Antiransomwareproject helpt 2500 personen hun bestanden terug te krijgen

De site van het project 'No more ransom', een initiatief van onder andere de Nederlandse politie, heeft tot nu toe 2500 personen geholpen hun bestanden terug te krijgen. Het project kondigt daarnaast aan dat zich dertien nieuwe landen hebben aangesloten bij het initiatief.

Eind juli startten de Nederlandse politie, Europol en twee beveiligingsbedrijven het project om ransomware te bestrijden. Toen onthulden de partijen een site waarop slachtoffers van deze vorm van malware in bepaalde gevallen hun bestanden konden terugkrijgen zonder het losgeld te betalen. In een persbericht laat beveiligingsbedrijf Kaspersky weten dat tot nu toe 2500 mensen succesvol van deze optie gebruik hebben gemaakt. Daardoor zouden internetcriminelen een bedrag van ongeveer 1,35 miljoen euro zijn misgelopen.

Op dit moment zijn er decryptietools voor de ransomwarevarianten Wildfire, Chimera, Teslacrypt, Shade en CoinVault op de site beschikbaar. Daarnaast zijn er decryptietools te vinden die verschillende varianten kunnen ontsleutelen. De organisatie maakt bovendien bekend dat zich politiekorpsen van dertien landen, waaronder Frankrijk, Letland, Bulgarije, Portugal, het VK en Italië, bij het project hebben aangesloten. Ook Colombia heeft zich aangesloten. Het is de verwachting dat de versterking van het project zal leiden tot de beschikbaarheid van een groter aantal gratis decryptietools.

De organisatie meldt verder dat zich in de komende tijd meer handhavingsinstanties en particuliere organisaties bij 'No more ransom' zullen aansluiten.

IT-banen

Reacties (38)

eltweako 17 oktober 2016 13:38

Een geweldig initiatief dat ik alleen maar kan toejuichen. Ransomware gaat in de toekomst alleen nog maar groter worden. Dankzij zaken zoals Ransomware as a service is het nog nooit zo gemakkelijk geweest om geld te verdienen met behulp van malware.

De huidige anti-virus oplossingen gebaseerd op signatures is niet opgewassen tegen ransomware. Alleen oplossingen die op basis van gedrag werken maken kans. Nu blijft het feit dat in 90% van de gevallen er een handeling van de eindgebruiker nodig is om de malware te laten installeren. Ik blijf dus altijd iedereen waarschuwen om niet dat mailtje van %naam_internetprovider% of %naam_pakketdienst% te openen, zeker niet de bijlage.

De website nomoreransom is een goede start, maar de dienst id-ransomware van Michael Gillespie mag zeker niet ontbreken! Hier staan nog veel meer tools op om je bestanden terug te krijgen. Ik raad dan ook iedereen aan om bestanden bij beide diensten te uploaden.

pandit @eltweako • 17 oktober 2016 14:21

Ik adviseer iedereen om naast alle andere antimalware maatregelen ook het programma CryptoProtect van Foolish IT te installeren https://www.foolishit.com/cryptoprevent-malware-prevention. Kort door de bocht blokkeert dit programma het uitvoeren van code vanuit standaard beschrijfbare locaties, zoals het gebruikers profiel met name de %temp% folder. Dan ben je als normale gebruiker behoorlijk beschermt tegen Ransomware.

OruBLMsFrl @pandit • 17 oktober 2016 15:27

De nodige installers zonder .msi werken toch ook vanuit %temp% en dergelijke, hoe wordt het verschil bepaald tussen malware en legitieme software? Ik vermoed ofwel extra popups of dat je de bescherming moet uitschakelen als je iets wilt draaien. Hoe dan ook weer een betaalde tool bovenop de virusscanner... zoiets zou nou in av suites moeten zitten als optie in plaats van ouderlijk toezicht modules en wat al niet meer als je het mij vraagt.

pandit @OruBLMsFrl • 17 oktober 2016 18:19

Klopt, sporadisch komt het voor dat ik software niet geïnstalleerd krijg, Ik moet de betreffende executable even whitelisten binnen cryptoprevent. Liever dit dan het risoco een besmetting op te lopen.

Luuk.vanRiel @pandit • 18 oktober 2016 14:27

Of je zorgt dat je een backup van je data hebt. Combineer dit met gewoon verstandig internet en email gebruik en je loopt praktisch geen risico.

Droxal @pandit • 18 oktober 2016 12:29

Dan raad ik eerder kaspersy of malwarebytes anti ransomeware aan. Bij cryptoprevent had ik bijvoorbeeld problemen dat spotify niet meer wou opstarten. Nu kan het wel zijn dat ze dit ondertussen hebben opgelost.

Quilt @eltweako • 17 oktober 2016 14:05

Goed nieuws idd, maar het risico neemt toe dat mensen meer risicogedrag gaan tonen omdat ze denken dat er een oplossing is.

Marty007 @Quilt • 17 oktober 2016 14:51

Dus toen er een fix was voor Anna koernicova mailtjes ging jij ze bewust vaker openen??

Ik denk dat het wel mee valt wat dat betreft hoor. Ik denk juist dat er meer awareness voor zal komen.

Jeroen73 @Marty007 • 17 oktober 2016 15:15

Quilt bedoelt dat het gewenste risicomijdend gedrag niet zal toenemen wanneer er 2500 mensen hun bestanden terug hebben gekregen. Dat effect zou eerder bereikt worden wanneer er 2500 mensen EUR 500,- hebben moeten betalen voor de laatste foto's van oma of de eerste foto's van hun kroost.

batjes

Security

@Marty007 • 17 oktober 2016 17:28

Hoe veiliger iemand zich waant, hoe meer risico's die zal nemen.

jvr @eltweako • 17 oktober 2016 17:21

Sophos heeft sinds kort een virusscanner gelanceerd die geen gebruik meer maakt van signature:
https://www.sophos.com/en...s/endpoint-antivirus.aspx
Ze hebben dus ook een passend antwoord op ransomware.

Ik ben kort geleden bij een event geweest, moet zeggen dat ik behoorlijk onder de indruk ben.

Brahiewahiewa @theduke1989 • 17 oktober 2016 14:56

Huh? De politie is je beste vriend, toch?

FF serieus: d'r is veel kritiek mogelijk op de politie en andere wetshandhavers.
Maar in dit geval doen ze iets waar je als burger daadwerkelijk iets aan hebt.
Mij dunkt dat je dat alleen maar kunt toejuichen, ten zij je een overtuigd anarchist bent

tinzarian @theduke1989 • 17 oktober 2016 15:04

Dat hoeft ook niet, je kan ook bij jouw eigen ransomware-leverancier terecht. Die willen je met alle plezier helpen.

Verwijderd 17 oktober 2016 13:30

Alleen staan niet alle bekende oplossingen op. Ik heb zelf altijd het gevoel dat deze site flink achterloopt. Wat is de nieuwste cryptolocker die ze ondersteunen?

cruysen @Verwijderd • 17 oktober 2016 13:46

Op de site staan staat wel een lijst van Decryptors:
- WildFire Decryptor
- Chimera Decryptor
- Teslacrypt Decryptor
- Shade Decryptor
- CoinVault Decryptor
- Rannoh Decryptor (updated 03-10-2016)
- Rakhni Decryptor

En welke Ransomware is nieuw, populair en/of alreeds gekraakt... Hierbij hetzelfde kat-en-muis spel als bij virussen. Dus achterlopen doen ze altijd, hoever, das de vraag.
Virusscanners zijn ook zo begonnen destijds.

[Reactie gewijzigd door cruysen op 23 juli 2024 19:43]

Verwijderd @cruysen • 17 oktober 2016 13:48

Uiteraard zullen ze altijd achterlopen, dat is bij ieder kat en muis spel. Echter lopen ze onnodig achter. Waarom bijvoorbeeld niet de cerber oplossing plaatsen? Die is er inmiddels ook alweer een aantal weken.

cruysen @Verwijderd • 17 oktober 2016 13:54

Deze komt van het beveiligingsbedrijf Check Point. Deze zit natuurlijk 'nog' niet in de groep.

Maar ik ben het met je eens, om hun streven na te leven zou op de site ook verwijzingen naar ander site's/bedrijven moeten staan.

SinergyX 17 oktober 2016 13:32

Op basis van hoeveel aanmeldingen? 2500 uit 3000 zaken is goed, 2500 uit 250.000 zaken.. nouja, iets minder goed.

Waarom is die site enkel in engels? Of ik kan het niet vinden, maar toch raar dat je met Nederlandse organisaties te maken heb, maar hele site engels is?

Wel grappig hoe 'positief' die 1.3 miljoen wordt neergezet, mislopen van inkomsten voor criminelen, Kaspersky gaat nog stapje verder 'en in totaal 1,35 miljoen euro aan losgeld te besparen.'. Besparing is natuurlijk goed nieuws anno 2016. Nee, ze hebben enkel voorkomen dat er 1,3 miljoen in het criminele circuit is terecht gekomen.

[Reactie gewijzigd door SinergyX op 23 juli 2024 19:43]

mailis

@SinergyX • 17 oktober 2016 13:33

Dat zal wel te maken hebben met de samenwerking van Kaspersky. Zelf vind ik het wel goed dat dit ook Engelstalig is, dat komt het gebruik en zoekresultaten beter uit internationaal gezien.

Jelle_D @SinergyX • 17 oktober 2016 13:37

waarschijnlijk is het in het engels omdat:

The “No More Ransom” website is an initiative by the National High Tech Crime Unit of the Netherlands’ police, Europol’s European Cybercrime Centre and two cyber security companies – Kaspersky Lab and Intel Security – with the goal to help victims of ransomware retrieve their encrypted data without having to pay the criminals.

Dus niet alleen de NL politie maar ook europol, intel en kaspersky

japborst @Jelle_D • 17 oktober 2016 14:16

Een goede Nederlandse vertaling die je aanbied op basis van browser ingestelde voorkeurstalen was op zich welkom geweest. Ik denk dat dit bij de Nederlandse bevolking meer vertrouwen wekt.

Misha @SinergyX • 17 oktober 2016 13:39

Ik weet niet of je het zo moet bekijken. Ze zijn sinds juli bezig, ze beginnen pas net. 2500 opgeloste zaken vind ik een aardig goed begin

CAPSLOCK2000

Security
Netwerk en systeembeheer
Ransomware

17 oktober 2016 13:40

Heel mooi voor die 2500 slachtoffers (aka 2500 mensen zonder backups) maar het is een druppel op een gloeiende plaat. Het hele project is een wapenwedloop die uiteindelijk niet te winnen is. Het is mogelijk om bestanden zo te versleutelen dat decrypten zonder de sleutel onmogelijk is.
Al die decryptors zijn er van afhankelijk dat de programmeurs van de ransomware programmeerfouten hebben gemaakt. Er komt een keer een dag iemand di zo'n programma schrijft dat z'n beveiliging wel op orde heeft.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 19:43]

Verwijderd @CAPSLOCK2000 • 17 oktober 2016 13:50

(aka 2500 mensen zonder backups)

Of men heeft wel backups, en maakt ze ook netjes iedere week aan maar missen ze nét die 5 dagen sinds de laatste backup waar nét belangrijke zaken in staan. "Ja maar dan maak je toch iedere 24 uur een backup aan?". Zelfde probleem, kleiner risico.

Dennisdn @Verwijderd • 17 oktober 2016 15:16

Ook offline-backups gaan een houdbaarheid krijgen. Er komt een tijd dat een ransomware-maker er een incubatietijd van zeg een maand of 3 in verwerkt, dan pakken ze ook het grootste deel van de backups mee.

BigBrotha @Dennisdn • 17 oktober 2016 15:29

Dan zou je simpelgezegd niet een 1:1 image moeten maken maar losse bestanden verplaatsen naar andere apparaten? Tenzij ransomware zich kan embedden in bijvoorbeeld een foto..

analog_ @Verwijderd • 17 oktober 2016 15:21

hetzelfde geldt ook voor elke crypto tool, dat terzijde.

telenut @CAPSLOCK2000 • 17 oktober 2016 14:33

veel decryptors zijn gemaakt omdat ze de server om te decrypten in handen hebben gekregen, en dus de masterkey.
Of die is om één of andere onduidelijke reden door de malwaremannen zelf vrij gegeven...

Anonymoussaurus

Security

17 oktober 2016 14:09

Ik denk dat er niet zo veel mensen zijn die weten dat deze website bestaat (en dan heb ik het over leken). Er moet dus een manier komen om deze website meer aan het licht te brengen. Dán pas zie je het aantal personen dat is geholpen, stijgen. Wat de leek anders doet is betalen, óf naar een computerzaak of hulp vragen aan bekende. Dan is het ook nog maar de vraag of de computerzaak of een bekende weet dat deze website bestaat, of misschien niet eens weten dat er decrypters zijn.

telenut @Anonymoussaurus • 17 oktober 2016 14:37

Als ze hier op het werk daarmee afkomen is het simpel: format, alles kwijt, en niet zeuren.

Wij houden ons niet bezig met decrypten van persoonlijke data... Zelfs bij goeie vrienden is dat het advies dat ik geef. Je kan ook uren werk steken in zoeken naar een mogelijkse decryptor... en dan alles mooi terug zetten, maar dan staat de volgende maand diezelfde daar terug met een andere versie en krijg je onder uw voeten omdat je het nu plots niet kan oplossen.

Anonymoussaurus

Security

@telenut • 17 oktober 2016 14:39

Ja. Bij bedrijven staan alle bestanden netjes op het netwerk. Maar ik heb het niet over bedrijven... ik heb het over gewoon huishoudens. Dus stel buurman Jan z'n pc wordt geïnfecteerd met ransomware, wat moet hij dan doen, ook al wilt hij zijn bestanden behouden?

Daarom mijn bericht.

0vestel0 17 oktober 2016 13:56

Ligt het aan mij of doet die site het niet? Na de upload krijg ik of een 404 of kom terug op de upload pagina.

TripleTech 17 oktober 2016 15:07

Ik vind het nogal een rare zin om te benoemen dat internetcriminelen 1,35 miljoen zijn misgelopen. Ze zijn niks misgelopen want ze hadden nergens recht op. Stukje journalistieke blunder als je het mij vraagt (alsof het wordt toegejuicht dat criminelen ook inkomsten hebben hieruit).

Goed initiatief dit! Gelukkig zijn al een hoop mensen geholpen hierdoor, zonder dat zij geld zijn afgetroggeld door criminelen.

Anonymoussaurus

Security

@TripleTech • 17 oktober 2016 15:17

Ik vind het nogal een rare zin om te benoemen dat internetcriminelen 1,35 miljoen zijn misgelopen. Ze zijn niks misgelopen want ze hadden nergens recht op. Stukje journalistieke blunder als je het mij vraagt (alsof het wordt toegejuicht dat criminelen ook inkomsten hebben hieruit).

Ik denk dat ze dat zo bedoelen vanuit het opzicht van de criminelen.

FastFred 17 oktober 2016 15:03

Antiransomwareproject

10 maal letterwaarde

F1Tim 19 oktober 2016 15:26

Ik ken iemand die recent slachtoffer is geworden van zulke ransomware. Zij zegt dat de bestanden op haar USB-stick nu allemaal rare extensies hebben. Als ik die stick nu in een andere PC-steek, wordt die PC dan ook automatisch geïnfecteerd? (ook als ik ervoor zorg dat AutoRun uit staat)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (38)

Sorteer op:

Weergave: