×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Antiransomwareproject politie breidt aantal leden en decryptietools uit

Door , 34 reacties

Het antiransomwareproject van onder meer de Nederlandse politie en Europol heeft laten weten dat het aantal beschikbare decryptietools is uitgebreid. Daarnaast hebben zich een aantal nieuwe organisaties bij het project, genaamd 'no more ransom', aangesloten.

Met de toevoeging van 30 nieuwe leden komt het totale aantal leden uit op 76. Ook hebben enkele nieuwe associated partners zoals beveiligingsbedrijf AVAST en het Poolse Cert zich aangesloten. Daarnaast is het aantal decryptietools voor met ransomware besmette systemen uitgebreid. Er zijn vijftien nieuwe tools bijgekomen, bijvoorbeeld van Bitdefender en Emsisoft. Daarmee zijn er nu veertig decryptietools via de site te vinden.

No more ransom meldt verder dat inmiddels tienduizend slachtoffers met succes van de site gebruikgemaakt hebben. In oktober waren dat er nog 2500. De meeste bezoekers komen uit Rusland, Nederland, de VS, Italië en Duitsland. Het project werd in juli 2015 in het leven geroepen door de Nationale Politie, Europol, Kaspersky en Intel Security. Laatstgenoemde gaat sinds deze week weer als McAfee door het leven.

Via de site is het voor slachtoffers met door ransomware versleutelde systemen mogelijk om erachter te komen met welke variant zij te maken hebben. Daarmee lijkt de dienst op de een jaar geleden gestarte identificatietool van Malware Hunter Team. Daarnaast is het mogelijk om voor sommige varianten een gratis decryptietool te downloaden, zodat bestanden ontsleuteld kunnen worden zonder daarvoor losgeld te moeten betalen.

Door Sander van Voorst

Nieuwsredacteur

04-04-2017 • 13:15

34 Linkedin Google+

Reacties (34)

Wijzig sortering
Ze mogen dan toch eens werken aan hun site, een aantal weken geleden had een familielid een ransomware te pakken, maar hun site werkte niet correct. Ik had een geŽncrypteerd bestand geupload en kreeg nooit te zien welke encryptor het was dat heb ik zelf moeten achterhalen nadien. Het uploaden en de resultaten tonen werkten niet. Misschien hadden ze een tijdelijke panne of teveel requests maar als ze zich daadwerkelijk als de site tegen ransomware willen profileren mogen ze er voor zorgen dat je ze ook 24/24h kunt gebruiken.
instructie ook goed opvolgen; ze vragen een 'encrypt' en een 'normaal' bestand (uit je backup/dropbox whatever) op die manier kun je versleuteld en normaal langs elkaar leggen, en daardoor kunnen die encryptie tools vertellen welke vorm je te pakken hebt.
op de site staat: "Upload encrypted files here (size cannot be larger than 1 MB)" dan 2 "knoppen" voor file 1 en file 2 te uploaden er stond nergens dat je van dezelfde file een geŽncrypteerde en niet geŽncrypteerde versie moet uploaden.

Heb net hun site nog eens getest door gewoon 2 files te selecteren die minder dan 1 mb zijn (en niet geŽncrypteerd zijn):

Dij de eerste keer kreeg ik een https 500 error connection reset, tweede keer kreeg ik correct te zien dat ze er geen decryptie methode voor hadden.

Het probleem wat ik paar weken terug had was dat wanneer je op de go find out knop drukt e de site gewoon opnieuw lade en er niks gebeurde, er geen error kwam, geen melding kwam van iets dat ik mogelijk had fout gedaan.

Er staat ook als je maar 1 file upload het volgende: "Please make sure you are uploading a ransom note and encrypted sample file from the same infection."

Dat laat toch allemaal uitschijnen dat je gewoon 1 geŽncrypteerd bestand moet uploaden met de ransomware note die aangemaakt word (wat ik toen ook gedaan had).

Dus normaal moet je bij file 1 het geŽncrypteerde bestand meegeven en bij bestand 2 een niet geŽncrypteerde versie ? Dat staat toch niet duidelijk uitgelegd op de site zeker niet wanneer je direct die grote knoppen gebruikt en doorgestuurd wordt naar de upload sectie.

Afin uiteindelijk bleek dat ransomware cryptolocker was en daar vond ik toen nergens een decryptor voor terug er was ooit een tooltje maar dat gebruikte decryptie keys van een server die ze in beslag hadden genomen dus geen algemeen systeem
Helaas krijg ik na 8 verschillende pogingen, 1 file 2 files, andere files, wel of geen ransom note elke x een 500 :? :/

Jammer
Ik herken dit. Ik heb maar een e-mail gestuurd naar C115@europol.europa.eu. Wie weet helpt het.
Goede ontwikkeling. Juist door internationaal samen te werken is het mogelijk dit soort criminaliteit effectief aan te pakken.
Deze ontwikkeling is absoluut positief maar ik had graag gezien dat dit antiransomwareproject eerder in het leven was geroepen, bijvoorbeeld toen het politievirus ineens opdook.
Ik ben ervan overtuigd dat veel programmeurs met kwaadwillende bedoelingen zich hebben gestort in het schrijven van dergelijke ransomware waardoor zij een flinke voorsprong hebben in deze strijd. (aanname) Op het gebied van cybercriminaliteit zal er altijd sprake zijn van een kat-en-muisspel waarbij de autoriteiten boven de criminelen moeten staan.
Dat politievirus was vooral lastig. Vrijwel elke anti-virus boer had wel een tool om dat te verwijderen.
Verwijderen is echter heel wat anders dan decrypten en bij dat laatste is het nodig om de krachten te bundelen bij het zoeken van oplossingen.
Bijzonder dat de Nederlandse politie een van de oprichtende leden is van dit initiatief. In BelgiŽ zouden slachtoffers in het beste geval doorverwezen worden naar een computerzaak om de hoek. Wel jammer dat de Nederlandstalige versie van de website enkel gericht is op Nederlanders: strafboekverwijzingen, telefoonnummers https://www.nomoreransom.org/nl/report-a-crime.html .
Zoals??? Niets is onkraakbaar. Zolang je er genoeg rekenkracht tegenaan gooit, is alles kraakbaar. Je zegt "als", en daar zit het hem nou juist. Bij TeslaCrypt 3.0 dachten ze ook dat het onkraakbaar was.
Gemaakt door mensen die niets van encryptie afweten. Dan krijg je dat. Reken maar dat als ze het wel leren dat je je bestanden niet meer terug kan krijgen zonder te betalen. Dat soort ransomware is er al, en het gaat alleen maar meer worden.
Gemaakt door mensen die niets van encryptie afweten. Dan krijg je dat. Reken maar dat als ze het wel leren dat je je bestanden niet meer terug kan krijgen zonder te betalen. Dat soort ransomware is er al, en het gaat alleen maar meer worden.
zonder een back-up terug te zetten zul je bedoelen. Betalen aan deze mensen houdt het criminele circuit alleen maar in stand. Het is tijd dat we mensen gaan leren beter vůůraf §80 te kunnen betalen voor een externe HDD dan achteraf §500 voor ransomware of hard disk recovery als je hardware problemen krijgt.
Van de betreffende link... "experts from Kaspersky Lab found a mistake in CryptXXX file encryption algorithms", met andere woorden slordig programmeerwerk van de CryptXXX developer.

Als ze het goed implementeren is er NIETS aan te doen... de onderliggende AES encryptie is nog steeds niet te kraken (en zal dat de eerste jaren ook niet zijn).

Laten we dus maar blijven hopende op dergelijke slordigheden (welke ze ook gemaakt hebben in de daaropvolgende versies).
Dat hangt van de AES methode af. De meest gebruikte, CBC, wordt tegenwoordig niet meer als "sterk" gezien en is niet alleen maar in theorie kraakbaar meer vawege de alsmaar groeiende processing power die beschikbaar is.

AES in GCM mode veiliger maar wordt zelden gebruikt, ik ben het nog niet tegengekomen.
Ik zie het vaak voorbij komen bij browser certificates, hoor.
De nieuwere versies zijn niet meer te kraken.
Zepto

[Reactie gewijzigd door Koen307 op 4 april 2017 15:03]

Bij TeslaCrypt is de master key vrij gegeven, het is niet volledig gekraakt.

Volgens mij is AES256 met lange key vrij kansloos om te brute forcen of niet? Zeker als je per file een aparte IV gebruikt.
Dat maakt niet uit. Hierdoor kun je alsnog je bestanden decrypten.
Wat maakt niet uit? Met een aparte IV per file is het veel moeilijker om de key te achterhalen. Om bestanden te decrypten heb je wel de key nodig.

Anders kan ik me voorstellen dat je een reeks tekstbestanden laat encrypten door de ransomware en dan patronen kunt ontdekken, waardoor je de key kunt afleiden. Met een andere IV per file wordt dit veel moeilijker. Tenminste, dit is het idee achter de IV.

Je antwoord geeft me de indruk dat het heel simpel is, maar dat zou betekenen dat er een zwakte zit in AES.
Zo bedoelde ik het niet. Als er een decryptor is, maakt de rest van de info niet meer uit, of het wel of niet te kraken is. Het gaat er voornamelijk om dat je je bestanden weer terug kan krijgen.
Het probleem is dat voor bepaalde encryptietechnieken je meer energie nodig hebt als dat er massa in het universum is.
No more ransom meldt verder dat inmiddels tienduizend slachtoffers met succes van de site gebruikgemaakt hebben.
Zo zinloos is het dus blijkbaar niet...
Het zal niet lang meer duren voordat dit allemaal niet meer mogelijk is.
dus gewoon maar niets doen is beter?
Nee, maatregelen treffen zodat je niet kwetsbaar bent; dan denk ik in de eerste plaats aan backups.
Het zou nogal vervelend zijn als mensen concluderen dat niet meer hoeven te backuppen omdat zo'n site de data toch wel terug kan krijgen. Dat gaat een keer fout.
Meh, als mensen slim genoeg zijn om die site te kennen/bekijken kunnen ze dit ook vast lezen:
Unfortunately, in many cases, once the ransomware has been released into your device there is little you can do unless you have a backup or security software in place.
(en daar staat idd ook dat je goed moet backuppen etc.)
Prevention is possible. Following simple cyber security advice can help you to avoid becoming a victim of ransomware.
Zo zinloos is het blijkbaar niet, als er al meer dan 10.000 mensen door geholpen zijn en het team en de aangesloten bedrijven uitgebreid worden.
Niet per definitie zinloos. Ook kleine criminaliteit moet je aanpakken. Misschien dat je hier alleen de kleinere vissen mee 'vangt' (of: de slachtoffers van kleinere vissen helpt) maar dat is per saldo toch resultaat.

Net als op andere vlakken qua criminaliteit: er zal -ondanks inspanningen van de overheid- altijd wel iets overblijven wat groter, slimmer of gehaaider is. Dat hoeft niet persť het doel te zijn bij bestrijding :)
Zinloos. Veel ransomware is al onkraakbaar en als die lieden een beetje door krijgen hoe je wel goede versleuteling code moet schrijven dan staat men machteloos.
In principe heb je gelijk, als ze het een beetje goed aanpakken dan is encryptie onkraakbaar. Helaas is het bijna een gegeven dat IT faalt, al decennialang is de meeste software van baggerkwaliteit. Niet alleen in de IT hoor, overal is 80% crap, maar in de IT is het nog erger. Mensen zijn nu eenmaal luie donders die ook nog eens vergissingen maken.

Software die z'n beveiliging echt goed op orde heeft is de uitzondering. De malware-industrie is niet anders. Als daar een keer iemand opstaat die echt goed is in cryptografie en veiligheid in het algemeen dan zal het heel moeilijk worden om er iets tegen te doen. Voorlopig is de kans vrij groot dat malware kraakbaar/omkeerbaar is.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*