Antiransomwareproject politie breidt aantal leden en decryptietools uit

Het antiransomwareproject van onder meer de Nederlandse politie en Europol heeft laten weten dat het aantal beschikbare decryptietools is uitgebreid. Daarnaast hebben zich een aantal nieuwe organisaties bij het project, genaamd 'no more ransom', aangesloten.

Met de toevoeging van 30 nieuwe leden komt het totale aantal leden uit op 76. Ook hebben enkele nieuwe associated partners zoals beveiligingsbedrijf AVAST en het Poolse Cert zich aangesloten. Daarnaast is het aantal decryptietools voor met ransomware besmette systemen uitgebreid. Er zijn vijftien nieuwe tools bijgekomen, bijvoorbeeld van Bitdefender en Emsisoft. Daarmee zijn er nu veertig decryptietools via de site te vinden.

No more ransom meldt verder dat inmiddels tienduizend slachtoffers met succes van de site gebruikgemaakt hebben. In oktober waren dat er nog 2500. De meeste bezoekers komen uit Rusland, Nederland, de VS, Italië en Duitsland. Het project werd in juli 2015 in het leven geroepen door de Nationale Politie, Europol, Kaspersky en Intel Security. Laatstgenoemde gaat sinds deze week weer als McAfee door het leven.

Via de site is het voor slachtoffers met door ransomware versleutelde systemen mogelijk om erachter te komen met welke variant zij te maken hebben. Daarmee lijkt de dienst op de een jaar geleden gestarte identificatietool van Malware Hunter Team. Daarnaast is het mogelijk om voor sommige varianten een gratis decryptietool te downloaden, zodat bestanden ontsleuteld kunnen worden zonder daarvoor losgeld te moeten betalen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 04-04-2017 13:1534

04-04-2017 • 13:15

34 Linkedin

Lees meer

'Opbouw IT-infrastructuur Hof van Twente na ransomware gaat twee jaar duren' Nieuws van 22 januari 2021
FBI pakt verdachte op die Tesla wilde hacken met hulp van werknemer Nieuws van 28 augustus 2020
Aantal beschikbare No More Ransom-decryptiesleutels groeit naar 52 Nieuws van 9 februari 2018
Europol: RAT-malware werkt niet meer na gecoördineerde politieactie Nieuws van 5 februari 2018
Antiransomwareproject heeft na een jaar minimaal 28.000 computers ontsleuteld Nieuws van 25 juli 2017
'Nederland staat in Europese top drie van ransomware-infecties' Nieuws van 26 april 2017
België treedt toe tot No More Ransom-project Nieuws van 25 april 2017
Kirk-ransomware met Star Trek-thema vermomt zichzelf als ddos-tool Nieuws van 17 maart 2017
Onderzoekers ontwikkelen ransomware voor industriële controlesystemen Nieuws van 14 februari 2017
Ransomware versleutelde politiecamerasystemen in Amerikaanse hoofdstad Nieuws van 30 januari 2017
Charger-ransomware verschijnt in Play Store-app Nieuws van 25 januari 2017
Spora-ransomware heeft geavanceerd betaalsysteem en werkt offline Nieuws van 11 januari 2017
Antiransomwareproject helpt 2500 personen hun bestanden terug te krijgen Nieuws van 17 oktober 2016
Politie stopt ransomware met voornamelijk Nederlandse en Belgische slachtoffers Nieuws van 24 augustus 2016
Europol start samenwerking met politie en beveiligingsbedrijven tegen ransomware Nieuws van 25 juli 2016
Meer producten en artikelen
Netwerk en systeembeheer Ransomware Security

Reacties (34)

-Moderatie-faq
34
33
25
3
0
6
Wijzig sortering
joyrider3774
4 april 2017 13:42
Ze mogen dan toch eens werken aan hun site, een aantal weken geleden had een familielid een ransomware te pakken, maar hun site werkte niet correct. Ik had een geëncrypteerd bestand geupload en kreeg nooit te zien welke encryptor het was dat heb ik zelf moeten achterhalen nadien. Het uploaden en de resultaten tonen werkten niet. Misschien hadden ze een tijdelijke panne of teveel requests maar als ze zich daadwerkelijk als de site tegen ransomware willen profileren mogen ze er voor zorgen dat je ze ook 24/24h kunt gebruiken.
himlims_
@joyrider37744 april 2017 13:49
instructie ook goed opvolgen; ze vragen een 'encrypt' en een 'normaal' bestand (uit je backup/dropbox whatever) op die manier kun je versleuteld en normaal langs elkaar leggen, en daardoor kunnen die encryptie tools vertellen welke vorm je te pakken hebt.
joyrider3774
@himlims_4 april 2017 14:04
op de site staat: "Upload encrypted files here (size cannot be larger than 1 MB)" dan 2 "knoppen" voor file 1 en file 2 te uploaden er stond nergens dat je van dezelfde file een geëncrypteerde en niet geëncrypteerde versie moet uploaden.

Heb net hun site nog eens getest door gewoon 2 files te selecteren die minder dan 1 mb zijn (en niet geëncrypteerd zijn):

Dij de eerste keer kreeg ik een https 500 error connection reset, tweede keer kreeg ik correct te zien dat ze er geen decryptie methode voor hadden.

Het probleem wat ik paar weken terug had was dat wanneer je op de go find out knop drukt e de site gewoon opnieuw lade en er niks gebeurde, er geen error kwam, geen melding kwam van iets dat ik mogelijk had fout gedaan.

Er staat ook als je maar 1 file upload het volgende: "Please make sure you are uploading a ransom note and encrypted sample file from the same infection."

Dat laat toch allemaal uitschijnen dat je gewoon 1 geëncrypteerd bestand moet uploaden met de ransomware note die aangemaakt word (wat ik toen ook gedaan had).

Dus normaal moet je bij file 1 het geëncrypteerde bestand meegeven en bij bestand 2 een niet geëncrypteerde versie ? Dat staat toch niet duidelijk uitgelegd op de site zeker niet wanneer je direct die grote knoppen gebruikt en doorgestuurd wordt naar de upload sectie.

Afin uiteindelijk bleek dat ransomware cryptolocker was en daar vond ik toen nergens een decryptor voor terug er was ooit een tooltje maar dat gebruikte decryptie keys van een server die ze in beslag hadden genomen dus geen algemeen systeem
Multispeed
@joyrider37744 april 2017 14:36
Helaas krijg ik na 8 verschillende pogingen, 1 file 2 files, andere files, wel of geen ransom note elke x een 500 :? :/

Jammer
Anoniem: 728547
@joyrider37746 april 2017 10:20
Ik herken dit. Ik heb maar een e-mail gestuurd naar C115@europol.europa.eu. Wie weet helpt het.
kazz1980
4 april 2017 13:24
Goede ontwikkeling. Juist door internationaal samen te werken is het mogelijk dit soort criminaliteit effectief aan te pakken.
Jarlsberg
@kazz19804 april 2017 13:34
Deze ontwikkeling is absoluut positief maar ik had graag gezien dat dit antiransomwareproject eerder in het leven was geroepen, bijvoorbeeld toen het politievirus ineens opdook.
Ik ben ervan overtuigd dat veel programmeurs met kwaadwillende bedoelingen zich hebben gestort in het schrijven van dergelijke ransomware waardoor zij een flinke voorsprong hebben in deze strijd. (aanname) Op het gebied van cybercriminaliteit zal er altijd sprake zijn van een kat-en-muisspel waarbij de autoriteiten boven de criminelen moeten staan.
CivLord
@Jarlsberg4 april 2017 14:09
Dat politievirus was vooral lastig. Vrijwel elke anti-virus boer had wel een tool om dat te verwijderen.
Verwijderen is echter heel wat anders dan decrypten en bij dat laatste is het nodig om de krachten te bundelen bij het zoeken van oplossingen.
biglia
4 april 2017 14:05
Bijzonder dat de Nederlandse politie een van de oprichtende leden is van dit initiatief. In België zouden slachtoffers in het beste geval doorverwezen worden naar een computerzaak om de hoek. Wel jammer dat de Nederlandstalige versie van de website enkel gericht is op Nederlanders: strafboekverwijzingen, telefoonnummers https://www.nomoreransom.org/nl/report-a-crime.html .
AnonymousWP
@ArtGod4 april 2017 13:31
Zoals??? Niets is onkraakbaar. Zolang je er genoeg rekenkracht tegenaan gooit, is alles kraakbaar. Je zegt "als", en daar zit het hem nou juist. Bij TeslaCrypt 3.0 dachten ze ook dat het onkraakbaar was.
ArtGod
@AnonymousWP4 april 2017 13:36
Gemaakt door mensen die niets van encryptie afweten. Dan krijg je dat. Reken maar dat als ze het wel leren dat je je bestanden niet meer terug kan krijgen zonder te betalen. Dat soort ransomware is er al, en het gaat alleen maar meer worden.
Tweekzor
@ArtGod4 april 2017 14:02
Gemaakt door mensen die niets van encryptie afweten. Dan krijg je dat. Reken maar dat als ze het wel leren dat je je bestanden niet meer terug kan krijgen zonder te betalen. Dat soort ransomware is er al, en het gaat alleen maar meer worden.
zonder een back-up terug te zetten zul je bedoelen. Betalen aan deze mensen houdt het criminele circuit alleen maar in stand. Het is tijd dat we mensen gaan leren beter vóóraf €80 te kunnen betalen voor een externe HDD dan achteraf €500 voor ransomware of hard disk recovery als je hardware problemen krijgt.
AnonymousWP
@ArtGod4 april 2017 13:41
Noem dan eens een variant.
ArtGod
@AnonymousWP4 april 2017 13:49
CryptXXX
AnonymousWP
@ArtGod4 april 2017 13:50
Nope: https://blog.kaspersky.com/cryptxxx-v3-ransomware/13628/
r2504
@AnonymousWP4 april 2017 15:14
Van de betreffende link... "experts from Kaspersky Lab found a mistake in CryptXXX file encryption algorithms", met andere woorden slordig programmeerwerk van de CryptXXX developer.

Als ze het goed implementeren is er NIETS aan te doen... de onderliggende AES encryptie is nog steeds niet te kraken (en zal dat de eerste jaren ook niet zijn).

Laten we dus maar blijven hopende op dergelijke slordigheden (welke ze ook gemaakt hebben in de daaropvolgende versies).
Patrick!
@r25044 april 2017 16:22
Dat hangt van de AES methode af. De meest gebruikte, CBC, wordt tegenwoordig niet meer als "sterk" gezien en is niet alleen maar in theorie kraakbaar meer vawege de alsmaar groeiende processing power die beschikbaar is.

AES in GCM mode veiliger maar wordt zelden gebruikt, ik ben het nog niet tegengekomen.
ArtGod
@Patrick!4 april 2017 18:44
Ik zie het vaak voorbij komen bij browser certificates, hoor.
ArtGod
@AnonymousWP4 april 2017 18:44
De nieuwere versies zijn niet meer te kraken.
Koen307
@AnonymousWP4 april 2017 15:03
Zepto

[Reactie gewijzigd door Koen307 op 4 april 2017 15:03]

Anoniem: 84766
@AnonymousWP4 april 2017 13:41
Bij TeslaCrypt is de master key vrij gegeven, het is niet volledig gekraakt.

Volgens mij is AES256 met lange key vrij kansloos om te brute forcen of niet? Zeker als je per file een aparte IV gebruikt.
AnonymousWP
@Anoniem: 847664 april 2017 14:25
Dat maakt niet uit. Hierdoor kun je alsnog je bestanden decrypten.
Anoniem: 84766
@AnonymousWP4 april 2017 14:38
Wat maakt niet uit? Met een aparte IV per file is het veel moeilijker om de key te achterhalen. Om bestanden te decrypten heb je wel de key nodig.

Anders kan ik me voorstellen dat je een reeks tekstbestanden laat encrypten door de ransomware en dan patronen kunt ontdekken, waardoor je de key kunt afleiden. Met een andere IV per file wordt dit veel moeilijker. Tenminste, dit is het idee achter de IV.

Je antwoord geeft me de indruk dat het heel simpel is, maar dat zou betekenen dat er een zwakte zit in AES.
AnonymousWP
@Anoniem: 847664 april 2017 18:45
Zo bedoelde ik het niet. Als er een decryptor is, maakt de rest van de info niet meer uit, of het wel of niet te kraken is. Het gaat er voornamelijk om dat je je bestanden weer terug kan krijgen.
freaxje
@AnonymousWP4 april 2017 14:20
Het probleem is dat voor bepaalde encryptietechnieken je meer energie nodig hebt als dat er massa in het universum is.
Siebsel
@ArtGod4 april 2017 13:31
No more ransom meldt verder dat inmiddels tienduizend slachtoffers met succes van de site gebruikgemaakt hebben.
Zo zinloos is het dus blijkbaar niet...
ArtGod
@Siebsel4 april 2017 13:35
Het zal niet lang meer duren voordat dit allemaal niet meer mogelijk is.
Quacka
@ArtGod4 april 2017 13:58
dus gewoon maar niets doen is beter?
CAPSLOCK2000
@Quacka4 april 2017 14:34
Nee, maatregelen treffen zodat je niet kwetsbaar bent; dan denk ik in de eerste plaats aan backups.
Het zou nogal vervelend zijn als mensen concluderen dat niet meer hoeven te backuppen omdat zo'n site de data toch wel terug kan krijgen. Dat gaat een keer fout.
Siebsel
@CAPSLOCK20004 april 2017 14:54
Meh, als mensen slim genoeg zijn om die site te kennen/bekijken kunnen ze dit ook vast lezen:
Unfortunately, in many cases, once the ransomware has been released into your device there is little you can do unless you have a backup or security software in place.
(en daar staat idd ook dat je goed moet backuppen etc.)
Prevention is possible. Following simple cyber security advice can help you to avoid becoming a victim of ransomware.
bapemania
@ArtGod4 april 2017 13:32
Zo zinloos is het blijkbaar niet, als er al meer dan 10.000 mensen door geholpen zijn en het team en de aangesloten bedrijven uitgebreid worden.
Carpento
@ArtGod4 april 2017 13:44
Niet per definitie zinloos. Ook kleine criminaliteit moet je aanpakken. Misschien dat je hier alleen de kleinere vissen mee 'vangt' (of: de slachtoffers van kleinere vissen helpt) maar dat is per saldo toch resultaat.

Net als op andere vlakken qua criminaliteit: er zal -ondanks inspanningen van de overheid- altijd wel iets overblijven wat groter, slimmer of gehaaider is. Dat hoeft niet persé het doel te zijn bij bestrijding :)
CAPSLOCK2000
@ArtGod4 april 2017 14:31
Zinloos. Veel ransomware is al onkraakbaar en als die lieden een beetje door krijgen hoe je wel goede versleuteling code moet schrijven dan staat men machteloos.
In principe heb je gelijk, als ze het een beetje goed aanpakken dan is encryptie onkraakbaar. Helaas is het bijna een gegeven dat IT faalt, al decennialang is de meeste software van baggerkwaliteit. Niet alleen in de IT hoor, overal is 80% crap, maar in de IT is het nog erger. Mensen zijn nu eenmaal luie donders die ook nog eens vergissingen maken.

Software die z'n beveiliging echt goed op orde heeft is de uitzondering. De malware-industrie is niet anders. Als daar een keer iemand opstaat die echt goed is in cryptografie en veiligheid in het algemeen dan zal het heel moeilijk worden om er iets tegen te doen. Voorlopig is de kans vrij groot dat malware kraakbaar/omkeerbaar is.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee