dat je na het betalen je bestanden ook niet terugkrijgt, en dat bij de eerste hit op Google van ''CryptXXX'' al staat, je natuurlijk niet meer gaat betalen na het zien daarvan.
Door jou, maar jij als enige persoon bent niet de hele markt. Als mensen bij een dergelijk twijfelachtige transactie al niet genoeg wantrouwend waren zijn ze dat nu wel.
Dat bedoel ik. Enkele mensen zullen nog betalen totdat blijkt dat dit niet helpt waarna het de markt zich snel tegen deze versies keert.
Mensen maak gewoon Back-ups en je haalt alle macht bij hun weg.
Er wordt al 1000 jaar gewaarschuwd.

[Reactie gewijzigd door DSTech op 25 mei 2016 12:10]

En een Back-up terugzetten heeft geen impact?
Niet geheel, Ik neem aan dat deze net als de vorige versies eerst even op je systeem staan, afwachten voordat ze in actie schiet. Het virus maakt een systeem account aan ($) en wacht even af vorodat het de computer locked. Ik heb al vele keren gehoord dat het alles netwerk shares ook pak > file server etc. Ook backups kunnen hieraan ten prooi vallen.

Enkel als je per week je backup schijven vervangt dan ben je in ieder geval niet veel kwijt mocht je het ransomeware zien. Al blijft het veel werk om alles dan terug te zetten. Maar je hebt uiteindelijk dan wel nog je data.

Kaspersky, F-secure, Microsoft etc zijn allemaal bezig om dit te kunnen kraken en nog steeds is het ze niet gelukt. Dat zijn toch niet de minste bedrijven zou je zeggen. Ja de vorige versies. Maar deze en de versie waarbij de encryptie sleutel zich ergens in een cloud ophoud is het nog niet gelukt. Ergens vind ik het knap dat ze dit zo hebben kunnen schrijven en veel leed veroorzaken. Anderzijds het blijven criminelen dus hopelijk worden ze eens gepakt.
Dit is dus de reden waarom we hier overstappen op pulled backups. De mallware kan de backups niet vernielen omdat ie simpelweg geen schrijfrechten heeft op de backup-server.
Maar de bestanden kunnen wel versleuteld worden op de client waarna de backupserver deze wijzigingen netjes 'pulled', toch? Ook werkt sommige ransomware met vertragingen van vele weken voordat de bestanden dan 'op slot' gaan. Je moet dus ook meerdere versies terug kunnen gaan.
Ieder fatsoenlijk backup schema/techniek kent een structuur van verschillende versies en als het even kan ook nog offline en offsite opslag. Dit om de simpele reden dat het ook in normale gebruiksscenario's voorkomt dat corruptie pas na geruime tijd opvalt. Bij backups op tape was het gebruikelijk om week backups een maand te bewaren, maand backups een jaar, en jaar backups voor onbepaalde tijd.

Ik begrijp best dat dergelijke methodes in de onbruik zijn geraakt ten faveure van makkelijker online varianten waarbij de backups dagelijks worden overschreven en continu online blijven. Het is echter wel belangrijk om in de gaten te houden welke risico's je daarbij loopt ten opzichte van de traditionele werkwijze.

Lang verhaal kort: als je alleen een backup hebt waarop alles al ge-encrypt is dan is er waarschijnlijk iets mis met je manier van backuppen.
Ligt er ook aan hoe de backups gemaakt worden.
Pure block-backups zijn inderdaad vatbaar voor die sluipende encryptie, maar uitlezen via het OS zou gewoon moeten werken omdat die encryptie-driver er dan tussen zit die dan doodleuk de bestanden on the fly weer ontsleuteld.

En natuurlijk versies bewaren :)

[Reactie gewijzigd door hackerhater op 25 mei 2016 15:11]

Pure block-backups zijn inderdaad vatbaar voor die sluipende encryptie, maar uitlezen via het OS zou gewoon moeten werken omdat die encryptie-driver er dan tussen zit die dan doodleuk de bestanden on the fly weer ontsleuteld.
Die encryptie-driver kan wss. zien welk proces met file-access bezig is en aan de hand daarvan ervoor kiezen om bepaalde processen de encrypted versie te serveren, terwijl user-facing processen de decrypted versie krijgen.
Dat kan als ze de moeite doen om dat te detecteren.
Evengoed blijft uitlezen via het OS een grotere kans dat het werkt dan op blok level.

Natuurlijk moet de backup server meerdere versies bewaren zodat je terug kan in de tijd.
Dat lijkt me inderdaad een goed idee. En vooral ook roteren van de backup schijven(per week?) dan heb je altijd nog een niet al te oude backup staan. Ja je verliest dan natuurlijk wel een week werk in het ergste geval maar beter dat dan helemaal niks.

Soms heb je mazzel en kun je via ghost kopieën etc ook het een en ander restoren. Echter is dat wel een boel werk :/
Bij pulled backups haalt de backup-server de informatie van de clients, ipv dat de clients zelf backuppen ;) Eventuele mallware kan dan ook niks.

Natuurlijk moet je wel de backup-server beveiligd hebben tegen schijf falen.
Om een account aan te maken heb je beheersrechten nodig. Als een virus die zomaar krijgt is er al iets mis.
Nee, dat is het 'mooie'. Het maakt niet uit van wat voor account je 'per ongeluk' dat stukje software lanceert. Meestal in een bijlage wat er normaal uitziet. Neem bijv een factuur van een klant, je opent het maar er zit niks in. Dat virus in dit geval de ransomware maakt zijn system user aan en wacht af. Pas na een paar dagen ofzo hijacked hij je systeem.
Als een virus onder een normale gebruikersaccount wordt gestart zal het ook alleen acties uit kunnen voeren waar de gebruiker toe gerechtigd is. Een virus kan dus alleen een nieuwe account aanmaken als deze beheerdersrechten heeft. Normaal gesproken zou daar geen sprake van mogen zijn omdat je niet als beheerder ingelogd hoort te zijn als je de mail aan het lezen bent of een internet browser gebruikt. Oftewel vertrouwt het virus dus op gebruikers die standaard nog steeds met admin rechten werken, oftewel vertrouwt het op een exploit om admin rechten te krijgen. In beide gevallen is er gewoon wat mis met je systeem.

[Reactie gewijzigd door Tribits op 25 mei 2016 14:22]

Niet als je backup net zo hard mee ge-encrypt is :)
Gewoon? Ik heb er al genoeg zien passeren wiens externe back-up schijf, NAS of online opslag gewoon mee geëncrypteerd was...
Diverse cryptolockers kijken inderdaad ook direct in aangekoppelde externe schijven of SMB shares. Feitelijk in alles waar de huidige gebruiker schrijfrechten op heeft. Bij deze vormen van backup ben je dus sowieso de pineut.

Maar ook bij koppelingen die niet door het virus zelf herkend worden kan je de pineut zijn. Als je automatische synchronisatie aan heb staan via bijvoorbeel Synology CloudStation, dan worden de geencrypte bestanden net zo hard naar je NAS gekopieerd. Het enige waar je dan op kan hopen is dat de NAS/backup historie bijhoudt, daar kan het virus namelijk niet bij.
"Feitelijk in alles waar de huidige gebruiker schrijfrechten op heeft. "

mijn computer account heeft schrijfrechten op synology shares, echter deze shares zijn niet gemapped aan mijn computer. is het risico dan gelijk?
"Feitelijk in alles waar de huidige gebruiker schrijfrechten op heeft. "

mijn computer account heeft schrijfrechten op synology shares, echter deze shares zijn niet gemapped aan mijn computer. is het risico dan gelijk?
Ja.

Het is triviaal om een lijst van beschikbare SMB shares binnen een lokaal netwerk boven te trekken en cryptoware die serieus SMB shares in het vizier neemt zal dit ook doen. Enkel als de SMB shares zo geconfigureerd zijn dat ze niet in de publieke lijst advertised staan ben je (een klein beetje) meer veilig.

[Reactie gewijzigd door R4gnax op 25 mei 2016 13:15]

Kun je dat laatste nader uitleggen? Ik wil namelijk een gedeelde map op mijn Syno maken, die niet wordt weergegeven in de verkenner. Verder heeft er slechts één user toegang, en dat is uiteraard geen Windows user, maar een FTP user binnen Syncback. Dit leek me waterdicht, maar blijkbaar is dat niet zo? Hoe zou malware dan nog bij die map moeten komen?
Beschikbare mappen zijn gewoon zichtbaar op het netwerk.
als je pc de gebruikersnaam en het wachtwoord heeft kan de mallware deze doodleuk aankoppelen en versleutelen
Dat snap ik, maar die specifieke username/pw cimbi is enkel bij de backup software bekend. Dat biedt toch op z'n minst een extra beschermingslaag?
Nope. De combinatie staat dus ergens op de schijf en de mallware kan dit doodleuk uitlezen.
Ander idee: ik backup van de PC naar een normaal bereikbare map op de NAS. Daarna maak ik op de NAS, ingelogd als een user die op de PC onbekend is, een backup van de openbare map naar een afgeschermde map, waar dus alleen die user schrijfrechten heeft. Op die manier is die tweede map toch veilig?

Ik moet zeggen dat het me verbaast dat hier nog geen slimmere oplossing voor is.
Op zich wel, maar dan moet je dat wel concequent blijven doen.
Op bedrijfsniveau is het makkelijker om de server geautomatiseerd de backups van de pc's te halen halen ;)
Ik kan toch automatisch de backup van de PC naar de NAS laten doen? Volgens mij heeft elk backup programma wel een schedule functie oid. Het deel NAS -> NAS weet ik niet, maar dat zal vast ook wel lukken. Moet ik eens uitzoeken.
Als je pc kan schrijven naar de nas, dan kan mallware op die pc ook die backup op die nas vernielen.
Het enige waar je dan op kan hopen is dat de NAS/backup historie bijhoudt, daar kan het virus namelijk niet bij.
Met die voorwaarde dat die historie dan wel voldoende groot moet zijn want op een gegeven moment zal je NAS de historie ook volzetten met versleutelde bestanden.
Cryptolockers gaan eerst een tijd op de achtergrond aan de slag dus voor je het weet heb je een leuke verzameling aan versleutelde historische gegevens. Dito voor backups.
wel los maken van systeem he
Als het het aan het systeem laat zitten heeft het verdorie geen nut !!
Hoe wil jij een backup maken als je schijf niet aan het systeem zit?
Voor hetzelfde geldt ben je al geïnfecteerd en maak je zonder dat je het weet backups van je versleutelde bestanden. Die kun je nadat ze je computer op slot gooien ook niet meer lezen.
bij een dame in kwestie kon ik in win7 filehistory alle gegevens zonder encryptie terughalen. dus dit virus gaat alleen de data na de install aanpakken maar niet de gegevens van daarvoor.

vraag: kan zo een virus wel bij de inhoud van de windows7 backup? daar heeft de gebruiker toch geen rechten op om daar in te komen?
Zorgen dat je als normale gebruiker (ervan uitgaande dat je niet standaard onder een admin account werkt) geen toegang hebt tot de backups, en alleen een speciaal backup-user met minimaal rechten toegang heeft tot de backup...

Maar de gemiddelde "thuis"-gebruiker heeft daar gewoon te weinig verstand van...
(Reageerde op @DSTech)

[Reactie gewijzigd door iMars op 25 mei 2016 14:16]

Ja, maar tweakers zonder de tegenwoordigheid van geest maar wel met de kennis zijn er mee geholpen.
Mensen maak gewoon Back-ups en je haalt alle macht bij hun weg.
Hoe maak je een backup ?

Kom dan natuurlijk niet met standaard antwoorden die alleen Tweakers begrijpen en de gemiddelde consument niets zegt en hou daarbij rekening met het feit dat een enorme hoeveelheid consumenten geen grote harddisk hebben en als ze deze al hebben vaak vol staat met tijdelijke bestanden van Windows, Bittorrent tot aan complete films en muziek collecties.

Nog uiteraard niet gesproken over het probleem dat de gemiddelde consument geen geld over heeft voor een goede back-up programma en het zelfs veel te veel moeite kost.

Backup naar de cloud? Heel slim! Bestanden die aangepast zijn worden ook in de Cloud gewoon netjes bijgewerkt/overschreven/verwijderd etc. Dus zul je incremental backups moeten maken, gevolg.... ook weer enorme (bijkomende) kosten.
Helemaal waar.
Het is in geval van ransomware ook nog eens het geval dat het niet om simpele backups gaat maar dat je hele rotatieschema's moet gaan hanteren. (Je weet namelijk nooit wanneer het versleutelen is begonnen.) Ga dat maar eens uitleggen aan Jan met de pet.
Alles wat je zegt klopt.

Maar als de gemiddelde consument te dom is om een goede NAS / Externe harde schijf te kopen.
en te gierig is voor een goed back-up programma,

dan moet je als gemiddelde consument ook niet zeiken.
als het een keer goed fout gaat.

Er zijn veel manieren om je zelf hier GOED tegen te wapenen.
Als het dan toch mag gebeuren is de schade ZEER beperkt.

Tweakers zegt al jaren wat je het beste kan doen.

[Reactie gewijzigd door DSTech op 25 mei 2016 12:27]

Alleen niet iedere huis-tuin en -keukengebruiker zit op Tweakers (hoewel ik het ze wel aanraad ;) )
Ik raad het al jaren mensen aan, het eerste wat ik hoor is dat het veel te veel irrelevante informatie bevat waar ze niet op zitten te wachten.

Eigenlijk ook best logisch, het belangrijkste van Tweakers is het nieuws waardoor je als simpele huis, tuin en keuken computer gebruiker al gauw weer van Tweakers vertrekt en uiteindelijk op een site als Computer! Totaal terecht komt gewoonweg omdat direct en duidelijk zichtbaar is dat er niet alleen nieuws maar ook Reviews, How To's e.a. zaken beschikbaar zijn. En dat zelfs veelal zonder de zoek functionaliteit.
Maar als de gemiddelde consument te dom is om een goede NAS / Externe harde schijf te kopen.
Een goede NAS / Externe Harddisk heeft geen nut. De meeste mensen synchroniseren bestanden en dus worden de back-ups op die schijven eveneens overschreven met de encrypted files waarna je alsnog je boeltje kwijt bent.
Er zijn veel manieren om je zelf hier GOED tegen te wapenen.
True, offline back-ups bijvoorbeeld. Nadeel is alleen dat het nimmer recent genoeg is en de gemiddelde consument zelden eens een back-up maakt. Gevolg is dat de schade dan nog steeds niet zo beperkt is als je zegt.

Als dat zo is, waren zelfs de NAS gebruikers niet getroffen en ik meen mij te herinneren een tijdje terug zelfs van één of meerdere Tweakers iets dergelijks te hebben meegemaakt.
Tweakers zegt al jaren wat je het beste kan doen.
Vreemd, ik kom hooguit wat berichten van mensen zelf tegen die wat tips geven maar een artikel van Tweakers zelf is er eigenlijk niet of het is zelfs al een heel oud artikel.
Maar als de gemiddelde consument te dom is
te gemakkelijk om mensen als dom weg te zetten als ze iets niet doen wat voor jou misschien vanzelfsprekend is. De gemiddelde gebruiker overziet pas de gevolgen op het moment dat zijn systeem plat ligt. Daarvoor is het allemaal een abstract verhaal, de computer doet het toch en ze hebben toch een virusscanner? Wat loop je dan te zeiken over crashende schijven, cryptolockers of virussen? :?

Ja, als Tweaker en iets meer dan gemiddelde gebruiker snap je het belang van backups. En maak je die ook. Maar vraag eens hoeveel mensen die backups maken ook minimaal 1x per jaar hun volledige backup terugzetten om te zien of hun backups wel goed gaan, en je zal zien dat dat er bar, bar weinig zullen zijn...

Kortom: backups zijn ook niet heilig. Maar wel het meest effectief ;)

[Reactie gewijzigd door Pietervs op 25 mei 2016 13:16]

Ja, als Tweaker en iets meer dan gemiddelde gebruiker snap je het belang van backups. En maak je die ook.
Ik durf er wel geld op in te zetten dat hier een hoop mensen rondlopen die het belang van backups weldegelijk inzien, maar evenwel nog niet de tijd en moeite hebben gestoken in het daadwerkelijk opzetten van een backup-procedure :)
Vooral het punt van backups terugzetten testen hoor je veel te weinig. Een jaar daarmee wachten is wel erg lang. Je moet frequenter testen of je backups wel goed zijn. Ik heb menig backup gezien die niet meer terug te zetten was en dat had niets met ransomware te maken. Het geldt in het algemeen dat je het restoren moet testen.
Een product of systeem dat niet geschikt is voor de meer dan gemiddeld domme consument (en niet specifiek gericht is op minder dan gemiddeld domme consumenten) heeft een inherent probleem. Wanneer je de gevolgen van dat probleem op de consument afwentelt, maak je je er als aanbieder wel erg makkelijk vanaf.
Maar hierbij schiet je toch voorbij aan het feit dat de virsuscanners ze niet zien. Die herkennen dit ransonware niet. Dus ook al ben je als consument goed bezig je backups te maken naar een nas heb je toch een groot probleem. Dit virus staat even op je systeem voordat het actief word. Het gijzelt je backup nas ook als die continu aan je pc hangt. Tenminste als je niet oplettend genoeg bent. Beste is per week de schijven wisselen.. Maar dat gebeurd bij lange niet bij alle bedrijven dus waarom zou de gemiddelde consument dat wel doen?

En zoals gezegd, hoeveel % van de consumenten die een backup maakt kijkt deze eens na?
Voor de echte leek is er een heel simpele oplossing.
Gewoon Windows eraf en Ubuntu erop. Heb ik bij de buurman gedaan toen die zo'n locker te pakken had. Icoontjes staat op een andere plaats, maar verder verandert er niet zoveel. Ubuntu is (nog) geen populair target, dus voorlopig is dat afdoende.
Moet je wel wat meer tijd in stoppen. Anders ga je de ransomware ook backuppen. En dat wil je niet.

(Zover ik weet bestond het woord 'backup' 1000 jaar geleden nog niet hoor :+)

[Reactie gewijzigd door xoniq op 25 mei 2016 12:23]

Het woord wellicht niet, maar het principe wel.
Al maar in de vorm van een backup-leider voor als je leider in de strijd sneuvelde :+
Sommige crypt lockers blijven een paar maanden op de achtergrond, tegen die tijd kunnen ook je back-ups vervangen zijn door genxrypteerde versies van je bestanden.
Je weet toch wel dat huidige ransomwaresoftware eerst weken/maanden op je PC bezig is met bestanden te versleutelen (maar bij aanroep worden deze dan ontsleutelt en lijkt er dus niets aan de hand te zijn) voordat het zich bekend maakt aan de gebruiker. Soms kun je er achter komen door als je bv dropbox bestanden op een ander apparat probeert die schoon is, je deze niet kunt openen..
Backups maken moet je natuurlijk altijd doen, maar als bescherming tegen 'fatsoenlijke' ransomwaresoftware heeft het niet zo heel veel zin..
Raar dat de mensen van TeslaCrypt het ineens opgeven. Ze zijn niet opgepakt toch? Wellicht hebben ze gewoon genoeg geld verdient?
Als er constant in het nieuws komt dat ziekenhuizen een week plat liggen door ransomware, dan ga je als cryptolocker ontwikkelaar toch wel achter je oren krabben.
Het probleem is dan niet meer alleen data maar ook mensenlevens.
Het is te hopen dat als ze een paar van die figuren pakken ze meteen worden aangeklaagd voor toebrengen van lichamelijk letsel, dood door schuld of iets dergelijks. Maar ja, het zal lastig te bewijzen zijn dat mevrouw X in ziekenhuis Y niet de juiste behandeling heeft kunnen krijgen doordat hun systemen plat lagen.
daarnaast is het de vraag of ziekenhuizen wel mee willen werken aan een dergelijk proces omdat hun vuile was dan behoorlijk buiten komt te hangen
Of het werd ze te heet onder te voeten, was er een instantie die ze aardig wist te traceren, waardoor ze nu er volledig mee stoppen en weer doorgaan in een andere vorm.
Het blijft een onbeantwoorde vraag zo, opmerkelijk is het wel.
Of gewoon tot inkeer gekomen? Soms worden mensen nog wel eens wijzer :) Het geweten is misschien gaan knagen, of misschien leverde het juist helemaal niet veel op... verzin het maar. Maar gezien de spijtbetuiging en de vrijgave van de decryptiesleutel vermoed ik persoonlijk toch iets van een gewetenskwestie, of misschien toch wel 'opgepakt' en een deal gesloten oid.
kan er me he-le-maal niets bij voorstellen;

het proeft mij veel meer als van die haatbaarden die zeggen dat hun stijder zich opgeblazen heeft, om vervolgens weggestreept te worden uit de interpol DB. Om vervolgens 'onzichtbaar' verder te gaan.

Een crimineel met een geweten ... ze zijn zeldzaam.

Geloof dan er geen drol van dat deze jongens stoppen en het licht hebben gezien. Tenzij het ze echt te heet onder de voeten werd ... :N ook dan niet :+

Vind het technisch prachtig gemaakt en indrukwekkend, maar zo freaking vervelend voor degene die getroffen zijn. Helemaal door versie 4 (locky) ... kan niets voor ze betekenen :(
Volgens mij val je wat over het woordje crimineel.. dat zijn inderdaad de moordenaars en de verkrachters maar dus ook de cybercriminelen.

Je hoeft echt geen gewetenloos figuur te zijn om dit te doen, juist omdat je een criminele activiteit zoekt die jou maar ook het slachtoffer anoniem laat duidt mij er op dat je meer een opportunist bent dan iemand die opzettelijk iemand pijn doet.
Een crimineel met een geweten ... ze zijn zeldzaam.
Deze criminelen hebben blijkbaar genoeg hersencellen om deze software te schrijven en/of gebruiken icm technieken om "follow the money" (tijdelijk) niet mogelijk maken.

Waarschijnlijk hebben ze dan ook genoeg hersencellen om op een gegeven moment tot de conclusie te komen dat ze wel heel erg veel risico lopen.

Dan lijkt me het voor de hand liggend dat ze de stekker er uit trekken.

mogelijk slechts tijdelijk, nl tot ze hun "verdiende" geld ophebben...
Ik noem het uiteraard als optie t.o. de opmerking 'genoeg geld verdiend'. Een gewetenskwestie kan uiteraard ook inhouden dat de handelswijze te lastig werd om te continueren... of zoals ik al noem simpelweg opgegeven, zover mij bekend is bestaan er geen indicaties mbt de verdiensten van dergelijke praktijken.
Geloof dan er geen drol van dat deze jongens stoppen en het licht hebben gezien. Tenzij het ze echt te heet onder de voeten werd ... :N ook dan niet :+
Lijkt me nog het meest waarschijnlijk, misschien enkele leden van de groep (aka bende) opgepakt, verhoord of als verdachte aangemerkt. Misschien loopt er een onderzoek en zouden nieuwe transactie ze alleen maar meer verdacht maken, misschien zijn er delen van de infrastructuur geïnfiltreerd of gesaboteerd.

Ook de mogelijkheid dat de leden van de groep onderling onenigheid hebben gekregen is nog mogelijk. Mogelijk bijvoorbeeld een technisch beheerder die niet werd betaald door de ringleader.
Een crimineel met een geweten ... ze zijn zeldzaam.
Wel logisch ook. Met voorbedachte rade een misdrijf begaan vereist min of meer per definitie een gebrek aan geweten. De kans dat iemand dat geweten ergens gedurende het uitvoeren van het misdrijf spontaan ontwikkelt lijkt me eigenlijk nihil.
Of gewoon genoeg verdiend intussen/voorlopig :+
De makers hebben zelf de sleutel vrijgegeven. Ze zijn niet opgepakt. nieuws: Criminelen geven universele sleutel voor TeslaCrypt-ransomware vrij

Ze hebben niet genoeg geld verdiend. Zoals het artikel beschrijft zijn ze overgestapt naar deze variant. Waarom ze verkeerde keys uitleveren? Dat is denk ik gewoon trolling. Ze krijgen toch wel hun geld of ze nu een echte of een neppe key geven.
Ze hebben niet genoeg geld verdiend. Zoals het artikel beschrijft zijn ze overgestapt naar deze variant. Waarom ze verkeerde keys uitleveren? Dat is denk ik gewoon trolling. Ze krijgen toch wel hun geld of ze nu een echte of een neppe key geven.
Nou nee, als niemand meer een goeie sleutel krijgt stopt men natuurlijk zelf met betalen.
Tot nu toe wordt er veel betaald omdat bekend is dat je de sleutel daadwerkelijk ontvangt.
Of ze hadden net de verkeerde persoon/ organisatie te pakken, die de middelen had (of in kon huren) om uit te vissen wie er achter zat. Een hartig woordje en foto's van dierbaren op hun werkplek/ school/ huisadres zijn dan wel genoeg om ze tot inkeer te laten komen.
De meeste mensen weten niet hoe ze een back-up moeten maken.
Laat staan dat ze weten wat ransomware is.
Ik maak nog vaak mee dat er een mail van een bank wordt geopend zonder dat ze daar een rekening hebben. Ze hebben de bijlage geopend omdat ze dachten dat ze een rekening hadden gekregen.
Hoeveel mensen hebben al niet betaald voor de miljoenen die ze zouden krijgen van een overleden rijke sjeik of de lotto waar ze nooit aan meegedaan hebben.
Mooi dat ze niet de code leveren om de bestanden te bevrijden. Dit betekent het einde van dit soort malware. Nu gaat niemand meer betalen en is het verdienmodel weg...
Niet updaten dus mensen! :+ Gewoon bij de oude versie blijven.
Sinds wanneer moeten we denken dat criminelen ineens spijt hebben van hun actie en dat ze zomaar hun sleutel geven om alles te ontcijferen?
trap daar toch niet in mensen...
ze hebben gewoon nieuwe versie gemaakt
Ik gebruik zelf Backblaze voor mijn Macbook backups, naast TimeMachine (USB disk en NAS thuis). Gebruik daarnaast ook Dropbox en mijn eigen Seafile server voor zowel OSX als mijn Windows VM's die ik op dezelfde Macbook draai.

Uiteraard ben ik als ICT Manager erg voorzichtig met mijn data (en backups) maar het kan alsnog gebeuren dat ik ook door een CryptoKreng in een houdgreep genomen word. Maar ik kan dan tenminste nog altijd terug naar mijn backups.

En op het werk heb ik Veeam draaien voor onze tientallen ESX machines en wordt alles gedupliceerd naar een andere locatie, just in case. Windows 2012 servers zelf gebruiken een dedicated (hidden) partitie voor de Windows backups waar dus geen enkele virus / crypto bij kan.

[Reactie gewijzigd door Neus op 25 mei 2016 13:28]

Hidden partities? Jij denkt dat dat helpt als ICT manager zijnde?
Ik hoop voor je dat je een goed backupsysteem hebt met een goed rotatieschema en dergelijke want anders heb je niets om op terug te vallen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True