Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties

Beveiligingsbedrijf Check Point heeft een decryptietool voor de Cerber-ransomware beschikbaar gesteld. Hiermee kunnen slachtoffers van versie 1 en 2 van de malware gratis de versleuteling van hun bestanden ongedaan maken.

Check Point laat weten dat het een uitgebreid onderzoek heeft uitgevoerd naar de Cerber-ransomware en dat het naar aanleiding daarvan in staat was om een decryptietool te ontwikkelen. Deze is beschikbaar op een speciale site en vereist dat slachtoffers een door Cerber versleuteld bestand uploaden. Daarna wordt een decryptiesleutel aangemaakt, die samen met de tool in dezelfde folder moet worden opgeslagen. Vervolgens kan de tool met beheerdersrechten uitgevoerd worden om de getroffen bestanden weer beschikbaar te maken.

Cerber-bestanden zijn te herkennen aan de bestandsextensies 'cerber' en 'cerber2', aldus Check Point. Het bedrijf legt uit dat Cerber beschikbaar is als RaaS, oftewel ransomware as a service. Hiermee zouden ook gebruikers zonder veel verstand van computers in staat zijn om geld te verdienen met de malware. Cerber maakt voor elk geïnfecteerd slachtoffer een unieke bitcoinwallet aan, waar het losgeld naartoe gestuurd moet worden. Op die manier zijn de criminelen achter Cerber in staat om in totaal bijna een miljoen dollar in een jaar te verdienen, zo schat het beveiligingsbedrijf.

Cerber is wijd verspreid doordat de malware deel uitmaakt van grote exploitkits, waaronder Magnitude, Rig en Neutrino. Door command and control-servers in de gaten te houden was Check Point in staat om het aantal actieve Cerber-campagnes in kaart te brengen. In totaal kon het bedrijf 161 actieve campagnes onderscheiden, waar dagelijks acht nieuwe campagnes bijkomen. Hierdoor heeft Cerber in de afgelopen maanden wereldwijd ongeveer 150.000 slachtoffers weten te maken in ongeveer 200 landen.

Moderatie-faq Wijzig weergave

Reacties (32)

Eind juli heeft Trend Micro zijn decrypter tool al geupdate met Cerber V1 support, deze tool ondersteunt momenteel decryptie van volgende ransomwares:

CryptXXX V1, V2, V3*
TeslaCrypt V1, V2, V3, V4**
TeslaCrypt V2**
SNSLocker
AutoLocky
BadBlock
777
XORIST
XORBAT
CERBER

https://success.trendmicr...detail?solutionid=1114221
http://blog.trendmicro.co...e-file-decryptor-updated/

Maar leuk om te weten dat Cerber 2 nu ook al te decrypten is :)

[Reactie gewijzigd door KeiFront op 17 augustus 2016 11:08]

Maar deze tool van TM is slechts beperkt succesvol gebleken bij Cerber v1 bestanden, getuige de reacties. Ook ik had geen enkel succes met de TM decryptor bij een Cerber v1 geŪnfecteerde computer en ben benieuwd wat de CP decryptor doet. Het geeft in ieder geval meer vertrouwen dat je daar eerst een bestand naar toe moet sturen en dan een sleutel krijgt.

Hoe dan ook, ook voor de CP decryptor geldt: eerst zien dan geloven.
Toevallig een computer die getroffen was met Cerber V1. Heb de software van Trend Micro erop laten werken maar na bijna 120 uur nog geen resultaat. Vanmorgen toen ik dit nieuwsbericht tegenkwam gelijk deze tool probeert en met succes.
Totaal 49.778 bestanden in ca 3 uur kunnen laten decrypten.
!

[Reactie gewijzigd door knokki op 17 augustus 2016 16:41]

Ik krijg als melding "The process could not be completed. Please try again later. The uploaded file should be a Cerber encrypted file". Inmiddels met 3 verschillende files geprobeerd. wellicht een beetje druk daar....
Stel dat er nu geen bitcoin had bestaan, had zo'n ransomware dan een lang leven? Tuurlijk kunnen ze de RaaS continue inzetten met nieuwe variaties, maar de geldstroom is toch een aanzienlijk stuk simpeler te volgen dan de bitcoin.
Ransomware bestond al voordat er Bitcoin was en heeft ook een hele tijd daarna nog gebruik gemaakt van andere betaalmiddelen.

Heel wat jaren terug was nep-antivirus de populairste ransomware-vorm: het claimt dat je computer besmet is met malware X en eist betaling om het te verwijderen (terwijl de gedetecteerde malware niet bestaat en de "antivirus" eigenlijk zelf de malware is). Deze accepteerde betaling met o.a. creditcard.

Daarna kwam de nep-politie ransomware op: "u hebt illegale zaken uitgevoerd, betalen!". Deze vroeg bijna altijd om een voucher zoals Ukash of PaySafeCard. (Bijvoorbeeld.)

En nu is er dus ransomware die je bestanden versleutelt voor losgeld. Dat heeft ook al een hele tijd bestaan (zie bijvoorbeeld ACCDFISA), maar werd pas mainstream met CryptoLocker. En ja, die accepteerde onder andere Bitcoin.

Later zijn ransomwaremakers overgestapt op Bitcoin-only ransomware, kennelijk omdat het gebruik van vouchers+witwaskosten een stuk minder economisch was dan bitcoin alleen.

[Reactie gewijzigd door xrf op 17 augustus 2016 11:52]

Maar waarom is bitcoin zo anoniem?
Van mijn geringe kennis van bitcoins worden alle transacties opgeslagen in een grootboek.
Dus als je het vertrekpunt neemt (het slachtoffer) kun je alle transacties volgen.
Je weet inderdaad niet van wie het account is waar het geld op komt, want dit kan 100% anoniem aangemaakt worden. Maar ik neem aan dat de daders materiŽle dingen willen kopen met hun bitcoins. Op dat moment moet het toch mogelijk zijn om het bitcoin account te koppelen aan de dader?
Niet echt. Er bestaan diensten die het geld mixen. Alles gaat in een grote pot en daar nemen dan weer mensen uit. Dus van en naar ligt niet meer 1op1 vast. Daarboven als je bitcoin wilt verkopen gaat dat naar de wallet van de exchange, en die leggen ook niet zomaar gebruikersgegevens op straat.
Ja maar een exchange is dan weer een legaal bedrijf.
Die volgens mij wel zijn gegevens gaat afgeven als men hiervoor een bevel krijgt van een rechter.
Ja en?
En als ik het geld een rondje om de wereld laat maken, wordt er dan telkens een bevel aangevraagd?

Veel mensen suggereren dat BC te maken heeft illegale praktijken, maar dat is niet juist. Je hebt hetzelfde probleem als bij elk ander systeem, en dat is geld weer wit krijgen.

Dat gaat in (zeer) kleine porties of je gebruikt daar mules(geldezels) voor. Niets spannends aan. Met Paypal kun je ook geld witwassen en vervolgens doodleuk uit een pinautomaat geld pinnen. Geen gaan die er naar kraait omdat er niet naar wordt omgekeken, bedragen zijn te klein.
En dat heet dan wederom ' smurfen' , kleine geldbedragen
Geld echt wit krijgen is zeer moeilijk. De meeste belastingdiensten houden zeker goed bij de inkomende en uitgaande geldstromen icm huidige bezit. Als je plots 20k euro meer uitgeeft dan er binnenkomt (op een jaarbasis) dan gaan daar vanzelf wel bellen rinkelen en kan er om uitleg gevraagd worden.
Als je jouw lunch (febo automaat of een 3 sterren michelin) cash afrekent met zwart geld, dan zal dat inderdaad niet opvallen. Op dat moment is het wel weer wit door het bedrijf dat jou producten heeft geleverd. Als je claimt dat elke bezoeker cash heeft betaald, maar je bedrijf koopt geen producten in / gaan geen producten uit, dan gaat dat opvallen en is het dus niet meer als wit aan te merken.
Maar wat wilt een exchange overhandigen?
Ze hebben van mij alleen een e-mail adres die ik aangemaakt heb voor exchanges.
Ik heb op geen 1 exchange mijn adres/prive gegevens hoeven te geven, op een e-mail adres na.
Ik neem aan ook wel nog rekening gegevens?
En zo zijn ze weer een stap verder
Rekening gegevens? Nee hoor.

Op een exchange zoals je hier vaker voorbij ziet komen op tweakers.net, kan je coins verhandelen voor andere coins.
Bijv 1 BTC wissel je om voor een paar Ethereum, een paar Dash, een paar Doge en etc. Die kan je op zijn beurt ook weer verkopen voor BTC.

Jij bedoelt denk ik een dienst als www.bitonic.nl waar je je bitcoin kan verkopen voor euro. Hierbij moet je inderdaad je bank informatie geven zodat ze die euro's op je rekening kunnen storen.
Maar waarom deze criminelen dat zouden doen weet ik niet, ja om keiharde euro's te hebben.. Maar je kan ook een Tesla met BTC kopen als je dat wilt (bewijzen van, althans er is al iemand die een Tesla gekocht heeft voor volgens mij 98 BTC).
Ik heb het idee dat overheden hier een beetje hypocriet zijn. Op zich is alles inzichtelijk te maken door binnen een land alle bitcoin<->echt geld transacties te registreren en iedereen verplichten tot het moeten kunnen verklaren van die transacties. Alleen gaan de transacties dan waarschijnlijk verplaatsen naar landen waar dat niet gebeurt. In feite komt het erop neer dat op die manier een stukje van de economie van een land wordt verwijderd en aan de concurrent wordt gegeven. Maar economie is heilig...

[Reactie gewijzigd door blorf op 17 augustus 2016 09:59]

Bitcoins zijn niet tastbaar... de zwart verkregen bitcoins gemixt in een mixing service zijn niet dezelfde bitcoins die weer uitbetaald worden naar degene die de mixing service gebruikt.

Stel: je verdient 1 BTC online met illegale praktijken.
Die ene BTC stuur je naar een mixer.
Zij mixen die ene BTC tussen heel veel verschillende adressen en daarna betalen zij jou steeds een randomized bedrag uit, bijv: 0,002 btc, na 10 uur nog 0,3 btc, na 14 uur weer 0,012 BTC etc.

Totdat ze jouw ene BTC hebben betaald. Aangezien de bedragen die jij krijgt over een random time periode en ook nog eens op verschillende bitcoin-adressen die jij zelf opgeeft, is het onmogelijk om dat terug te herleiden naar die ene BTC die jij hebt ingelegd.

Uiteraard betaal je wel een fee voor zulke services.
En zijn die mixers legale bedrijven?
Want als dat illegale bedrijven zijn zou je poging kunnen doen om achter de eigenaar aan te gaan.
En als het legale bedrijven zijn vragen ze de gegevens op naar welke adressen er geforward is en volgens ze de route gewoon verder... Deze gegevens zouden beschikbaar moeten zijn want de mixer moet weten wie hij hoeveel moet uitbetalen.

Ik ga wel 100% akkoord dat zulke systemen alles zeer complex maken om het te blijven volgen, maar volgens mijn beperkte kennis (voor een overheid met veel middelen) niet onmogelijk

[Reactie gewijzigd door Skoucail op 17 augustus 2016 11:45]

Nee, dat zijn over het algemeen geen legale bedrijven voor zover ik weet, en die deleten hun records. Dus so far voor de "beschikbare gegevens".

Het zal niet geheel onmogelijk zijn, maar het zal moeilijk genoeg zijn om ja-ren bezig te zijn met 1 transactie. En dan komt het kosten/baten plaatje erbij kijken.

Om nog maar te zwijgen over darkcoins.

[Reactie gewijzigd door wallywally op 17 augustus 2016 11:50]

Tuurlijk. Bitcoin is gewoon simpeler om anoniem te blijven. Maar een creditcard/paypal/bankrekeking zijn ook gewoon mogelijk. Je moet iets meer moeite doen om anoniem te blijven.

Maar genoeg katvangers beschikbaar om een rekening voor je te openen.
Dan is het niet mogelijk om anoniem te blijven. Je kan wel geldezels inzetten.
Er zijn andere manier zoals anonieme geld kaarten zoals PaySafeCard e.d.

[Reactie gewijzigd door ArtGod op 17 augustus 2016 14:30]

at shicomm: Waar heeft je klant de ransomware opgelopen, wil eigelijk weten waar je best wegblijft?
algemeen: Beschermen virusscanners nog tegen dit soort malware of moet je andere maatregelen nemen?
Ransomware loop je op allerlei manieren op, meestal via email attachments die je beter niet aan kan klikken, maar het kan ook via malafide websites of advertenties.

Antivirus kan hier absoluut tegen helpen, al betekent dit veelal wel dat je een recente versie van de anti malware moet gebruiken, omdat oudere versies niet tegen recente versies van malware werken of helemaal geen anti-ransomware bescherming bieden.
In diverse gevallen moeten ook nog wat aangepast worden in de configuratie van de software omdat dergelijke herkenning niet altijd standaard aanstaat.

Het blijft een kat-en-muisspel, dus nieuwere versies van de ransomware of unieke distributies worden niet altijd even succesvol door alle anti-malware gepakt, waarvoor ze voor de grotere bedrijven dan in ieder geval zogeheten APT (advanced persistent threat), ATP (advanced threat protection), ATD (advanced threat detection), of welke marketingnaam ze er ook aan gekoppeld hebben, voor bieden.
Dit is echter over het algemeen niet betaal- en/of beheerbaar voor kleine bedrijven en thuisgebruikers, maar is voor een deel van de markt absoluut iets om naar te kijken.
Dit is overigens een markt met erg grote verschillen en een heleboel marketing waar dergelijke bedrijven doorheen moeten prikken om het kaf van het koren te scheiden aangezien het momenteel een "hot market" is.

Een aantal best practices om de besmettingskans te verkleinen:
* Wees kritisch over attachments bij emails
* Als je URL's in emails ziet, klik ze niet zomaar aan, als het een vertrouwde site lijkt, type de URL over (om hoofdletter i met kleine L misleiding etc. te voorkomen)
* Blokkeer indien mogelijk attachments met uitvoerbare code (niet alleen .exe, maar ook pdf's en dotjes met uitvoerbare code of macro's bijvoorbeeld)
* VerifiŽer bij twijfel altijd de afzender van een email middels de header informatie
* Als er bij bijvoorbeeld een download staat "sommige antivirus zal alarm slaan, maar dat is ten onrechte, schakel gewoon de antivirus uit", twijfel gerust....
* etc. boerenverstand doet een boel goed hier....
Ook dit was wederom een mailtje met bijlage...
Vroeger waren diensten als Western Union de populaire keus voor allerhande schimmige praktijken. Als je het ergens naar middle-of-nowhere Nigeria laat sturen dan is het ook geen probleem op die manier. Je kan zoiets alleen niet automatiseren.
Zojuist getest met de data van een klant van me ; werkt als de brandweer ! :)
Ik krijg de melding "The process could not be completed. Please try again later. The uploaded file should be a Cerber encrypted file". Inmiddels met 3 verschillende files geprobeerd. Wellicht een beetje druk daar....

[Reactie gewijzigd door knokki op 17 augustus 2016 17:27]

Even een vraag van een leek die een tijdje terug het WildFire Locker virus op mijn pc kreeg, kan deze decryptietool ook de bestanden decrypten met het WildFire Locker virus?
Ik heb de ssd schijf meteen verwijderd uit mijn pc, maar probeer zo af en toe toch mijn bestanden terug te halen, een paar bestanden lukte via de shadowcopy die windows aanmaakt, maar het liefst heb ik alles terug natuurlijk!
Bedankt alvast.
Helaas is de tool niet meer beschikbaar. De site laat nu de volgende melding zien.

"CERBER RANSOMWARE DECRYPTION TOOL
Unfortunately, following our report, the authors of Cerber managed to fix the flaw in their encryption process which enabled us to decrypt files encrypted by Cerber.

During the time the decryptor was functional, hundreds of users managed to decrypt their files using our decryptor.

We will continue to search for new ways to decrypt files encrypted by Cerber and other ransomware, and return them to their rightful owners.

For additional information about the Cerber ransomware, visit the Cerber Research Webpage."

Had gister geen tijd om mijn files te decrypten. Maar als ik dit had geweten had ik er tijd voor gemaakt :S Hoop dat ze snel weer iets anders vinden. De TM tool werkt namelijk niet voor mij.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True