Antiransomwareproject heeft na een jaar minimaal 28.000 computers ontsleuteld

Het antiransomwareproject van onder meer de Nederlandse politie en Europol, genaamd No More Ransom, heeft bekendgemaakt dat er sinds de oprichting van het project, precies een jaar geleden, minimaal 28.000 computers zijn ontdaan van ransomware.

De Nederlandse politie heeft bekendgemaakt dat het aantal computers dat is ontsleuteld, waarschijnlijk nog veel hoger ligt dan 28.000. Dat heeft te maken met het feit dat de politie bij het No More Ransom-initiatief samenwerkt met andere partners, en zij hebben niet allemaal statistieken bijgehouden om het aantal succesvolle decrypties te kunnen meten.

Volgens Europol is met dit totale aantal decrypties 8 miljoen euro aan losgeld onthouden aan internetcriminelen. Tussen maart 2016 en maart 2017 steeg het aantal besmettingen met ransomware met ruim 11 procent ten opzichte van de twaalf maanden daarvoor.

In totaal biedt het project nu meer dan 54 verschillende decryptietools aan, die kosteloos kunnen worden ingezet tegen 104 verschillende soorten ransomware. Het initiatief werd op 25 juli 2016 opgezet door de Nederlandse Politie, Europol, McAfee en Kaspersky Labs. In april voegden de Belgische federale politie en het Centrum voor Cybersecurity België zich bij het initiatief.

In april had het project nog veertig decryptietools, waaronder bijvoorbeeld Bitdefender en Emsisoft. Toen waren er nog zo'n ruim 70 partners; inmiddels is dat aantal opgelopen naar 109. Enkele nieuwe partners zijn onder meer de universiteiten van Bournemouth en Porto en het Cyber Security Agency van Singapore. Ook hebben enkele wetshandhavende instanties uit Tsjechië, Griekenland, Hongkong en Iran zich aangesloten.

De gezamenlijke website van No More Ransom is in totaal sinds de oprichting door 1,3 miljoen unieke bezoekers bezocht. Tijdens de aanval door WannaCry, op 14 mei, werd de website door 150.000 mensen bezocht. De portal is beschikbaar in 26 verschillende talen.

Reacties (37)

Guru Evi 25 juli 2017 18:36

Waarom hebben we deze tools nodig? Om wat de ransomware achterlaat nog te laten staan? Omdat het teveel tijd kost om alles te herinstalleren? Je zet toch gewoon je backup terug en analyseert je beveiliging?

tweaker2010 @Guru Evi • 25 juli 2017 22:15

Als het zo simpel was, zou de wereldwijde impact van ransomware niet zo groot zijn.

[Reactie gewijzigd door tweaker2010 op 24 juli 2024 01:44]

Verwijderd @tweaker2010 • 26 juli 2017 00:18

Eerlijk gezegd vind ik dat Guru Evi een zeer goed punt maakt, en ik begrijp totaal (maar dan ook totaal) niet waarom deze afgestraft wordt in quotering. Meningmodden is een serieus probleem wat het aanvoeren van alternatieve meningen beknot.

Ik ga zelfs nog een stuk verder dan Guru Evi: Encryptie zou in eerste instantie gewoon al niet mogelijk mogen zijn en decryptie zou gewoon overbodig moeten zijn. Het besturingssysteem verzaakt in veel van zulke gevallen de gebruiker te beschermen tegen zichzelf. UAC was een paar jaar geleden nog een controversiële oplossing, waar ik veel (véél) meer van verwacht had. Een mens kan onmogelijk via een GUI meer dan 100 bestanden per minuut versleutelen. Vanaf dat een script zoiets uitvoert (of jij zou een ZIP actie willen uitvoeren van meer dan 100 bestanden, met een paswoord), zou het OS dat moeten opmerken en er expliciet toestemming voor vragen of dat verder uitgevoerd mag worden. Of zouden programma's zoals WinZip een soort van "rapportage" moeten doen aan het OS dat zulke actie gevraagd werd. Een voorbeeld is Javascript in een browser die er te lang over doet en die je kan onderbreken. Op OSX vind ik LittleSnitch een goed voorbeeld voor netwerkverkeer, echter niet eenvoudig genoeg in configuratiemogelijkheden voor de gemiddelde gebruiker.

Sandboxen die hele handel, menselijk mogelijke handelingen matchen en snel een beetje graag. Backups zoals TimeMachine, maar dan nóg frequenter zodat er meteen een snapshot van een paar minuten ervoor kan terug gezet worden. Als het dan nog eens misloopt, telkens dezelfde snapshot terugzetten, de rapporten analyseren en patronen zoeken tot het verantwoordelijke script of de initiële code gevonden werd en die vanaf dan preventief blokkeren, net zoals bij virussen reeds gebeurt momenteel. Dat duurt misschien enkele minuten, maar je bent véél minder files kwijt en je kan (time is money) veel sneller terug aan de slag.

Oja, op de Tweakers bijeenkomst in Antwerpen heeft de ICT verantwoordelijke van Colruyt overigens nog heel duidelijk gezegd dat zij ervan uitgaan dat er een ransomware zou kunnen plaatsvinden in plaats van die proberen te voorkomen. Exact dezelfde methode die Guru Evi beschrijft.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 01:44]

dehardstyler @Verwijderd • 26 juli 2017 08:04

Of zouden programma's zoals WinZip een soort van "rapportage" moeten doen aan het OS dat zulke actie gevraagd werd.

En wat weerhoud een hacker om deze zelfde functie aan te roepen? Heb je straks ransomeware die via WinZip loopt....

Verwijderd @dehardstyler • 26 juli 2017 18:13

Een UAC overlay impliceert dat fysiek het paswoord van de gebruiker ingegeven dient te worden. Dat irritante scherm waarbij ze weeral om je wachtwoord vragen, wat op OSX bijvoorbeeld redelijk goed uitgevoerd is (unix based integratie).

gamemaster676 @Verwijderd • 26 juli 2017 13:00

Meningmodden moet zeker wegblijven, maar ik heb wel een paar opmerkingen op jouw bericht:

Een mens kan onmogelijk via een GUI meer dan 100 bestanden per minuut versleutelen.

Waar haal je een kreet als dit vandaan? Als ik 200 foto's in een open en in een encrypted scherm van winrar sleep, dan worden deze allemaal versluiteld via de GUI. Daarnaast maken de meeste GUI's gewoon gebruik van script onder water. De GUI is namelijk alleen een Graphical interface om dezelfde functies aan te roepen.

Vanaf dat een script zoiets uitvoert [...], zou het OS dat moeten opmerken en er expliciet toestemming voor vragen of dat verder uitgevoerd mag worden. Of zouden programma's zoals WinZip een soort van "rapportage" moeten doen aan het OS dat zulke actie gevraagd werd.

Maar wie zegt dat de encryptie of zip functionaliteit van windows gebruikt wordt, en niet een andere tool gebruikt wordt, die toevallig niet rapporteerd aan het OS? Dit kan zelfs door de virus makers uit een bestaand programma gesloopt worden.

Een voorbeeld is Javascript in een browser die er te lang over doet en die je kan onderbreken.

In dit geval is Javascript een standaard waar alle browsers zich aan houden. Het is de browser zelf die de code verwerkt, en dus ook de browser zelf die de code kan afbreken.
Windows kan wel herkennen dat een programma niet reageert, maar zien wat dat programma aan het doen is is veel lastiger, omdat er veel meer programmeer talen zijn, er programma's zijn die live code uitvoeren (bijv. python), of programma's zijn die opdrachten van een child programma uitvoeren.

Snapshots terugzetten [...]

Ik weet niet precies hoe je dit stuk bedoelt, maar als echt elke paar minuten een snapshot gemaakt moet worden, dan zal dat waanzinnig veel schijfruimte kosten. De meeste mensen hebben niet zoveel geld voor hardeschijven of SSD's over. Dat is natuurlijk hun eigen fout, maar dat was het in het vorige geval ook al.

Verwijderd @gamemaster676 • 26 juli 2017 18:38

Ik bedoel net dat als er zoiets gevraagd wordt aan de HDD/SSD, zou het OS dat moeten opmerken en vragen via UAC of die actie mag doorgaan. Net zoals LittleSnitch dat doet voor netwerkverkeer.

Windows moet enkel in de gaten houden hoeveel files een programma wil openen of open heeft staan. Als ik een macro wil uitvoeren die X aantal excel files wil gaan manipuleren, moet ik daar expliciet mijn paswoord voor ingeven. Als jij plots tijdens het werken zo'n vraag krijgt, zonder dat jij zulke vraag hebt gesteld... Dan weet je dat er iets of iemand die vraag in jouw plaats gesteld heeft.

Je argument over de snelheid is inderdaad een terecht punt. Vooral mensen die met veel en grote bestanden werken, zouden hier last mee hebben. Maar ik durf te stellen dat 90% van de mensen slechts enkele Word en Excel files hanteert per tijdseenheid waarbij dat probleem zich niet stelt.

gamemaster676 @Verwijderd • 27 juli 2017 12:27

Ik begrijp uit dit bericht dat het OS dit in de gaten moet houden, maar de security setting wel uit te schakelen moet zijn voor bedrijven of gevorderde gebruikers die weten wat ze doen.

In dat geval krijg je dezelfde situatie die nu al veel teveel gebeurd. Zodra een gebruiker een irritante melding uit kan schakelen, zal hij dat doen.
Kijk naar alle gebruikers die zien dat de antivirus een bestand blokkeert, en in plaats van dat ze het bestand weggooien, zetten ze de antivirus uit.

Helaas is het niet makkelijk een gebruiker tegen zichzelf te beschermen.

Verwijderd @gamemaster676 • 27 juli 2017 15:01

Dat klopt inderdaad, spijtig genoeg...

Verwijderd @Verwijderd • 26 juli 2017 13:22

Een mens kan onmogelijk via een GUI meer dan 100 bestanden per minuut versleutelen.

Control-A
Right click
Advanced
Encrypt contents

Lukt mij toch echt wel binnen 4 seconden hoor. Probeer het zelf maar eens, je zal verbaasd zijn.

Verwijderd @Verwijderd • 26 juli 2017 18:20

Je hebt de volgende zin niet gelezen:

Vanaf dat een script zoiets uitvoert (of jij zou een ZIP actie willen uitvoeren van meer dan 100 bestanden, met een paswoord), zou het OS dat moeten opmerken en er expliciet toestemming voor vragen of dat verder uitgevoerd mag worden

Ik bedoel dus dat je bij zulke actie eerst het scherm krijgt waarin je je beheerderswachtwoord moet opgeven, zoals in OSX voorkomt als je een programma wil installeren. Een gewenste actie tot encrypteren mag inderdaad niet vanzelfsprekend (meer) zijn en zou meer moeite moeten kosten. Dat is één van de nadelen om het ongewenst encrypteren tegen te gaan en menselijk gedrag te leren onderscheiden van malafide scripts die "zich voordoen als de gebruiker".

MSalters

Nederland

@Verwijderd • 26 juli 2017 12:52

Twekaers zouden 't moeten weten: computers zijn niet magisch. Bestanden encrypten is geen magie. Het is simpelweg een read-transform-write. Maar dat is het toevoegen van een image tag aan een .JPG ook. Het OS kan simpelweg niet automatische detecteren wat een redelijke operatie is, en wat niet.

Je idee over "frequente backups" is niet gek, maar er zijn betere implementaties bekend. Je wil simpelweg elke versie van elk bestand beschikbaar houden. Dat is minder radicaal dan je denkt - source code versioning systems zoals Git doen dat al lang. En ik heb al met professionele systemen gewerkt die zo'n filesysteem hadden. Had je zelfs handige in-filesystem trucjes zoals ".yesterday/README.txt" wat de naam was van README.txt zoals je die gisteren had.

Verwijderd @MSalters • 26 juli 2017 18:33

Wel als dit op X aantal files tegelijk of binnen een bepaalde tijdspanne gebeurt denk ik. Je hebt helemaal gelijk dat het onderscheid maken tussen redelijke operaties en ongewenste moeilijk is, vooral als er bewuste wachttijden ingebouwd worden in zo'n script (bijvoorbeeld). Dat is dan ook waarom ik zulke software nog niet zelf geschreven heb

Maar ik denk dat het in de richting van LittleSnitch kan ontwikkeld worden.

Klopt, ik was ook aan Git aan het denken in mijn achterhoofd. Je gaat altijd mensen hebben die met veel en grote bestanden werken (bijvoorbeeld een filmeditor ofzo), waarbij de snelheid (zoals @gamemaster676 terecht argumenteert) een issue kan zijn. Maar ik denk dat 90% van de huishoudelijke toestellen niet tot die groep behoren en maar een beperkt aantal documenten verwerkt per tijdspanne.

Welk(e) file system(s) bedoel je?

MSalters

Nederland

@Verwijderd • 27 juli 2017 09:27

Zelfs voor privé-gebruik is het niet ongebruikelijk om 500+ foto's te taggen als "Zomervakantie 2017". Dan wil je niet meteen die tagging applicatie als virus aanmerken.

Verwijderd @MSalters • 27 juli 2017 09:34

Inderdaad, maar voor zulke acties zou je dus telkens je wachtwoord moeten ingeven, of een melding op je smartphone krijgen of één van je andere toestellen ofzo. Lastiger, maar veel veiliger/zekerder dat er geen scripts actief zijn die het in jouw plaats doen.

Misschien kan dan ook een onderscheid gemaakt worden tussen de structuur, inhoud en (ID3) tags van een file, waardoor bepaalde flags pas alarmbellen doen afgaan als ze iets fundamenteel wijzigen. Als een bestand versleuteld wordt, is de originele inhoud van de file volledig veranderd en kan dit vergeleken worden met de vorige versie die het OS kent. Waarvoor een backupsysteem ingebouwd dient te zitten weliswaar, zie mijn antwoord hieronder bij @Lefty_BlueHand.

Ik denk dat het voor de gebruiker op die manier iets "lastiger" wordt om zulke acties uit te voeren, maar niet véél lastiger en een manier om ransomware echt tegen te gaan.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 01:43]

Lefty_BlueHand @Guru Evi • 26 juli 2017 07:36

"Je zet toch gewoon je backup terug" Je zult versteld staan hoeveel mensen geen backups maken van hun belangrijke bestanden. Sterker nog veel mensen weten niet eens hoe het moet

Verwijderd @Lefty_BlueHand • 26 juli 2017 18:42

Ook dit dient ingebouwd te zitten in het OS. Indien je geen externe hebt of wil hebben, desnoods op een aparte partitie ofzo. Hoe precies weet ik niet, maar de gebruiker hoeven niet te weten hoe het moet. Dat dient op de achtergrond automatisch te gebeuren.

Lefty_BlueHand @Verwijderd • 27 juli 2017 19:30

Helemaal mee eens

gjmi @Guru Evi • 26 juli 2017 09:37

Ja, dan ga je er van uit dat iedereen een backup heeft. En snapt hoe je je beveiliging analyseert. In Nederland zijn dat misschien 5% van de computergebruikers die dat kunnen.

Helaas zijn heel veel mensen zich daar niet van bewust of zijn niet handig genoeg om de gemiddelde backup software te begrijpen. Laat staan het terugzetten van data, vooral onder Windows.

Vee backup programma's doen alleen een backup van je data. Software en soms bepaalde settings van software moet je zelf opnieuw installeren. En dan een backup van je data terugzetten werkt ook niet feilloos. Bepaalde software maakt bij installatie unieke id's aan die anders zijn bij een volgende installatie.

Ik hou daarom een 1 op 1 kopie van de systeemschijf en een extra kopie van data.

Wat dat betreft werkt het op een mac met timemachine 100x beter. Schone installatie en daarbij aangeven waar je backup staat, that's it. En alles, maar dan ook alles is exact zoals je het had, binnen een uur (afhankelijk van de hoeveelheid data die je hebt natuurlijk). Een van de redenen waarom mijn volgende pc weer een mac word.

Trommelrem 25 juli 2017 17:25

Persoonlijk vind ik dat er veel meer energie moet worden gestoken in recoverysnelheid en vooral het creeeren van awareness omtrent recoveryprocedures. Wij hebben inmiddels drie ransomwareaanvallen gehad. Alledrie hadden wij overigens kunnen voorkomen met betere voorbereiding en betere software restriction policies, maar dat terzijde. Bij de eerste aanval duurde de recovery gewoonweg te lang (bijna 8 uur). Bij de laatste aanval was de recoverytijd wel kort genoeg: In een kwartier tijd is bijna 1,5 TB aan encrypted bedrijfsdata teruggezet.

Als ransomwarebedrijven slim zijn, dan vragen ze niet meer honderden euro per bestand. Ze moeten het bedrag per bestand laag houden, zodat het goedkoper is om de sleutel te kopen dan om een backup terug te zetten. Bijvoorbeeld een cent per bestand. Alsnog pure winst voor de ransomwareschrijvers, maar slachtoffers zullen dan wel overgaan tot betaling omdat het ineens betaalbaar is om je bestanden terug te krijgen.

[Reactie gewijzigd door Trommelrem op 24 juli 2024 01:44]

jur. @Trommelrem • 25 juli 2017 18:11

Nooit onderhandelen of wat dan ook met dergelijke criminelen, dan wordt de hoeveelheid aanvallen alleen maar meer omdat het een goed verdienmodel blijkt te zijn!

skelleniels @Trommelrem • 25 juli 2017 18:52

Heb je het nu over 3 aanvallen op hetzelfde (bedrijfs)netwerk of bij 3 verschillende? Ik hoop ook dat je met recovery bedoeld, het terugzetten van de backup en niet het effectief tot betaling overgaan of eventueel 1 van de decryptietools te moeten gebruiken!

RJWvdH @Trommelrem • 25 juli 2017 19:54

ransomwarebedrijven???

theobril @RJWvdH • 25 juli 2017 22:37

ze zullen geen CAO of zwangerschapsverlof hebben, maar ik neem aan dat je voor een mooie aanval toch een aantal mensen verenigd hebt, dwz een bedrijf?

mysticyx @theobril • 26 juli 2017 14:32

Jij noemt een groep criminelen een bedrijf?!

MrFax @Trommelrem • 25 juli 2017 20:38

Ramsomwareaanvallen noem je toch alleen zo als het van buitenaf gexecuteerd is? De meeste ramsomware tot nu toe is dermate van phishing of andere viruslinks gegaan.

Devedse 25 juli 2017 22:00

Hoe werken deze decryptie tools eigenlijk? Hoe kan je bestanden decrypten als de encryptie key niet meer op de computer van de gedupeerde te vinden is?

Eminus @Devedse • 25 juli 2017 22:23

theoretisch kan het met brute-force .. Maar met een fatsoenlijke sleutel ben je 'even' bezig.

soms worden sleutels ook reversed engineered uit de ransomware zelf en zijn ze dus wel degelijk op de machine aanwezig.

Jorgen 25 juli 2017 16:46

Zeer goed initiatief - dat ook nog eens laat zien dat we wel op allerlei vlak kunnen samenwerken als internationale samenleving. Ik heb ze gelukkig nog niet nodig gehad en hoop dat ook nog lang zo te houden.

Wel goed om te weten dat er een platform is waar je succesvol je computer kunt ontsleutelen. Mits ze de passende oplossing voor je specifieke probleem hebben natuurlijk.

Hulde!

Harrie_ @Jorgen • 25 juli 2017 17:01

Tjah, op zich natuurlijk hartstikke goed al denk ik dat we dit soort berichtgeving vanuit de politie wel met een korreltje zout kunnen nemen...
Uiteindelijk gaat het dus om een website van waaruit wat algemene informatie wordt verschaft aan de gemiddelde digibeet burger met daarbij een verzameling van decryptietools.

Volgens Europol is met dit totale aantal decrypties 8 miljoen euro aan losgeld onthouden aan internetcriminelen.

Prachtig cijfer die 8 miljoen, de vraag is natuurlijk of:
• (een deel van) de slachtoffers zonder deze site toch niet in staat zou zijn om de juiste decryptietool te vinden, bijv. via google
• of de slachtoffers hoe dan ook dat losgeld zouden betalen als zij hun bestanden niet konden decrypten m.b.v. een tool

3raser @Harrie_ • 25 juli 2017 17:16

Dus jij gaat liever op zoek naar onbekende tools van vreemde websites om je computer te ontsleutelen dan dat je de tools van een betrouwbare bron kunt downloaden zonder er naar te hoeven zoeken?

Harrie_ @3raser • 25 juli 2017 17:50

Nee hoor. Als je mijn bericht nog eens leest zul je ook zien dat ik dat helemaal niet zeg, je verdraait nu gewoon mijn woorden. Mijn punt is dat die zogenaamde 8 miljoen euro een beetje een nepgetal is omdat er vanuit de berichtgeving wordt gesteld dat mensen zonder die website geen recoverytool hadden kunnen vinden èn het losgeld betaald zouden hebben, wat natuurlijk gewoon niet waar is.

Verwijderd @Harrie_ • 25 juli 2017 18:13

Er had nog ergens het woord potentieel tussen gemoeten, tot zover ben ik het met je eens. Maar echt onjuist is het ook niet.
Als mensen een adequate backup hebben kan je er wel een beetje van uit gaan dat die is aangesproken dus de mensen die zich bezigen met het vinden van een decyptietools zullen over het algemeen genomen wel een beetje in de rats zitten.
De sprong naar het betalen van dat ransom is dan niet zo groot meer.

Dat gezegd hebbende is het informatie waar je inhoudelijk verder weinig aan hebt en dient het alleen ter verleuking van de feiten/het artikel.

Vlizzjeffrey 25 juli 2017 17:23

die 8 miljoen is vast berekend op dat alle geinfecteerde het bedrag zouden betalen, klopt niets van

RoestVrijStaal 25 juli 2017 17:20

28 000 van de totale hoeveelheid geïnfecteerde computers?

Er wordt nu wel met één cijfer rondgeslingerd maar het zegt op zichzelf niet veel.

metallicelmo 26 juli 2017 10:22

Stomme vraag misschien maar hoe kan je "aangevallen" worden? Ik heb zo'n ransomware / encryptie virus nog nooit vanzelf zien binnen komen, naar mijn idee worden zulke virussen 100% door de eindgebruikers zelf geopend.

jimbo123 @metallicelmo • 26 juli 2017 10:34

Meestal komt het via mail binnen en wordt het inderdaad door gebruikers zelf geopend.
Maar 100% is dat zeker niet.

Het kan ook gebeuren dat een andere gebruiker in het netwerk het virus opent en dat het zichzelf vervolgens via (SMB) exploits verspreid in het netwerk. Vooral systemen waarbij updates ontbreken zijn dan vatbaar.

Daarnaast kan het ook nog gebeuren dat je besmet wordt door gewoon nu.nl te bezoeken. Een advertentienetwerk is wel eens vaker gehackt en dan kunnen advertenties op websites ook zoeken naar vulnerabilities op je pc. Je klikt dan zelf niets aan. Wel ben je in zo'n geval vaak een beetje out-of-date met je software versies. In het geval van een 0-day exploit ga je echter gewoon nat, tenzij je een virusscanner zoals Sophos Intercept-X gebruikt waarbij er zonder definities toch tegen ransomware beschermd kan worden.

Op dit item kan niet meer gereageerd worden.

Antiransomwareproject heeft na een jaar minimaal 28.000 computers ontsleuteld

Lees meer

Reacties (37)

Sorteer op:

Weergave: