Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kaspersky brengt decryptor uit voor nieuwste versie CryptXXX-ransomware

Door , 60 reacties

Kaspersky Lab heeft een tool uitgebracht waarmee bestanden die vergrendeld zijn door ransomware CryptXXX v3 zijn te ontsleutelen. De geavanceerde ransomware werd sinds mei verspreid en tot dusver was er geen volledige decryptie mogelijk.

Het beveiligingsbedrijf heeft de decryptiemethode toegevoegd aan zijn Rannoh Decryptor-software, die gebruikers kunnen downloaden op NoMoreRansom.org. Kaspersky Lab wist eerdere versies van CryptXXX ook al te kraken en bracht destijds vrij snel software uit waarmee gebruikers de ransomware te lijf konden te gaan.

Versie 3 van de cryptolocker bleek moeilijker te kraken, pas een half jaar nadat de vernieuwde ransomware opdook is volledige decryptie nu mogelijk. Met eerder uitgebrachte tools konden al wel sommige bestanden worden teruggehaald.

CryptXXX v3 versleutelt niet alleen bestanden, maar is ook in staat om inloggegevens van verschillende applicaties te bemachtigen. Kaspersky vermoedt dat er honderdduizenden systemen zijn geïnfecteerd met de ransomware. Criminelen gebruikten exploit kits als Angler en Neutrino om de ransomeware te verspreiden via bijvoorbeeld kwaadaardige advertenties.

Bericht dat gebruikers te zien krijgen als een systeem is geïnfecteerd met CryptXXX

Lees meer

Moderatie-faq Wijzig weergave

Reacties (60)

Reactiefilter:-160060+146+27+31Ongemodereerd7
Kan je je eigen pc eigenlijk besmetten als je cryptoware van een andere pc verwijderd?
En werken de tools van NoMoreRansom.org.voor het decrypten ook nog als de ransomeware (al dan niet per ongeluk) verwijderd is?
Koop een USB SD card reader, zet je tools op de SD kaart en lock deze als read only (hardware switch). Je hebt nu een read only USB stick.
Gebruik ik regelmatig als ik in een vergadering een USB stick laat rondgaan die door 25 lieden in verschillende computers wordt gestoken.

Neem er een met een kapje erop en draai er een stuk ducktape om zodat onverlaten de kaart er niet uithalen.
Zo een bijvoorbeeld https://www.allekabels.nl...L_FzZ2GhdECFRaeGwodUYwLOA
Hangt er vanaf over welk modelletje je het hebt en hoe jij te werk gaat. Druk jij er een eigen usb'tje in om b.v. tools in te laden, ja. Grote kans dat je die stick na gebruik het beste kunt verbranden en zeker niet lukraak in andere systemen moet stoppen. Gouden regel bij virussen is, net als bij besmette personen, het object volledig moet afzonderen van andere netwerken c.q. opslagmedia. Internetkabel eruit is sowieso stap 1
Mijn ervaring is dat het echt niet meer doet dan alles encrypten. De infectie word niet verspreid.
En mijn eerder gemaakte punten worden spontaan bevestigd. Dank daarvoor! :)

Bij dit soort troep wil je niet afgaan op aannames of ervaringen. Ongetwijfeld dat jouw ervaringen tot dusver anders leren. Gegarandeerd dat de 2.0 versie wel geprogrammeerd is om ongegeneerd alles op zijn pad te besmetten.
En, al blijkt dit uiteindelijk niet het geval, is er alsnog geen enkele mogelijkheid dit vooraf in te kunnen schatten. Ergo, better safe then sorry en alle mogelijke risico's op kruisbesmetting bij voorbaat proberen uit te sluiten.
Uiteraard, maar een USB-stick verbranden is natuurlijk onzin.

Ik baseer mijn ervaringen overigens op tientallen varianten (en daarbij meerdere malen van hetzelfde), allen verschillende versies van cryptolocker/torrentlocker, allen doen ze exact hetzelfde alleen de encryptie methodes zijn verschillend. Ook meerdere malen betaald en alles kwam netjes terug.
*Zucht* No offense, maar je neemt wat Switchie zegt iets te letterlijk (wat Switchie zegt klopt wel, beschouw de USB als 'verloren' en ontmantel dat ding zodanig dat ie nooit meer gebruikt kan worden tenzij het metaal etc helemaal gerecycled is).

Daarnaast, of je werkt in de ICT, of je helpt vrienden/familie, of je opent zelf teveel dingen die vol virussen zitten. Want 'tientallen'?....

Trouwens - eerste versies van CryptoLockers kunnen vaak al onschadelijk worden gemaakt door simpelweg een key in het register te wijzigen, maar tegenwoordig zijn de meest voorkomende CLs 'slim' genoeg om daartegen op te treden en wordt het probleem alleen maar erger als je het probeert. Maar uitgezonderd 'geavanceerde' CLs (zoals CryptXXX) zijn ze vaak prima nog met goede anti-malware & anti-virus te bestrijden als je ze combineert (je hebt vaak wel 4-10 'runs' nodig om het goed te verwijderen, maar dat is een ander verhaal).
Ik werk inderdaad in de ICT ;).
De enige keren wanneer je ze wil verwijderen is Łberhaupt wanneer je, of een goede backup hebt, of je je bestanden dan toch maar als verloren wil beschouwen. Over het algemeen laten ze weinig resten achter, meeste zitten gewoon in je appdata / temp map als een simpele .exe, en deze is simpel met de hand te verwijderen, vaak is het niet meer dan een snelkoppeling in de startup folder en misschien een scheduled task. Verder is mijn ervaring dat virusscanners en antimalware zut totaal geen grip hebben op dit soort ransomeware, ze vinden meestal helemaal niets.
Ik gebruik sinds jaar en dag CD's c.q. DVD's om PC's te ontsmetten. Geen haar op mijn hoofd om een USB-stick in een (mogelijk) besmette PC te steken en daarna nog op een ander apparaat te gebruiken.
Natuurlijk is verbranden wellicht wat radicaal maar mijn achterliggende boodschap was puur dat je simpelweg liever geen onnodige risico's moet willen lopen.
Soms moet je een stelling wat chargeren om de boodschap goed over te brengen :)

Ga en wil jouw kennis, kunde en ervaring overigens absoluut niet in twijfel trekken. Feit blijft wel dat deze gebaseerd zijn op oude reeds bestaande varianten terwijl er achter de schermen druk wordt gewerkt aan 2.0. Dat 1.0 zich niet actief verspreid wil absoluut niet zeggen dat zijn grote broer dat niet gaat doen. Enfin, nogmaals, better safe then sorry. Onkunde en onwetendheid zijn nou eenmaal, hoe je het ook wendt of keert, de voornaamste oorzaak van besmette consumenten pc'tjes
Volgens mij zijn ze zelfs al bij versie 3.0 ;).
Maar je hebt natuurlijk wel gelijk hoor.
Ik begrijp zeker het idee van netwerkkabel loskoppelen maar ik gebruik bijna altijd malwarebytes om dergelijke dingen te verwijderen. En wil deze optimaal zijn werk doen dan moet hij volgens mij wel met internet verbonden zijn voor de definitie update.

Veilig tegen besmetting. is natuurlijk eerst de cryptoware verwijderen. Maar kun je dan nog decrypten (is mij nog niet helemaal duidelijk.)
Zal ook afhangen van het modelletje. Uiteindelijk willen de virusmakers geld verdienen door de verkoop van decryptie-sleutels. Dat het virus verwijderd wordt zullen de makers niet zo erg vinden, het werk is toch al klaar wat dat betreft. Kan me dus voorstellen dat de mogelijkheid tot decrypten gewoon blijft bestaan.
Sluit overigens natuurlijk niet uit dat er een vesie rondgaat met een kamikaze modus als in "shit, ik ben ontdekt. Nou ... Yolo... we gaan even flink huishouden met format en delete commando's"
Al lijkt me deze kans vrij klein. Makers willen geen schade doen, enkel beetje geld verdienen en dan zijn ze weer 'vertrokken'
als het virus verwijderd wordt blijft de decryptie sleutel dus toch op het systeem begrijp ik dat goed?
Ga ik geen keiharde uitspraken over doen, omdat;
1. Ik geen idee heb over welke locker je het precies hebt
2. Ik op dit terrein absoluut niet aansprakelijk wil zijn voor schade door achteraf gezien onjuist advies

