Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

BitDefender maakt ontsleuteltool voor laatste GandCrab-ransomware beschikbaar

Beveiligingsbedrijf Bitdefender heeft een nieuwe decryptor beschikbaar gemaakt voor de GandCrab-ransomware. Met de tool kan ook ransomware met versie 5.2 ontsleuteld worden. Dat is de laatste versie van de gijzelmalware.

De tool wordt gratis aangeboden op de BitDefender-website, maar ook via NoMoreRansom, het samenwerkingsverband tussen bedrijven en opsporingsdiensten waar meerdere ransomware-ontsleutelaars worden aangeboden.

BitDefender had al decryptors voor GandCrab, maar die werkten alleen op oudere versies van de ransomware tot 5.1. De nieuwe decryptor werkt ook voor versie 5.2, de laatste en meest recente. Eerder deze maand maakte de groep achter de ransomware bekend te stoppen met de verdere ontwikkeling en verspreiding ervan.

Als er geen nieuwe versie van GandCrab meer wordt ontwikkeld, kunnen dus alle slachtoffers worden geholpen. De makers van de ransomware waren constant bezig nieuwe versies te maken waar beveiligingsbedrijven mee werden afgetroefd. Slechts een maand nadat de decryptor voor GandCrab 5.1 uitkwam brachten de ontwikkelaars 5.2 uit.

GandCrab-tijdlijn

Door Tijs Hofmans

Redacteur privacy & security

17-06-2019 • 10:57

55 Linkedin Google+

Reacties (55)

Wijzig sortering
Het fijne aan Bitdefender Antivirus zelf is de Ransomware protection functie. Deze kan Ransomware aanvallen blokkeren, dus ook nieuwere nog onbekende vormen (aldus Bitdefender). Of het daadwerkelijk echt zo goed werkt weet ik niet, ik heb zelf nog geen aanval meegemaakt.
Wat het wel netjes blokkeert zijn apps en games die wijzigingen wil aanmaken in mappen zoals mijn documenten en appdata map. Deze kun je gelukkig wel makkelijk whitelisten.
Ook wil deze bescherming graag diverse encryptietools blokkeren. Tevens te whitelisten.

Verder tof om te zien dat er steeds meer anti Ransomware tools en sleutels verschijnen, zo ook via de Politie (via nomoreransom website). Maar het blijft natuurlijk dwijlen met de kraan open.
Het lijkt te werken. Ik heb met de sysinternals sdelete een serie bestanden gedelete met de -s optie (recursive) en na een stuk of 10 bestanden werd deze geblokkeerd, en de 10 bestanden waren voor het deleten (en overschrijven) in de kluis opgeslagen en konden worden gerestored. Pas nadat ik sdetete op een whitelist had gezet kon ik de bestanden opruimen.
Sdelete overschrijft, net als ransomware bestanden met andere inhoud over meerdere bestanden dmv van een directory walk algoritme. Daarna worden de bestanden verwijderd (ransomware doet dat niet overigens).
Ik weet niet of ransomware de mogelijkheid heeft om het besturingssystem te omzeilen om zo ongedetecteerd naar de harddisk te schrijven, wellicht dmv een bios/uefi infectie. Met lekke (microcode) processors is het niet ondenkbaar in ieder geval.

Een 'diep' offline backup of een online backup met version control blijft aan te raden.

[Reactie gewijzigd door imqqmi op 17 juni 2019 13:48]

Heb je dit getest met Bitdefender of met Windows Defender? Tof dat je de boel even wil testen voor mede Tweakers :)
Met BitDefender. Geen moeite :)
Windows Defender heb dit ook. Werkt top!
Dat wist ik niet, was enkele jaren geleden overgestapt naar een betaalde antivirus. Toen Defender nog niet echt je van het was. Heb je weleens meldingen gehad (ook false positives zoals ik heb met sommige games die save data willen aanmaken)? Dan werkt het namelijk (iets te) goed. Maar het geeft wel een veilig gevoel.
Ja dat heb je ook, heel simpel ga je naar "een app toestaan via Controlled Folder access" en dan onlangs geblokkeerde apps toevoegen.

In de tijd van Windows 7 was het niks, maar sinds afgelopen 2 jaar is Windows Defender echt een top product geworden. Niet alleen controlled folder access tegen ransomware maar ook geheugenintegriteit

https://www.safetydetecti...-defender-enough-for-you/

[Reactie gewijzigd door Emin3m op 17 juni 2019 12:28]

Bedankt voor de tip, heb nu nog bitdefender licentie voor een paar jaar, maar als dit zo lees is verlenging niet meer nodig na afloop. Zal wel even op zoek moeten naar een waardige vervanger voor de paswoord manager, die van bitdefender werkt in mijn ogen top.
1Password is een fijne password manager!
Top, ik ga eens kiekn
Ik ben benieuwd hoe je ervaringen hiermee zijn! Zelf gebruik ik dit op Windows en Android. De app 1Password is te verkrijgen voor zowel Windows, Android als iOS devices _/-\o_
Ik gebruik KeePass.
Mijn KeePass database staat op OneDrive, die met MFA is beveiligd.
Vervolgens zit er op de database een key-file en een wachtwoord van > 24 karakters, welke ik wel relatief eenvoudig kan onthouden.

De key-file heb ik op een USB stick staan, die ik altijd bij me heb, maar ook op een compleet andere locatie.
Op mijn telefoon kan ik de database openen via Keepass2Android
Op mijn PC's kan ik een (portable) keepass gebruiken.
Voorheen was ik gewend met Defender dat je een virus waarschuwing kreeg, maar dat het kwaad dan al geschied was. Dus Defender foutmeldingen gaf bij verwijderen van betreffende virus of gewoon helemaal niet meer werkte. Toen draaide ik nog Defender, Malwarebytes, Spybot en Hitman Pro naast elkaar om gratis toch een beetje bescherming te hebben.
In sommige situaties was het nodig om een bootdisk met anti virus oplossing te draaien of zelfs Windows 7 geheel opnieuw te installeren.
Was dan vooral het geval bij vrienden en familie die ik zo nu en dan PC hulp aanbood. Heb zelf maar 1 of 2 keer een virus gehad. 1 keer via Sourceforge toen dat bedrijf overgenomen was en rommel mee leverde met hun installers.
Blij dat Defender nu wat volwassener is geworden.
In het verleden heb ik hele slechte ervaringen met Windows defender opgedaan.
Bedoel je met 'werkt top' dat je reeds enkele aanvallen hebt overleefd of dat je nog nooit iets van ransomware gemerkt hebt? (no offence, just curious)
In het verleden. Ik heb het over nu. Het was echt ruk en geen antivirusprogramma te noemen . Ransomware kan simpelweg niet binnendringen met controlled folder access en kernisolatie.

[Reactie gewijzigd door Emin3m op 17 juni 2019 16:30]

Precies dit, het verleden.
Wat je al eerder aan gaf is dat in het Windows 7 tijdperk Defender een lachertje was. Ook iets teveel false positives en te weinig echte virus herkenning.
Stel ik zou op den duur van Bitdefender afstappen om kosten te besparen, raad jij dan aan om een second opinion tool (bijv Malwarebytes) te draaien naast Defender? Of is Defender in combinatie met goed verstand voldoende tegenwoordig?
Ikzelf doe geen andere software ernaast draaien om mijn systeem zo schoon mogelijk te houden. Gratis versie van malwarebytes kan je ernaast draaien om je veilige gevoel te bevredigen, maar of het daadwerkelijk beter is als second tool geloof ik niet.
Hoe weten ze de sleutel, staat die ergens op het systeem ofzo?
Dacht dat ze die random genereerden en naar een 'control server' stuurden.
De betere ransomware genereert inderdaad willekeurige keys.
De slechtste ransomware maakt maar gebruikt van 1 key.

Dan zitten er nog genoeg varianten tussenin (dus met een beperkte keyset).

Ook is het natuurlijk mogelijk dat het pattern waarmee de keys worden gegenereerd niet random is, of dat het algoritme fouten bevat, waardoor de random key ineens niet meer zo random is.
Dank je voor je toelichting.
Het is allemaal niet zo permanent als ik dacht die crypto dingen, ik zal -mocht ik ooit slachtoffer worden of iemand moeten helpen- zeker een image bewaren met de hoop dat BitDefenders van deze wereld redding bieden. Tot nu toe was mijn beoogde plan in een dergelijk scenario formatteren.
Het is beter die image van tevoren te maken, bijvoorbeeld elke avond een incrementele :+
Pas op he, veel ransomware gaat na besmetting weken in slaap totdat alle backups ook besmet zijn.
Dat kan wel, maar dan staan er in die backup nog altijd onversleutelde bestanden.
Wellicht moet je je OS dan herinstalleren, maar de Word-documenten en dergelijke zullen altijd onversleuteld zijn.
Maar dat hoeft dus niet volgens mij, zolang de bestanden versleuteld zijn, kun je ze met de key nog wel openen.misschien dat de PC dan iets langer over dingen doet maar ik denk dat dat veelal niet opvalt tenzij het erg grote bestanden zijn

Je backup is dan van de versleutelde bestanden en na x tijd wordt de key verwijderd en kun je niks meer.
Al je bestanden in de backup zijn dan ook niet meer leesbaar, mits x lang genoeg was om je oudste backup ook geraakt te hebben.
Zijn er al echt virussen die op deze manier te werk gaan?

Maar je zou dan altijd ook een backup hebben moeten van een werkende situatie, al dan niet met het virus op de achtergrond als een soort Veracrypt dynamisch bestanden versleutelend en ontsleutelend. Als je die backup herstelt naar een pc toe waarvan je de datum achteruit zet en geen internet, dan zou in theorie dat virus toegang geven ofwel staat de key ergens in leesbare vorm op de hdd. Het virus vraagt jou tenslotte niet om de key in te voeren tijdens het booten dus hij moet in leesbare vorm ergens in de bootsector of equivalent staan. Ergo dan kan er een decrypter voor komen, toch?
Ik ben geen expert op het gebied maar wat ik hoorde was er minstens 1 van die dingen die actief achter je backups aanging, volgens mij SamSam.
Dat er een decryptor voor kan komen zal best, maar tot die tijd zit je met al je backups die ook waardeloos zijn. Waar het de encryptiesleutel heeft of vandaan haalt weet ik niet maar is dat niet waar die C&C servers voor zijn?
Nou ja, het is in principe wel permanent. Je hebt alleen heel veel geluk als er toevallig iemand een 'master key' tevoorschijn weet te toveren. En ook dan kan dat pas na een jaar zijn, waardoor je alles al hebt opgegeven en maar hebt verwijderd.
Als je keys gaat genereren, waarom zou je dan geen PGP daarvoor gebruiken? Zou dit dan nog mogelijk zijn, of is dat complex te realiseren?
PGP op een Windows machine is meteen iets moeilijker (PGP downloaden en installeren). Dus daarmee vergroot je de kans op ontdekking voordat je de malware alles heeft uitgevoerd wat je wil doen.
Daarnaast is het voor de mensen die dit willen doen ook wel stoer om te kunnen melden dat zij zelf een de encryptie algoritmes hebben geschreven. .

[Reactie gewijzigd door walteij op 17 juni 2019 15:12]

dat lijkt me niet handig als de key random is. Het is ransomware eh... hoe moet de maker nou weten wat de key is als deze random is. Hij moet het voor een paar bitcoins ook nog kunnen decrypten.
Vrij eenvoudig.
De besmette PC upload de encryption key naar een C&C server, C&C geeft een ID terug.
Het ID van de key wordt vervolgens getoond in het scherm dat aangeeft dat je bestanden encrypt zijn en dat dit ID gebruikt moet worden voor de bitcoin betaling.

Betaling uitgevoerd, ontvanger ziet de betaling met het bijbehorende ID, geeft op de C&C server dat specifieke ID vrij , waardoor deze wordt teruggestuurd naar de besmette PC en gaat de boel weer decrypten.
Ik snap hoe het technisch kan maar punt is dat malwaremakers niet willen linken naar servers en dergelijke waar ze sporen achterlaten. Ze willen niet te traceren zijn., en hoe goed je ook je best doet met vpns en het verwijderen van logfiles is een foutje snel gemaakt. Daarnaast wordt zo'n server binnen no-time in beslag genomen/over genomen en werkt dan niet meer. Meestal zijn c&c servers zelf geïnfecteerde servers van bedrijven die hier geen idee hebben.
Een ontsleuteltool betekent niet perse dat ze de sleutel weten, het kan ook een gepatchte variant van de ransomware zijn, die de controle op key skipped en meteen naar decrypten gaat. Ik ken deze malware niet precies, maar als je met zoiets als IDA pro gaat kloten kun je zoiets soms nog wel voor elkaar krijgen.
het kan ook een gepatchte variant van de ransomware zijn, die de controle op key skipped en meteen naar decrypten gaat.
Als je de foute key hebt dan is het gedecrypte resultaat onzin.
En al dat gedoe omdat sommige bedrijven en mensen niet de laatste updates installeren :+
De grootste aanval vector zit ongeveer 40cm voor het scherm, dat is de stompzinnigheid onwetendheid* van gebruikers die op een linkje in een email klikken, daar is geen IT policy tegen op gewassen.
*Edit: onwetendheid is een betere benaming dan dan het wel ver gaande stompzinnigheid

[Reactie gewijzigd door player-x op 17 juni 2019 13:09]

Klopt, en dan heb je nog een tweede probleemgroep. Degene die zich veilig wanen zo lang ze maar geen verkeerde links aanklikken. Niet persoonlijk bedoeld maar puur ter aanvulling.
Dat is wel behoorlijk af te vangen in policy's, bij mij op werk worden alle html mails in eerste instantie als plain tekst weer gegeven, daarnaast wordt er een waarschuwing gegeven als een mail niet van een White List (o.a. al de bedrijven waar we zaken mee doen) afzender komt.
Een IT-er die de spamfilter in de gaten houdt is bij ons voldoende.
Alsof ransomware alleen maar per mail binnenkomt! Het spamfilter is zeker belangrijk, maar niet gegarandeerd waterdicht.
Ik reageerde op player x
dat is de stompzinnigheid van gebruikers die op een linkje in een email klikken, daar is geen IT policy tegen op gewassen.
Hij heeft het over de stompzinnigheid van gebruikers die op een linkje in een email klikken. Ik claim niet dat ransomware alleen per mail binnenkomt en ik zeg alleen dat het bij ons voldoende is. in afgelopen 10 jaar geen ransomware doorgelaten.
Ik denk dat drive by aanvallen (door het bezoeken van websites van twijfelachtige herkomst of geinfecteerde advertentie netwerken) de grootste bron van ellende is. Ad en script blockers kunnen hierbij goed helpen.

Verder zullen poortscanners, email, illegale downloads, via chat aangeboden uitvoerbare bestanden of geinfecteerde data bestanden grotendeels de rest van de infecties voor hun rekening nemen. Een realtime virus scanner en wellicht een VM om software eerst te testen kan ook helpen, hoewel vm's ook niet veilig zijn kan het toch een laagje van bescherming geven.
Nou, dat is echt niet het enige hoor. Ransomware kan ook van Zero Days misbruik maken. Daar zijn dus nog helemaal geen patches voor. Enige wat je dan kan doen is onveilige protocollen uitschakelen zoals SMB-1.
Ransomware KAN zeker gebruik maken van zero days, maar hoeveel ransomware aanvallen kan jij opnoemen waar werkelijk zero-days misbruikt zijn. En geen (eeuwen) oude vulnerability?
Zerodays zijn veel te kostbaar om at random voor ransomware rond te strooien. Het gaat vrijwel altijd om bekende bugs die eenvoudig te verhelpen zijn door te patchen.
Hetgeen je zou moeten doen is Windows Defender instellen.
0-days en unknowns zijn gewoon een probleem.
Daar kun je niet tegen patchen.
Dat blijf je altijd houden.
Even uit nieuwsgierigheid, wat is de pak-kans voor die gasten?

Als ik het zo lees dan zou je zeggen dat omscholen naar IT expert/programeur de moeiten waard is :|
Ik denk niet dat een loonbaan opweegt tegen de inkomsten die ze hebben gegenereerd. En blijkbaar hebben ze weinig morele waarden die overeen komen met de algemeen geldende waarden, dus nee, ik denk niet dat die ambitie ze drijft.
Het zijn de struikrovers van de 21e eeuw.
Dieven en boeven.
Wil jij die in dienst en op je interne infrastructuur?
Ik niet.
Afhankelijk van mijn verdienmodel ;)
Profiel voldoet wel voor de politiek van de 21e eeuw :).
Dat een reguliere baan niet opweegt snap ik, anders zouden ze niet stoppen.
Al wil dat niet zeggen dat ze niet ergens in loondienst zijn...

Maar mijn vraag was hoe groot de kans is dat ze alsnog worden gepakt?
Ik zal snel een nieuwe minimaal aangepaste versie maken, en deze verspreiden als 'unclocker'... vertrouw dit voor geen haar om eerlijk te zijn, toch niet op termijn.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Apple

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True