Spora-ransomware heeft geavanceerd betaalsysteem en werkt offline

Een nieuwe ransomewarevariant met de naam Spora beschikt over een geavanceerd betaalsysteem en genereert geen netwerkverkeer. Daardoor kan deze versie offline werken, zonder contact te maken met een command and control-server.

Bleepingcomputer bericht over de nieuwe ransomware, die zich vooralsnog alleen op Russische slachtoffers lijkt te richten. Alle bestanden die naar een ransomware-identificatiedienst zijn geüpload, zijn afkomstig uit Rusland. De malware wordt op een traditionele manier via spamberichten met zip-bijlagen verspreid. Als een slachtoffer de bijlage downloadt en een kwaadaardig hta-bestand opent, versleutelt Spora verschillende bestanden, net als andere ransomware. Een verschil is dat Spora zich richt op een klein aantal extensies, waaronder veelgebruikte extensies als doc, pdf, jpg, rar en sqlite.

Als de versleuteling van de bestanden is afgesloten, maakt Spora een losgeldbericht en een key-bestand aan op het bureaublad van het slachtoffer. In het bericht staan instructies voor het terugkrijgen van bestanden, naast een 'infectie-id'. Het slachtoffer wordt geïnstrueerd naar een domein te gaan dat verwijst naar een verborgen Tor-site. Daar is het mogelijk om in te loggen met de id uit het bericht en krijgt het slachtoffer verschillende opties te zien in een voor ransomware vrij geavanceerde interface. Het betalingsportaal maakt gebruik van een Comodo-certificaat voor een https-verbinding.

Betalingsportaal

Via deze interface moet een slachtoffer eerst zijn systeem 'synchroniseren' door het key-bestand te uploaden. Daarbij haalt het systeem informatie over de gebruikte encryptie binnen. Vervolgens is het mogelijk een van de verschillende opties te kiezen, waaronder het volledig herstellen van bestanden voor 79 dollar, het kopen van immuniteit voor toekomstige infecties voor 50 dollar en het verwijderen van alle Spora-bestanden na decryptie voor 20 dollar. Daarnaast is het mogelijk om twee bestanden gratis te ontsleutelen of voor een aanvullend bestand dertig dollar te betalen. Hoewel hier dollarprijzen staan, moeten alle betalingen in bitcoin worden gedaan.

Doordat het key-bestand informatie bevat over het aantal en het soort versleutelde bestanden, kan het betalingssysteem verschillende prijzen weergeven, zo achterhaalde het beveiligingsbedrijf Emsisoft. Bovendien kan het onderscheid maken tussen verschillende soorten slachtoffers, bijvoorbeeld personen in een kantooromgeving. Voor slachtoffers is het mogelijk om via een chat maximaal vijf berichten te sturen naar professioneel overkomend ondersteuningspersoneel, schrijft het bedrijf.

Spora maakt bovendien gebruik van degelijke encryptie, stelde Emsisoft vast. De ransomware gebruikt een mix van aes en rsa, waarbij het na infectie een rsa-sleutelpaar aanmaakt. Andere ransomware-varianten hebben soms gebrekkige encryptie, waardoor het mogelijk is om systemen te ontsleutelen zonder betaling. Dergelijke gratis decryptieprogramma's zijn onder andere te vinden via het no more ransom-project, dat een initiatief van onder andere de Nederlandse politie en een aantal beveiligingsbedrijven is.

IT-banen

Reacties (180)

Evyd13 11 januari 2017 13:47

Als ik op mijn computer alle bestanden versleutel, kan ransomware de versleutelde bestanden dan versleutelen?

vanaalten @Evyd13 • 11 januari 2017 13:53

Ja. En na ransomware-ontsleuteling heb je dan je eigen versleutelde bestanden terug.

Als je je wilt beschermen tegen ransomware:

backup!
Ja, echt, backup!
Controleer of je echt een backup hebt
Geen vreemde bijlages in mailtjes openen, tenzij je iets verwacht
Nog steeds, maak een backup!

paradoXical @vanaalten • 11 januari 2017 19:03

Zomaar wat zaken welke in me op komen:

- Geef belangrijke bestanden een alternatieve bestandsindeling.
- Zet files / drives / shares welke belangrijk zijn op read-only.
- Maak een aparte user in windows met minimale rechten
- Sandbox je browser(s) met bv sandboxie
- Gebruik 1 browser voor surfen (chrome) en firefox voor bv website logins.
- Blokkeer malafide domains via een hosts file.
- Disable flash of installeer een flash-blokker
- Disable java in je browser
- Gebruik een VM voor het surfen naar risicovolle sites
- Installeer cryptoprevent (lees er goede dingen over maar ik heb het niet nodig)
- Betaal voor een fatsoenlijke virusscanner
- Installeer een ad-blocker (ja, advertentienetwerken verspreiden een hoop crap!)

GekkePrutser @paradoXical • 11 januari 2017 19:48

Of iets als Qubes OS waarbij je verschillende beveiligingsklassen hebben die allemaal in aparte virtuele machines draaien.

Jerie

@GekkePrutser • 12 januari 2017 19:06

Yep, leuk, behalve dat de enige hardware certified voor Qubes R3.2 de Librem 13 is (welke nog steeds Intel ME draait), en dat er nog geen certified hardware is voor Qubes R4.

GekkePrutser @Jerie • 12 januari 2017 20:27

Dat is inderdaad een zwak punt van Qubes. Nu heb je niet speciaal een gecertificeerde laptop nodig (zelfs voor Ubuntu en Fedora zijn er niet veel mensen die hun laptop daarop uitzoeken), er zijn modellen waar het prima op werkt (ook R4) maar niet veel inderdaad. Het stelt behoorlijk hoge eisen aan de hardware en bios. Vt-x, vt-d, enz. Maar het gaat de goede kant op en in elk geval betekent het dat het een probleem is dat de aandacht heeft van ontwikkelaars.

De Intel ME is een probleem dat alle merken treft, helaas. Maar er zijn steeds meer modellen waarop Libreboot/openboot werkt.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 06:03]

CEx @vanaalten • 11 januari 2017 14:02

Goed plan, maar een backup lijkt me ook handig.

Overigens moet hier wel bij gezegd worden dat dit een offline backup dient te zijn of een goede autorisatie set-up om te voorkomen dat ook je backups ge-encrypt worden.

ikt @CEx • 11 januari 2017 14:14

Is het hebben van belangrijke bestanden op diensten als Google Drive en DropBox ook goed? Deze diensten hebben bestandsgeschiedenis, waardoor je oudere versies terug kunt halen. Voor de gewone consument is dit een prima optie. De gemiddelde gebruiker wil niks weten van het instellen van een of meerdere backupmechanismen.

GORby @ikt • 11 januari 2017 15:13

Bij dropbox kan je zelf een bestand terugzetten naar de vorige versie. Aangezien dat nogal omslachtig wordt voor tienduizenden bestanden, is er ook een andere manier:
- zoek in je Dropbox geschiedenis een punt voor de infectie (meestal een entry dat er XXXX bestanden gewijzigd zijn
- De ID van die entry noteer je even
- Via Dropbox support vraag je je volledige Dropbox terug te zetten naar de toestand van voor die event ID.
(https://www.dropbox.com/help/8408#restore_large_number)

Natuurlijk doe je dat pas nadat je je geïnfecteerde computer(s) op zijn minst losgekoppeld hebt van DropBox en bij voorkeur al een volledige clean install gedaan hebt.

curkey @GORby • 12 januari 2017 09:30

Blijft wel tricky met sommige malware. Dropbox bewaart geloof ik iets van 30 versies. Er zijn ransomwarez die files in dropbox-folders dan >30x aanpassen.

GORby @curkey • 12 januari 2017 09:40

Dropbox bewaart oude versies 30 dagen, voor zover ik weet zonder beperking op aantal versies. Via de (betalende) optie (op betalende accounts) 'extended version history' kan dit uitgebreid worden tot 1 jaar.

Ik zou DropBox zeker niet aanraden als backup, maar voor wie het al heeft is het in ieder geval veel beter dan niets.

Belangrijke opmerking trouwens, net gevonden op https://www.dropbox.com/en/help/9114 : Wanneer je een nieuwe versie van een bestaand bestand maakt, en de laatste wijziging aan dat bestand is ouder dan 30 dagen (optioneel 1 jaar), dan wordt enkel de laatste versie bijgehouden!

appelsientje @ikt • 11 januari 2017 14:21

Ja goede vraag... ik heb alle documenten nu op Google drive staan. Misschien stom van mij, maar ik maak dus geen backup meer van mijn bestanden... ze staan immers daar.

edit-- ik heb even zitten testen, maar Google houd van de afgelopen 30 dagen wijzigingen bij. Dus als ik het goed lees/begrijp kan ik gewoon een vorige versie terug zetten (moet natuurlijk wel eerst ransomware van de pc zijn verwijderd)

[Reactie gewijzigd door appelsientje op 23 juli 2024 06:03]

iDennis95 @appelsientje • 11 januari 2017 14:39

Volgens mij hangt het ervan af of je synchroniseren aan heb staan voor offline beschikbaar maken (Dus fysieke map met synchronisatie)

Laatst probeerde ik een excel bestand erop te zetten maar dat pakte hij niet ivm wachtwoord.

jvwou123 @ikt • 11 januari 2017 14:25

De randsomware maakt een nieuw bestand aan met als inhoud de versleutelde versie van het origineel. Als je bij dropbox/google oude bestanden terug kan zetten, kan het eventueel werken.

Ik ken ook genoeg mensen die na een cryptoware mailtje de gedeelde bestanden vrienden had versleuteld. Heb je ook wat uit te leggen.

migjes @ikt • 11 januari 2017 17:19

ik heb het met de laatste cerber randsom ware wel zo gedaan om het te herstellen.
(geen googledrive of dropbox, maar een filesystem wat dat ook doet.)
als ik de backup had moeten gebruiken waren hun 8 uur werk kwijt geweest.
nu was het maar +/-4 uur, dus viel de schade iets mee.

(maar gebruik dit niet als reden om geen backups te maken.
er komt vast een verzie van radsomware een keer langs die hier rekening mee houd.

)

[Reactie gewijzigd door migjes op 23 juli 2024 06:03]

carbidsjitter @CEx • 11 januari 2017 14:48

Stel je houdt van elke bestand een paar versie's en waarbij de oudere versie's niet direct bereikt kan worden door de besmette computer, dan zit je met een online backup ook veilig toch ?

(Edit, idee staat hierboven ook genoemd)

[Reactie gewijzigd door carbidsjitter op 23 juli 2024 06:03]

Proxx @CEx • 11 januari 2017 15:21

een backup is geen backup..

dus doe nog maar een backup

Stoelpoot @CEx • 11 januari 2017 17:00

Vergeet niet om ook een backup uit te voeren.

Naast je kanttekening bij offline backups moet ik ook even zeggen dat een online backup naast de offline backup ook een goed idee kan zijn, ivm diefstal, brand, algemeen kapot gaan of meteorietinslagen.

ASS-Ware @CEx • 11 januari 2017 18:30

Goed plan, maar een backup lijkt me ook handig.

Overigens moet hier wel bij gezegd worden dat dit een offline backup dient te zijn of een goede autorisatie set-up om te voorkomen dat ook je backups ge-encrypt worden.

Dat hoeft geen offline backup te zijn, online kan toch ook?

[Reactie gewijzigd door ASS-Ware op 23 juli 2024 06:03]

FreshMaker @ASS-Ware • 12 januari 2017 12:03

[...]Dat hoeft geen offline backup te zijn, online kan toch ook?

Als jij de online aanbieder daarmee vertrouwd wel, ja.
Met vertrouwen niet zozeer het bekijken, maar de continuïteit van de dienst.

Vele mensen hebben ooit op Megaupload vertrouwd als 'goede' dienst voor weinig geld.
Nu zal een Microsoft/Google minder gevaar lopen, maar ik ben vaak wat afstandelijk tegen online opslag, in lange termijn.
Ik gebruik met veel plezier en liefde Stack van TransIP, maar ondanks dat het een NL firma is, en ze een degelijke reputatie hebben qua dienstverlening, zou ik toch niet al mijn bestanden daar 'alleen' als enige backup bewaren.
Er staat een bulk aan files waarin al mijn foto's zitten vanaf 1995, maar deze staan OOK op een tweetal HDD's die bij veel aanpassingen ook ge-update worden.

Ik ga er niet van uit dat TransIP snel met Stack stopt, maar in het geval van stopzetting, staan mijn bestanden nog een keer veilig.

iAR @vanaalten • 11 januari 2017 14:04

Je moet natuurlijk wel veilig backuppen. Anders heb je straks een backup van je versleutelde bestanden!
Liefst dus twee aparte schijven en checken of je je bestanden nog kunt openen.

ido_nl @iAR • 11 januari 2017 14:18

Backup met versie beheer. Dat doe ik op mijn nas, heb RAID maar wekelijkse backup van hdd1 naar hdd2, met versies dus

JAVE @ido_nl • 11 januari 2017 15:14

RAID is geen backup.

De backup schijf moet niet aan je PC/in je netwerk hangen als je hem niet gebruikt (en je gebruikt hem ALLEEN om een backup te maken/herstellen).

Off-site storage is handig in geval van fysieke problemen (brand, diefstal)

ido_nl @JAVE • 11 januari 2017 15:20

RAID beschermt alleen tegen hardware falen. En een periodieke backup van hdd1 naar hdd2 beschermt tegen hardware falen en verwijderde of corrupte bestanden.

Jammer dat dit niet standaard (zoals RAID) aanwezig is op een nas.

Jerie

@ido_nl • 12 januari 2017 19:07

En een periodieke backup van hdd1 naar hdd2 beschermt tegen hardware falen en verwijderde of corrupte bestanden.

Wel doen na het scrubben...

ido_nl @Jerie • 12 januari 2017 19:23

scrubben?

Bedoel je dit (bron synology)
RAID scrubbing is a data maintenance feature that inspects volumes or disk groups and repairs any detected data inconsistencies. This function can be used with volumes or disk groups that implement SHR (comprised of three or more disks), RAID 5, or RAID 6.

Ik heb 2 lossen hdd's, geen raid.

Jerie

@ido_nl • 12 januari 2017 19:27

Ja, dat.

Je zei:

RAID beschermt alleen tegen hardware falen

Dat is niet helemaal waar. Als je geen ECC geheugen gebruikt, kan er nog steeds data corruptie optreden. Silent data corruptie.

Ook moet je regelmatig de data scrubben.

RAID5 (en beter, zoals RAID6) gebruik je om hoge uptime te behouden (downtime te vermijden), of een iets hogere performance te behalen.

Eigenlijk is het sinds SSD niet meer zo interessant.

[Reactie gewijzigd door Jerie op 23 juli 2024 06:03]

ido_nl @Jerie • 12 januari 2017 20:00

ah, weer wat geleerd, thanks. Nu is hoge uptime en performance minder belangrijk bij mijn thuis nas. Maar Silent data corruption klinkt wel rete eng

Jerie

@ido_nl • 12 januari 2017 20:07

Graag gedaan.

Overigens zijn bepaalde nieuwere filesystems zoals ZFS (inclusief de open source implementaties voor Linux en *BSD), Btrfs, AFS (als in "Apple FS") interessant omdat die software raid makkelijker maken, en ook die scrubbing live kunnen doen.

Ook snapshotting is interessant. Nadeel (is ook een voordeel) is meer metadata.

Maar dan nog steeds wordt ECC geheugen vrijwel niet gebruikt. Het wordt massaal genegeerd. Dat is zonde want het voorkomt dit gehele probleem, met een ongeveer 12,5% duurdere prijs (of 12,5% minder RAM) en een kleine performance loss.

FrankRicard @ido_nl • 11 januari 2017 14:36

Bij brand of blikseminslag ben je dan nog steeds alles kwijt.
3-2-1 regel
3 kopieën op 2 verschillende media en 1 op een andere locatie

ido_nl @FrankRicard • 11 januari 2017 14:50

Ja dat ook natuurlijk, maar dat hoeft weer niet voor alle bestanden.

Domokun @iAR • 11 januari 2017 15:12

Wat is er mis met een back-up van je versleutelde bestanden? Of je die nu real-time hebt of dat ze uit een back-up komen, je kan ze altijd ontsleutelen.

RGAT @Domokun • 11 januari 2017 15:23

Punt is dat het niet uit maakt of jij je data versleuteld, ransomware versleuteld het gewoon nog een keer en rommelt aan je file version systeem met als gevolg dat je je backups terugzet en daar net zo leuk die versleutelde data in hebt en alsnog niks hebt...
Oftewel offline backup dus geen externe disk die altijd aan je pc hangt, geen NAS/cloud share en sowieso nog een extra backup...
Je kan nooit teveel backups maken.

iAR @Domokun • 11 januari 2017 16:20

Je wilt toch niet dat ransomware versluitelde bestanden in je backup komen! Dan is je backup toch waardeloos... en moet je toch die key kopen!

Domokun @iAR • 11 januari 2017 17:17

Dat zei je niet, jij had het over puur 'versleutelde bestanden' en die zijn gewoon van jezelf. Je bedoelt dus door ransomware versleutelde bestanden, dat is logisch dat je die niet wilt backuppen.

iAR @Domokun • 11 januari 2017 22:21

Daar gaat 't artikel over... anyway.

ASS-Ware @iAR • 11 januari 2017 18:34

Je wilt toch niet dat ransomware versluitelde bestanden in je backup komen! Dan is je backup toch waardeloos...

Niet als oude versies ook bewaard worden in je backup en je een "point in time" restore kan uitvoeren.

GORby @iAR • 11 januari 2017 15:20

Ik los het op met een (synology) NAS, waar al mijn min of meer belangrijke data op staat.
Deze neemt snapshots (hourly, daily, weekly, monthly) die tot 3 jaar terug bijgehouden worden voor de belangrijkste (en niet vaak veranderende) data. Voor andere data is dat bijvoorbeeld een paar weken of maanden. Zo kan ik via elke PC gewoon aan de vorige versies van bestanden (integreert mooi met verkenner).

Verder wordt er elke dag door de NAS een offsite en geëncrypteerde backup gemaakt van alle belangrijke data, waarbij ik automatisch een waarschuwing krijg als er veel data ineens toegevoegd, gewijzigd of gewist wordt (> 1% voor wissen en wijzigen), zodat ik snel door krijg als er ergens iets vreemds aan de hand is en kan ingrijpen. Ook deze offsite backup houdt verschillende versies van bestanden bij, tot een paar jaar terug (hoe langer terug, hoe meer tijd tussen versies).

Op die manier ben ik beveiligd tegen bijna alles wat mijn data kan overkomen: per ongeluk aanpassen en wissen, diefstal, brand, ... tenzij een catastrofaal dataverlies thuis samen zou gaan met het falen van één of meerdere datacenters van de cloud provider waar mijn data staat :-)

Yggdrasil

@GORby • 11 januari 2017 15:59

Het klinkt alsof je het goed hebt ingericht. Welk programma gebruik je voor die offsite backup?

Eén tip (misschien doe je dit al): Test je backups af en toe. Het komt regelmatig voor dat mensen netjes backuppen maar dat herstellen onmogelijk blijkt of met bijwerkingen gepaard gaat (zoals verloren eigendoms- of gebruikersrechten).

GORby @Yggdrasil • 11 januari 2017 16:09

De offsite backup maakt gebruik van Hyper Backup, een app van Synology zelf voor hun NAS besturingssysteem.
Hyper Backup ondersteunt meerdere targets voor online backups (Amazon Cloud Drive, Google Drive, Dropbox, Backblaze B2 - jammer genoeg niet Backblaze backup, ...), en je hebt de keuze om je data al dan niet te encrypteren voor het in de cloud gezet wordt.

Het terugzetten van de backup zelf heb ik nog niet getest. Wel laat ik af en toe een integrity check lopen (ook geïntegreerd in Hyper Backup), zodat hij zelf controleert of alles in orde is.
De NAS is nog maar recent opgezet, dus een test van de restore komt er ook nog wel, voor mijn abonnement op CrashPlan vervalt...

ASS-Ware @GORby • 11 januari 2017 18:36

De NAS is nog maar recent opgezet, dus een test van de restore komt er ook nog wel, voor mijn abonnement op CrashPlan vervalt...

Vanwaar ga je weg bij Crashplan?

GORby @ASS-Ware • 12 januari 2017 09:16

CrashPlan biedt geen officiële ondersteuning voor de Synology NASsen, waardoor het extra gepruts geeft (in principe kan het op een NAS met Intel CPU), zonder garantie dat het blijft werken bij updates en dergelijke.

Verder geeft gebruik van de Hyper Backup functionaliteit (die niet samenwerkt met CrashPlan) de mogelijkheid om alarmen in te stellen bij grote aantallen gewijzigde/gewiste bestanden, zodat je snel op de hoogte bent van virussen die veel bestanden gaan aantasten, zoals cryptolockers.

Ik ben trouwens jarenlang een tevreden gebruiker geweest van CrashPlan en kan er eigenlijk niets negatiefs over zeggen. Het past gewoon niet meer zo goed in mijn huidige setup. Ik raad het nog steeds aan aan mensen die een betaalbare offsite backup willen, die gewoon werkt (en je eraan herinnert wanneer dat om één of andere reden niet meer het geval is).

ASS-Ware @GORby • 12 januari 2017 17:34

CrashPlan biedt geen officiële ondersteuning voor de Synology NASsen

Oplossing hiervoor:
Maak een iSCSI target aan op je NAS en koppel die aan je PC.
Crashplan ziet dat dan als een lokale drive en zal hem meenemen in de backup.
Je PC moet dan alleen wel aan staan.

Waar backup je nu naartoe, wat is de max storage en wat zijn de kosten?

GORby @ASS-Ware • 13 januari 2017 09:16

Het feit dat de PC altijd aan moet staan is inderdaad één van de dingen die me tegenhoudt om dat te doen. Ik wil dat de NAS alles op zichzelf doet. Het is me ook niet direct duidelijk of één iSCSI LUN gedeeld kan worden door meerdere clients, aangezien ik er nog geen ervaring mee heb.

Momenteel zit mijn backup bij Google Drive (2j 1TB gratis). Een half jaartje voor die vervalt, ga ik alles backuppen naar Amazon Cloud Drive (€70/jaar voor onbeperkte opslag).

ASS-Ware @GORby • 13 januari 2017 12:33

Het feit dat de PC altijd aan moet staan is inderdaad één van de dingen die me tegenhoudt om dat te doen. Ik wil dat de NAS alles op zichzelf doet. Het is me ook niet direct duidelijk of één iSCSI LUN gedeeld kan worden door meerdere clients, aangezien ik er nog geen ervaring mee heb.

Nee, maar dat doe je dan anders.
De NAS is via iSCSI een "lokale" disk voor 1 PC of server en die PC of server kan die "lokale" disk sharen :-)

Momenteel zit mijn backup bij Google Drive (2j 1TB gratis). Een half jaartje voor die vervalt, ga ik alles backuppen naar Amazon Cloud Drive (€70/jaar voor onbeperkte opslag).

Interessant.
Thanks.

Bodevinaat @GORby • 11 januari 2017 16:17

Ik gebruik voor mijn NAS (Synology) een versleutelde backup op 2 harddisks en een automatische push service naar 2 cloudproviders (oa STACK - 1TB gratis). Dat werkt op Synology echt heel goed. Elk nieuw bestand in een daarvoor aangewezen directory wordt netjes naar de overeenkomstige map in de cloud gepusht.

Murphy is nooit ver weg maar hier heeft-ie geen vat op denk hoop ik.

[Reactie gewijzigd door Bodevinaat op 23 juli 2024 06:03]

iAR @GORby • 11 januari 2017 16:24

Netjes.
Ik heb Time Machine die afwisselend op een externe hd en mijn nas backuped. Elk uur, dag, etc. (Time Machine is fantastisch). Fysieke schijf kan mee uit huis. NAS zou ik ecentueel nog kunnen uploaden naar mijn STACK.

Anoniem: 310408 @vanaalten • 11 januari 2017 14:01

Ja. En na ransomware-ontsleuteling heb je dan je eigen versleutelde bestanden terug.

Als je je wilt beschermen tegen ransomware:
[list]
• backup!

En die NIET thuis op je netwerk hebben hangen!

Xm0ur3r @Anoniem: 310408 • 11 januari 2017 15:05

Maar waar zet ik mijn Synology dan neer?

Op mijn werk?
- Dan mis ik functies zoals DLNA
- Moet ik het met 1/10 van de downloadsnelheid doen
- Als er iets mis gaat kan ik er niet bij (savonds/snachts)
- Etc

Nee denk dat ik hem liever inpandig houd, ik schat de kans klein dat de ransomware bij de Synology kan.

JAVE @Xm0ur3r • 11 januari 2017 15:11

Je zet dus geen backup online.

Je hangt een USB disk aan je computer, trekt een backup, en koppelt de USB disk weer los.

Knappe ransomware die dan je backups kan verprutten.

Anoniem: 423815 @JAVE • 11 januari 2017 18:16

En je neemt bijvoorbeeld die USB schijf mee naar het werk. Ik heb er twee en wissel iedere week af.

Anoniem: 1322 @JAVE • 11 januari 2017 18:38

Sommige ransomware draait lang op de achtergrond met een decryptie sleutel. Pas na een reboot wordt deze actief. Prima tijd dus om je USB schijf volledig versleuteld te hebben zonder dat je het door hebt.

Ik gebruik synology cloudsync om mijn bestanden te backupen naar de Nas. Deze wordt meestal niet direct benaderd. Daarna backupt de Nas zichzelf naar een andere Nas (men oude synology) die in een fysiek ander pand staat. Ik zit nog te kijken om deze data weer naar een clouddienst te zetten (1TB OneDrive).

unfold @JAVE • 11 januari 2017 21:59

Dan handmatige, dat ga ik geheid vergeten.

Daarom ben ik met een Arduino een USB-hub aan het hacken zodat die 1x per maand stroom krijgt. Op datzelfde moment probeert mijn Synology, die ook op die hub aangesloten is, een backup te maken.

Het idee: files encrypten duurt in theorie altijd langer dan files kopieeren (toch?). Dus als ik snel kopieer en dan de schijf eject, dan krijgt de ransomware geen kans.

Ik bouw iets dergelijks voor mijn ADSL verbinding: als ik slaap of als we niet thuis zijn, dan wordt de ADSL-kabel automatisch onderbroken.

Bodevinaat @unfold • 12 januari 2017 12:32

Je kunt HyperBackup op Synology zo configureren dat-ie de schijf na backup eject.

unfold @Bodevinaat • 12 januari 2017 12:44

Ja, maar dat is softwarematig. Niks houdt een ransomware tegen om het dan weer te remounten?

GORby @unfold • 13 januari 2017 14:11

En dan slaat de bliksem in, en is alles nog om zeep, omdat er een verbinding bestaat tussen het stroomnet en de externe schijf. De enige beveiliging daartegen is niets opslaan op een medium dat verbonden is met je opslag (vb: cloud storage), of toch op zijn minst zorgen dat de vorige backup niet verbonden is (2 harde schijven dis je wisselt).

xKingx @Xm0ur3r • 11 januari 2017 15:16

Ben bang dat drives die je gekoppeld heb aan een geinfecteerde pc ook vrolijk mee worden ge-encrypt. Zeker als je schrijfrechten heb ingesteld ipv alleen lezen.

PierreG @Xm0ur3r • 11 januari 2017 15:19

Cloud backup met versiebeheer van jouw Synology. De kans dat jouw synology getroffen wordt door ransomware is inderdaad klein als je die up-to-date houdt, alles via HTTPS beveiligd en niet op zijn standaard poort aan internet hangt maar je mag andere issues zoals brand, blikseminslag, ... ook niet vergeten. Als zowel jouw laptop als backups op synology in huis liggen en alles gaat in vlammen op heb je ook niets meer over.

Zelf gebruik ik Hubic voor de online backups maar hyper backup ondersteund een lijstje cloud backup providers.

Harm_H @Xm0ur3r • 11 januari 2017 15:21

Men bedoeld dat je de synology moet backuppen ivm brand/diefstal/ransomware.

Bijvoorbeeld:
Wederzijds versleuteld bij een vriend z'n synology.
Of bij familie, collega's of andere kennissen.

Frequentie bijvoorbeeld 1 keer per week.

Persoonlijk kies ik voor de 'gemakkelijke' variant. Een externe hdd bij familie, via cloud station van synology zelf en alleen bestanden die ik niet kan missen (dus geen films) en tja dus in principe ook onbeveiligd inzichtelijk op de backup locatie. Of dat nou het beste is...

Hoe maak je een goede backup valt nog best tegen!

ASS-Ware @Harm_H • 11 januari 2017 18:26

Men bedoeld dat je de synology moet backuppen ivm brand/diefstal/ransomware.

Bijvoorbeeld:
Wederzijds versleuteld bij een vriend z'n synology.
Of bij familie, collega's of andere kennissen.

Frequentie bijvoorbeeld 1 keer per week.

Persoonlijk kies ik voor de 'gemakkelijke' variant. Een externe hdd bij familie, via cloud station van synology zelf en alleen bestanden die ik niet kan missen (dus geen films) en tja dus in principe ook onbeveiligd inzichtelijk op de backup locatie. Of dat nou het beste is...

Hoe maak je een goede backup valt nog best tegen!

Dan is Crashplan net wat mooier.
Die backupt je data o.a. naar een andere PC op het internet, versleuteld, kopieert alleen de verschillen, en doet dat gratis.
Dat kun je ook op een Syno laten landen.

Bovendien kun je er een "point in time" restore mee doen, dan haal je dus alles terug van vóór de infectie.

[Reactie gewijzigd door ASS-Ware op 23 juli 2024 06:03]

GORby @ASS-Ware • 13 januari 2017 14:26

Mooier zou ik het niet noemen, toch niet de gratis variant. CrashPlan doet dan namelijk identiek hetzelfgde als de Synology NASsen onderling doen, namelijk bij elkaar (versleuteld) backuppen.

Een NAS staat normaal gezien ook vaker aan dan een PC, tenzij je je PC altijd aan laat staan, maar dat kost bij de meeste PC's dan weer aardig wat geld aan elektriciteit, waar een NAS vrij zuinig is.

Point in time restores zijn er ook perfect mogelijk mee, en bij een recente NAS die snapshots ondersteunt, kan het zelfs volledig lokaal als je snapshots ver genoeg terug gaan.

ASS-Ware @GORby • 13 januari 2017 16:38

Mooier zou ik het niet noemen, toch niet de gratis variant.

Jawel, ook de gratis variant.

Point in time restores zijn er ook perfect mogelijk mee, en bij een recente NAS die snapshots ondersteunt, kan het zelfs volledig lokaal als je snapshots ver genoeg terug gaan.

Probleem is dan wel dat je NAS vol kan lopen, bij Crashplan heb je ongelimiteerde opslag.

FreqAmsterdam @Xm0ur3r • 11 januari 2017 18:30

Verkeerde aanname. Dat is dus helemaal niet zo heel ingewikkeld. Al vaak genoeg zien gebeuren. Dagelijks externe backup met div. retentie opties = noodzakelijk (als je safe wil zitten).

Daarnaast; een sync is geen backup!

Maar goed, het is al gezegd.

En @JAVE met usb backup; nee ook geen goede methode.

[Reactie gewijzigd door FreqAmsterdam op 23 juli 2024 06:03]

darknessblade @Xm0ur3r • 11 januari 2017 22:12

gewoon een usb 3TB+ HDD nemen (gemiddelde gebruiker heef hier genoeg aan)
en daar de backup opzetten, en eens per week-maand alle systemen backuppen naar de HDD.

nadat de backup klaar is HDD afkoppellen

MrX_Cuci @Anoniem: 310408 • 11 januari 2017 14:41

Volgens mij kan dat prima zolang de geinfecteerde PC niet bij de bestanden in het netwerk kan.

Anoniem: 832109 @MrX_Cuci • 11 januari 2017 14:56

Voor mij is een backup geen risico nemen. Dus wel los van het netwerk.

Anoniem: 147126 @vanaalten • 11 januari 2017 14:17

Ja

Niet zo snel. Het ligt eraan hoe je je bestanden versleutelt. Als je (een deel van) je schijf met bijvoorbeeld TrueCrypt of VeraCrypt versleutelt, dan kun je 'partitities' maken die op ongepartitioneerde 'ruimte' op de schijf met daarop 'noise' lijken. Je kunt niet eens zien dat het een partitie is zegmaar. Ik denk niet dat een cryptolocker daar iets mee kan of gaat doen. Correct me if i'm wrong....

[Reactie gewijzigd door Anoniem: 147126 op 23 juli 2024 06:03]

Caseman @Anoniem: 147126 • 11 januari 2017 15:55

Maar als je containerfile ook geencrypt wordt kan True/Veracrypt daar ook niets meer mee, nog steeds alles kwijt.

Anoniem: 147126 @Caseman • 11 januari 2017 16:28

Ja, dat ligt er dus aan hoe je het precies encrypt. Als je een 'hidden' partitie maakt, dan is er niet zoiets als een containerfile, maar zijn het gewoon 'random' bits op de schijf. Alleen jij weet dat het niet willekeurige lege ruimte op de schijf is maar in werkelijkheid een True-/Veracrypt 'partitie'. Zo kun je dus ook altijd ontkennen dat er uberhaupt bestanden encrypt zijn, mocht dat ooit nodig zijn zegmaar.

A VeraCrypt volume can reside in a file, which is also called container, in a partition or drive.

Het lijkt me sterk dat een cryptovirus willekeurige lege ruimte op een schijf gaat encrypten.

[Reactie gewijzigd door Anoniem: 147126 op 23 juli 2024 06:03]

electricretard @vanaalten • 11 januari 2017 14:48

Als je nog wat op dropbox hebt staan kun je wel nog de website inloggen en je versleutelde bestand rechts klikken -> oude versie.
Zo heb ik ooit nog iemand beperkt kunnen helpen zonder ontsleuteling te hoeven kopen.

xoniq @vanaalten • 11 januari 2017 14:59

Je vergeet het maken van een backup

stresstak @xoniq • 11 januari 2017 15:32

Dat 'vergeten' wel meer mensen (..)

NullCrayfish @vanaalten • 11 januari 2017 14:12

Je maakt een aantal goede punten, maar ik zou dan wel daarnaast ook een backup maken.

ultimasnake @vanaalten • 11 januari 2017 15:50

Ondanks dat je advies geheel kloppend is, is het een verdomd lastig bij te houden geheel... Doe je dit handmatig dan zou je dagelijks een backup zelf moeten draaien op een schijf die je daarna ook weer netjes afkoppelt anders verlies je geheid al data die op dat moment belangrijk is. Koppel je de schijf niet af is de kans groot dat dit mee gaat in de infectie... Als je backups automatiseert zal je zien dat de synchronisatie plaats vindt na infectie en infecteer je dus in weze je backup.

(Side-note)
Hierbij ga ik er wel vanuit dat de meeste backup-software voor consumenten een enkele backup wegschrijft en geen incrementele changes en dus backups maakt. Of dat men zelf copy/paste wat ze belangrijk vinden naar een schijf toe.

Bartske @ultimasnake • 11 januari 2017 15:59

Op mijn synology nas maak ik gewoon incremental backups naar een andere locatie. Synchronisatie naar een andere locatie is ook geen backup.

Tourmaline @vanaalten • 11 januari 2017 15:54

En malwarebytes anti randsomeware. Zit tegenwoordig standaard in de 3 versie.

Ik zou voor een image gaan, i.p.v. back-up, of is dat wat je bedoelt.
Of bedoel je een back-up alleen van je bestanden.

Ik heb het zo dat alle bestanden op een andere schijf staan. Meestal worden bestanden op de C drive versleuteld en niet op andere schijven. Dan kan ik het systeem via de image in een 15-30 minuten weer compleet terugzetten. van alle belangrijke dingen heb ik een back-up op schijf(cd of dvd) omdat die het langst meegaan.

Tjidde @vanaalten • 11 januari 2017 16:52

Je vergeet back-up niet meerdere keren op dezelfde schijf bij je grote maandelijkse/ twee maandelijkse back-up knal al je data ergens op en sluit die nooit meer aan om data te schrijven enkel om te lezen.

sigmundfreund @vanaalten • 11 januari 2017 17:03

Vergeet niet de backup af en toe te testen.

Anoniem: 636203 @vanaalten • 11 januari 2017 17:18

Ik vind het echt verbijsterend dat veel mensen geen backup hebben van hun bestanden. Gebruik op z'n minst dan Google Drive of Microsoft OneDrive om je belangrijke documenten op te slaan.

ASS-Ware @Anoniem: 636203 • 11 januari 2017 18:38

Ik vind het echt verbijsterend dat veel mensen geen backup hebben van hun bestanden. Gebruik op z'n minst dan Google Drive of Microsoft OneDrive om je belangrijke documenten op te slaan.

Veel mensen zullen dat niet begrijpen.
Er zijn ook mensen die elke 6 maanden een backup maken op een externe harddisk en zich niet realiseren dat ze dat misschien vaker zouden moeten doen en dat zo'n ding stuk kan gaan.

Anoniem: 636203 @ASS-Ware • 11 januari 2017 18:41

Een externe hard disk gaat zelden stuk. Als je hem gewoon laat liggen blijft de data zeker 50 jaar goed, misschien wel 100 jaar.

[Reactie gewijzigd door Anoniem: 636203 op 23 juli 2024 06:03]

ASS-Ware @Anoniem: 636203 • 11 januari 2017 19:13

Een externe hard disk gaat zelden stuk. Als je hem gewoon laat liggen blijft de data zeker 50 jaar goed, misschien wel 100 jaar.

Dat dacht de fotograaf van onze bruiloft ook, tot de externe HD van tafel viel, al haar werk weg, alles van haar carriere echt weg!!!

Anoniem: 636203 @ASS-Ware • 11 januari 2017 19:44

Ze had de data echt wel door een gespecialeerd bedrijf er af kunnen laten halen, hoor.

ASS-Ware @Anoniem: 636203 • 12 januari 2017 00:46

Klopt, heb ik ook gezegd, maar daar gaat het niet om, het ging er om dat zo'n ding stuk kan.

Anoniem: 636203 @ASS-Ware • 12 januari 2017 09:35

Dat betwist niemand. Ik betoog dat als je een hard disk gewoon veilig opbergt dat de data heel lang goed blijft. Magnetische opslag is heel erg duurzaam.

ASS-Ware @Anoniem: 636203 • 12 januari 2017 17:36

Dat betwist niemand. Ik betoog dat als je een hard disk gewoon veilig opbergt dat de data heel lang goed blijft. Magnetische opslag is heel erg duurzaam.

Ik typte:
dat zo'n ding stuk kan gaan.

Jij typte:
Een externe hard disk gaat zelden stuk.

Mijn uitspraak wordt dus wel betwist.

signslave @vanaalten • 11 januari 2017 21:39

Mac kopen.

Aetje @vanaalten • 12 januari 2017 01:14

Als je zo fanatiek gaat backuppen, doe dan je intergenet in een sandbox (virtual machine) die bij iedere keer herstarten schoon start. Mail via IMAP syncen ipv POP, en je kunt alles veilig openen in die sandbox. Gaat er iets mis? Sandbox herstarten en verder. Ja, irritant dat je zaken dan niet op kan slaan, maar wel veilig enzo.
Vandaag op het werk ook weer last van een cryptolockertje gehad. Policy daar is vrij duidelijk: Bij infectie geen pardon, bronmachine(s) worden van het netwerk gekickt en volledig geherinstalleerd. Geinfecteerde netwerkschijven krijgen een recovery van een dag terug. Meer damage control dan damage prevention echter...

Soggney @Evyd13 • 11 januari 2017 13:52

ja dat kan. Zie het als een doos waar je je bestanden in plaatst en sluit. terwijl de ransomware de doos in een nieuwe doos stopt en dan een slot erop zet dat je pas kan openen na betaling.

Maar omdat deze zich focussed op bepaalde bestandextenties, kan jouw doos wel over het hoofd worden gezien.

Carharttguy @Soggney • 11 januari 2017 13:57

Lijkt mij dat je als ransomware maker zéker de versleutelde bestanden wil gijzelen, grote kans dat die erg waardevol zijn.

RVNetwork @Carharttguy • 11 januari 2017 14:13

Maar als jij je bestand versleuteld en opslaat als "bewaarbak.slavink" dan zit hij niet in het lijstje gangbare extensies zoals @Soggney bedoeld.

Het heeft geen nut om een versleuteld bestand op te slaan als .doc aangezien Office er toch niets meer mee kan. Dat bestandje ".watdanook" moet je toch eerst openen met andere software om hem te decrypten.

Carharttguy @RVNetwork • 11 januari 2017 14:23

Maar als jij je bestand versleuteld en opslaat als "bewaarbak.slavink" dan zit hij niet in het lijstje gangbare extensies zoals @Soggney bedoeld.

Dan niet inderdaad, maar dan is het even zinvol om jouw onversleutelde .doc ook gewoon te hernoemen.

Je kan er misschien dan nog een tooltje voor schrijven die een lijst bijhoudt van zelf uitgevonden extensies gelinkt met de 'echte' extensie, zodat die het alsnog met het juiste programma opent.

stresstak @Carharttguy • 11 januari 2017 15:26

Je kan er misschien dan nog een tooltje voor schrijven die een lijst bijhoudt

Dat tooltje bestaat al. Dat is 'altijd openen met''..

Koppel de door jou bedachte extensie aan het programma waarmee je het origineel meestal opent.

maarud @Evyd13 • 11 januari 2017 13:49

Ja hoor. Een versleuteld bestand is ook 'maar' een bestand. Dat kan je zo weer opnieuw versleutelen

Perkouw Moderator GCC @Evyd13 • 11 januari 2017 13:49

Ja hoor. Zelfde dat je een zip bestand in een zip bestand kan zetten om het zo maar te zeggen.

SilentLucidity @Evyd13 • 11 januari 2017 14:37

Je kan het zien als je bestanden in een kluis doen. De ransomware doet jouw kluis vervolgens in een kluis.

stresstak @SilentLucidity • 11 januari 2017 15:38

Uitgaande van een heel lastig te verwijderen ransomware-slot vergelijk ik het veelal met het op slot zetten van jouw fiets met mijn rw-slot.

huntedjohan @Evyd13 • 11 januari 2017 13:49

Lijkt me niet mogelijk toch? Zonder decryptie is er toch geen toegang tot het bestand, en zou het dan toch ook nooit nogmaals versleuteld kunnen worden?

Blijkbaar zit ik er dus naast. Weer wat wijzer geworden vandaag

[Reactie gewijzigd door huntedjohan op 23 juli 2024 06:03]

Caayn @huntedjohan • 11 januari 2017 13:52

Dat je de bytes niet begrijpt betekent niet dat je de bytes niet kan versleutelen

_BladE2k_

@huntedjohan • 11 januari 2017 13:58

Daar maak je dan denk ik ook een 'klassieke' denkfout. Toegang tot de inhoud van het bestand is niet gelijk aan toegang tot het bestand!

Met encryptie wordt (in veel gevallen) de bestandsinhoud versleuteld. Toegang tot het bestand is dan weliswaar mogelijk, maar zonder de juiste sleutel kan je de inhoud niet lezen.
Er staat echter niets in de weg om de niet-leesbare inhoud opnieuw te versleutelen! Dit is dan ook precies wat zou gebeuren bij dit stukje ransomware en je kan dan (alsnog) niet bij de juiste inhoud zonder de juiste key van de 3e partij.

FreshMaker @huntedjohan • 12 januari 2017 11:31

Lijkt me niet mogelijk toch? Zonder decryptie is er toch geen toegang tot het bestand, en zou het dan toch ook nooit nogmaals versleuteld kunnen worden?

Blijkbaar zit ik er dus naast. Weer wat wijzer geworden vandaag

Het zal vaker genoemd gaan worden, maar encryptie is máár één stap in de cyclus ( voor jezelf )
Het slimste is om EN encryptie toe te passen EN eenbackup te hebben die niet aan jouw PC 'vastzit'
Dus versleutelen voor toegang van anderen, en op een medium zetten wat zo min mogelijk aan je pc gezet wordt ( USB-disk / externe netwerkoplossing )

Ik persoonlijk zet het in een versleutelde rar, met een lange key ( keymanager ) en die files staan op een USBschijf, en mijn cloudopslag.
De usbschijven ( 2 stuks ) liggen in de kast beneden ( zodat die niet 'even' gebruikt wordt), en één in mijn locker op het werk.
Zo kan ik de schijven uitwisselen met elkaar, is er maximaal 1 maand verschil offline, hoogstens een dag of 2.

Sinar @Evyd13 • 11 januari 2017 13:50

Anoniem: 63072 @Evyd13 • 11 januari 2017 13:50

Dat kan inderdaad.

moeilijkenaam @Evyd13 • 11 januari 2017 13:54

Hangt er vanaf hoe, denk ik. Deze zou het niet kunnen, omdat dit dus voor extensies zoekt, volgens mij.

svennd @moeilijkenaam • 11 januari 2017 14:04

Je kunt ook all je bestanden .dacx noemen en hopen dat de ransomware niet naar je register kijkt... maar bytes zijn bytes voor encryptie.

blorf @Evyd13 • 11 januari 2017 14:24

In theorie kan dat als je in je hele OS de eigen versleutelde bestandssysteem toepast als een soort layer en daar per programma permissies voor toekent. Bij wat er aan OS in de winkel ligt kun je dat over het algemeen vergeten.

Quilt @Evyd13 • 11 januari 2017 14:27

Als je je bestanden versleutelt met een andere extensie, gaan ze (volgens het artikel) geen onderwerp uitmaken van de aanval.

menzo.io 11 januari 2017 13:53

Waarom word er gesteld dat dit systeem offline werkt?

"Alle bestanden die naar een ransomware-identificatiedienst zijn geüpload, zijn afkomstig uit Rusland."
"Via deze interface moet een slachtoffer eerst zijn systeem 'synchroniseren' door het key-bestand te uploaden."

Ook om de betaling te verwerken is er een internet verbinding nodig..

Hoe kan dit alles werken "zonder" netwerkverkeer te genereren?
Als er compleet geen internet verbinding nodig is, zou de decryptie sleutel achter moeten blijven op het systeem, wat het ontsleutelen zonder betaling mogelijk moet maken.

Orthodroom @menzo.io • 11 januari 2017 14:04

Ik denk dat ze bedoelen dat het programma uit zich zelf geen verbinding maakt om kans op detectie te verkleinen. Als je eenmaal besmet bent maakt het niet meer uit en laten ze de gebruiker zelf die website openen

Carharttguy @Orthodroom • 11 januari 2017 14:07

Ik snap niet waarom dit de kans op detectie zou verkleinen.
De ransomware zou heel de boel toch kunnen versleutelen, en dan pas connectie maken met een server (al dan niet TOR)? Dan komt de detectie toch ook te laat?

YopY @Carharttguy • 11 januari 2017 14:31

Dan heb je nog altijd een netwerksignaal dat naar een C&C server gaat, die uit de lucht gehaald kan worden, vervangen kan worden met een honeypot, of in het slechtste geval (voor de oplichter) teruggeleid kan worden naar de oplichter. Als je dat niet hebt - en zoals dit dus een gedecentraliseerd stuk ransomeware hebt dat volledig via TOR en BTC gaat - heb je minder kans dat je ontdekt en gearresteerd wordt.

Carharttguy @YopY • 11 januari 2017 14:37

Hetgeen je zegt klopt allemaal, maar wat houdt hen tegen om die C&C server via TOR te draaien? Net zoals deze website?

Ik zie echt geen enkel 'voordeel' om die laatste stap -het uploaden van het bestand- manueel te laten verlopen. Hoe de betaling loopt veranderd hier niets aan.

GekkePrutser @Carharttguy • 11 januari 2017 19:52

Dan moet de cryptoware maker ook een complete tor installatie met het virus meeleveren, het installeren waarvan flink wat vragen op zal roepen als je bijvoorbeeld een uitgaande firewall hebt die voor onbekende verbindingen om bevestiging vraagt.

blorf @Carharttguy • 11 januari 2017 14:32

Ik denk omdat mensen die er niet wakker van liggen dan ook niet 'onnodig' sporen genereren die gelogd kunnen worden door providers en zo. Best wel logisch, niet? Die gasten worden waarschijnlijk geclassificeerd onder georganiseerde misdaad en hangt een lange celstraf boven het hoofd als ze gepakt worden.

[Reactie gewijzigd door blorf op 23 juli 2024 06:03]

Carharttguy @blorf • 11 januari 2017 14:37

Dan draaien ze de C&C via TOR, dan is het dataverkeer hetzelfde als manueel naar die website surfen.

Kees BOFH

Netwerk en systeembeheer

@menzo.io • 11 januari 2017 14:04

Nee, de key waarmee je iets encrypt kan typisch gesproken niet gebruikt worden om het te decrypten, daar heb je dan weer de private key voor nodig en die hoeft niet op het systeem te staan.

Net zoals je ook niet de private key van een bank nodig hebt om versleuteld met de bank te kunnen communiceren.

kareldegrote @menzo.io • 11 januari 2017 14:06

Ik lees via de link;
"Unlike most of today's ransomware families, Spora works offline and does not generate any network traffic to online servers."

Het genereert dus geen netwerkverkeer.
Beetje vreemde woordkeuze wb offline werking inderdaad.

Anonymoussaurus

Security

@menzo.io • 11 januari 2017 14:07

Normaliter wordt er contact gemaakt met een command and control-server waarmee de key gegenereerd wordt. Dit is nu niet het geval. Nu wordt er lokaal een key gegenereerd. De server genereert een 2048-bits RSA-keypair, en stuurt de publieke sleutel terug naar de geïnfecteerde computer. De server kan dan een lokale proxy opzetten en kan door andere proxies en/of VPN's worden geleid. Vaak staan die proxies en/of VPN's in verschillende landen om het opsporen van hen moeilijker te maken.

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 06:03]

menzo.io @Anonymoussaurus • 16 januari 2017 18:25

Yes, deze omschrijving is inderdaad wat beter. Je mist alleen nog de stap die Spora uniek maakt tegenover andere "offline" encryptie routines van eerdere ransomware varianten.

In de binary van Spora zitten 2 hardcoded keys, 1 versleutelde public RSA key en 1 onversleutelde AES key. De AES key word gebruikt om de hardcoded public key te decrypten. Spora genereert voor elke nieuwe infectie lokaal een 1024 bits RSA key pair en een 256 bits AES key. De 256 bits AES key word gebruikt om de nieuwe private te versleutelen. Deze versleutelde key + de AES key + nog wat meta data worden vervolgens versleuteld met de public RSA key van de malware author opgeslagen in een .key file.

Voor elk bestand word er een unieke 256 bits AES key aangemaakt voor het encrypten. Deze key word vervolgens weer versleuteld met de lokaal gegenereerde public RSA key, en word opgeslagen als meta data in het versleutelde bestand.

Spora is ontzettend gefocused op compactheid (.key bestand is ontzettend klein), mobiliteit (C&C server is niet nodig), en snelheid (alleen de eerste 5mb van een bestand worden versleuteld). Spora kan ook verschillende malware campagnes volgen doormiddel van meegegeven identificatie codes en op die manier verschillende ransom bedragen vragen.

Heel interessant om ransomware steeds volwassener te zien worden..

Anonymoussaurus

Security

@menzo.io • 16 januari 2017 20:51

Die omschrijving van mij ging ook om de Command and Control server, en niet om de offline methode

. Daarom zei ik ook "normaliter".

it0 @menzo.io • 11 januari 2017 14:07

Op het geinfecteerde systeem is geen internetverbinding nodig om de infectie/encryptie te doen slagen. Dat is wel significant want hiermee pak je ook de stand-alone PC's. Dit is heel gevaarlijk als dit BV een PC is die kritische zaken doet, denk aan een fabriek.

Vroeger werd de PC pas gencrypt als de key werd geupload.

Nu vermoed ik dat er geen key is maar dat een aantal hardware zaken worden gebruikt als seed om een key te genereren. Wellicht in combinatie van een public key terwijl de aanvaller de private key heeft.

Stoney3K @it0 • 11 januari 2017 14:16

Op het geinfecteerde systeem is geen internetverbinding nodig om de infectie/encryptie te doen slagen. Dat is wel significant want hiermee pak je ook de stand-alone PC's. Dit is heel gevaarlijk als dit BV een PC is die kritische zaken doet, denk aan een fabriek.

Dat is natuurlijk niet gevaarlijker dan wanneer de harde schijf van die PC ermee zou ophouden. Gewoon de harde schijf ervan wissen dus en terug zetten van een backup, en je kan gelijk weer verder.

it0 @Stoney3K • 11 januari 2017 14:39

Standalone PC's zijn niet zo heel goed in backups. Standalone PC's zijn wel heel goed in obsolete hardware.

Stoney3K @it0 • 11 januari 2017 14:55

Standalone PC's zijn niet zo heel goed in backups. Standalone PC's zijn wel heel goed in obsolete hardware.

PC's zijn over het algemeen uit zichzelf niet zo briljant in het uitvoeren van backups, volgens mij moet dat nog altijd door de gebruiker(s) uitgevoerd dan wel geautomatiseerd worden.

Anoniem: 294983 @menzo.io • 11 januari 2017 14:13

Er zal wel een bepaalde Encryption-key worden gegenereerd op bases van een bepaald ID. (MoBo-ID bijv.)
Via dat bestandje die je moet uploaden naar de site kan de andere kant weer een decryption-key genereren op bases van het meegeleverde ID.

Tja, egt offline is het niet..
Maar je kan het niet stoppen door de netwerk kabel uit je pc te trekken en op zoek te gaan naar een nog niet gesynchroniseerde decryption-key...

*zo worden ook veel software offline geactiveerd, op bases van een gegenereerd locked ID krijg je dan een matchende license key die ook alleen op dat systeem zal werken.
*dat is wat ik denk tenminste

indigo79 @menzo.io • 11 januari 2017 14:39

Als er compleet geen internet verbinding nodig is, zou de decryptie sleutel achter moeten blijven op het systeem, wat het ontsleutelen zonder betaling mogelijk moet maken.

De software zou bijvoorbeeld lokaal een private/public keypair (of een symmetrische key) kunnen aanmaken en die dan versleutelen met een vaste public key waarvan de server de private key heeft. Op die manier heb je een uniek keypair (wat algemeen bruikbare ontsleuteling moeilijk maakt), maar kan je de keys toch lokaal aanmaken (zonder de server te moeten contacteren).

Bij het 'synchroniseren' stuur je dan je lokale key door, die dan door de server omgezet kan worden naar een volledige key.

MightyFrenkel 11 januari 2017 14:06

Is het opslaan van je documenten in de cloud (zoals google drive) een goede beveiliging tegen dit soort ransomware?

RangedNeedles @MightyFrenkel • 11 januari 2017 14:23

Als je bijvoorbeeld je Dropbox, Google Drive of OneDrive ook lokaal hebt staan, en die map synchroniseert automatisch met de cloud, dan ben je ook genaaid. Van zodra de ransomware al je bestanden heeft geëncrypteerd, worden die wijzigingen immers ook mee gesynchroniseerd naar de cloud.

Je hebt afhankelijk van je clouddienst misschien wel nog zoiets als version history, waarmee je een eerdere staat van een bestand kan herstellen

General_Snuss @RangedNeedles • 11 januari 2017 14:52

Dropbox houdt versies bij van je bestanden, denk dat de andere cloudservices dat ook doen. Je kan dus je bestanden terughalen.

Anonymoussaurus

Security

@MightyFrenkel • 11 januari 2017 14:14

Ja en nee. Als je automatisch synchroniseren maar wel uitzet, want anders worden je bestanden vervangen door de geëncrypte bestanden

Quilt @Anonymoussaurus • 11 januari 2017 14:28

Tenzij er timeshift functionaliteit is, dan kan je mss teruggaan naar een tijdstip voor de encryptie.

Anonymoussaurus

Security

@Quilt • 11 januari 2017 16:35

Dat kan inderdaad. Maar sommige ransomwarevarianten blokkeren Windows Herstelpunt waardoor dat dus niet meer kan, of je een foutmelding krijgt.

ASS-Ware @Anonymoussaurus • 11 januari 2017 19:21

Dat kan inderdaad. Maar sommige ransomwarevarianten blokkeren Windows Herstelpunt waardoor dat dus niet meer kan, of je een foutmelding krijgt.

Windows herstelpunt is niet voor bestanden, die worden met rust gelaten.

Anonymoussaurus

Security

@ASS-Ware • 11 januari 2017 19:29

Dat is inderdaad waar ook. Gebruik het niet

croiky @MightyFrenkel • 11 januari 2017 14:10

Ik denk het wel maar de vraag die ik me persoonljk stel is hoe ben ik zeker dat niemand in ''mijn cloud'' snuffelt. Ik houd mijn data liever dicht bij me.

Stoney3K @croiky • 11 januari 2017 14:22

Ik denk het wel maar de vraag die ik me persoonljk stel is hoe ben ik zeker dat niemand in ''mijn cloud'' snuffelt. Ik houd mijn data liever dicht bij me.

Je kan data in de cloud natuurlijk ook gewoon versleutelen. Kunnen ze snuffelen tot ze een ons wegen.

croiky @Stoney3K • 11 januari 2017 14:36

Ok. Maar dan nog is er geen garantie dat terwijl ik lig te pitten pipo.ru in mijn documenten kijkt. En dat heb ik naar mijn mening altijd een stukje meer lokaal opgeslagen.

Carharttguy @MightyFrenkel • 11 januari 2017 14:27

Syncen naar een cloud biedt geen enkele veiligheid.
MAAR: Als de cloud dienst een versioning system heeft natuurlijk wel, dan kan je er gewoon voor kiezen om een soort van backup (van net voor de versleuteling door ransomware) terug te zetten.

stftweaker @MightyFrenkel • 11 januari 2017 14:21

Nee helaas niet

me4sakura @MightyFrenkel • 11 januari 2017 14:23

Als je Google Drive naar je lokale pc synchroniseert kan de ransom software ze alsnog versleutelen. Maar als je ze niet lokaal hebt staan dan staat het wel buiten bereik van de ransom software.

ASS-Ware @MightyFrenkel • 11 januari 2017 19:20

Is het opslaan van je documenten in de cloud (zoals google drive) een goede beveiliging tegen dit soort ransomware?

Nee, want zodra je een driveletter koppelt aan de clouddrive, wordt dat allemaal toegankelijk en is dus te versleutelen.
Het is wel een goed oplossing als je een "point in time" restore kan doen van die data.

THA_ErAsEr 11 januari 2017 13:48

Bitcoins zijn top. Maakt het deze lui ongelooflijk makkelijk om geld te innen zonder hun identiteit vrij te geven. Daarbuiten, als men in 2017 nog steeds mails van onbekenden opent, daar de bijlagen van download en hier dan ook nog eens op onbekende bestanden met onbekende extensies klikt, dan verdien je het bijna om zoiets mee te maken. Bij de meeste mail clients en OS'en krijg je van start tot einde ook nog eens 3 keer de vraag of je wel zeker bent dat je die zaken wilt openen/uitvoeren.

xFeverr @THA_ErAsEr • 11 januari 2017 13:56

Onbekende extensies? leg uit... Onbekende extensies kunnen namelijk niet uitgevoerd worden, ze zijn immers onbekend.

of bedoel je: onbekend voor de user, zoals .exe en .msi?

THA_ErAsEr @xFeverr • 11 januari 2017 14:04

Onbekende extensies voor de gebruiker, zoals .hta, als in het artikel.

Anoniem: 310408 @xFeverr • 11 januari 2017 14:05

of bedoel je: onbekend voor de user, zoals .exe en .msi?

Dus jij kent alle extensies die executable zijn? Ook, WSF, SHB, PIF, MSC, JSE, INX, GADGET, ISU, LNK, CPL etc? Dat is knap want ik ken ze niet allemaal. En allemaal kunnen ze gevaar opleveren.

ta_chi79 @THA_ErAsEr • 11 januari 2017 14:06

Windows doet er de laatste jaren alles aan om de extensie te verbergen (is standaard optie) voor de gebruiker, dus grote kans dat veel gebruikers niet eens weten dat er iets als een extensie bestaat.

D-Day @THA_ErAsEr • 11 januari 2017 14:11

Netto besparing: Bitcoin waardeloos verklaren en opheffen. Dit aankondigen en 2 maanden later effectief maken.
Dan wordt tenminste de ransomware dreiging beperkt en daarmee veel kosten bespaard.

Carharttguy @D-Day • 11 januari 2017 14:25

En wie gaat dat dan verklaren of opheffen? Ik hecht waarde aan Bitcoin, ik gebruik ze alle dagen. En zolang er nog minimum 1 iemand anders op aarde er ook zo over denkt, kan iedereen verklaren wat hij/zij wil.

CrocoDuck @Carharttguy • 11 januari 2017 15:00

Op het moment dat het verboden wordt om bitcoins om te zetten naar iets van geaccepteerde echte waarde en vice versa dan heeft bitcoin effectief geen waarde meer.

Als het voor je slachtoffers onmogelijk is om nog aan bitcoins te komen anders dan (illegaal) minen zal uiteindelijk bitcoin niet meer worden gebruikt.

Niet leuk voor de legale bitcoin speculant, en voor het slachtoffer: want die komt niet meer van z'n versleuteling af.

Ik snap het idee van Bitcoin wel, maar ik vind het wel een vervelende eigenschap hebben dat het onmogelijk is om aan te tonen of je er op een legale manier aangekomen bent. Anonimiteit is leuk, en noodzakelijk. Maar wat mij betreft gaat dat niet meer op in het geval van Bitcoin wanneer het gebruikt wordt om zoveel slachtoffers te maken.

Carharttguy @CrocoDuck • 11 januari 2017 16:34

Op het moment dat het verboden wordt om bitcoins om te zetten naar iets van geaccepteerde echte waarde en vice versa dan heeft bitcoin effectief geen waarde meer.

Dat zou je kunnen doen, maar dan duw je de hele zooi de criminaliteit in en verliest het elk legitiem doel natuurlijk.

Als het voor je slachtoffers onmogelijk is om nog aan bitcoins te komen anders dan (illegaal) minen zal uiteindelijk bitcoin niet meer worden gebruikt.

Dan zou je ook het bezit van Bitcoin moeten verbieden. En dat heeft geen zin, want dat is niet te controleren. Cash geld kan je in iemand z'n la zien liggen bij een huiszoeking. Bitcoins niet.

Ik snap het idee van Bitcoin wel, maar ik vind het wel een vervelende eigenschap hebben dat het onmogelijk is om aan te tonen of je er op een legale manier aangekomen bent. Anonimiteit is leuk, en noodzakelijk. Maar wat mij betreft gaat dat niet meer op in het geval van Bitcoin wanneer het gebruikt wordt om zoveel slachtoffers te maken.

Waarom zou je niet kunnen aantonen of je er op een legale manier bent aangekomen? Ik schrijf Bitcoin ontvangsten gewoon in m'n boekhouding. Ik kan perfect aantonen waar welke Bitcoin vandaan komt.

Is toch juist hetzelfde als cash geld? Schrijf je het in de boekhouding = Aantoonbaar legitiem, houd je het uit de boekhouding = niet legitiem.

Dan zit ik er nog mee in mijn maag dat wat je voorstelt puur moraliserende wetgeving is, gestuurd vanuit de onderbuik. Het is niet omdat je met Bitcoin iets slecht kan doen/het moeilijk centraal te controleren valt, dat je het zomaar blindelings moet verbieden. We verbieden (gelukkig) ook geen messen/computergames/cash geld/vrachtwagens/ideeën.

[Reactie gewijzigd door Carharttguy op 23 juli 2024 06:03]

CrocoDuck @Carharttguy • 13 januari 2017 16:20

Je stelde een vraag aan D-Day over wie Bitcoin waardeloos zou verklaren, waarop je stelde dat zolang er nog 1 iemand anders er ook zo overdenkt (dat het wel degelijk waarde heeft) het niet op te heffen valt.

Die stelling is onjuist, omdat het wel degelijk om zeep kan worden geholpen door wetgeving. Dat probeerde ik duidelijk te maken.

Zelf denk ik niet dat je bitcoins of andere coins moet opheffen, maar meer regulatie en toezicht zou wellicht misbruik kunnen voorkomen zoals door deze ransomware.

Overigens zijn bitcoins niet te vergelijken met cash geld.
Het probleem van veel contant geld hebben is dat het erg veel ruimte in neemt, en bedrijven in Nederland mogen niet zomaar grote sommen contant geld accepteren. Doen ze dat wel krijgen ze de fiod op hun nek. (voorbeeld 250.000 euro cash meubels kopen). En af en toe zie je ook wel van die berichten dat bij politiecontroles geld in beslag is genomen. Criminelen moeten daadwerkelijk veel moeite doen om contant geld wit te wassen.

Grote sommen bitcoins laten uitbetalen is (lijkt me) makkelijker om in het digitale systeem te krijgen dan contant. Alleen bijschrijvingen groter dan 5000 euro als ze heel vaak worden gedaan, of bijschrijvingen vanaf 15000 worden nu door het banksysteem gemonitord.

Bitcoins is niet het digitale equivalent van cash. Cash hoort bij het reguliere betaalsysteem met alle regels die daarvoor gelden. Er zijn regels over cash omzetten naar digitaal en terug.

enigmafan @D-Day • 11 januari 2017 14:19

Netto besparing: Bitcoin waardeloos verklaren en opheffen. Dit aankondigen en 2 maanden later effectief maken.

Onmogelijk, een bitcoin is waard wat de markt vindt dat het waard is. Als jij in (Nederland/Europa/Amerika/Rusland/ander land) zegt dat het (wettelijk zelfs) niets waard is betekent niets. Zo lang er mensen zijn die het gebruiken en geld waard vinden is het geld waard. Je zou net zo goed kunnen aankondigen dat goud over 2 maanden niets meer waard is, dat zal weinig invloed hebben op de prijs van goud.

RobbyTown

@THA_ErAsEr • 11 januari 2017 17:17

Daarbuiten, als men in 2017 nog steeds mails van onbekenden opent, daar de bijlagen van download en hier dan ook nog eens op onbekende bestanden met onbekende extensies klikt, dan verdien je het bijna om zoiets mee te maken.
Dagelijks komt dit voorbij.

@work de kennis is echt ver te zoeken (mensen met HBO en WO opleiding).

We krijgen de vraag: Hmm vreemde tekens is dit een virus?

Hoe het in praktijk eruit ziet.
Mailtje is leeg, afzender onbekend. Niet besteld maar toch zit er een bijlagen bij genaamd invoice.xlsx (normaal een pdf en ordernummer) (alles samen rare combi, verwijderen zou je zeggen)
Men opent de bijlagen (bij de eerste stap moet je al niet vergaan maar goed). Men krijgt waarschuwingen dat het onveilig kan zijn, toch maar toestaan!
Hey allemaal vreemde tekens, laten we de IT is raadplegen misschien is het toch geen veilig bestand.

[Reactie gewijzigd door RobbyTown op 23 juli 2024 06:03]

Hanzo 11 januari 2017 15:31

Gebruik een programma zoals Timefreeze of Shadow Defender; gewoon herstarten en alles is weer zoals voorheen. En een goede backup is natuurlijk nooit echt weg ..

Anonymoussaurus

Security

@Hanzo • 11 januari 2017 16:32

Een alternatief: deepfreeze

Hanzo @Anonymoussaurus • 14 januari 2017 11:23

Zelfe laken een pak ... Deepfreeze / Timefreeze / Shadow Defender werken allemaal op dezelfde manier ...

Anonymoussaurus

Security

@Hanzo • 14 januari 2017 13:04

Dat weet ik. Maar er zijn natuurlijk meerdere varianten met ieder zijn eigen sausje én functies.

Hanzo @Anonymoussaurus • 14 januari 2017 13:17

Gelukkig wel !!
Valt er tenminste iets te kiezen ....

En wie zit er nu te wachten op 10 dezelfde programma's die allemaal precies hetzelfde doen .. niemand toch ?!

croiky 11 januari 2017 13:48

LoooL. Vriendelijk dat men verschillende opties aanbiedt met eventuele chat support.

Een gat met 'n hart erin.

[Reactie gewijzigd door croiky op 23 juli 2024 06:03]

SinergyX 11 januari 2017 13:51

Zijn ze tot een punt gekomen dat grote bedragen niet werken en ze overstappen op commercieel interessantere prijzen? Gezien de kleine pool van bestanden, lijkt het bijna op een test-systeem, om dit later stuk groter en op meer bestanden in te zetten.

Stoney3K @SinergyX • 11 januari 2017 14:18

Zijn ze tot een punt gekomen dat grote bedragen niet werken en ze overstappen op commercieel interessantere prijzen? Gezien de kleine pool van bestanden, lijkt het bijna op een test-systeem, om dit later stuk groter en op meer bestanden in te zetten.

Ik denk eerder dat het kleine aandeel van bestanden bedoeld is om de ransomware onopvallend zijn werk te kunnen late doen terwijl wel alle belangrijke informatie wordt versleuteld.

Je schiet er niks mee op als je hele terabytes aan MP3's en films loopt te versleutelen en daarmee de aandacht trekt omdat je de CPU 100% belast.

stresstak @SinergyX • 11 januari 2017 15:43

Zijn ze tot een punt gekomen dat grote bedragen niet werken en ze overstappen op commercieel interessantere prijzen?

Zou kunnen. Voor 50 dollar wil ik misschien nog een betaling doen. Voor duizend dollar kunnen ze de boom in. Nu kunnen ook 'arme' Russen wat betalen.

Carharttguy 11 januari 2017 13:52

De hele site zit precies wel netjes in elkaar. Ik vind de lay-out ook wel overzichtelijk. Alsof je gewoon een alledaagse aankoop doet.

Alleen lijkt het systeem van die key-file te moeten uploaden naar die website erg omslachtig, veel computergebruikers snappen daar volgens mij niets van. Zou toch logischer zijn dat die software dat zelf upload naar die site en dan de pagina toont? Zijn weer stappen minder voor het slachtoffer en dus meer conversie.

Nuja, het blijft natuurlijk erg lame dat je met zo'n zaken je geld probeert te 'verdienen'.

Vizzie 11 januari 2017 13:56

Pff met alle berichten van de laatste tijd zou je bijna zeggen "rest van de wereld knip de internetverbinding met Rusland maar door en laat ze fijn in hun sop gaarkoken". Een soort webshop bij je ransomware waarbij je zelfs kan afkopen dat je opnieuw geïnfecteerd worden (kan je ergens aanspraak maken op garantie als het wel gebeurt?), het moet niet gekker worden.

GekkePrutser @Vizzie • 11 januari 2017 20:12

Op zich kan je dat zelf ook doen. Je hebt blocklists per land. Ik had op mijn webserver (toen ik er nog een draaide) ook bezoekers uit China, Rusland, Oekraine enz. geblokkeerd, want die mensen hebben toch niks legitiems bij mij te zoeken (was een nederlandstalige site), er kwam alleen maar shit vandaan. De rotzooi in mijn logs (met name exploit pogingen) was een stuk minder daarna. Zoiets zou je thuis ook kunnen doen in je firewall.

Alleen op mijn mailserver is het lastig, want ik krijg wel eens mailtjes van aliexpress e.d.. Dus China blocken kan niet. Voor Rusland geldt dat dan weer wat minder maarja. Kan nog wel eens voorkomen. En mail is nu juist de verspreidmethode van veel van dit soort malware.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 06:03]

stftweaker 11 januari 2017 13:57

Dit zat er aan te komen, en verbaasd me dan ook totaal niet. Nu moest je uitwijken naar vage services als dokter web. Al best vaak meegemaakt. Niemand kon de ransomware kraken maar voor 250 euro was ineens alles gered. En ze geven nog samples ook. In plaats van een vage derde inschakelen doet het virus het nu zelf. En als klap op de vuurpijl je kan jezelf nog beschermen ook

. Nu neem je al helemaal het wantrouwen weg.

svennd @stftweaker • 11 januari 2017 14:06

maar : het is https!

Op dit item kan niet meer gereageerd worden.

Spora-ransomware heeft geavanceerd betaalsysteem en werkt offline

Lees meer

IT-banen

Reacties (180)

Sorteer op:

Weergave: