Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties

Volgens beveiligingsbedrijf Malwarebytes heeft de auteur van de Petya- en Mischa-ransomware 3500 sleutels van concurrent Chimera online gezet. Het bedrijf onderzoekt nog of de sleutels inderdaad werken.

Ook laat Malwarebytes weten dat het bezig is met het ontwikkelen van een decryptietool op basis van de uitgelekte sleutels, maar dat dit enige tijd in beslag kan nemen. De sleutels werden gedeeld via een bericht op Pastebin, waarin de auteur van de Mischa-variant claimt dat zijn team toegang heeft weten te verkrijgen tot de ontwikkelingsomgeving van Chimera. Dat zou hen in staat hebben gesteld om delen van de broncode over te nemen en de rsa-sleutels in handen te krijgen. Er zou echter geen samenwerking tussen de twee varianten bestaan.

Uit een eerdere analyse door het beveiligingsbedrijf blijkt dat Chimera naast het versleutelen van bestanden ook dreigt de bestanden van slachtoffers te publiceren als betaling van het losgeld uitblijft. Dit blijkt echter alleen een manier te zijn om de druk op te voeren, omdat er in werkelijkheid geen bestanden worden gepubliceerd. De onderzoekers stellen verder in hun blogpost dat slachtoffers van Chimera hun versleutelde bestanden niet moeten verwijderen omdat deze mogelijk nog te redden zijn.

Eerder deze week kondigde Europol en samenwerking met de Nederlandse politie en twee beveiligingsbedrijven aan onder de naam 'no more ransom'. Op de site van het project kunnen slachtoffers van ransomware en andere gebruikers informatie krijgen over de verschillende varianten, en zijn er een beperkt aantal decryptietools te vinden. Ook zijn er tips voor preventie, zoals het maken van backups. De site heeft in de eerste 24 uur ongeveer 2,6 miljoen bezoekers weten aan te trekken, zo meldt Raj Samani van Intel Security.

chimera ransomware   Het scherm dat Chimera-slachtoffers te zien krijgen

Moderatie-faq Wijzig weergave

Reacties (42)

En de pastebin post, voor de geÔnteresseerden:
Like the analysts already detected, Mischa uses parts of the Chimera source. We are NOT connected to the people behind Chimera.
Earlier this year we got access to big parts of their deveolpment system, and included parts of Chimera in our project.

Additionally we now release about 3500 decryption keys from Chimera. They are RSA private keys and shown below in HEX format.
It should not be difficult for antivirus companies to build a decrypter with this informations.

Please also check our RaaS system, which now has its registration opened: http://knip.onion/

LINK: https://www.sendspace.com/file/knip
Linkjes netjes verwijderd, maar deze zijn makkelijk te vinden in het bronartikel.
Vanwege de RaaS-link heb ik het Pastebin-bestand niet gelinkt in het artikel
Begrijpelijk. De links leken mij inderdaad ook niet gewenst hier, daarom had ik die al gecensureerd.

Ik denk er nu eigenlijk pas over na waar RaaS voor staat (gok ik): Ransomware as a Service :P

offtopic:
Goede username voor een redacteur met specialisatie in security :+
Juist ;)
Hoe kom je aan ransomware? Met een malafide programma uitvoeren snap ik dat men alles op je systeem op slot kan gooien... maar is dat dan ook de enige manier om besmet te raken? Ben nog nergens in mijn kennisenkring iemand tegengekomen die besmet is geraakt/geweest...
JPG kan besmet zijn, fout in de JPG lib. PDF kan besmet zijn, fout in Acrobat. Er zijn zelfs malafide TrueType-fonts geweest (al zijn die nooit tot het niveau van volle malware gekomen), fout in de TrueType-parser... en ik heb het nog niet eens over Office-bestanden en macro's, want dat is inmiddels wel bekend. En al die dingen kunnen geserveerd worden met drive-by downloads die zero days in de browser uitbuiten.

Denken dat je "alleen maar voor elkaar krijgt" als je "een willekeurig stuk software download" is kort door de bocht. Dat is wel de makkelijkste manier, maar zeker niet de enige.
Hoe je ook besmet raakt doet er eigenlijk niet toe.
Mensen die dit soort software maken en verspreiden moeten ze gewoon een tijd opsluiten want het zijn in mijn ogen criminelen van de bovenste plank.
Met betonschoentjes in de Markerwaard pleuren is ook prima, wordt de palingvisserij ook weer gestimuleerd :P
Het punt is, hoe weet je hoe het werkt? Weet jij hoe 'het Internet' werkt? Ken je alle narigheden van het TCP-IP-protocol? Zo nee, wat doe je hier dan? Dat is het probleem, je kunt niet meer alles weten. In dat geval zou je moeten kunnen vertrouwen op safe failure, dingen mogen best kapot, maar niet op zo'n manier dat er echt nare dingen gebeuren. Bij de auto-industrie is dat standaard, maar internet is een oorlogszone, waarbij er weinig veiligheid is.
'Ken je alle narigheden van het TCP-IP-protocol? Zo nee, wat doe je hier dan?'

^ waar SLAAT dat op? ik denk dat je mijn comment nog maar eens grondig moet doorlezen...

het gaat erom dat 90% van de ransomeware slachtoffers geen IT professional is maar een jan met de pet.. zonder opleiding in enig IT related iets wat een mailtje krijgt nogmaals..

download uit een email bijlage of over 't net wat 'lijkt' op een microsoft melding dat je huis sleutel is gevonden in de pastebin van bill gates oid

^ DAAR gaat het om.. dat geen 1 iemand meer TCP/IP protocol snapt.. tja.. dat kan.
maar een simpele bijlage niet openen? er bestaan geen 'fail safe' principes voor ECHT domme mensen.. en die zijn er jammer genoeg teveel online.
Het kunnen ook prima legitiem lijkende pdf's zijn etc. Soms is het echt niet zo ver gezocht als je nu laat blijken met 'je huis sleutel gevonden bij Bill Gates' ik heb al gezien dat het soms echt een normale factuur kan zijn. Tis dat je soms verder kijkt en dan iets raars ziet staan, een normaal persoon weet niet waar hij allemaal op moet letten en dan gebeuren dit soort fouten.
Precies. Tigermonk lijkt erg zeker van zijn zaak. Dat denken "dat het jou niet overkomt", dŠt is gevaarlijk.
Waarschijnlijk gaat het ons allemaal overkomen, als er niet op grote schaal hard aan preventie wordt gewerkt. Dit zijn geen simpele virussen meer...
Ik heb vaker een factuur gekregen die leek alsof hij van KPN kwam. Met een factuur als bijlage. Ik heb zelf ook internet en mobiel van KPN en het enige rare was het moment van de maand dat ik zo'n mail kreeg. Ik ben toen zelf naar KPN site gegaan en ingelogd en er was geen nieuwe factuur. Maar ik kan begrijpen dat een ander deze wel opent.


Nu open ik zelf nooit bijlages in mails behalve als ik 100% zeker ben dat het legitiem is.
Je schrijft nu de meeste mensen die ransomware binnentrekken af als 'dom', of wellicht beter: onwetend. Dat lijkt mij iets te snel, en dat probeer ik uit te leggen.

Jouw definitie van 'een beetje dom' is rekbaar, en ik kan me zo voorstellen dat jij voor anderen (met meer technische kennis) daar ook onder valt.

Mensen vertrouwen erop dat 'hun computer' (lees: Microsoft, hun virusscanner en de overheid die het web controleert) ze beschermt tegen allerhande narigheid, zoals ze dat ook bij hun auto gewend zijn.
Zo lang jij je namelijk op de weg aan de regels houdt is het ergste dat je kan overkomen een lege benzinetank, je auto zal niet opeens ontploffen, midden op de snelweg over de kop slaan of anderszins onvoorziene grote problemen opleveren.

Datzelfde verwachten ze ook online, en is dat zo gek? Ja, voor ons wel, maar voor digibeten niet.
Hoewel er inderdaad mensen bestaan die geen idee hebben waar ze mee bezig zijn en gewoon op alles klikken heb ik enkele mooie staaltjes gezien van gerichte campagnes tegen individuele gebruikers. Die waren bijzonder goed uitgedacht, ik kan helaas niet in detail gaan want dat zou mij zuur kunnen opbreken en ook anderen op ideeŽn brengen.

Maar het punt is dat als iemand genoeg moeite doet om een gerichte aanval op te zetten werkelijk iedereen ertoe te verleiden is om een bijlage link te openen.
Was het maar waar, dat besmettingen alleen door overduidelijke stommiteiten op te lopen zijn.
Een normale website ( zoals nu.nl) met een foute reclamebanner die van een beveiligingslek in een browser of plug-in gebruik maakt is genoeg. De meeste besmettingen zijn te voorkomen door je patches en virusdefinities up-to-date te houden, maar ze kunnen ook van 0-day beveiligingsprobleem gebruik maken. En er is ook al crypto-ransomeware voor macOS en Linux in omloop.

Heet grootste deel kun je ontlopen door goed op te passen en geen stomme dingen te doen, maar een deel is gewoon botte pech die iedereen kan overkomen.
Boelshit. Zelf ben ik er een keer aangekomen naar een googlezoek actie naar een bepaalde manier vannfoto atitching. Waarbij elke pixel een afzonderlijke foto is.
Bij google afbeeldingen naar de link van de site gegaan en het was raak.
Dat had jouw net zo goed kunnen overkomen
Het is vaak een kwestie van foute bijlage openen en blind op "ja" klikken bij een melding. Zelfs bij vooraanstaande IT bedrijven heb ik het zien gebeuren dat een developer op maandagmorgen voor z'n eerste kop koffie een dergelijke fout maakt, met als resultaat dat de hele interne infrastructuur besmet wordt.

We blijven tenslotte allemaal mensen :)
Excel/pdf facturen als bijlagen in e-mails kunnen extreem legitiem lijken (met correct Nederlands, adresgegevens, tijdstippen etc.)...ben op m'n bedrijf meerdere gevallen tegengekomen waar ik het heel goed zou kunnen begrijpen dat iemand hier in trapt.
Volgens mij lukt het ook met gare plugins, zoals kwetsbare versies van Flash en Java.
In die gevallen zou het voldoende zijn om een site te bezoeken die bijvoorbeeld besmette advertenties toont.
Klopt zo ben ik er een keer aan gekomen.
Er zijn ook drive-by downloads op bijvoorbeeld porno-sites. Als je zo'n site bezoekt en je hebt Flash aan staan (wat natuurlijk zo is, want anders kan je de filmpjes niet bekijken) dan wordt een fout in Flash gebruikt om zo'n programma op je computer te installeren.
Niet alleen pornosites, gehackte advertentienetwerken maken waarschijnlijk meer slachtoffers. Of websites die al een tijdje hun software niet meer hebben geŁpdatet waardoor lekker in pakketten zoals Wordpress en Joomla niet gefixt zijn.
Bijzonder, zo een malware oorlogsverklaring! Zeker zo openbaar.

Als dit doorzet is het goed nieuws voor getroffenen gezien er dan meer keys worden vrijgegeven. Helaas denk ik dat ze zelf ook wel snappen dat ze nu hun eigen business model aan het slopen zijn zo. Tja, het blijven mensen. Criminelen, maar toch mensen.
'Helaas denk ik dat ze zelf ook wel snappen dat ze nu hun eigen business model aan het slopen zijn zo'

hoezo zijn ze hun business model aan het slopen?
zoiets noem je concurrentie uit de weg ruimen.
king of the hill zijn.. why share the spoils if you can be the top dog?
Omdat de volgende keer de concurrent de sleutels gaat proberen te verkrijgen en publiceren. Zo maken ze elkaar kapot. Maar da zal er wel weer een nieuwe opstaan. In de tussentijd is het publiek wel beter gewaarschuwd voor ransomware.
Als je echt ballen hebt als ransomware-cracker (bij gebrek aan een beter woord), maak je die sleutels niet publiek, maar gooi je je eigen ransomware over alles dat je daar kunt vinden (de sourcecode, de keys, versies etc) heen en laat je de ontwikkelaars weten dat hun software wordt gegijzeld.

Natuurlijk kun je dan ook een iets hogere prijs gaan rekenen voor het vrijgeven van de bestanden, want deze mensen willen natuurlijk zelf ook nog geld kunnen verdienen met hun ransomware.

[Reactie gewijzigd door walteij op 27 juli 2016 14:57]

Oh dat is inderdaad een goeie! Laten die ontwikkelaars dit maar niet lezen :+
Als dit nog even zo doorgaat, hebben we over een tijdje geen ransomware meer, omdat het gewoon te vervelend voor ze is met hackers in beide kampen.
Bij bitdefender heb je een optie tegen ransomware. Als een applicatie een bestand probeert te wijzigen in een vooraf aangegeven map, dan wordt jou de vraag gesteld of de applicatie dat wel of niet mag. De eerste keer dat ik het aanzette kreeg ik eenmalig bij elk type programma of een wijziging in de beschermde map wel geoorloofd was. Als ik aangaf dat het geen probleem was kwam de applicatie in een soort whitelist.

Kweet niet of het waterdicht en of het slechts een vals gevoel van veiligheid geeft, maar wel leuk dat ze in ieder geval er mee bezig zijn 8-)

[Reactie gewijzigd door SB[NL] op 27 juli 2016 13:06]

Ik ben persoonlijk nog opzoek naar de sleutels voor het CTB-ransomware. Hopelijk komen die ook binnenkort nog een keer voorbij.
Don't hold your breath. Veel ransonware is niet meer te kraken.
Afhankelijk van de waarde van de informatie. En of deze tijd gebonden is zou ik zeggen bewaren en hoop houden. Wat nu nog niet te decrypten is is over 10 jaar wellicht wel. En voor vakantie/familie foto's is het dan toch pas leuk om ze terug te kijken ;).
Als het goed gemaakt is ga je het over tien jaar ook niet kraken. Versleuteling is gemaakt om duizenden zo niet miljoenen jaren onkraakbaar te zijn.

Ik adviseer om gewoon te betalen, of een backup terug te zetten.
Niet perse waar. Er kunnen zwakheden zitten in het encryptie algoritme. Daarbij zou het zo maar kunnen dat zo'n bende gepakt wordt, of uit eigen beweging sleutels vrijgeeft. Never give up!
De algoritmes zoals AES zijn jarenlang getest en veilig bevonden, dus ik zou er niet op hopen. Implementatie fouten zijn er soms in de sleutel generatie, maar ook heel zelden.

Als ze het slim doen genereren ze willekeurige sleutels en sturen die op naar een centrale server en wissen ze deze op de geÔnfecteerde computer.
Het hoeft ook niet te kraken te zijn, ze kunnen ook zeggen "We stoppen ermee, hier is de masterkey." wat dus al gedaan is door de makers van Teslacrypt.
Ben ik benieuwd waarom, ben je getroffen door deze ransonware?
Ik persoonlijk niet, maar vrienden op leeftijd die ik soms help met computer problemen.

Waarschijnlijk door phising mail met fake kpn factuur. Veel foto's en bestanden foetsie. Heb deze bestanden geback-uped en veilig opgeborgen. Zou mooi zijn als er ooit een tooltje komt om deze bestanden weer te decrypten.
Let them fight!
na te vaak gedacht te hebben om een offline backup te maken heb ik het nu toch maar even gedaan... maar hoe weet je nu of het veilig is om je backup bij te werken???

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True