BitDefender maakt ontsleuteltool voor laatste GandCrab-ransomware beschikbaar

Beveiligingsbedrijf Bitdefender heeft een nieuwe decryptor beschikbaar gemaakt voor de GandCrab-ransomware. Met de tool kan ook ransomware met versie 5.2 ontsleuteld worden. Dat is de laatste versie van de gijzelmalware.

De tool wordt gratis aangeboden op de BitDefender-website, maar ook via NoMoreRansom, het samenwerkingsverband tussen bedrijven en opsporingsdiensten waar meerdere ransomware-ontsleutelaars worden aangeboden.

BitDefender had al decryptors voor GandCrab, maar die werkten alleen op oudere versies van de ransomware tot 5.1. De nieuwe decryptor werkt ook voor versie 5.2, de laatste en meest recente. Eerder deze maand maakte de groep achter de ransomware bekend te stoppen met de verdere ontwikkeling en verspreiding ervan.

Als er geen nieuwe versie van GandCrab meer wordt ontwikkeld, kunnen dus alle slachtoffers worden geholpen. De makers van de ransomware waren constant bezig nieuwe versies te maken waar beveiligingsbedrijven mee werden afgetroefd. Slechts een maand nadat de decryptor voor GandCrab 5.1 uitkwam brachten de ontwikkelaars 5.2 uit.

GandCrab-tijdlijn

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 17-06-2019 10:5755

17-06-2019 • 10:57

55 Linkedin

Lees meer

Regionale en landelijke politie-eenheden beginnen ransomware-taskforce Nieuws van 11 maart 2021
FBI pakt verdachte op die Tesla wilde hacken met hulp van werknemer Nieuws van 28 augustus 2020
Wit-Rusland pakt mogelijke distributeur van ransomware-as-a-service GandCrab op Nieuws van 3 augustus 2020
Bedrijven en instanties beginnen No More Ddos-website om aanvallen te voorkomen Nieuws van 11 juni 2020
Ransomwarecriminelen beloven gezondheidsorganisaties niet aan te vallen Nieuws van 20 maart 2020
Politie helpt ruim 300 Nederlanders met ontsleutelen van Gandcrab-ransomware Nieuws van 15 augustus 2019
Opnieuw betaalt Amerikaanse stad losgeld na ransomware-infectie Nieuws van 26 juni 2019
Nederlandse politie gaat onlineaangifte ransomware mogelijk maken Nieuws van 14 juni 2019
NCTV: kans op maatschappelijke ontwrichting door afhankelijkheid technologie Nieuws van 12 juni 2019
Makers van Gandcrab stoppen met verspreiden ransomware Nieuws van 3 juni 2019
Hackers vragen losgeld voor gijzelen 12.000 openbare MongoDB-databases Nieuws van 17 mei 2019
Microsoft komt met patch voor Windows 7 en XP om 'nieuwe WannaCry' te voorkomen Nieuws van 15 mei 2019
Ransomwareaanvallen op bedrijven stegen vijfhonderd procent sinds vorig jaar Nieuws van 26 april 2019
Meer producten en artikelen
Networking en security Bitdefender Ransomware Security

Reacties (55)

-Moderatie-faq
55
54
34
4
0
13
Wijzig sortering
Dostar
17 juni 2019 11:25
Het fijne aan Bitdefender Antivirus zelf is de Ransomware protection functie. Deze kan Ransomware aanvallen blokkeren, dus ook nieuwere nog onbekende vormen (aldus Bitdefender). Of het daadwerkelijk echt zo goed werkt weet ik niet, ik heb zelf nog geen aanval meegemaakt.
Wat het wel netjes blokkeert zijn apps en games die wijzigingen wil aanmaken in mappen zoals mijn documenten en appdata map. Deze kun je gelukkig wel makkelijk whitelisten.
Ook wil deze bescherming graag diverse encryptietools blokkeren. Tevens te whitelisten.

Verder tof om te zien dat er steeds meer anti Ransomware tools en sleutels verschijnen, zo ook via de Politie (via nomoreransom website). Maar het blijft natuurlijk dwijlen met de kraan open.
imqqmi
@Dostar17 juni 2019 13:47
Het lijkt te werken. Ik heb met de sysinternals sdelete een serie bestanden gedelete met de -s optie (recursive) en na een stuk of 10 bestanden werd deze geblokkeerd, en de 10 bestanden waren voor het deleten (en overschrijven) in de kluis opgeslagen en konden worden gerestored. Pas nadat ik sdetete op een whitelist had gezet kon ik de bestanden opruimen.
Sdelete overschrijft, net als ransomware bestanden met andere inhoud over meerdere bestanden dmv van een directory walk algoritme. Daarna worden de bestanden verwijderd (ransomware doet dat niet overigens).
Ik weet niet of ransomware de mogelijkheid heeft om het besturingssystem te omzeilen om zo ongedetecteerd naar de harddisk te schrijven, wellicht dmv een bios/uefi infectie. Met lekke (microcode) processors is het niet ondenkbaar in ieder geval.

Een 'diep' offline backup of een online backup met version control blijft aan te raden.

[Reactie gewijzigd door imqqmi op 17 juni 2019 13:48]

Dostar
@imqqmi17 juni 2019 13:49
Heb je dit getest met Bitdefender of met Windows Defender? Tof dat je de boel even wil testen voor mede Tweakers :)
imqqmi
@Dostar17 juni 2019 14:02
Met BitDefender. Geen moeite :)
Emin3m
@Dostar17 juni 2019 12:11
Windows Defender heb dit ook. Werkt top!
Dostar
@Emin3m17 juni 2019 12:23
Dat wist ik niet, was enkele jaren geleden overgestapt naar een betaalde antivirus. Toen Defender nog niet echt je van het was. Heb je weleens meldingen gehad (ook false positives zoals ik heb met sommige games die save data willen aanmaken)? Dan werkt het namelijk (iets te) goed. Maar het geeft wel een veilig gevoel.
Emin3m
@Dostar17 juni 2019 12:26
Ja dat heb je ook, heel simpel ga je naar "een app toestaan via Controlled Folder access" en dan onlangs geblokkeerde apps toevoegen.

In de tijd van Windows 7 was het niks, maar sinds afgelopen 2 jaar is Windows Defender echt een top product geworden. Niet alleen controlled folder access tegen ransomware maar ook geheugenintegriteit

https://www.safetydetecti...-defender-enough-for-you/

[Reactie gewijzigd door Emin3m op 17 juni 2019 12:28]

dredger
@Emin3m17 juni 2019 12:51
Bedankt voor de tip, heb nu nog bitdefender licentie voor een paar jaar, maar als dit zo lees is verlenging niet meer nodig na afloop. Zal wel even op zoek moeten naar een waardige vervanger voor de paswoord manager, die van bitdefender werkt in mijn ogen top.
b4mb03
@dredger17 juni 2019 13:08
1Password is een fijne password manager!
dredger
@b4mb0317 juni 2019 13:12
Top, ik ga eens kiekn
b4mb03
@dredger17 juni 2019 13:13
Ik ben benieuwd hoe je ervaringen hiermee zijn! Zelf gebruik ik dit op Windows en Android. De app 1Password is te verkrijgen voor zowel Windows, Android als iOS devices _/-\o_
walteij
@dredger17 juni 2019 14:15
Ik gebruik KeePass.
Mijn KeePass database staat op OneDrive, die met MFA is beveiligd.
Vervolgens zit er op de database een key-file en een wachtwoord van > 24 karakters, welke ik wel relatief eenvoudig kan onthouden.

De key-file heb ik op een USB stick staan, die ik altijd bij me heb, maar ook op een compleet andere locatie.
Op mijn telefoon kan ik de database openen via Keepass2Android
Op mijn PC's kan ik een (portable) keepass gebruiken.
Dostar
@Emin3m17 juni 2019 12:43
Voorheen was ik gewend met Defender dat je een virus waarschuwing kreeg, maar dat het kwaad dan al geschied was. Dus Defender foutmeldingen gaf bij verwijderen van betreffende virus of gewoon helemaal niet meer werkte. Toen draaide ik nog Defender, Malwarebytes, Spybot en Hitman Pro naast elkaar om gratis toch een beetje bescherming te hebben.
In sommige situaties was het nodig om een bootdisk met anti virus oplossing te draaien of zelfs Windows 7 geheel opnieuw te installeren.
Was dan vooral het geval bij vrienden en familie die ik zo nu en dan PC hulp aanbood. Heb zelf maar 1 of 2 keer een virus gehad. 1 keer via Sourceforge toen dat bedrijf overgenomen was en rommel mee leverde met hun installers.
Blij dat Defender nu wat volwassener is geworden.
rko4u
@Emin3m17 juni 2019 13:05
In het verleden heb ik hele slechte ervaringen met Windows defender opgedaan.
Bedoel je met 'werkt top' dat je reeds enkele aanvallen hebt overleefd of dat je nog nooit iets van ransomware gemerkt hebt? (no offence, just curious)
Emin3m
@rko4u17 juni 2019 13:07
In het verleden. Ik heb het over nu. Het was echt ruk en geen antivirusprogramma te noemen . Ransomware kan simpelweg niet binnendringen met controlled folder access en kernisolatie.

[Reactie gewijzigd door Emin3m op 17 juni 2019 16:30]

Dostar
@Emin3m17 juni 2019 13:47
Precies dit, het verleden.
Wat je al eerder aan gaf is dat in het Windows 7 tijdperk Defender een lachertje was. Ook iets teveel false positives en te weinig echte virus herkenning.
Stel ik zou op den duur van Bitdefender afstappen om kosten te besparen, raad jij dan aan om een second opinion tool (bijv Malwarebytes) te draaien naast Defender? Of is Defender in combinatie met goed verstand voldoende tegenwoordig?
Emin3m
@Dostar17 juni 2019 13:49
Ikzelf doe geen andere software ernaast draaien om mijn systeem zo schoon mogelijk te houden. Gratis versie van malwarebytes kan je ernaast draaien om je veilige gevoel te bevredigen, maar of het daadwerkelijk beter is als second tool geloof ik niet.
MrMonkE
17 juni 2019 11:00
Hoe weten ze de sleutel, staat die ergens op het systeem ofzo?
Dacht dat ze die random genereerden en naar een 'control server' stuurden.
walteij
@MrMonkE17 juni 2019 11:16
De betere ransomware genereert inderdaad willekeurige keys.
De slechtste ransomware maakt maar gebruikt van 1 key.

Dan zitten er nog genoeg varianten tussenin (dus met een beperkte keyset).

Ook is het natuurlijk mogelijk dat het pattern waarmee de keys worden gegenereerd niet random is, of dat het algoritme fouten bevat, waardoor de random key ineens niet meer zo random is.
MrMonkE
@walteij17 juni 2019 11:20
Dank je voor je toelichting.
Het is allemaal niet zo permanent als ik dacht die crypto dingen, ik zal -mocht ik ooit slachtoffer worden of iemand moeten helpen- zeker een image bewaren met de hoop dat BitDefenders van deze wereld redding bieden. Tot nu toe was mijn beoogde plan in een dergelijk scenario formatteren.
vrow
@MrMonkE17 juni 2019 12:31
Het is beter die image van tevoren te maken, bijvoorbeeld elke avond een incrementele :+
Anoniem: 310408
@vrow17 juni 2019 13:01
Pas op he, veel ransomware gaat na besmetting weken in slaap totdat alle backups ook besmet zijn.
vrow
@Anoniem: 31040817 juni 2019 14:16
Dat kan wel, maar dan staan er in die backup nog altijd onversleutelde bestanden.
Wellicht moet je je OS dan herinstalleren, maar de Word-documenten en dergelijke zullen altijd onversleuteld zijn.
RMvanDijk
@vrow17 juni 2019 15:25
Maar dat hoeft dus niet volgens mij, zolang de bestanden versleuteld zijn, kun je ze met de key nog wel openen.misschien dat de PC dan iets langer over dingen doet maar ik denk dat dat veelal niet opvalt tenzij het erg grote bestanden zijn

Je backup is dan van de versleutelde bestanden en na x tijd wordt de key verwijderd en kun je niks meer.
Al je bestanden in de backup zijn dan ook niet meer leesbaar, mits x lang genoeg was om je oudste backup ook geraakt te hebben.
vrow
@RMvanDijk17 juni 2019 21:55
Zijn er al echt virussen die op deze manier te werk gaan?

Maar je zou dan altijd ook een backup hebben moeten van een werkende situatie, al dan niet met het virus op de achtergrond als een soort Veracrypt dynamisch bestanden versleutelend en ontsleutelend. Als je die backup herstelt naar een pc toe waarvan je de datum achteruit zet en geen internet, dan zou in theorie dat virus toegang geven ofwel staat de key ergens in leesbare vorm op de hdd. Het virus vraagt jou tenslotte niet om de key in te voeren tijdens het booten dus hij moet in leesbare vorm ergens in de bootsector of equivalent staan. Ergo dan kan er een decrypter voor komen, toch?
RMvanDijk
@vrow18 juni 2019 10:01
Ik ben geen expert op het gebied maar wat ik hoorde was er minstens 1 van die dingen die actief achter je backups aanging, volgens mij SamSam.
Dat er een decryptor voor kan komen zal best, maar tot die tijd zit je met al je backups die ook waardeloos zijn. Waar het de encryptiesleutel heeft of vandaan haalt weet ik niet maar is dat niet waar die C&C servers voor zijn?
Saven
@MrMonkE17 juni 2019 12:21
Nou ja, het is in principe wel permanent. Je hebt alleen heel veel geluk als er toevallig iemand een 'master key' tevoorschijn weet te toveren. En ook dan kan dat pas na een jaar zijn, waardoor je alles al hebt opgegeven en maar hebt verwijderd.
sumac
@walteij17 juni 2019 14:57
Als je keys gaat genereren, waarom zou je dan geen PGP daarvoor gebruiken? Zou dit dan nog mogelijk zijn, of is dat complex te realiseren?
walteij
@sumac17 juni 2019 15:11
PGP op een Windows machine is meteen iets moeilijker (PGP downloaden en installeren). Dus daarmee vergroot je de kans op ontdekking voordat je de malware alles heeft uitgevoerd wat je wil doen.
Daarnaast is het voor de mensen die dit willen doen ook wel stoer om te kunnen melden dat zij zelf een de encryptie algoritmes hebben geschreven. .

[Reactie gewijzigd door walteij op 17 juni 2019 15:12]

terracide
@walteij17 juni 2019 16:21
dat lijkt me niet handig als de key random is. Het is ransomware eh... hoe moet de maker nou weten wat de key is als deze random is. Hij moet het voor een paar bitcoins ook nog kunnen decrypten.
walteij
@terracide18 juni 2019 09:12
Vrij eenvoudig.
De besmette PC upload de encryption key naar een C&C server, C&C geeft een ID terug.
Het ID van de key wordt vervolgens getoond in het scherm dat aangeeft dat je bestanden encrypt zijn en dat dit ID gebruikt moet worden voor de bitcoin betaling.

Betaling uitgevoerd, ontvanger ziet de betaling met het bijbehorende ID, geeft op de C&C server dat specifieke ID vrij , waardoor deze wordt teruggestuurd naar de besmette PC en gaat de boel weer decrypten.
terracide
@walteij18 juni 2019 10:10
Ik snap hoe het technisch kan maar punt is dat malwaremakers niet willen linken naar servers en dergelijke waar ze sporen achterlaten. Ze willen niet te traceren zijn., en hoe goed je ook je best doet met vpns en het verwijderen van logfiles is een foutje snel gemaakt. Daarnaast wordt zo'n server binnen no-time in beslag genomen/over genomen en werkt dan niet meer. Meestal zijn c&c servers zelf geïnfecteerde servers van bedrijven die hier geen idee hebben.
useruser
@MrMonkE17 juni 2019 11:19
Een ontsleuteltool betekent niet perse dat ze de sleutel weten, het kan ook een gepatchte variant van de ransomware zijn, die de controle op key skipped en meteen naar decrypten gaat. Ik ken deze malware niet precies, maar als je met zoiets als IDA pro gaat kloten kun je zoiets soms nog wel voor elkaar krijgen.
Aaargh!
@useruser17 juni 2019 11:37
het kan ook een gepatchte variant van de ransomware zijn, die de controle op key skipped en meteen naar decrypten gaat.
Als je de foute key hebt dan is het gedecrypte resultaat onzin.
Kratos
17 juni 2019 11:00
En al dat gedoe omdat sommige bedrijven en mensen niet de laatste updates installeren :+
player-x
@Kratos17 juni 2019 11:44
De grootste aanval vector zit ongeveer 40cm voor het scherm, dat is de stompzinnigheid onwetendheid* van gebruikers die op een linkje in een email klikken, daar is geen IT policy tegen op gewassen.
*Edit: onwetendheid is een betere benaming dan dan het wel ver gaande stompzinnigheid

[Reactie gewijzigd door player-x op 17 juni 2019 13:09]

ADR3
@player-x17 juni 2019 11:53
Klopt, en dan heb je nog een tweede probleemgroep. Degene die zich veilig wanen zo lang ze maar geen verkeerde links aanklikken. Niet persoonlijk bedoeld maar puur ter aanvulling.
player-x
@ADR317 juni 2019 12:05
Dat is wel behoorlijk af te vangen in policy's, bij mij op werk worden alle html mails in eerste instantie als plain tekst weer gegeven, daarnaast wordt er een waarschuwing gegeven als een mail niet van een White List (o.a. al de bedrijven waar we zaken mee doen) afzender komt.
Emin3m
@player-x17 juni 2019 12:08
Een IT-er die de spamfilter in de gaten houdt is bij ons voldoende.
rko4u
@Emin3m17 juni 2019 13:00
Alsof ransomware alleen maar per mail binnenkomt! Het spamfilter is zeker belangrijk, maar niet gegarandeerd waterdicht.
Emin3m
@rko4u17 juni 2019 13:09
Ik reageerde op player x
dat is de stompzinnigheid van gebruikers die op een linkje in een email klikken, daar is geen IT policy tegen op gewassen.
Hij heeft het over de stompzinnigheid van gebruikers die op een linkje in een email klikken. Ik claim niet dat ransomware alleen per mail binnenkomt en ik zeg alleen dat het bij ons voldoende is. in afgelopen 10 jaar geen ransomware doorgelaten.
imqqmi
@Emin3m17 juni 2019 14:00
Ik denk dat drive by aanvallen (door het bezoeken van websites van twijfelachtige herkomst of geinfecteerde advertentie netwerken) de grootste bron van ellende is. Ad en script blockers kunnen hierbij goed helpen.

Verder zullen poortscanners, email, illegale downloads, via chat aangeboden uitvoerbare bestanden of geinfecteerde data bestanden grotendeels de rest van de infecties voor hun rekening nemen. Een realtime virus scanner en wellicht een VM om software eerst te testen kan ook helpen, hoewel vm's ook niet veilig zijn kan het toch een laagje van bescherming geven.
AnonymousWP
@Kratos17 juni 2019 11:03
Nou, dat is echt niet het enige hoor. Ransomware kan ook van Zero Days misbruik maken. Daar zijn dus nog helemaal geen patches voor. Enige wat je dan kan doen is onveilige protocollen uitschakelen zoals SMB-1.
TobiasS
@AnonymousWP17 juni 2019 11:08
Ransomware KAN zeker gebruik maken van zero days, maar hoeveel ransomware aanvallen kan jij opnoemen waar werkelijk zero-days misbruikt zijn. En geen (eeuwen) oude vulnerability?
useruser
@AnonymousWP17 juni 2019 11:14
Zerodays zijn veel te kostbaar om at random voor ransomware rond te strooien. Het gaat vrijwel altijd om bekende bugs die eenvoudig te verhelpen zijn door te patchen.
Emin3m
@AnonymousWP17 juni 2019 12:31
Hetgeen je zou moeten doen is Windows Defender instellen.
MrMonkE
@Kratos17 juni 2019 11:14
0-days en unknowns zijn gewoon een probleem.
Daar kun je niet tegen patchen.
Dat blijf je altijd houden.
Tgask
17 juni 2019 11:09
Even uit nieuwsgierigheid, wat is de pak-kans voor die gasten?

Als ik het zo lees dan zou je zeggen dat omscholen naar IT expert/programeur de moeiten waard is :|
DeDooieVent
@Tgask17 juni 2019 11:12
Ik denk niet dat een loonbaan opweegt tegen de inkomsten die ze hebben gegenereerd. En blijkbaar hebben ze weinig morele waarden die overeen komen met de algemeen geldende waarden, dus nee, ik denk niet dat die ambitie ze drijft.
MrMonkE
@DeDooieVent17 juni 2019 11:16
Het zijn de struikrovers van de 21e eeuw.
Dieven en boeven.
Wil jij die in dienst en op je interne infrastructuur?
Ik niet.
DeDooieVent
@MrMonkE17 juni 2019 11:20
Afhankelijk van mijn verdienmodel ;)
tapkcir
@MrMonkE17 juni 2019 12:51
Profiel voldoet wel voor de politiek van de 21e eeuw :).
Tgask
@DeDooieVent17 juni 2019 11:22
Dat een reguliere baan niet opweegt snap ik, anders zouden ze niet stoppen.
Al wil dat niet zeggen dat ze niet ergens in loondienst zijn...

Maar mijn vraag was hoe groot de kans is dat ze alsnog worden gepakt?
killerbie
17 juni 2019 14:53
Ik zal snel een nieuwe minimaal aangepaste versie maken, en deze verspreiden als 'unclocker'... vertrouw dit voor geen haar om eerlijk te zijn, toch niet op termijn.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee