Hitman Pro krijgt optie voor omzeilen ransomware

Beveiligingsbedrijf Surfright heeft een functie toegevoegd aan zijn Hitman Pro-software die moet voorkomen dat ransomware tijdens het booten wordt geactiveerd. Vanaf een usb-stick wordt een installatie van Hitman Pro gestart die de ransomware kan verwijderen.

Ransomware, die een pc van de gebruiker 'gijzelt' en onbruikbaar maakt, is volgens SurfRight-eigenaar Mark Loman een steeds groter probleem. "Sommige gijzelvirussen gebruiken tegenwoordig zelfs pornografische afbeeldingen op het gijzelscherm waardoor slachtoffers in verlegenheid worden gebracht", aldus Loman. Zijn bedrijf heeft daarom deze week een functie met de naam Kickstarter aan Hitman Pro toegevoegd die het mogelijk maakt om deze malware te omzeilen. Vanuit de software kan speciale software op een usb-stick worden gezet die de ransomware omzeilt. De optie kan één keer gratis worden gebruikt; daarna is een licentie voor Hitman Pro vereist.

Daarvoor gebruiken de malwarebestrijders dezelfde technieken als rootkits: ze booten vanaf de usb-stick de normale Windows-installatie, maar laden daarbij hun eigen software op de achtergrond, die voorkomt dat de ransomware een kans krijgt. "De truc is een beetje afgekeken van malware", zegt Loman. De software werkt ook als de Veilige Modus van Windows door de malware ontoegankelijk is gemaakt. De software is ook in staat om malware die zich in het master boot record heeft gevestigd, te omzeilen, en is dus ook geschikt voor andere soorten malware.

Nadat de standaard-Windows-installatie met behulp van de usb-stick is geladen, wordt Hitman Pro gestart om de ransomware te verwijderen. De tool is volgens Lomans collega Edwin Engels vooral bedoeld om zo laagdrempelig mogelijk te zijn. Rescue-cd's van concurrenten zijn volgens Engels veel moeilijker te gebruiken en vereisen bijvoorbeeld kennis van Linux.

Pim Takkenberg van het Team High Tech Crime van de politie zei vorige maand nog dat een op de vijf slachtoffers van ransomware betaalt. De mededelingen die de ransomware toont komen vaak intimiderend over: ze beweren bijvoorbeeld dat op de pc van de gebruiker kinderporno of auteursrechtelijk beschermd materiaal is aangetroffen, en dat de gebruiker een 'boete' moet betalen om zijn computer weer te kunnen gebruiken. "Na betaling is het echter maar de vraag of je je computer nog kunt gebruiken", zegt Engels van Surfright.

Helaas!
De video die je probeert te bekijken is niet langer beschikbaar op Tweakers.net.

Door Joost Schellevis

Redacteur

04-12-2012 • 08:31

72

Reacties (72)

72
68
35
6
0
21
Wijzig sortering
Windows heeft zelf een goed alternatief kwam er laast toevallig achter met het Ukash virus beter bekend als Buma/stemra virus

http://windows.microsoft....-windows-defender-offline
Een actief gegijzelde Windows-omgeving bevat tal van forensische informatie zoals welke processen zijn gestart en welke processen beeldvullend actief zijn (waardoor het bureaublad ontoegankelijk wordt). Deze feiten geven HitmanPro een duidelijke aanwijzing welke bestanden en registersleutels bij het gijzelvirus horen. Een duidelijk voordeel ten opzichte van rescue-cd's en Windows Defender Offline welke een afzonderlijke omgeving starten en afhankelijk zijn van virushandtekeningen.
De malwaremakers passen hun nieuwe varianten telkens zo aan dat ze sowieso de eerste uren/dagen langs alle antivirussoftware glippen. Dan helpen virushandtekeningen of heuristiek op basis van code-snippet analyse niet meer, waar Windows Defender Offline en rescue-cd's op gebaseerd zijn. Met HitmanPro.Kickstart kunnen we een forensische gedragsanalyse doen om o.a. deze zero-day ransomware te detecteren en te verwijderen.
Je kreeg +2, maar ik lees wat sluikreclame . . .

Kan voordelig zijn nu, maar als er iemand iets negatief merkt erop dan kan het al snel afgelopen zijn met de positieve comments over hitman pro.

Wou dus gewoon melden dat je zeker moet zijn dat wat je verteld zeker gaat kloppen.
Leuke oplossing, maar het gaat niet werken tegen goed geschreven ransomware. De infectie is namelijk eerst.

Tijdens de infectie is het voor de ransomware belangrijk om zoveel mogelijk informatie op de harde schijf tijdelijk onbruikbaar te maken. Encryptie werkt hiervoor. Met behulp van asymmetrische encryptie kan belangrijke data gecodeerd worden: de public key daarvoor wordt aangeleverd via een botnet en de private key (als deze al bestaat) houdt de gijzelnemer zelf. In-place encryptie kan worden uitgevoerd met tools als TrueCrypt, waarbij de symmetrische sleutel in (bijvoorbeeld) een PGP-container wordt gedaan, die de private key van het asymmetrische sleutelpaar nodig heeft om geopend te worden.

Een naar gevolg is dat wanneer een computer 'gevangen' is genomen door ransomware, dat onder de voorgestelde wetgeving het slachtoffer strafbaar gesteld kan worden voor het niet kunnen overhandigen van een wachtwoord. :/ Dit kan ook nieuwe chantagemiddelen opleveren voor criminelen:

"Betaal bedrag X via kanaal Y of anders worden kinderporno en bominstructies op je computer geplaatst, en sturen we een aantal tips naar de politie, je vrienden en familie."

"Dit bericht is van de politie. Wij zien dat TrueCrypt op uw computer is geïnstalleerd en dat u niet op tijd uw wachtwoorden bij ons bekend heeft gemaakt. Betaal een boete van X via kanaal Y of anders wordt u strafbaar gesteld voor het niet op tijd overhandigen van uw wachtwoorden."

(berichten hoeven niet naar waarheid geschreven te zijn door een ransomware-schrijver, natuurlijk... alles om de gebruiker maar geld over te laten maken)

[Reactie gewijzigd door The Zep Man op 24 juli 2024 15:36]

Ik heb zelf TrueCrypt op m'n laptop staan, op de hele partitie dus zit nog een TrueCrypt bootloader voor. Hierdoor is het ook niet mogelijk om van de USB te booten.
Tenminste, ik krijg het niet voor elkaar.
Ik heb zelf TrueCrypt op m'n laptop staan, op de hele partitie dus zit nog een TrueCrypt bootloader voor. Hierdoor is het ook niet mogelijk om van de USB te booten.
Tenminste, ik krijg het niet voor elkaar.
Je kan vanaf USB opstarten door het boot menu van de BIOS/UEFI te openen of door de opstartvolgorde aan te passen. Als je een memory stick prepareert met TrueCrypt, dan kan je de systeemvolume koppelen en gebruiken als een reguliere Truecrypt volume. Scannen is dan geen probleem.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 15:36]

Leuke oplossing, maar het gaat niet werken tegen goed geschreven ransomware. De infectie is namelijk eerst.
Je start op van USB-stick. Die start eerder dan de MBR van je harddisk en dus ook veel eerder dan de ransomware.

Wanneer de harddisk van de computer volledig met TrueCrypt is versleuteld gaat de USB-stick geen uitkomst bieden. Zie vraag V-20 in het Kickstart Vraag en Antwoord PDF document:
http://dl.surfright.nl/Kickstart-VenA.pdf

[Reactie gewijzigd door erikloman op 24 juli 2024 15:36]

Je start op van USB-stick. Die start eerder dan de MBR van je harddisk en dus ook veel eerder dan de ransomware.
Mits je PC zo ingesteld is...

Bijvoorbeeld, ik durf niet te zeggen dat USB-boot zo 123 werkt op onze ouwe netbookje zonder in het BIOS te gaan klungelen. Misschien wel, maar zoiets heb ik nooit eerder geprobeerd.
Je start op van USB-stick. Die start eerder dan de MBR van je harddisk en dus ook veel eerder dan de ransomware.
Ik mag toch aannemen aan dat de ransomware helemaal niet start als je opstart van zo'n stickie.
If you can't beat 'em, join 'em :)

Oftewel: HitMan Pro is een goede boswachter. Fantastisch gevonden om het op deze manier te doen, alhoewel ik betwijfel dat de echte digibeten deze oplossing wel gaan kunnen uitvoeren.

Er zal sowieso toch iemand met kennis van zaken aan te pas moeten komen die pro-actief HitMan Pro installeert op de PC van de digibeet en vervolgens de boot-stick aanmaakt.

Het lijkt me namelijk niet dat je met 1 usb-stick alle Windows-installaties kunt booten. Deze zal wel specifiek toegespitst zijn op de PC waar je HMP geinstalleerd hebt.

[Reactie gewijzigd door intGod op 23 juli 2024 16:49]

Het werkt juist op alle Windows-installaties en HitmanPro hoeft er vanzelfsprekend niet eerst op te staan, dat is juist het mooie van onze unieke techniek op de USB-stick. Als hardnekkige malware de boel op slot heeft gezet, gewoon die USB stick aanmaken op een andere computer, in de besmette computer steken en van booten. Simpeler wordt het niet ;)
Anoniem: 211998 @mloman4 december 2012 09:52
Da's toch niet uniek? Live USB sticks bestaan al jaren.
Alle andere opstart USB sticks maken gebruik van een eigen bootloader. Deze stick lijkt dezelfde manier te gebruiken als alle andere rootkits. Ze maken dus gebruik van de zwakke plek in windows. Ze gebruiken deze zwakkeplek om een virus te verwijderen..

Eigenlijk gedraag deze stick zich dus als een virus :+

Met andere worden als MS het lek weet te dichten zullen de makers opnieuw moeten zoeken naar andere zwakheden,
Er is in dit geval helemaal geen lek in Windows dat Microsoft moet dichten. Rootkits kunnen voorkomen op alle besturingsystemen.

Deze methode maakt ook gebruik van een eigen bootloader, anders zou gewoon de aanwezige bootloader gestart worden die ook de ransomware laat starten.

Ik vermoed dat deze methode een eigen bootloader gebruikt waarbij strikt gecontroleerd wordt, wat er opgestart wordt.
.oisyn Moderator Devschuur® @To_Tall4 december 2012 16:25
Alle andere opstart USB sticks maken gebruik van een eigen bootloader
Duh, iets dat kan booten heeft een bootloader. Waar het om gaat is dat die andere opstart USB sticks niet alleen een bootloader hebben maar een geheel OS booten dat ook op die stick staat, terwijl deze stick het OS van de hardeschijf boot. Het resultaat is dat je met deze stick dus gewoon in je oude vertrouwde Windows omgeving zit, ipv een een of ander recovery OS waarmee je de files van je andere OS hooguit kunt benaderen maar that's it.

[Reactie gewijzigd door .oisyn op 24 juli 2024 15:36]

Voor zover ik het heb begrepen bootstrapt ie de standaard Windows installatie van die PC. Het is dus niet een volledig OS op de stick.
Dit had ik al in de tijd van de pentium 1 en Win95!

IBM Antivirus kon ook een bootable diskette maken om stand-alone de hardnekkigste virussen aan te pakken.

Wel beter dat nu de ransomeware hiermee aangepakt kan worden, ik heb eerlijk gezegd de live-diskette/CD/USB gemist bij modernere antivirus producten.

Zeker, een install CD had nog wel eens een boot functie, maar dit was niet te updaten en liep al snel achter de feiten aan.

Driemaal hoera voor de antivirus!
Op de USB stick komen 3 bestanden te staan;
- Hitmanpro_x64.exe
- Kickstarter.exe
- Hitmanpro.exe

Ik gok dat er op 1 of andere manier 1 van die bestanden worden uitgevoerd, die de malware ervan weerhoudt dat de Malware kan starten om vervolgens de pc te kunnen scannen.
mooie vooruitgang, als er weer eens iemand aan de deur klopt om te zeggen dat ie een probleem met z'n pc heeft, geef ik ze altijd de link van hitmanpro door... zijn ze nu nog veiliger.... (of je draait linux :P )
Volgens mij ben je te laat als je al geinfecteerd bent.
Het gaat hier om gijzelvirussen. Dat betekent dat de computer in kwestie niet meer te gebruiken is. Je dient dus een andere computer te hebben om de stick aan te kunnen maken. De stick zelf kun je natuurlijk wel gewoon uitlenen.

Een nederlandstalige handleiding is ook al op Nucia te vinden:
http://www.nucia.eu/forum/threads/69299-HitmanPro-Kickstart.

En mochten er nog mensen sceptisch zijn: dit is totaal niet meer te vergelijken met het programma van vijf jaar geleden. Ik heb het programma getest en moet zeggen dat het inderdaad lijkt te werken! Eigenlijk start hij gewoon hitman op maar dan via een usb-stickje.

Het enige nadeel is dat je het alleen maar kunt gebruiken op computers die nog geen hitman hebben gebruikt. Eerst werkte bij mij het verwijderen niet omdat m'n proeflicentie al was verlopen.

Ook wel leuk om te weten: het gaat hier niet om een heel nieuw programma of een specifiek programma tegen politievirussen. De nieuwigheid is dat je hitmanpro opstart vanaf een usbstick zodat je hitman gewoon kunt starten wat normaal niet mogelijk is. Daarna heb je eigenlijk de normale hitmanpro die je vanuit Windows ook kunt gebruiken. Dus als je daar al je proeflicentie hebt gebruikt heb je pech (zoals ik eerst haha).

[Reactie gewijzigd door Passeridae op 24 juli 2024 15:36]

neeu :D , want nu kan ik t gewoon op een usb stickie gooien en m meegeven, prima actie (beter dan een nieuwe install... )
(moet je wel een licentie nemen als je dat vaker wil doen!! ;) )

Voor de rest mooi alternatief. Maar ook daar valt om heen te werken. Het blijft een kwestie van tijd!
Ik vind die actie van Surfright eigenlijk ook ransomware-achtig; ze laten je het programma 1x gratis gebruiken. Als het dan toch niet (goed) lukt mag je vervolgens voor een licentie gaan betalen.

Uit principe betaal ik niet voor software waarmee ik mijn systeem op kan schonen / schoon kan houden. Het is toch van de zotte dat ik commerciële instanties moet betalen zodat mijn PC niet aan alle kanten wordt geïnfecteerd ?

Gewoon een gratis virusscanner en antimalware-pakket. Microsoft's Security Essentials voldoet hier prima. Gewoon een beetje opletten met wat je doet online. Ransomware sloop ik er wel handmatig uit, desnoods met een (gratis) Ultimate Boot CD + Gparted Linux distro.

Nu weet ik wel dat niet iedereen zo handig is maar als je onnodige geldverspilling wilt voorkomen zul je jezelf "op moeten leiden" om je systeem onder controle te houden.
Tja, alles en iedereen moet natuurlijk gratis zijn. Ik neem aan dat je zelf ook de hele dag gratis bezig bent. Zou je even nog de schutting kunnen komen schilderen? Gratis natuurlijk.
Het is juist erg netjes dat je het 1x gratis kan gebruiken (ze hadden je ook meteen kunnen laten betalen).

Over principes gesproken:
Ik betaal voor software en bij vergelijkbare gratis alternatieven doe ik een donatie (Gimp bijvoorbeeld). Heb je geen geld, werk dan mee aan vertalingen. Tijd is immers ook geld. Maar doe iets terug. Maar ga niet onzinnig lopen praten over principes. Principes worden te vaak alleen gebruikt als een gemakkelijke uitvlucht.

Kennelijk snap je niet dat dit drive-by besmettingen zijn die je op reguliere sites kan oplopen. Heeft niks te maken met 'opletten met wat je doet'. Of vermijd je NRC ook?

[Reactie gewijzigd door Floor op 24 juli 2024 15:36]

@Floor : Natuurlijk moet het gratis zijn. Ik vraag toch ook niet om al die zooi die zich ongemerkt probeert op mijn systeem te installeren ? Dergelijke beperkingen aan een opschoonprogramma stimuleren tot het illegaal downloaden van een volledige versie of het op zoek gaan naar alternatieven.

Ik zal nooit betalen voor dergelijke software; er zijn vast legale gratis alternatieven die net zo goed werken. Desnoods sloop ik de ransomware handmatig uit het systeem.

Het probleem met zulke producten is nu eenmaal dat je ze maar enkele keren zult gebruiken. Ik vind het onzin om daar dan direct maar een betaalde licentie voor te nemen. Het is simpelweg niet rendabel.

[Reactie gewijzigd door Titan_Fox op 24 juli 2024 15:36]

Pas op mensen; die link van het NRC gaat naar nu.nl. Ook die site heeft al eens malware verspreidt omdat men advertentiebedrijven maar alles laat doen in de ads op hun website... ;)
Anoniem: 132385 @zeduude4 december 2012 12:05
Hoezo mooie vooruitgang? De eerste keer is het gratis en daarna moet je nog steeds geld betalen. Je betaalt het alleen niet aan de makers van de ransomware maar aan hitman pro. De gijzeling heeft dus gewerkt. Gelukkig zijn er tal van andere manieren die gratis zijn :).
Nu is het dus gewoon een nieuwe race: wie kan zich dieper/onopgemerkt nestelen in je systeem, de malware, of hitmanpro. Eens even opzoeken of het ook gratis is, of alleen voor betaalde versie. Waarschijnlijk alleen betaald, aangezien je met de gratis versie niks kunt verwijderen.

[Reactie gewijzigd door woekele op 24 juli 2024 15:36]

Je kunt gratis de malware verwijderen, echter dat kan per pc maar 30 dagen lang. Scannen is altijd gratis.

[Reactie gewijzigd door mloman op 24 juli 2024 15:36]

Dus dan is na 30 dagen HitmanPro ook een soort van ransomware, maar dan net anders ... ;)
Ik heb even getest, en het is gewoon mogelijk met de gratis variant Kickstarter op een USB stick te zetten, zelfs zonder HitmanPro te installeren.

Of je ook de malware kunt verwijderen durf ik niet te zeggen, hier niet zo een pc staan waar ik t op kan testen.
Het scannen met HitmanPro is altijd gratis, ook al is de trial versie van 30 dagen verlopen dit is met HitmanPro.Kickstart idem - dito. Je kan echter alleen hierna de gedetecteerde items niet meer laten verwijderen totdat je een licentie hebt aangekocht.

Op de onderstaande link staat een uitgebreidere handleidingen en een aantal video's
HitmanPro.Kickstart handleiding
Ik heb me nooit zo verdiept in 'ransomware' maar er is toch geen enkel probleem indien je gewoon zorgt voor een backup van je systeem?

Gewoon opnieuw (van CD. DVD, USB, ....) installeren en dan data terugzetten vanaf de back-up?
Ja, want iedereen heeft been backup ;). De mensen die dit het meeste overkomt zijn niet bepaald computer-savvy. Beste is natuurlijk on gewoon niet dom overal op te klikken, dan raak je ook niet besmet.
Sommige komen binnen via trojans in reclame animaties gebakken, bijvoorbeeld. Tegenwoordig hoef je niet eens te klikken - gewoon pech hebben dat een ad-server besmet is.
Anoniem: 463321 @TonVH4 december 2012 13:13
Ik heb me nooit zo verdiept in 'ransomware' maar er is toch geen enkel probleem indien je gewoon zorgt voor een backup van je systeem?

Gewoon opnieuw (van CD. DVD, USB, ....) installeren en dan data terugzetten vanaf de back-up?
En dan nog àl je programma's opnieuw installeren en configureren. Dat wordt er nooit bijgezegd. Het is altijd maar "even snel Windows opnieuw installeren". :z
Misschien voor je eigen pc nog leuk om alles opnieuw te installeren maar omdat bij familieleden of vrienden te doen (die vaak geen backup van hun data hebben ook)?
Leuk voor de digibeet of om snel van een ransomware infectie af te komen. Maar hoe moeilijk is het om dit na te maken met een degelijke linux-distro, als Surfright een prijs ervoor vraagt waar je over het plafond gaat lopen?

Nog eens wat: Hoe update je de definities van zo'n stick? Via je pc? Maar wat als je PC besmet is met malware die enkel zerodays gebruikt?
Het gebruik van HitmanPro.Kickstart is gratis. Als je na 30 dagen dezelfde PC nog een keer wilt bevrijden, pas dan heb je een betaalde licentie nodig. Scannen is altijd gratis.

De USB-stick heeft geen definities en maar werkt met een Scan Cloud op internet. Hierdoor is de USB-stick 'altijd bij' qua virushandtekeningen.

Over de zero-days, zie deze post:
mloman in 'nieuws: Hitman Pro krijgt optie voor omzeilen ransomware'
Het gebruik van HitmanPro.Kickstart is gratis. Als je na 30 dagen dezelfde PC nog een keer wilt bevrijden, pas dan heb je een betaalde licentie nodig. Scannen is altijd gratis.
- Aan scannen alleen heb je in geval van ransomeware natuurlijk niet zo veel.
- Verwijderen lukt de eerste keer al niet als op de pc een trial-versie van Hitman Pro staat.
Fijn om te weten, buiten de gijzelaars zijn er ook voldoende "experts"die het virus verwijderen voor een flink bedrag , en deze manier is gratis.
mooie techniek! ZEKERS downloaden:) Heb dit een keer gehad en na wat googlen (op een andere pc) maar een previous version terug gezet. Problem ook solved.
Ik vraag me altijd af of er zo geen gevaar bestaat de virussen zo de USB stick gaan besmetten zonder dat je het weet, met het gevaar dat je dat naderhand gezonde systemen gaat besmetten ermee. In feite zou je de USB stick read-only moeten kunnen maken.
Nadat de standaard-Windows-installatie met behulp van de usb-stick is geladen, wordt Hitman Pro gestart om de ransomware te verwijderen. De tool is volgens Lomans collega Edwin Engels vooral bedoeld om zo laagdrempelig mogelijk te zijn. Rescue-cd's van concurrenten zijn volgens Engels veel moeilijker te gebruiken en vereisen bijvoorbeeld kennis van Linux.

Een rescue-cd is juist iets makkelijker en veiliger dan usb. Kennis van Linux speelt daarbij nog geen rol. Het menu in beide gevallen dat het slachtoffer te zien krijgt ... ja daar wel. Maar dat is dan een zaak van de programmeur van het reddingsmiddel. Ik ben mordicus tegen betalen voor dat soort reddingsmateriaal. Tuurlijk zijn de makers van Hitman Pro geen criminelen, maar er zijn zoveel overeenkomsten tussen dieven en redders. Het geld van het slachtoffer werkt al snel toch ook als subsidie voor nog meer van deze ellende. Als niemand er baat van heeft, en alleen maar overlast, dan staan alle neuzen de goeie kant op, dan blijft de ellende minimaal. Niks betalen, dus. Gratis rescue-cd's zijn er, gebruik ze maar!
Een CDR kost ook geld; een rescue-CD is dus ook niet gratis.
Maar je kan natuurlijk wel een CDRW gebruiken; die kan je tenminste vaker gebruiken.

Op dit item kan niet meer gereageerd worden.