Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hitman Pro krijgt optie voor omzeilen ransomware

Beveiligingsbedrijf Surfright heeft een functie toegevoegd aan zijn Hitman Pro-software die moet voorkomen dat ransomware tijdens het booten wordt geactiveerd. Vanaf een usb-stick wordt een installatie van Hitman Pro gestart die de ransomware kan verwijderen.

Ransomware, die een pc van de gebruiker 'gijzelt' en onbruikbaar maakt, is volgens SurfRight-eigenaar Mark Loman een steeds groter probleem. "Sommige gijzelvirussen gebruiken tegenwoordig zelfs pornografische afbeeldingen op het gijzelscherm waardoor slachtoffers in verlegenheid worden gebracht", aldus Loman. Zijn bedrijf heeft daarom deze week een functie met de naam Kickstarter aan Hitman Pro toegevoegd die het mogelijk maakt om deze malware te omzeilen. Vanuit de software kan speciale software op een usb-stick worden gezet die de ransomware omzeilt. De optie kan één keer gratis worden gebruikt; daarna is een licentie voor Hitman Pro vereist.

Daarvoor gebruiken de malwarebestrijders dezelfde technieken als rootkits: ze booten vanaf de usb-stick de normale Windows-installatie, maar laden daarbij hun eigen software op de achtergrond, die voorkomt dat de ransomware een kans krijgt. "De truc is een beetje afgekeken van malware", zegt Loman. De software werkt ook als de Veilige Modus van Windows door de malware ontoegankelijk is gemaakt. De software is ook in staat om malware die zich in het master boot record heeft gevestigd, te omzeilen, en is dus ook geschikt voor andere soorten malware.

Nadat de standaard-Windows-installatie met behulp van de usb-stick is geladen, wordt Hitman Pro gestart om de ransomware te verwijderen. De tool is volgens Lomans collega Edwin Engels vooral bedoeld om zo laagdrempelig mogelijk te zijn. Rescue-cd's van concurrenten zijn volgens Engels veel moeilijker te gebruiken en vereisen bijvoorbeeld kennis van Linux.

Pim Takkenberg van het Team High Tech Crime van de politie zei vorige maand nog dat een op de vijf slachtoffers van ransomware betaalt. De mededelingen die de ransomware toont komen vaak intimiderend over: ze beweren bijvoorbeeld dat op de pc van de gebruiker kinderporno of auteursrechtelijk beschermd materiaal is aangetroffen, en dat de gebruiker een 'boete' moet betalen om zijn computer weer te kunnen gebruiken. "Na betaling is het echter maar de vraag of je je computer nog kunt gebruiken", zegt Engels van Surfright.

Helaas!
De video die je probeert te bekijken is niet langer beschikbaar op Tweakers.net.

Door Joost Schellevis

Redacteur

04-12-2012 • 08:31

72 Linkedin Google+

Reacties (72)

Wijzig sortering
Windows heeft zelf een goed alternatief kwam er laast toevallig achter met het Ukash virus beter bekend als Buma/stemra virus

http://windows.microsoft....-windows-defender-offline
Een actief gegijzelde Windows-omgeving bevat tal van forensische informatie zoals welke processen zijn gestart en welke processen beeldvullend actief zijn (waardoor het bureaublad ontoegankelijk wordt). Deze feiten geven HitmanPro een duidelijke aanwijzing welke bestanden en registersleutels bij het gijzelvirus horen. Een duidelijk voordeel ten opzichte van rescue-cd's en Windows Defender Offline welke een afzonderlijke omgeving starten en afhankelijk zijn van virushandtekeningen.
De malwaremakers passen hun nieuwe varianten telkens zo aan dat ze sowieso de eerste uren/dagen langs alle antivirussoftware glippen. Dan helpen virushandtekeningen of heuristiek op basis van code-snippet analyse niet meer, waar Windows Defender Offline en rescue-cd's op gebaseerd zijn. Met HitmanPro.Kickstart kunnen we een forensische gedragsanalyse doen om o.a. deze zero-day ransomware te detecteren en te verwijderen.
Leuke oplossing, maar het gaat niet werken tegen goed geschreven ransomware. De infectie is namelijk eerst.

Tijdens de infectie is het voor de ransomware belangrijk om zoveel mogelijk informatie op de harde schijf tijdelijk onbruikbaar te maken. Encryptie werkt hiervoor. Met behulp van asymmetrische encryptie kan belangrijke data gecodeerd worden: de public key daarvoor wordt aangeleverd via een botnet en de private key (als deze al bestaat) houdt de gijzelnemer zelf. In-place encryptie kan worden uitgevoerd met tools als TrueCrypt, waarbij de symmetrische sleutel in (bijvoorbeeld) een PGP-container wordt gedaan, die de private key van het asymmetrische sleutelpaar nodig heeft om geopend te worden.

Een naar gevolg is dat wanneer een computer 'gevangen' is genomen door ransomware, dat onder de voorgestelde wetgeving het slachtoffer strafbaar gesteld kan worden voor het niet kunnen overhandigen van een wachtwoord. :/ Dit kan ook nieuwe chantagemiddelen opleveren voor criminelen:

"Betaal bedrag X via kanaal Y of anders worden kinderporno en bominstructies op je computer geplaatst, en sturen we een aantal tips naar de politie, je vrienden en familie."

"Dit bericht is van de politie. Wij zien dat TrueCrypt op uw computer is geďnstalleerd en dat u niet op tijd uw wachtwoorden bij ons bekend heeft gemaakt. Betaal een boete van X via kanaal Y of anders wordt u strafbaar gesteld voor het niet op tijd overhandigen van uw wachtwoorden."

(berichten hoeven niet naar waarheid geschreven te zijn door een ransomware-schrijver, natuurlijk... alles om de gebruiker maar geld over te laten maken)

[Reactie gewijzigd door The Zep Man op 4 december 2012 09:22]

Het werkt juist op alle Windows-installaties en HitmanPro hoeft er vanzelfsprekend niet eerst op te staan, dat is juist het mooie van onze unieke techniek op de USB-stick. Als hardnekkige malware de boel op slot heeft gezet, gewoon die USB stick aanmaken op een andere computer, in de besmette computer steken en van booten. Simpeler wordt het niet ;)
Het gaat hier om gijzelvirussen. Dat betekent dat de computer in kwestie niet meer te gebruiken is. Je dient dus een andere computer te hebben om de stick aan te kunnen maken. De stick zelf kun je natuurlijk wel gewoon uitlenen.

Een nederlandstalige handleiding is ook al op Nucia te vinden:
http://www.nucia.eu/forum/threads/69299-HitmanPro-Kickstart.

En mochten er nog mensen sceptisch zijn: dit is totaal niet meer te vergelijken met het programma van vijf jaar geleden. Ik heb het programma getest en moet zeggen dat het inderdaad lijkt te werken! Eigenlijk start hij gewoon hitman op maar dan via een usb-stickje.

Het enige nadeel is dat je het alleen maar kunt gebruiken op computers die nog geen hitman hebben gebruikt. Eerst werkte bij mij het verwijderen niet omdat m'n proeflicentie al was verlopen.

Ook wel leuk om te weten: het gaat hier niet om een heel nieuw programma of een specifiek programma tegen politievirussen. De nieuwigheid is dat je hitmanpro opstart vanaf een usbstick zodat je hitman gewoon kunt starten wat normaal niet mogelijk is. Daarna heb je eigenlijk de normale hitmanpro die je vanuit Windows ook kunt gebruiken. Dus als je daar al je proeflicentie hebt gebruikt heb je pech (zoals ik eerst haha).

[Reactie gewijzigd door Passeridae op 4 december 2012 10:42]

Tja, alles en iedereen moet natuurlijk gratis zijn. Ik neem aan dat je zelf ook de hele dag gratis bezig bent. Zou je even nog de schutting kunnen komen schilderen? Gratis natuurlijk.
Het is juist erg netjes dat je het 1x gratis kan gebruiken (ze hadden je ook meteen kunnen laten betalen).

Over principes gesproken:
Ik betaal voor software en bij vergelijkbare gratis alternatieven doe ik een donatie (Gimp bijvoorbeeld). Heb je geen geld, werk dan mee aan vertalingen. Tijd is immers ook geld. Maar doe iets terug. Maar ga niet onzinnig lopen praten over principes. Principes worden te vaak alleen gebruikt als een gemakkelijke uitvlucht.

Kennelijk snap je niet dat dit drive-by besmettingen zijn die je op reguliere sites kan oplopen. Heeft niks te maken met 'opletten met wat je doet'. Of vermijd je NRC ook?

[Reactie gewijzigd door Floor op 4 december 2012 12:37]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True