Ransomware duikt weer op

Na de aankondiging dat ransomware de nieuwe virustrend voor 2007 zou worden, bleef het enige tijd betrekkelijk stil op dit gebied. Kaspersky kondigt nu echter aan dat een nieuwe bestandskaper opgedoken is.

Opvallend is dat de nieuwe malware de eerste ransomtool is die afkomstig is van een 'bank trojan'-bende. Het programma claimt heel wat documenten en foto's met een RSA-4096-encryptiealgoritme versleuteld te hebben. Gebruikers die hun gegijzelde bestanden nog terug willen krijgen, moeten volgens de tool driehonderd dollar betalen voor een ontcijfertool - al is een herstelprogramma inmiddels beschikbaar via antivirustools. Analyse van de malware toonde daarentegen aan dat er van RSA-encryptie geen sprake is. Bovendien zou de ransomware slechts actief zijn van tien tot en met vijftien juli 2007, al is niet helemaal duidelijk wat de achterliggende gedachte is van deze beperkte levensduur. Het opduiken van dit nieuwe stukje ransomware lijkt er echter op te wijzen dat er een nieuwe golf van digitale kidnappers verwacht mag worden. Het belang van het up-to-date houden van antivirusdefinities wordt door vendors dan ook extra benadrukt. Bovendien is het geen overbodige luxe recente backups van belangrijke bestanden beschikbaar te hebben. Zaak is deze backups ook gescheiden van de pc te bewaren om niet het risico te lopen dat ook de reservekopieën gegijzeld worden.

Update 10.56u: Inmiddels is een gratis decryptieroutine online gezet.

IT-banen

Reacties (44)

Javache 19 juli 2007 11:05

Hmm, onze voorspelling van ransomware komt niet direct uit.
Ah well, laten we er dan zelf maar eentje de wereld insturen en vervolgens de decryptieroutine online zetten. Everybody will love us...

Verwijderd @Javache • 19 juli 2007 11:38

Als ik het goed begrijp werkt het virus dus maar 5 dagen? Na die periode zijn je bestanden weer ontsleuteld en bruikbaar? Of stopt het virus dan met actief te zijn (bestanden te versleutelen) maar zijn de reeds versleutelde bestanden nog steeds niet bereikbaar?

E.a.a. klinkt nogal dubieus inderdaad, met de komst van Vista denk ik dat steeds minder mensen een virusscanner op hun PC zetten aangezien deze een stuk veiliger is/lijkt. De makers van virusscanners willen hun werk ook graag houden natuurlijk en daar hebben ze misschien dit soort praktijken voor over.

FSVZ 19 juli 2007 11:28

Klinkt als gevaarlijk stukje software. Stel je voor dat zo een stukje een hele schijf of set van schijven (bv. bootpartitie met je data-partitie) kan encrypten met een sterke sleutel dan is het (haast) onmogelijk om de eenmaal ge-encrypte data terug te halen. Je OS kan niet geboot worden en je kunt niet bij data. Staan er onvervangbare bestanden op dan ben je wel genoodzaakt te betalen.

Sibylle @FSVZ • 19 juli 2007 11:36

tegen de tijd dat je pc al 15minuten bezig is met data versleutelen, en jij een paar meldingen krijgt: "File is being used, or write protected" oid.......
Het is alleen geschikt voor niet veel gebruikte bestanden, als plaatjes, mp3tjes, word bestanden etc.
OS en drivers ofzo zijn niet zo makkelijk aan te raken op elke pc.

Ik vind dit beetje rare trend, als een programma geinstalleerd is dat encrypt, dan kun je met wat moeite ook gewoon weer decrypten. Vooral als je weet wat het orginele bestand was.
één foto backuppen, of één .doc document is dus al genoeg om heel snel de juiste key te vinden.
Neemt niet weg dat het erg onbeschoft is.