Maar mijn idee is wel:
Zodra de files besmet zijn, heeft het virus wat dat betreft zijn werk gedaan, vanuit dat opzicht zullen de makers het wel prima vinden dat je deze verwijderd. Verdienmodel blijft het verkopen van encryptiekeys. Het door het oorspronkelijk virus, onmogelijk maken van het decrypten, zou in die zin hun eigen verdienmodel om zeep helpen. Zeg niet dat het het zou kunnen, maar het zou wel een tikkeltje onlogisch zijn.

Daarnaast ga ik er vanuit dat de 'makers' erop vertrouwen dat de encryptie dermate goed is, dat je er zonder key sowieso niets meer mee kunt. Vanuit dat oogpunt zou er ook geen noodzaak zijn om bij verwijderen van, de geÔnfecteerde files nog eens even flink onder handen te nemen.
Goed om te lezen dat ze dit gratis beschikbaar stellen. Prima reclame natuurlijk, maar ze zouden het ook in hun security suite kunnen onderbrengen.
Kwam dit tegen van Sophos. Het zou een effectief middel tegen cryptolockers moeten zijn:
https://www.sophos.com/en-us/products/intercept-x.aspx#

"Sophos Intercept X features CryptoGuard, which prevents the malicious spontaneous encryption of data by ransomware—even trusted files or processes that have been hijacked. And once ransomware gets intercepted, CryptoGuard reverts your files back to their safe states."

Geen idee hoe het precies werkt en hoe effectief het is. Ik vermoed een eigen implementatie van filescreening + shadow copies oid?
Klinkt als gejat van het al 'lang' bestaande Webroot:
https://www.webroot.com/us/en/

"Endpoint protection redefined
Traditional security relies on outdated signatures and can't keep up with zero-day attacks."

Kortom, zij hebben gťťn signatures binnen bestanden, maar pakken de hash van een bestand/process en houden die tegen hun online database. Als er dan iets niet bekend is dan wordt de "Journaling" geactiveerd en als het slecht blijkt te zijn worden alle acties teruggedraaid. Als het goed is, dan wordt de Journaling stopgezet.


Leuke van Intercept X is dat ze niks veranderen.
"Anti-exploit technology stops threats before they become an issue by recognizing and
blocking common malware delivery techniques, thus protecting your endpoints from unknown threats and zero-day vulnerabilities."

Kortom, pattern recognition van bekende technieken... lol. (Tenzij ik iets mis natuurlijk!)
LOL daar klopt echt niks van. Sophos Intercept X doet niet aan journaling, het is dus niet gejat werk van Webroot. Sterker nog, het is HitmanPro.Alert wat in Intercept X zit en dat hebben wij gemaakt, SurfRight, uut Hengeloo :) De CryptoGuard module in Intercept X is overigens 's werelds eerste anti-ransomware. Het bestaat sinds 2013, sinds de eerste CryptoLocker. Het blokkeert alle veelvoorkomende ransomware zonder dat je bestanden kwijt raakt, op je lokale schijven, USB apparaten, netwerkschijven en in lokaal gedeelde mappen tegen ransomware op andere machines in je netwerk. Overigens gebruikt Intercept X geen volume shadow copies, want die worden ook door ransomware aangevallen.

Verder heeft Intercept X onze exploit mitigations, dat tevens gebruik maakt van je processor hardware, zodat de CPU code sprongen gaat bijhouden waardoor Intercept X gedetaileerd inzicht krijgt in wat de processor kort in het verleden heeft gedaan (via de PMU) en wat het in de toekomst gaat doen (stack en branch prediction). Hiermee wordt voorkomen dat ransomware via exploit kits op je computer komt - zonder dat het je browser vertraagd. Maar ook zorgt Application Lockdown van Intercept X er voor dat je office applicaties, zoals Word en Excel, niet misbruikt kunnen worden om ransomware op je computer te plaatsen. Want waarom moet Word uberhaupt nieuwe code op je pc kunnen installeren? Dat mag dan ook niet van Intercept X, dus als je schoonmoeder of administratieve medewerker via social engineering weer gefopt wordt om toch de macro's in te schakelen, dan zorgt Sophos Intercept X er voor dat er geen malware zoals ransomware start.

HitmanPro.Alert / Sophos Intercept X is slechts 5 MB (vijf megabytes). Het is volledig signature-less, werkt dus zonder virushandtekeningen. Het heeft dus geen voorkennis nodig van aanvallen om bescherming te bieden.

[Reactie gewijzigd door mloman op 21 december 2016 07:53]

LOL daar klopt echt niks van. Sophos Intercept X doet niet aan journaling, het is dus niet gejat werk van Webroot.
Duuussss.... Je bevestigd wat ik zeg?

1) "Klinkt als" -> Dus niet "Is gelijk aan"
2) "Leuke van Intercept X [...] blocking common malware delivery techniques" -> Hiermee bevestig ik dus dat ze iets anders doen? Als ik dit fout heb, dan is dit direct het gevolg van slecht geschreven of wellicht foutive informatie in hun datasheet?

Verder wel fijn dat je er wat meer uitleg over kan geven, want de datasheets zijn (zoals gebruikelijk) behoorlijk nietszeggend vergeleken met jou verhaal. Waarom zetten ze jou verhaal eigenlijk niet in zo'n datasheet, bespaart een hoop comments haha.

Edit: meer uitleg, niet mee uitleg...

[Reactie gewijzigd door Triblade_8472 op 21 december 2016 08:26]

Het is een mooi product, maar wel ontzettend jammer dat het niet op een Terminal Server werkt en daardoor in veel omgevingen gewoon niet bruikbaar is.
Thanks voor de info. Ik ken Webroot wel, maar eigenlijk geen weet van de journaling. Er zojuist een beetje op ingelezen en als ik het goed begrijp, zit het zo:

Webroot journaling werkt alleen voor bestanden die op de geÔnfecteerde client zelf aangetast zijn, omdat Webroot bij het signaleren van onbekende processen op de client de journaling inschakelt en dat alleen doet voor de lokale bestanden. Die bestanden kunnen dus nog hersteld worden.

Bestanden op de netwerkshares die encrypt worden, kunnen niet teruggehaald worden door de journaling (ook niet als Webroot op de fileserver geÔnstalleerd is, want die heeft geen weet van de journaling van de client).

Hier zou Cryptoguard zich dan nog in kunnen onderscheiden, maar of ze dat lukt zonder filesharing conflicten/issues te veroorzaken (naar ik begrijp de reden dat Webroot geen journaling voor netwerkshares doet), betwijfel ik.

En laat daar nou het grootste probleem in zitten: geÔnfecteerde netwerkshares. Lekker belangrijk die lokale files (normaliter in een zakelijke netwerkomgeving staat de belangrijke data in de fileshares en niet lokaal)

[Reactie gewijzigd door AmonTobin op 21 december 2016 00:04]

Voor servers heb je backup en file shadow copy (die laatste op Windows, wellicht is er een Linux versie?)

Hoewel shadow copy ook door cryptolockers verwijderd kunnen worden, is een goede backup onvervangbaar!

Webroot is dan ook met name handig voor laptops die mobiel zijn en niet altijd (alle) data op een server hebben, of standalone werkplekken. Ja er zijn goede oplossingen voor, maar in mijn ervaring worden die niet gebruikt al bied je ze aan... *zucht*
Voor servers heb je backup en file shadow copy (die laatste op Windows, wellicht is er een Linux versie?)

Hoewel shadow copy ook door cryptolockers verwijderd kunnen worden, is een goede backup onvervangbaar!
Ik liep bij een bedrijf wat dagelijks (bijna) gigabytes aan data verwerkte, en vasthield aan ťťn backup in de week, op vrijdagmiddag.
Laconiek ook nog "dat het ook wel eens een keertje vergeten werd"

3 pagina's met 'simpel' uitgelegd wat zo'n crypto kon doen, en dat het 'spontaan' op het netwerk kon komen, was genoeg om vanuit de directie een vaste taak te maken voor de ICT'er ter plaatse om dagelijks een backup te maken naar de externe schijf, en een extra offsite backup te maken naar een cloudoplossing.

Men was wel geschrokken, dat het openen van een pdf of xls ( hun main source van verwerking ) zoveel kon bewerkstelligen.
Helaas kom je dat inderdaad nog altijd tegen. OF ze hebben ergens misschien een NAS staan welke dat doet, dan hebben ze lig iets. Maar schijven wisselen is er niet bij. Dus kunnen ze alsnog alles kwijt raken.

Edit: De backups van mijn vader's bedrijf, enkel office zaken gaan lekker de cloud in. Geen omkijken naar :)

[Reactie gewijzigd door Daniel_Elessar op 21 december 2016 09:07]

En wat is het backup beleid van je cloud leverancier? Want als die eens per week een backup draaien heb je daar ook niet veel aan.
Heb je gelijk in. Ik ga er naÔef van uit dat ze het daar wel goed voor elkaar hebben bij Microsoft. En dus meerdere backups maken. Ik heb zelf (aan)geleerd dat je meerdere incremental backups maakt per week en 1 of 2 full. En het liefst ook op verschillende schijven zodat als er iets gebeurd je niet al te ver hoeft terug te draaien.
Lijkt wel wat integratie met hitman. Zou mij ook niet verbazen, Sophos heeft die maker toch gekocht?
Klopt. CryptoGuard is onderdeel van HitmanPro Alert. Zelf heb ik met minder bekende programma's soms 'ruzie' gehad met HMP:A aangezien het uitvoerende processen blokkeerde waarvan ik wist dat die te vertrouwen waren (o.a. Locale Emulator of zelfs een keertje de geupdate executable van ... Guild Wars 2 was het geloof ik). Op zich sterk programma, maar mijn god soms gaat het iets te rigorous te werk... zelfs als je het uitschakelt (achtergrondproces ergens welke ik niet compleet kan uitschakelen, want ik kan het proces nl niet vinden :/ )

[Reactie gewijzigd door MicBenSte op 20 december 2016 23:45]

Kaspersky heeft ook een anti crypto module in een aantal pakketten zitten. Anti cryptor uit mijn hooft.

op een enkele false positieve na houd hij vrijwel alle cryptolockers tegen.
Deze technologie heet Anti-Cryptor en draait op je fileserver. Het is een door Kaspersky zelf ontwikkeld analyse algoritme om versleutelde bestanden te kunnen herkennen.
Wanneer Anti-Cryptor plotseling encryptie waarneemt in een map, wordt de betreffende gebruiker van de fileserver geweerd zodat de uiteindelijke impact beperkt blijft.
Voor meer informatie, zie de website van Kaspersky.
Crypto is hot dus qua goodwill is het gigantisch waardevol om van de daken te kunnen schreeuwen dat jij dit probleem kunt oplossen.
Nadeel van onderbrengen in een betaald pakket is dat je er niet over kunt "opscheppen" in de media omdat dit met een beetje pech averechts gaat werken.

Een betaalde oplossing bieden voor een kwaadaardig virus dat geld vraagt voor een oplossing maakt je als het ware een concurrent van de virusmakers en dus met een beetje pech 'one of the bad guys'
GeÔnfecteerde consumenten zullen zeker wel een paar cent over hebben om hun familiefoto's terug te halen maar zullen daarentegen niet veel sympathie voelen voor een bedrijf dat geld wil verdienen aan "emotionele schade". Ergo, trouwe klanten die jarenlang licenties blijven afnemen, levert het waarschijnlijk niet op.

Ps. Als ik kijk naar de lijst van partners van de genoemde NoMoreRansom dan zal deze inbreng indirect wellicht toch omzet generen. Veel aangesloten overheden zullen (wellicht) snel overschakelen op Kaspersky als dit uiteindelijk de partij blijkt die veruit de meeste input levert in dit 'project'

[Reactie gewijzigd door Switchie op 20 december 2016 20:44]

Medewerking bij dit project levert naast een zeer grote bekendheid, en waarschijnlijk wel mensen die jarenlang licenties blijven afnemen, ook gigantisch veel kennis en data op. Al die kennis en data die hierbij wordt ingewonnen kan weer verwerkt worden in de reguliere beveiliging die kaspersky aanbied. Dergelijke data is daarom voor een bedrijf als kaspersky een gigantisch voordeel om mee te doen aan een initiatief als deze.
Absoluut! Onder aan de streep is Kaspersky een commercieel bedrijf welke logischerwijs alle beslissingen neemt op basis van financieel gewin.
Wellicht wat cynisch gedacht maar uiteindelijk zijn zaken als MVO ook gewoon verkapte marketing.

Vanuit die gedachtegang reageerde ik ook op het oorspronkelijke vraagstuk waarom deze tool niet vermarkt wordt.

Natuurlijk gaat deze vondst linksom of rechtsom gebruikt worden om abonnees/inkomsten te werven.
Echter, een directe (en ordinaire) benadering a la "Jij hebt een probleem, wij hebben voor 100e per jaar de oplossing" gaat waarschijnlijk weinig sympathie opleveren bij Henk en Ingrid die dankzij een verkeerd linkje de foto van hun onlangs overleden hond "kwijt" zijn.
Absoluut! Onder aan de streep is Kaspersky een commercieel bedrijf welke logischerwijs alle beslissingen neemt op basis van financieel gewin.
Wellicht wat cynisch gedacht maar uiteindelijk zijn zaken als MVO ook gewoon verkapte marketing.

Vanuit die gedachtegang reageerde ik ook op het oorspronkelijke vraagstuk waarom deze tool niet vermarkt wordt.

Natuurlijk gaat deze vondst linksom of rechtsom gebruikt worden om abonnees/inkomsten te werven.
Echter, een directe (en ordinaire) benadering a la "Jij hebt een probleem, wij hebben voor 100e per jaar de oplossing" gaat waarschijnlijk weinig sympathie opleveren bij Henk en Ingrid die dankzij een verkeerd linkje de foto van hun onlangs overleden hond "kwijt" zijn.
De suite zal het niet kunnen decrypten, maar de updates zullen wel profiteren van het gevonden algoritme, wat weer verwerkt wordt in detectie.
Als 'ooit' eenkeer bekend wordt dat een testgroep met Kaspersky niet vatbaar is voor een cryptovirus, waar in datzelfde testpanel gebruikers van andere producten dit wel zijn ....

dit zal niet het hoofddoel van Kaspersky zijn, maar reken maar dat het sluimert
Vraag, hoe krijgen mensen dit soort rommel op hun PC eigenlijk? Illegale software downloaden ofzo?
Hier staat het mooi uitgelegd...

www.cryptouitlegechtheus.ru


Zo dus...
Mooi voorbeeld.

Ik heb in mijn werkmail al verschillende keren crypto's ontvangen (Document2.zip als bijlage, BookingConfirmation.doc). Er zijn genoeg nieuwschierige mensen die dit openen. Tijdje geleden ging er ook ťťn rond in een (erg goed!) nagemaakte e-mail van de HEMA. Meeste mensen die dat wel vertrouwen, klik op het bijgevoegde bestand en bingo.
Staat gewoon in het artikel:
Criminelen gebruikten exploit kits als Angler en Neutrino om de ransomeware te verspreiden via bijvoorbeeld kwaadaardige advertenties.
tja treft vooral mensen die niet goed lezen/kijken :)
reactie @stewie

[Reactie gewijzigd door Powrskin op 20 december 2016 21:01]

Daarom block ik sowieso advertenties en javascript/flash etc.
Medewerkers van de afdeling financiŽn die zonder enige benul op een dropbox attachment klikken in de mail om vervolgens een exe te openen. Ook geen virusscanner op de computer omdat een offerte daarvoor al maanden ergens op een bureautje ligt bij een andere afdeling.
Een bedrijf waar ik veel kom kreeg vorige week een crypto-aanval via een exel-bestandje. Het e-mailtje leek afkomstig van een mailadres uit eigen organisatie.

[Reactie gewijzigd door Dennisdn op 20 december 2016 22:10]

Illegale voetbal stream kijken via IE omdat Chrome niet werkte met een programma daarvoor via horizon (silverlight), vervolgens vergeten dat ik in IE zat en geen adblocker/anti tracking etc. heb.

Zo dus.
Schitterend. Het heeft wel lang geduurd (mei tot nu) maar dan heb je ook wat. Hopelijk gaan ze meer encrypties zoals deze breken!
Lang is natuurlijk vrij relatief. Vergeet niet dat Crypto's e.d. Anno 2016 (bijna) een miljardenbusiness is. De partijen achter dergelijke tools zijn allang niet meer de 12 jarige scriptkiddies van vroeger maar zijn letterlijk professionele organisaties geworden met dito 'personeel'.
Kijkende naar de complexiteit van deze tools hebben de antivirus-partijen al moeite om uberhaubt deze tools op te sporen, de werking in kaart te brengen en tegen te gaan. Laat staan het daadwerkelijk kraken van de zeer complexe encryptie.
Ik vind het ook leuk om te zien dat toch een aantal grote bedrijven hierin samenwerken. Kaspersky zoals in dit bericht aangegeven, Microsoft, F-secure,Norton, bull guard en waarschijnlijk mis ik er nog een paar. Het is een gezamenlijke vijand die bestreden moet worden. Misschien ook wel leuk om te melden dat Microsoft eerst een hele makkelijke 'cure' had, het cryptolocker laten denken dat je al besmet bent. Natuurlijk is dat niet wenselijk maar het was een snelle 'oplossing' Natuurlijk is dit een mooi kat en muis spel om te volgen want zoals he zegt het is een miljardenbusiness.

Dit kan een hel zijn voor je professionele netwerk en bestanden. Als het door wat voor reden dan ook je fileserver, AD etc inpakt..
De mensen bij kaspersky zijn echte helden, zij kraken dat wat zo veel andere beveiligingsbedrijven niet kunnen kraken, zelfs al duurt het een tijdje... Hoera!
Kunnen of willen kraken? ;)
Kunnen of willen kraken? ;)
Waarom zouden ze niet de zeer positieve marketing willen die Kaspersky nu heeft? Welke doorwrochte roddel zien we allemaal over het hoofd?
Geen. Er valt met een beetje rationeel denken geen enkele reden te bedenken waarom een beveiligingsbedrijf dit niet zou willen kraken. Zelfde als een farmaceut die geen medicijn voor (insert veelvoorkomende aandoening) zegt te willen ontwikkelen.

Natuurlijk, de doorgewinterde complotdenkers zouden iets kunnen bedenken over dubbele agenda's e.d. maar dit zou natuurlijk nergens op slaan. Als een dergelijk document uitlekt kun je het bedrijf namelijk opdoeken. Geen enkel bedrijf die dit risico gaat lopen.
Dus de key verlaat de besmette PC nooit?

Of is er een side channel attack mogelijk in RSA?

Edit:
A few days after the CryptXXX trojan was discovered, experts from Kaspersky Lab found a mistake in CryptXXX file encryption algorithms and thus were able to create a cure. A free utility called Rannoh decryptor could be used to decrypt files, encrypted by CryptXXX.
Een foutje van de makers dus, maar veel laten ze er niet over los. Iets meer info op:
https://www.bleepingcompu...-for-cryptxxx-ransomware/

[Reactie gewijzigd door ExIT op 21 december 2016 22:57]

Echt heldenwerk wat ze daar doen bij Kaspersky!
Is wel weer een positief iets, maarrrrr.... de mensen welke achter de cryptie zitten zullen nu ook weer niet stil gaan zitten en dus heel vlug een iets nieuwere versie hiervan gaan maken welke een waarschijnlijk een nog betere cryptiesleutel zal gaan krijgen...
is altijd iets van vraag en aanbod... alles word gemaakt en uiteidelijk zal alles ook weer verbroken worden door mensen! kwestie van tijd, en als er veel mee te verdienen valt zal dit altijd op zeer korte termijn worden gedaan en gemaakt. ;)
Nah, vraag en aanbod zou ik het niet willen noemen. Voor de rest heb je uiteraard gelijk. Maar goed. Dit is natuurlijk ook een eeuwen-oud principe wat op alle producten, diensten etc. wordt toegepast. Elke multi-national zoekt grenzen op. Worden deze geblokkeerd, gaan ze op zoek naar nieuwe grenzen en mogelijkheden. Kat en muis all over.

Uiteindelijk is deze 'strijd' enkel te winnen door goede voorlichting. Zie b.v. wat de campagne tegen phishing heeft bereikt qua daling in aantal meldingen. "Hang op, klik weg, bel uw bank" oid...
Tijd dat een dergelijke campagne opgezet wordt om mensen (eindelijk) eens goed te informeren over de gevaren van internet. Uiteraard ga je het probleem nooit 100% uitroeien, kijkende naar het aantal beschikbare zero days. Maar zolang er nog steeds mensen klikken op "gefeliciteerd u bent de miljoenste bezoeker" vallen er zeker nog grote slagen te maken!
De beste virusscanner is de gebruiker zelf :)
jahahaha, helemaal gelijk!
wat zouden alle mensen anders moeten doen ... en dan bedoel ik van goed tot de kwaadwillende toe.... zolang er een grote diversiteit aan mensen op deze aarde rondloopt, zolang ook zullen er vele verschillende zaken en dingen worden gemaakt en ontworpen...
de mens zelf is en blijft uiteindelijk altijd maar weer de varieerende factor en uiteraard ook als zijnde virusscanner too. ;) 8-)
Naast de variŽrende factor is de mens ook de meest foutgevoelige factor. Vaak uit onwetendheid c.q. naÔviteit (zoals bij de eerder genoemde miljoenste bezoeker banners)

Uiteraard ligt er een grote verantwoordelijkheid bij de Microsofts en Kaspersky's van deze wereld om goede producten af te leveren. Zolang er gebruikers zijn die het voor elkaar krijgen om een .mp3 met Acrobat Reader te openen ligt hier volgens mij de grootste uitdaging maar direct ook oplossing.
Zolang er een grote diversiteit is zullen ook steeds weer opnieuw zeer veel mensen hierop ingaan c.q. intrappen met de onwetendheid of algemene nieuwsgierigheid welke steeds terugkeert.
Ja en nee. Ja, alle virussen zijn verschillend, hebben een andere werking, zijn anders verstopt etc. etc. Maar een algemene vuistregel a la "Klik niet op zaken die je niet vertrouwt" tackled in theorie al alle variabelen.

Wellicht beetje vergezochte vergelijking;
De ene inbreker is de ander niet maar door goed hang sluitwerk en andere -voor de hand liggende- maatregelen kun je het gross wel letterlijk en figuurlijk buiten de deur houden. Zullen er altijd inbrekers zijn die ook het nieuwste en meest geavanceerde slot binnen een paar seconde open hebben? Absoluut!
Maar neem enkele simpele preventieve maatregelen en het gross van de inbraken kan voorkomen worden.

Crypto's moeten het vooralsnog (uitzonderingen met gerichte aanvallen daargelaten) van de massa hebben. Een gezin gaat echt geen 10.000 euro betalen maar een paar tientjes om die leuke foto van Flappy te redden is te overzien. Zolang er miljoenen van dit soort gezinnen zijn is het investeren in een duur virus vooralsnog lucratief. Breng dit terug naar, laten we zeggen, 10.000 potentiŽle slachtoffers, en de return on investment komt al heel anders te liggen.
Echt geweldig wat Kaspersky doet!

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*