FSVZ @Sibylle • 19 juli 2007 11:59

Als je programma zich kan nestelen in/naast de kernel, en bij een aanroep van een encrypte file het bestand 'tijdelijk' ontsleuteld dan zal het OS daar geen last van hebben. Als het programma geladen kan worden voordat de kernel geladen kan worden, kan het de kernel encrypten en zich daarna verwijderen. Kortom dan ben je de sleutel kwijt.

Een andere methode zou zijn maak een copy van het journaling file system, verwijs het OS naar het kopie. Versleutel het originele journaling system en eenmaal versleutelt, maak een leuke bootloader en verwijder het kopie van je JFS. Door alleen het JFS te versleutelen zal, het een programma in de orde van een paar seconden het werk kunnen doen verrichten ipv van een half uur.

.oisyn Moderator Devschuur® @Sibylle • 19 juli 2007 12:51

Ik vind dit beetje rare trend, als een programma geinstalleerd is dat encrypt, dan kun je met wat moeite ook gewoon weer decrypten. Vooral als je weet wat het orginele bestand was.

Dat is dus gewoon niet waar. RSA encryptie werkt met twee sleutels. Met de ene sleutel kun je data decrypten dat met de andere geencrypt is. Meestal is een van de twee sleutels publiek (dus voor iedereen beschikbaar) en de andere is privé (alleen de eigenaar kent die sleutel).

Als Alice data naar Bob wilt sturen die alleen hij mag lezen, dan doet ze dat middels de publieke sleutel van Bob. Omdat alleen Bob z'n eigen privé sleutel weet, is hij de enige die de data kan ontcijferen. Authenticatie kan er ook mee: als Alice zeker wilt zijn dat Bob weet dat de data van háár afkomstig is, en niet van iemand anders, dan encrypt ze het met haar eigen privé sleutel. Omdat Bob alleen zinnige data terugkrijgt met de publieke sleutel van Alice, weet hij zeker dat Alice de enige kan zijn die de data versleuteld heeft.

Een dergelijke sleutel mapt x bits op x andere bits. Wat jij suggereert is dat je de privé sleutel van iedereen kunt achterhalen als je hun publieke sleutel weet, wat haaks staat op het ontwerp van het encryptie-algoritme. Je kan immers een bestand met zijn publieke sleutel encrypten, en dan heb je zowel het origineel als de versleutelde data. Natuurlijk kun je de sleutel in principe ook wel ontcijferen, maar vrijwel alleen met hele kleine sleutels. Als de sleutel maar 8 bits is, dan zijn er maar 2⁸ (256) verschillende mappings van 8 bits reeksen mogelijk. Door 2⁸ verschillende 8-bits reeksen (maw een bestandje van 256 bytes) te versleutelen, kun je de mapping ontcijferen. Echter, doorgaans zijn de sleutels 256 bits en meer, en hier in het artikel spreken ze zelfs van 4096 bits (wat overigens niet echt blijkt te zijn, maar dat terzijde). Dan heb je dus 2⁴⁰⁹⁶ verschillende 4096-bits reeksen aan data nodig om de mapping te bepalen (oftewel, 2⁴¹⁰⁸ bits of 2⁴¹⁰⁵ bytes - ter vergelijking, een terabyte aan data is slechts 2⁴⁰ bytes). Een simpel bestandje waarvan je het origineel nog hebt gaat je dus never nooit hiet helpen bij het ontcijferen van de decryptie-sleutel.

[Reactie gewijzigd door .oisyn op 31 juli 2024 17:16]

FitTiv @FSVZ • 19 juli 2007 11:37

Waarna je je bestanden alsnog niet terugkrijgt, mits je nog meer betaalt enz enz enz en zo ben je zo 3000 euro verder

Als ze beet hebben, doen ze het ook goed

McRubz @FitTiv • 19 juli 2007 13:44

Denk je dat ze uberhaupt zo coulant zijn jou de files terug te geven?

Gepetto @McRubz • 19 juli 2007 14:20

Ja. Om de simpele reden dat ze dan nog meer mensen geld af kunnen persen.

Want zodra bekend wordt dat je na betaling alsnog je bestanden niet terug krijgt, zal niemand meer zo gek zijn om ze te betalen.

R-J_W @Gepetto • 21 juli 2007 20:26

En van wie gaat de gemiddelde gebruiker binnen die vijf dagen horen dat betalen zin heeft.
Er zijn er genoeg die het proberen ookal geef je ze geen sleutel, er bestaat zelfs nog de kans dat iemand het in paniek nog een keer probeerd door weer te betalen.

Jij hebt wel een heel bijzonder goede indruk van de communicatie tussen mensen die opgelicht worden.
Raar eigenlijk dat er nog oplichters bestaan he

Verwijderd @FSVZ • 19 juli 2007 19:58

Wat heeft het voor nut om de PC onbootable te maken? Ze willen alleen dat je niet bij je bestanden kan, je moet nog wel kunnen booten, anders kan je toch niet aan de gegevens voor de betaling komen?

BlaTieBla 19 juli 2007 18:36

Aangezien dat ik zelf ook dagelijks met encryptie werk heb ik wel eens wat concepten getest qua ransom-ware (waren kleine apps die soortgelijke zaken doen). Het principe is redelijk eenvoudig. De uitdaging zit em in het sleutelmanagement om de boel weer te decrypten.

Als je een synchrone encryptie vorm gebruikt, dan is alles te decrypten met 1 key. Kom je daar achter, dan is er niets meer te verdienen. Voor de AV-boys is het dan redelijk eenvoudig om een remedie te fabriceren.

Alternatief is om de malware de sleutel on-the-fly te laten verzinnen en vervolgens naar huis laten sturen via het internet. Op die manier is iedere 'klant' uniek, maar dan moet je wel zeker weten dat de sleutel ook aankomt. Daarnaast moet je specifieke eigenschappen meesturen waaraan de 'klant' te herkennen is.
Het onderscheppen van de sleutel wordt lastig omdat je zelf niet weet wanneer je bestanden versleuteld gaan worden.

Public/Private keys werkt ook alleen maar als je voor iedere installatie een nieuw keypair genereert en die naar huis laat sturen. Bij 1 keypair is na de eerste ontcijferactie ook meteen de private key achterhaald. Ook hier weer het probleem dat je niet weer of die aankomt (phone-home) en of er dus geld valt te verdienen.

Het neigt een beetje naar de DRM 'problematieken'. Op 1 of andere manier moet een keer wat ontcijferd worden en als die sleutel eenmaal bekend is, dan is er geen cent meer te verdienen voor een eerlijke crimineel :-)

Dus ik vraag me ook af of dit 'het' wel gaat worden. Er kleven nml nogal wat haken en ogen aan. Volgens mij is het makkelijker om met botnets een centje bij te verdienen.

Het is natuurlijk wel een hele leuke manier om iemand z'n data volledig te vernaggelen......

Rembert @frut666 • 19 juli 2007 11:15

Ach, de eerste rootkit die ik ooit tegenkwam, was onder Linux (alweer best lang geleden). En voor je in de gaten hebt dat er een rootkit draait, ben je zomaar een hele tijd verder, tenzij je overal checksums over draait en die regelmatig controleert. En als een hacker een rootkit weet te installeren, dan is ransomware echt piece of cake.

Chester @frut666 • 19 juli 2007 11:07

Totdat er zoveel linux gebruikers zijn, dat ransomware makers zich daarop gaan concentreren

blouweKip @Chester • 19 juli 2007 11:26

en erachter komen dat het minder makkelijk te exploiten is

J.J.J. Bokma @blouweKip • 19 juli 2007 18:03

Heh, gaan we weer: gebruiker komt aan een programma, start het programma (dat kan tegenwoordig ook op Linux zonder dat je eerst Emacs moet leren, toch?), en het programma versleuteld vervolgens alle bestanden van gebruiker.

Hoe wil je dat tegenhouden? Precies, niet.

Als Windows gebruikers al zelf zipjes via email gaan uitpakken met bijgeleverde password en vervolgens het programmaatje zelf draaien, dan is daar bitter weinig aan te doen.

martijnvanegdom @J.J.J. Bokma • 19 juli 2007 22:21

met dit verschil.. In linux kan een gebruiker niet bij de rest va het systeem komen, en niemand is zo stom als root standaard te draaien..

Uiterraad zou dit ook gelden voor windows, ware het niet dat de mensen daar zo vaak de vraag krijgen om door te gaan dat de meeste dit zonder nadenken doen. Sterker je kunt als je helemaal secure bezig wil zijn je gebruikers in een root-jail leggen. Ook hier is uit te komen het is alleen stukken moeilijker

Ja een gemiddelde linux gebuiker heeft bakken meer kennis dan een windows gebruiker, maar iedere windows gebruiker is te leren dat als er plots de vraag verschijnt voor het root-wachtwoord dat ze toch even moeten kijken waarom

mieJas @martijnvanegdom • 20 juli 2007 00:02

In linux kan een gebruiker niet bij de rest va het systeem komen, en niemand is zo stom als root standaard te draaien..

Een OS kan je op een namiddag terug installeren, dus dat is het grote probleem niet. Het zijn vooral de documenten, foto's, muziek... van de gebruiker en daar kunnen die programma's bij, los van het OS, en dat is meteen ook het geen wat je het minst hard kwijt wil.

ZaZ @blouweKip • 19 juli 2007 11:51

Een virus komt in bijna alle gevallen binnen door een gebruiker die zelf toegang geeft.
Ik heb al jaren geen virusscanner en ook al jaren geen virus gehad, omdat ik zeker weet wat ik open en installeer.
Als je een virus op Linux zelf toegang geeft ben je ook de pineut hoor.

i-chat @blouweKip • 19 juli 2007 11:57

minder makkelijk is nog steeds niet onmogelijk, in de sandboxes onder linux zitten heus ook nog wel fouten, - 'je moet ze alleen wel wetten te vinden'

zoeken ernaar doe je enkel niet, voor die 5 linux begruikers, als je met de zelfde inspanning ook in plaats daarvan juist de andere (95) morons had kunne pakken...

(note: morons in deze als zijnde die debielen die hun pc niet updaten)

roy-t @i-chat • 19 juli 2007 18:20

En weten te vinden is in een OS-OS toch net even makkelijker omdat je de broncode er bij kan halen,

toegegeven het is dan ook weer sneller gefixed, en wordt door meer mensen naar gekeken.

iMars @frut666 • 19 juli 2007 11:16

offtopic:
Of een overstap naar Mac OS X

Ik heb nu met Windows, Linux, FreeBSD en Mac OS X gewerkt. En ik moet eerlijk zeggen, elk OS heeft zo zijn voor- en nadelen.

Met Windows Vista heb ik minder ervaring. Maar ik mag toch aannemen dat ze daarin veel verbeterd hebben qua security? Dat dit niet 'zomaar' zonder een melding kan gebeuren?

Pietervs @iMars • 19 juli 2007 11:45

bij heel veel dingen die je onder Vista doet komt er een scherm met daarin de vraag of je wel door wil gaan. De gemiddelde gebruiker is al heel snel geneigd om op Ja te klikken. Dus als er een popup vanaf het internet komt (of een ActiveX melding) zijn het vaak deze gebruikers die weer op Ja klikken... (of Doorgaan)

Venefyxatu @iMars • 19 juli 2007 12:05

Als je UAC aan laat staan zal je waarschijnlijk wel enkele meldingen krijgen, waarvan de helft aankondigingen dat je iets gaat moeten bevestigen

Meer on-topic : als je backups maakt zullen die in elk geval ver genoeg terug moeten gaan : vorige keer dat ik hier iets over las (is ook alweer even geleden) was het zo dat je bestanden een tijdlang (dagen, weken, maanden, afhankelijk van de ransomware) on-the-fly geencrypteerd en gedecrypteerd werden, zodat je niet direct merkte dat er iets misging.
Als al je backups ook geencrypteerd zijn, ja, dan heb je problemen natuurlijk ...

Verwijderd 19 juli 2007 11:24

Je zal toch met creditcard ofzo moeten betalen. Dan zijn de makers toch zo op te sporen?

Het zou mij niet verbasen als hier een aantal antivirus bedrijven achter zitten om hun eigen product te kunnen promoten / in de stoplight te kunnen zetten bij klanten.

Pietervs @Verwijderd • 19 juli 2007 11:46

als de betaling naar een account in Zwitserland of de Kaaiman-eilanden gaat, kun je fluiten naar je geld vanwege het bankgeheim wat daar geldt...

Edit: daarnaast zijn die jongens ook niet gek: ze houden een termijn aan van 5 dagen. Na een week trekken ze de bankrekening leeg en verdwijnen. Er zijn maar weinig overheidsinstanties in staat om binnen een week de opsporing zo ver te laten komen dat ze ook daadwerkelijk bij iemand binnen kunnen vallen. Zeker niet als het gaat om cybercrime waarbij mensen om zulke (relatief) lage bedragen worden afgeperst: dat heeft nou eenmaal een lagere prioriteit dan bijvoorbeeld geweldsdelicten...

[Reactie gewijzigd door Pietervs op 31 juli 2024 17:16]

Verwijderd @Pietervs • 20 juli 2007 00:52

In Zwitserland is allang al geen bankgeheim meer. Dat was vroeger inderdaad wel zo.

Verwijderd 19 juli 2007 10:51

Deze lijkt me niet om veel geld an te verdienen, maar om te laten zien wat er mogelijk is

Eomer @Verwijderd • 19 juli 2007 13:37

ja dat lijkt me inderdaad ook. even spierballen rollen.... vooral omdat het virus na 5 dagen ermee ophoudt...

Verwijderd @Verwijderd • 19 juli 2007 20:22

Dat snap ik niet.. want ransomware bestaat al een aantal jaar.

Verwijderd 19 juli 2007 10:50

Wow, da's bizar!

Maargoed, wil dit dus zeggen dat ze elk willekeurig stukje software/document van je computer kunnen gijzelen? Best lastig, zeker als ze wat bestanden van je netwerk pakken. Mag men eindelijk weer eens met floppies gaan spelen...

Verwijderd 19 juli 2007 10:50

Iemand een link naar de herstel programma ?

Verwijderd @Verwijderd • 19 juli 2007 10:58

Wel naar het herstel programma

Verwijderd 19 juli 2007 10:50

Je moet ze nageven dat ze best wel inventief zijn eigenlijk...

Robtimus @Verwijderd • 19 juli 2007 11:33

De eerste misschien, de rest zijn gewoon ordinaire na-apers.

iMars @Robtimus • 19 juli 2007 11:38

Beter (zeer) goed gejat dan slecht bedacht zeggen ze toch altijd?

Verwijderd 20 juli 2007 10:40

Beetje dom om driehonderd dollar te vragen voor (schijnbaar willekeurige) bestanden. Als je nogal ignorant bent en het betreft echt zeer belangrijke bestanden dan doe je het misschien nog wel, maar als het een aantal vakantiekiekjes zijn dan werkt het nooit. Ik raad de makers van het virus aan om gewoon veel bestanden te encrypten en vijf dollar per bestand te vragen. Dan verdien je natuurlijk minder per persoon maar dan zijn er wel meer personen die erop in gaan, lijkt mij.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (44)

Sorteer op:

Weergave: