Fox-IT waarschuwt voor verspreiding Torrentlocker-malware in Nederland

Fox-IT waarschuwt voor de verspreiding in Nederland van Torrentlocker, een malwaretype dat bestanden versleutelt en geld eist voor ontsleuteling. De aanvallers verstoppen de ransomware in vervalste track-and-trace-bestanden van pakketvervoerders, waaronder PostNL en DHL.

Volgens Fox-IT zijn de eerste meldingen van op Nederland gerichte aanvallen met nieuwe varianten van de Torrentlocker-malware, bedoeld voor Windows-systemen, maandag opgedoken. Het beveiligingsbedrijf noemt de aantallen besmettingen inmiddels substantieel maar wil geen precieze aantallen geven die het heeft gedetecteerd.

De malware wordt aangeboden nadat slachtoffers een valse e-mail krijgen met een pakketmelding en een track-and-trace-code. Onder andere de vormgeving van bedrijven als PostNL en DHL wordt in de mailtjes misbruikt. Een klik op een link brengt het slachtoffer naar een vervalste website waarna na de invoering van een captcha een zipbestand wordt aangeboden met daarin een op een pdf gelijkende executable. Deze malware begint vervolgens toegankelijke bestanden te versleutelen. De criminelen achter de Torrentlocker-malware eisen vervolgens bitcoin-betalingen om de versleuteling ongedaan te maken. TechWorld meldt dat het bitcoin-bedrag omgerekend circa 390 euro bedraagt.

Fox-IT heeft op zijn weblog enkele instructies geplaatst hoe besmette systemen herkend en geïsoleerd kunnen worden. Het bedrijf zegt te onderzoeken of zij een ontsleuteltool kunnen bouwen. De malware is in andere vormen al op tal van plekken in de wereld opgedoken.

Torrentlocker

IT-banen

Reacties (118)

Luuk58 15 oktober 2014 20:09

Maar wie downloadt er dan ook een zipbestand en opent een executable om een track-en-tracecode te kunnen gebruiken? En het taalgebruik in het mailtje, hier trapt toch niemand in?

[Reactie gewijzigd door Luuk58 op 23 juli 2024 20:09]

teunw @Luuk58 • 15 oktober 2014 20:12

Microsoft verstopt extensies als je computer het bestandstype kent, zoals bij een .exe
Dus veel mensen zullen zien:
Malware.pdf

In plaats van:
Malware.pdf.exe

Dit lijkt me het meest waarschijnlijk.

[Reactie gewijzigd door teunw op 23 juli 2024 20:09]

[Roland] @teunw • 15 oktober 2014 20:39

Volgens mij moet het vrij makkelijk zijn voor virusscanners om zulke zaken te achterhalen. Als 2 punten in een bestandsnaam eindigend op exe in email geef waarschuwing.

Room42 @[Roland] • 16 oktober 2014 01:00

Voor het 'systeem' is alleen de extensie (dus dat achter de laatste punt) van belang. Voor de gebruikers is deze echter om cosmetische redenen verborgen. Ik haat Microsoft nog altijd hierom, ik vind het de grootste fout die ze nog steeds maken. Ik zet het ook altijd als eerste uit, als ik bij mensen achter de computer kom.

Als je mensen geen tools geeft om een virus te herkennen (zoals een extensie), moet je ook niet raar staan te kijken dat ze hem missen.

Blinkin

@Room42 • 16 oktober 2014 10:12

Het probleem wat dan ontstaat zijn doorsnee gebruikers die bestanden volledig gaan hernoemen en de extensie deleten waardoor ze het bestand niet meer kunnen openen.

sfc1971 @Blinkin • 16 oktober 2014 10:49

Triviaal op te lossen, her noem bestaand past alleen de naam aan, niet de extensie, nieuwe optie, "pass extensie/bestands type aan". Voila, probleem opgelost, zonder essentiele informatie te verbergen.

Room42 @Blinkin • 16 oktober 2014 11:15

Nou én? Dat is minder erg dan dat ze niet weten wat voor bestand ze dubbelklikken.

Overigens heeft (sowieso) Windows 7+ de feature dat de extensie standaard niet geselecteerd is bij het hernoemen van een bestand.

MAX3400 @teunw • 15 oktober 2014 20:37

En dat is dus exact de reden dat 99% van alle (web)mail-clients een meervoudige whitelist hebben van toegestane, mogelijk toegestane en bijna verboden extensies.

Omdat we het in veel gevallen over Microsoft/Windows hebben, zou je eens een standaard installatie van Outlook erbij kunnen pakken; dan valt op dat exe, vbs, scr en anderen in eem aparte lijst zitten welke je expliciet moet aanzetten.

Pwuts @teunw • 16 oktober 2014 07:54

Dit is echter ook anders in te stellen. En deze instelling heeft mijn gamecomputer al meerdere malen behoed voor een virus. Eerst een Game.zip.exe, later een Factuur.pdf.exe, en zo nog een paar. Het waren een paar trojans, een worm, 1 botnet-client (ik ben de officiële naam even kwijt) en een visser. Mijn advies: leer de digibeten in je omgeving iets over virussen en verborgen extensies en je zult een stuk minder werk hebben aan het herstellen van virusschade

Slickzor @Luuk58 • 15 oktober 2014 20:10

Digibeten genoeg, dus dat zal zeker voorkomen. Ik heb al jaren geen virussen of malware meer gehad waarvan ik enigszins hinder ondervond. Puur door een paar programmaatjes zeer af en toe te draaien en op de achtergrond een lichte antivirus/malware protectie aan te hebben staan. Weet niet of er door de overheid genoeg gepromoot wordt een goede beveliiging aan te schaffen? Enige wat ik heb gezien zijn spotjes over phishing, verder heb ik geen kabel dus zou ook niet weten of ze nog meer aan dergelijke promotie doen.

[Reactie gewijzigd door Slickzor op 23 juli 2024 20:09]

DrBashir @Slickzor • 15 oktober 2014 21:17

Jup, vandaag zo'n geval gehad. Gisteren een gebruiker dinsdag rond 16:26u zo'n zip bestand (tracker[radom cijfers].zip blijkbaar geopend, tot 16:58u. In dit half uurtje +- 29.000 bestanden encrypted in de shares op de file server... Laat ook nog eens in elke directory een instructie achter: "decryption_instructions.html". Vanmorgen kwam deze gebruiker er achter door de ransom pop-up.

Meteen de PC netwerk kabel er uit laten trekken. PC bekeken, Symantec Endpoint Protection stond er op, en up-to-date, maar had dus niets tegen gehouden, en deed nog steeds alsof er niets aan de hand was.

Malwarebytes er op gezet (via dvd) en die vond, ondanks de definities van ergens in september, direct het virus ed...

Wij gaan dus geen Symantec meer adviseren, en adviseren in de toekomst waarschijnlijk een combinatie van Kaspersky en Malwarebytes Pro.

Sinds vanochtend dus bezig (en einde vd middag klaar) met restoren van alle encrypted bestanden. Zover we kunnen zien betrof het vooral oudere bestanden, dus die waren niet veranderd sinds ma-di back-up.

[Reactie gewijzigd door DrBashir op 23 juli 2024 20:09]

Pietervs @DrBashir • 15 oktober 2014 22:46

Nou ben ik geen fan van Symantec, maar alleen vanwege het feit dat dit virus niet herkend werd af te stappen van een product is wel heel kort door de bocht: er is geen enkele virusscanner die alle virussen kan herkennen...
Sterker nog: je geeft zelf al aan dat je mensen een combo van 2 producten gaat adviseren

Pwuts @Pietervs • 16 oktober 2014 07:45

Waarom zou geen enkele virusscanner kunnen zijn die alle virussen herkent? Het zal misschien ingewikkeld zijn, maar (bijna) niets is onmogelijk.

jay123 @Pwuts • 16 oktober 2014 09:52

Omdat er steeds nieuwe virussen bijkomen, en je niet op het zelfde moment als een nieuw virus uitkomt deze al kan herkennen.

Je kan toch niet weten hoe iets werkt als je het nog nooit gezien hebt?

Pwuts @jay123 • 16 oktober 2014 12:27

Maar er zijn ook virussen die al een behoorlijke tijd op het internet "rondwaren" en die door sommige antivirusprogramma's nog steeds niet herkend worden.

Ik denk dat het goed zou zijn als bedrijven als AVG, Kaspersky, Symantec etc samen zouden werken om samen één grote virusdefenitie-database te maken, zodat er minder virusslachtoffers zullen voorkomen.

Slickzor @Pietervs • 16 oktober 2014 17:35

Eens Pieter, daarom stap ik er ook niet vanaf, ik overwoog het maar is niet realistisch gebleken voor mij. Malwarebytes i.c.m. SEP werkt al een paar jaar prima voor mij

Pietervs @Slickzor • 16 oktober 2014 18:07

En dat is het belangrijkste: dat je een product (of combinatie ervan) hebt waar jij je goed bij voelt

Baseboy @DrBashir • 15 oktober 2014 21:34

Symantec Endpoint Protection gebruikte ik normaal ook altijd maar nu al een tijdje niet meer door de slechte herkenning van kwaadwillige software...

i-chat @DrBashir • 15 oktober 2014 23:02

ik vraag me af of je symantec hier aansprakelijk voor kunt stellen ze leveren immers een betaald software pakket waarbij je er vanuit mag gaan dat ' een maanden oud virus' inmiddels wel in de viruslijst staat... ik zou ze hoe dan ook een mailtje sturen met hoe dat precies zit...

rookie no. 1 @DrBashir • 15 oktober 2014 23:20

Het hangt er ook nog vanaf hoe je Symantec Endpoint Protection clients configureert en welke versie je hebt. Ik zie bij genoeg bedrijven versies van voor 12.1 voorbij komen en een hele slappe configuratie.

NBS @DrBashir • 16 oktober 2014 00:57

Ik heb zelf een jaar geleden te maken gehad met CryptoLocker bij een klant op mijn stage. Zij gebruikten ook Symantec Endpoint Protection die niks aantrof, terwijl het van september 2013 tot ongeveer januari 2014 een aardig hot-topic was betreft cryptovirussen.

kimborntobewild @DrBashir • 16 oktober 2014 01:23

Wij gaan dus geen Symantec meer adviseren, en adviseren in de toekomst waarschijnlijk een combinatie van Kaspersky en Malwarebytes Pro.

Welke malware/virusscanner je ook kiest: geen enkele zal alles pakken. En een combinatie van virusscanners wordt altijd afgeraden.

low-res @DrBashir • 16 oktober 2014 08:07

Bij ons afgelopen dinsdag ook het zelfde geval. F-secure met nieuwste signature update detecteerde NIETS. Netwerk kabel er uit getrokken, Malwarebytes vervolgens gebruikt om het te verwijderen. Daarna restore uitgevoerd.

Er waren iets van 100 bestanden versleuteld. Alleen *.xls bestanden op een specifieke locatie op een share. Het verbaast me nog steeds waarom het virus zich tot die bepaalde locatie heeft beperkt...

Alex3 @DrBashir • 16 oktober 2014 10:56

Mogelijk test de maker zo'n virus vooraf met veelgebruikte virusscanners, waaronder Symantec, of hij herkend wordt. Dat is dezelfde situatie als dat de meeste virussen voor Windows gemaakt worden.

Slickzor @DrBashir • 15 oktober 2014 22:15

Ik gebruik zelf ook endpoint protection icm malwarebytes pro, maar nergens last van, ik heb gelukkig ook voldoende ervaring om dingen te herkennen die niet kloppen maar zou dan inderdaad ook Kaspersky aanraden voor de wat minder technologisch begaafden onder ons. Voornamelijk gaat het om die knakkers die totaal niets van computers snappen of de gevaren van het internet inzien. Daarnaast leren ze ook niet van de fouten die ze maken, noch boeit het ze iets. Totdat het een keer goed mis gaat zoals je hierboven beschrijft. Dat soort hardleerse gedrag zie je steeds maar weer naar voren komen bij mensen die computers maar 'ingewikkeld' vinden terwijl ze er gewoon geen energie in willen steken.

Bizar dat Symantec overigens totaal niets deed, zou meer van hen verwachten (goede waarschuwing in ieder geval, waarvoor dank), gebruik daarom Malwarebytes er sowieso naast en laat endpoint op de achtergrond draaien omdat deze vrij licht is. Overigens vind ik de nieuwe Malwarebytes behoorlijk vervelend aanwezig (denk dat er nog wel het 1 en ander aan verbeteringen wordt doorgevoerd de komende tijd), vandaar dat ik hem niet constant aan heb. Toch maar weer even naar Kaspersky gaan kijken dan...

Getto @Slickzor • 15 oktober 2014 22:20

Kaspersky 10 herkende het helaas ook niet

ben nu ook bezig bij kennissen om alles te restoren.

Pwuts @Getto • 16 oktober 2014 07:41

Was het Kaspersky 10 met de laatste defenities? Zo ja, dan vraag ik me af welke antivirus het nog wel zou herkennen. Zo nee, dan vraag ik me af wat (of wie) er in de fout is gegaan...

Malwarebytes werkt in ieder geval, dus die zal de komende tijd wakker moeten blijven. En ookal is deze antimalwarescanner "vervelend aanwezig", beter dat dan een slot op je computer..

Getto @Pwuts • 16 oktober 2014 10:21

Het was inderdaad kaspersky met de laatste definities. (monitoren we).
De anti spam module in een fortigate/fortiwifi houd wel het mailtje tegen kwam ik net achter.

Slickzor @Pwuts • 16 oktober 2014 17:32

Slot op je computer? Kwestie van gezond verstand, ik zou nooit een dergelijke exe op mijn PC draaien, laat staan 1 die in gebrekkig Nederlands wordt aangeboden en zich in een zip bestand bevindt. De mensen die er geen of weinig verstand van hebben doen er inderdaad goed aan Malwarebytes pro-active te hebben draaien, voor mij is het niet zozeer van belang. Maar als Kaspersky hem ook niet opvangt dan blijf ik wel gewoon SEP draaien die tot nu toe prima zijn werk doet i.c.m. een malwarebytes scan eens in de zoveel tijd.

Dank voor de info Getto.

flabber @Slickzor • 15 oktober 2014 20:34

Digibeten?

Je zult analfabeten bedoelen:
" PostNL heeft het recht om schadeloosstelling vorderen van u voor het is houden van
in het bedrag van 4,55 euro voor elke dag van het houden."

Als iemand trapt in dergelijk opgestelde oplichterij, dan heeft dat niets met de digitale wereld te maken. De kans is groot dat ze er ook "analoog" in zouden trappen.

renecl @flabber • 15 oktober 2014 20:38

Dat leest bijna niemand. Het woord pakketje is al voldoende om te klikken

JAVE @renecl • 15 oktober 2014 23:26

Als mensen ondanks de jarenlange voorlichting (van familie die /wel/ met computers om kan gaan en van de overheid) nog steeds in dit soort dingen trappen, dan verdienen ze het intussen.

Het klinkt heel lullig, maar 'wie niet horen wil moet maar voelen' is blijkbaar de enige manier om dat soort mensen te laten veranderen.

kimborntobewild @JAVE • 16 oktober 2014 01:21

Je vergeet dat er steeds mensen bijkomen (teweten: de jeugd, dus). Die dus niet jarenlang voorlichting hebben gehad. Komen zo van de lagere of middelbare school waar zelden ICT-docenten op zitten die dit soort zaken behandeld.

En ondanks die jarenlange voorlichting voor wat betreft de ouderen: het is vaak voor de ICT'ers al moeilijk je Windows-bakje virusvrij te houden, laat staan voor een niet-ICT'er (99% van de bevolking).

Veel ICT'ers denken tegenwoordig vaak dat hun Windows-bakje virusvrij is, omdat ze niks merken. Dat is nu juist al een aantal jaren prioriteit nr.1 van veel virussen: dat je niks meer van ze merkt, en dat ze hun werk op de achtergrond doen (bestanden kopiëren, spioneren, keyboard loggen, etc.).

Tukkertje-RaH @kimborntobewild • 16 oktober 2014 08:26

Volgens mij is dat slechte taalgebruik deels opzet - het brent een soort filter aan dat de cynische mensen eruit filtert en alleen de "sukkels" doorlaat. Dat zijn dezelfde sukkels die vervolgens op de link klikken en de malware z'n gang laten gaan.
Dit wordt ook gedaan bij de zogenaamde Nigerian 419 scams waarbij een functionaris zogenaamd 50 miljoen aan je wil overmaken. Na de eerste mail komt een soort van persoonlijk contact: overtuigen, mailen, ect. Daar steken die mensen redelijk wat tijd in, en ook als scammer wil je je tijd efficient gebruiken. Iemand die aan het einde van de rit dus afhaakt is vervelend. Door taalgebruik aan te passen aan je doelgroep (de wat minder slimmeren onder ons) vallen de slimmeren - die nooit die 1000 euro zouden overmaken - al buiten de boot en hoef je daar geen tijd in te steken.

Anoniem: 439180 @Tukkertje-RaH • 16 oktober 2014 17:27

Ik heb in het verleden ook eens zo'n Nigeriaans mailtje gekregen met daarin van een dame dat zij geld nodig had om haar doodzieke vader (of opa) te kunnen laten overvliegen naar Nederland voor behandeling.
Ik heb voor de gein het spelletje een tijdje meegespeelt en heb bv gevraagd aan haar of zij echt een meidje was. Als antwoord werd er direct een foto naar mij toe gemaild waarop een beeldschoone dame stond afgebeeld. Ik ben gaan zoeken op internet of deze foto misschien ergens bekend was en ja hoor, vele malen kwam ik dezelfde foto tegen bij eenzelfde verhaaltjes. Ik ben nog een tijdje doorgegaan met vragen totdat er niet meer op mijn vragen werd geantwoord. Blijkbaar was het allemaal teveel moeite voor de daders om nog verder door te gaan.
Daarna nooit meer van deze mail gehad!

JAVE @kimborntobewild • 16 oktober 2014 08:38

Oh, eerst zijn het de ouderen die niets meer kunnen leren, en nu zijn het de jongeren die niets hebben geleerd.

Gelukkig voor de meesten, zijn de huidige problemen geen virussen meer, maar pogingen to social engineering. Ja, af en toe zijn er drive-by installs (via adservers etc) die moeilijk te voorkomen zijn voor niet-paranoide computerfreaks, maar alle 'klik hier want je hebt gewonnen' en 'hee, hier is het bestand waar je om vroeg' acties zijn gewoon te stoppen door je VERSTAND TE GEBRUIKEN.

En je leert maar een heel klein beetje in school. Van alles.
De rest leer je omdat je het nodig hebt/interessant vindt/etc.
Dit valt dan ook onder levenservaring. 'Laat dit een wijze les voor je zijn' zoals mijn grootouders plachtten te zeggen

Fr0ns @kimborntobewild • 16 oktober 2014 10:07

Veel ICT'ers die denken dat hun Windows bakje virusvrij is bezitten in ieder geval niet de arrogantie dat hun OS geen virussen kan krijgen en houden daar nog rekening mee.

uNoTopia @JAVE • 16 oktober 2014 11:09

Hou alsjeblieft op met deze kletspraat en besef eens dat niet iedereen even kritisch en rationeel kan denken. Je doet alsof al die mensen niet willen leren of er geen moeite in willen steken terwijl er veel mensen zijn waarvoor 'computeren' lastig is en lastig blijft.
Ik zie het zelf bij mijn moeder, ik waarschuw haar over de gevaren van het internet en waar ze op moet letten. Ze doet haar best, maar de kans dat het een keer fout gaat is zeker aanwezig.
Een niet zo slimme 60+'er die amper gebruik maakt van het internet zal hier sneller intrappen. Heeft deze persoon toevallig ook iets besteld dan neem ik het hem of haar al helemaal niet kwalijk. Het leeuwendeel van de mensen zullen hier niet intrappen maar dat is vrijwel altijd zo bij dit soorten dingen. Maak je n oneindig groot en je zult eraan verdienen.

JAVE @uNoTopia • 16 oktober 2014 11:42

Mijn moeder raakt in de stress als Google z'n startscherm aanpast, dus wat dat aangaat is ze een schoolvoorbeeld van de mensen waar je het over hebt.

Maar ze is wel zo slim om emails van onbekenden, en emails zoals deze malware niet te openen.

Die mensen waar 'computeren lastig voor is', die moeten dan of maar ophouden, of leren.
Net zo goed als de mensen waar leren autorijden lastig voor is en blijft beter af zijn met het openbaar vervoer of een taxi.

Maar goed, volgens de reacties op mijn post zijn de enige die ook maar een beetje gezond verstand hebben met relatie tot computers & internet mensen tussen de 25 en 45 jaar. De rest is of te oud om nog iets te leren, of te jong om op school geleerd te hebben dat ze na moeten denken.

Elke malware die via social engineering geactiveerd wordt is heel eenvoudig te voorkomen door NA TE DENKEN.
Als je dat niet kan, dan mag je wat mij betreft alle ellende overkomen die veroorzaakt wordt door de malware.

Als je 1x de klos bent, dan leer je er van (want je leert van je fouten, niet van je successen).
Als je vaker dan 1x de klos bent, dan ben je een hopeloos geval.

bossanova @renecl • 16 oktober 2014 00:16

Ja, en dan krijgen ze dat 'pakketje' ook nog! Ze zijn er alleen niet zo blij mee.....

Slickzor @flabber • 15 oktober 2014 21:16

Haha ook dat is vaak een probleem flabber, maar zoals renecl al zei wordt er vaak overhaast gereageert bij dit soort dingen omdat ze er geen bal van snappen. Vind het ook meer onverschilligheid van de gebruiker dan een taak van de overheid om ze te informeren, maar vroeg het me af of ze aan dergelijke voorlichting doen. Naïviteit hoort er na 1 keer de fout in te gaan met dergelijke dingen wel af te zijn, maar veel mensen gaan keer op keer in de fout en zeuren dan over het feit dat ze niet voldoende worden voorgelicht etc.

massareal @flabber • 15 oktober 2014 21:48

Snap niet dat ze die mensen dan als doelgroep hebben, want dat zijn nu niet bepaald de groep mensen die bitcoins hebben.

dnrb @flabber • 16 oktober 2014 08:44

Twee van onze klanten zijn er ingetrapt.

En erger nog zij vinden dat wij aansprakelijk zijn omdat onze virus software het mailtje niet heeft tegen gehouden....

enver63

@dnrb • 16 oktober 2014 11:30

Misschien moet je die klanten aanbieden om het probleem op te lossen voor EUR 600?

postbus51 @flabber • 15 oktober 2014 23:35

PostNL has the right to claim compensation from you for it is love
in the amount of 4.55 euros for each day of loving.

Is het weer in Googletranslate naar engels , je moet hier toch van houden
Maar goed is weer een groepje of iemand lekker met vertalen van uit zijn eigen taal
Vraag me nu af of windows dit voor de 'User' kan blokkeren , soort van UAC voor de gebruikert

Anoniem: 606804 @Luuk58 • 15 oktober 2014 20:16

Ooit aan gedacht dat er ook mensen zijn die amper weten waf een. exe bestand eigenlijk is? Mijn moeder zou hier zo "intrappen" om maar een voorbeeld te geven. Hierom hoop ik dat MS toewerkt naar een model waarbij Windows standaard dicht zit en alleen appstore software Kan worden geinstalleerd. De powerusers kunnen dan handmatig de optie aanzetten om elke. exe te mogen uitvoeren.

thegve @Anoniem: 606804 • 15 oktober 2014 23:21

Een soort UAC dus, maar dan een systeem dat nog verder gaat. En dan gaat iedereen jammeren dat UAC+ zo verschrikkelijk irritant is omdat je geeneens exe bestanden kunt openen en dat het eerste wat ze doen als ze een PC hebben geïnstalleerd voor vrienden, UAC+ uitzetten omdat ze anders altijd worden gestoord voor iedere installatie.
En dan zijn we dus nog geen steek verder.

Cerberus_tm

@thegve • 16 oktober 2014 02:07

Nou, dat vraag ik mij af, hoor. Als ik voor iemand anders dingen zou moeten installeren, zou ik het uitzetten terwijl ik bezig ben, maar weer aan wanneer ik wegga. Lijkt mij eigenlijk best nuttig, precies zoals in Android, waar het ook prima werkt.

[Reactie gewijzigd door Cerberus_tm op 23 juli 2024 20:09]

Cerberus_tm

@Anoniem: 606804 • 16 oktober 2014 02:06

Dat lijkt mij een uitstekend idee, mits die optie er is (wat nu niet het geval is in mobiele Windowsen, in tegenstellig tot de oude Windows Mobile). Waarom hebben ze dat niet al gedaan??

AzzKickah @Luuk58 • 15 oktober 2014 21:17

Ohh jawel hoor, maak je geen zorgen. Gisteren een in Duitsland.

'Maar kende je de afzender dan?'
-'Nee dat niet.'
'Krijg je wel eens vaker zo'n soort mailtje?'
-'Nee ook niet.'
'Waarom open je de mail, de zip EN de executable dan?'
-'Ja weet ik eigenlijk niet.'

Wat moet je daar dan mee?
En denk maar niet dat McAfee VirusScan Enterprise het tegenhoudt of detecteert

DeMolT. @AzzKickah • 15 oktober 2014 22:51

Ik zie vaker langs komen dat een virusscanner dit nog niet detecteert en vervolgens afgeschilderd wordt als "slecht" product, maar vergeet niet dat er eerst een virus ontdekt moet worden voordat er een oplossing en detectie / preventie bedacht kan worden.

Helaas is de circel nog steeds virus > verspreiding > ontdekking > oplossing > detectie / preventie.

Megalodon86 @DeMolT. • 16 oktober 2014 14:18

Een goede virusscanner herkend patronen. Met kans op een false positive, dat wel, maar daarmee moet je de zoveelste *locker wel kunnen herkennen lijkt me.

Noeandee @AzzKickah • 16 oktober 2014 12:50

Op zich pikt VSE 8.8 redelijk veel op hoor. Ligt er alleen aan, wat je allemaal aanzet daarbij en of je eventueel nog toegevoegde modules installeert, zoals rootkit detectie en malware detectie. Aangezien je VSE gebruikt, zal je ook ePO gebruiken, lijkt me handig om eerst de policies na te kijken die gebruikt worden. Exclusion list, on-access scan instellingen, etc.

[Reactie gewijzigd door Noeandee op 23 juli 2024 20:09]

Megamind @Luuk58 • 15 oktober 2014 20:13

Mijn vader en moeder waarschijnlijk. Dan kan je wel met het argument komen dat ze beter opgevoed moeten worden, maar die mensen zijn te oud om dit soort grapjes bij te brengen.

PhilipsFan @Megamind • 15 oktober 2014 20:30

Dat klopt, maar je kunt ze wel heel goed leren dat niet alle mailtjes te vertrouwen zijn, zelfs niet als ze van een afzender komen die ze kennen. En als je geen pakket verwacht van DHL, waarom zou je dan in vredesnaam een track&trace link openen.

Overigens compleet onbegrijpelijk van Microsoft dat ze bestandsextensies standaard uit hebben staan. Al sinds Windows XP vraag ik me af wat daar in vredesnaam het nut van is, behalve dan dat het makkelijker wordt om een executable te verbergen. Ik moet op elk systeem dat ik beheer moeite doen om die extensies aan te zetten, anders wordt ik vroeg of laat gebeld met de vraag waarom een pdf'je zich als een word-bestand gedraagt

Megamind @PhilipsFan • 15 oktober 2014 20:40

Omdat ze een winkel hebben en er genoeg mailtjes van DHL of PostNL langskomen! Voor hun is PC geen prioriteit maar noodzaak en ja ik heb ze al vaak genoeg gewaarschuwd maar zo werkt het toch helaas niet.

flabber @Megamind • 15 oktober 2014 20:56

Als je vaak pakketjes ontvangt dan moet je toch opvallen dat deze in wel heeeeeel erg slecht nederlands is opgesteld.
En ik neem aan dat ze, juist in een winkel, ook moeten letten op vals geld, winkeldiefstal etcetera.
Ik zou verwachten dat mensen die een winkel hebben juist een stuk achterdochtiger zijn dan een oud vrouwtje achter de geraniums.

Floor @flabber • 15 oktober 2014 21:48

Wedervraag: wanneer jij iedere keer dezelfde mailtjes krijgt, ga jij die iedere keer opnieuw lezen?

Ex Nunc @Floor • 15 oktober 2014 22:14

Ik misschien wel, maar ik ben extra achterdochtig. Alleen als de gewone procedure ineens anders is, dan moeten er toch alarmbellen gaan rinkelen!

analogworm @Ex Nunc • 16 oktober 2014 00:05

Tsja en helaas moet je op het internet inderdaad achterdochtig zijn. Volgens mij heeft dat me veel ellende bespaard in de loop der jaren.

Blinkin

@PhilipsFan • 16 oktober 2014 10:10

Ik denk dat Windows de extensie verbergt voor als de doorsnee gebruiker een bestand gaat hernoemen. Hiermee wordt voorkomen dat de gebruiker de extensie verwijderd en het bestand niet meer kan openen.

rikoos @Megamind • 15 oktober 2014 20:28

Sorry hoor maar mijn ouders zijn half 70 en bij hen is het ondertussen ook duidelijk wat wel en niet kan. Kwestie van vaak genoeg roepen! Je bent nooit te oud vind ik!

Room42 @rikoos • 16 oktober 2014 01:03

Maar je moet er wel de affiniteit mee hebben. Niet iedereen is gelijk, niet iedereen leert hetzelfde even snel of gemakkelijk.

En dat je nooit te oud bent staat daar los van.

thetrueman2 @Luuk58 • 15 oktober 2014 20:49

Ik vind het eerder bizar dat er bitcoin betalingen worden geeist. Iedereen die uberhaupt weet wat bitcoins zijn of er aan moet komen gaat daar toch nooit mee in zee? Anonieme betaling die nooit meer terug te vinden is, en zonder garantie dat het systeem daarna ontgrendeld wordt. Sounds legit

Deadsmell

@thetrueman2 • 16 oktober 2014 07:59

Wat ik vooral vaag vind is dat ze er vanuit gaan dat de mensen die de scam niet herkennen wel weten wat bitcoin is. Ik doe even de aanname dat de slachtoffers van deze scam voornamelijk mensen zijn met weinig IT-kennis. Die moeten dan een vrachtje bitcoins inkopen en doorsluizen? Zie het niet snel gebeuren.

strijkijzer2 @Deadsmell • 16 oktober 2014 10:22

Dat gaat heel makkelijk, er zit gewoon een handleiding bij waar je met iDeal bitcoins kan kopen en naar de makers kan overmaken. Tenminste dat zat er bij de cryptolockers die ik gezien heb

PhatFish @Luuk58 • 15 oktober 2014 20:16

Helaas is de realiteit dat er genoeg gebruikers dom/onwetend genoeg zijn om hierin te trappen, dat dit soort praktijken lucratief blijven. Iedereen die ooit op en helpdesk gewerkt heeft kan dit wel bevestigen.

anboni @Luuk58 • 15 oktober 2014 20:54

Helaas.. hele volksstammen trappen daar vrolijk in. Afgelopen week op kantoor heeft een aantal mensen een email ontvangen met een notificatie van een ontvangen fax. Van de 12 ofzo ontvangers hebben er 6 de link aangeklikt.... (en dat waren nog bijna allemaal academische 20ers ook

)

TeQ99 @Luuk58 • 15 oktober 2014 20:55

Ongeveer de helft van de gebruikers trapt hier in. Mensen lezen niet. ze zien een logo en klik...

Ik heb er net een lange avond opzitten ruim 5000 bestanden gelocked bij een klant.
Maar we hadden backups en shadow copies.

Zackito @Luuk58 • 15 oktober 2014 23:31

Helaas wel, al enkele klanten hebben hier last van gehad van ons. Waar onoplettende(en ontwetend) gebruikers het zip bestand openen en de executable aanklikken. Met als vervolg dat alle mappen waar het virus bij kan komen op het netwerk gelocked worden.

het mailtje zou nu tegen moeten worden gehouden door onze mailfilter, sindsdien niets meer over gehoord.

Clifdon @Luuk58 • 16 oktober 2014 07:32

Nou luuk ik ga mijn ouders toch evem waarschuwen. Ik zou het zelf nooit doen mja noet iedereen is een Tweaker.

SuperDre @Luuk58 • 15 oktober 2014 20:30

naast het feit dat je een track-en-trace code toch alleen verwacht nadat je een melding hebt gehad dat er iets naar je toegestuurd gaat worden, en meestal weet je dan ook wel van tevoren wat de reden was waarom je het toegestuurd krijgt (of je hebt iets besteld, of je hebt iets gewonnen ofzo)..

renecl @Luuk58 • 15 oktober 2014 20:37

Heel veel mensen, heb er vandaag al 2 aan de telefoon gehad

Nijl @Luuk58 • 15 oktober 2014 20:46

Ik zeg even niks ..

iDrone 15 oktober 2014 20:10

Hier op werk ook al diverse keren mee te maken gehad. Zwaar irritant dat werknemers ondanks alle waarschuwingen nog steeds zo klik happy zijn. Hier trouwens een mooie tool die deze en toekomstige lockers kan tegenhouden door de User Policy aan te passen: https://www.foolishit.com/vb6-projects/cryptoprevent/

Kalief @iDrone • 15 oktober 2014 21:24

En waaruit blijkt dat dit werkt en niet slechts een pseudo appje is die inhaakt op de mailaise?

henk717 @Kalief • 15 oktober 2014 22:21

Ik heb de tool net getest.
Het houd netjes veel zaken tegen maar had in dit geval waarschijnlijk niet uitgemaakt.
Het cryptolocker virus in het artiekel waar ik 2 samples van heb eindigd niet op .pdf.exe.
Deze bestanden worden geplaatst in %allusersprofile% nadat het virus is geactiveerd en dit is nou net de locatie die deze tool over het hoofd ziet. De tool zelf controlleerd alleen het gebruikers profiel als de standaard instellingen worden gebruikt.

Voor veel andere virussen heeft het dus wel nut maar het is zeker niet waterdicht.
Hij blokkeerd veel dubbele bestands extenties en %appdata% en %lowappdata%.

Interresante informatie is dat ik de zelfde link heb gebruikt om 2 samples te downloaden, een gisteren en een vandaag. Het sample van vandaag werdt niet herkend door de virusscanners en het sample van gisteren wel. We hebben hier de klassieke hercompileer truuk te maken. Als de binary maar anders genoeg lijkt blijft die gewoon undetected. Tegen de tijd dat de meeste mensen weer wakker zijn staat de volgende binary netjes klaar.

Bron :
https://www.virustotal.co...38159bfb6425bfa/analysis/ (Sample van gisteren)
https://www.virustotal.co...9f9c/analysis/1413404740/ (Sample van vandaag)

[Reactie gewijzigd door henk717 op 23 juli 2024 20:09]

Noeandee @henk717 • 16 oktober 2014 12:55

Kan je de samples via die website ook ergens downloaden, om te testen op een los werkstation? Vind het altijd wel leuk om even te kijken of de AV installatie netjes werkt of ergens nog aangescherpt moet worden.

henk717 @Noeandee • 17 oktober 2014 00:29

Ik heb de samples bewaard, wie interesse heeft kan mij een PM sturen.

twiFight @henk717 • 15 oktober 2014 22:37

Met welke setting van de tool heb je getest? Je hebt het wel over "standaard instellingen gebruiken" in relatie tot het scannen van het gebruikersprofiel, maar de tool geeft netjes aan dat voor de nieuwe malware een hogere setting gebruikt moet worden (die weliswaar ook nadelen heeft).

De tool claimt ook niet perfect te zijn. Maar de detectie kan geupdate worden met definitiebestanden. Misschien duurt het een dag of twee, maar dan is de bescherming er alsnog. Met andere woorden heb je tot nu toe twee zaken bevestigt die de maker van de tool zelf ook duidelijk benadrukt.

Dan blijft de volgende vraag over: wil je dat gebruikers helemaal geen cryptolocker(achtige) malware blokkeren, of wil je dat ze in ieder geval de bekende cryptolocker malware blokkeren? Ik hoef niet lang na te denken over het antwoord.

Kortom: deze tool heeft wel degelijk toegevoegde waarde, maar het blijft belangrijk om niet blind domme dingen te doen. Een waarheid die eigenlijk elke dag dat je op het internet zit wel van toepassing is.

Globefrotter 16 oktober 2014 00:40

Tja, heel veel technische verklaringen hierboven gelezen waar ik nog een paar goede tips uithaalde, waarvoor dank.

Maar wat ik niet begrijp; Wanneer je geen pakketje verwacht word je toch achterdochtig als je ongevraagd een mailtje met een 'Track & Trace' link krijgt?
Dan gooi je zo'n mailtje toch ongeopend in de digitale afvalbak?

Valt voor mij in dezelfde categorie als de mailtjes van zgn. deurwaarders of incassobureaus; Je weet toch zelf het beste wat je hebt gekocht en of je alles hebt betaald. Een vals mailtje zou dan toch meteen door de (digitale prullen-)mand moeten vallen?

Ook al ben je digibeet: je hebt toch hopelijk nog enig gezond Hollands boerenverstand.........

Garyu @Globefrotter • 16 oktober 2014 07:16

Ik krijg vaak genoeg een bestelling in meerdere pakketjes geleverd. En mijn vrouw bestelt ook nog wel eens iets. Dus nee, ik heb geen flauw idee of er een pakketje op pad is momenteel. Ook sturen familieleden nog wel eens pakjes e.d., wat je ook niet altijd ziet aankomen.

Dat betekent natuurlijk nog niet dat je een gefake'de PostNL-e-mail met een link naar een phishing-site niet kan herkennen, en vervolgens een zip opent die daar aangeboden wordt.

Globefrotter @Garyu • 16 oktober 2014 12:31

Inderdaad, ik heb deze week ook een zending ontvangen waar 1 artikel van wordt nageleverd.
Maar de leverancier geeft wel de leveringstermijn aan en ik krijg van de leverancier een link met de track&trace code en niet van een wildvreemde.
Ook zit die code in een mailtje dat in normaal Nederlands is gesteld en niet in Google Bloemkoolnederlands.

Overigens moet jij een gelukkig mens zijn dat iedereen jou maar zo pakketjes stuurt: bij jou is het altijd Sinterklaas.......

Wampa1 16 oktober 2014 10:16

Digibeten genoeg die hier intrappen zoals hier al veel wordt aangegeven. Zijn er op dit moment trouwens geen antivirussen die een dergelijke poging al tegen houden? Of is dit een geheel nieuw truukje met de code erachter?

Globefrotter @Wampa1 • 16 oktober 2014 16:20

Maar dit heeft toch weinig met 'digibeet' zijn te maken?
Een mens is een denkend wezen; Wanneer ik ergens iets bestel krijg ik de trackandtrace code van de leverancier en niet van post.nl

Mensen zouden op internet best wat wantrouwiger mogen zjin.....

worldfastest 16 oktober 2014 13:59

Wat ik vooral kwalijk vindt is dat postnl of dhl niks op hun homepage hebben staan dat hun naam wordt misbruikt door derden.

Grote bedrijven zoals deze hebben een maatschappelijke verplichting om te zorgen dat dit direct wordt gecommuniceerd in de media en dat acties worden ondernomen om deze websites plat te laten leggen.

Globefrotter @worldfastest • 16 oktober 2014 16:18

Op de site van Post.nl staat op de pagina waar je de Track&Trace code moet invoeren staat wel degelijk een melding.

Maar de link in het bewuste mailtje zal wel naar een andere pagina verwijzen....

Anoniem: 126717 15 oktober 2014 20:13

Met track & trace krijg je normaalgesproken nooit een PDF. Gewoon een website met de gegevens. Ik snap niet dat mensen er in blijven trappen. Je moet een pakket onderweg hebben, anders weet je sowieso dat het stinkt.
Het Italiaanse postbedrijf stuurt me de laatste paar dagen ook al veel pakketten, vanaf vage mailadressen...

irritantrotjoch 15 oktober 2014 22:37

Wat is de link met torrent?

computerjunky 16 oktober 2014 00:04

geen probleem dus.
Gewoon statusbalk eindelijk eens gebruiken en je doppen gebruiken om te kijken op welke link je klikt.

0vestel0 16 oktober 2014 09:20

Nou, hier is die dus in het wild opgedoken. Er zijn genoeg mensen die nog steeds blind klikken.......

TweakOverflow

15 oktober 2014 20:51

Ik heb even verder gekeken op het internet. Er is gelukkig al een oplossing aangeboden door FireEye en FOX IT. Hetgeen wat je moet doen als je geïnfecteerd bent is het volgende:
- Ga naar https://www.decryptcryptolocker.com/
- Vul je e-mailadres in
- Upload een van de bestanden die encrypt is door het virus
- Vul de Captcha in

Je krijgt een email met daarin een "unieke decryption sleutel" en daarbij ontvang je een link naar het recoveryprogramma wat ze hebben geschreven.

Voor degene die wil weten hoe het virus te werk gaat:
1. CryptoLocker arrives on a victim's machine through a variety of techniques such as spear-phishing emails or watering hole attacks.
2. CryptoLocker then connects to randomly generated domain (via DGAs) to download a specific RSA public key.
3. At that point, an AES-256 key is created for each file on the system.
4. CryptoLocker then encrypts all of the supported files using the generated key from step 3.
5. The generated key is then encrypted with the downloaded RSA public key from step 2.
6. And finally, the AES-key is written to the beginning of the encrypted files, thus requiring the private key to decrypt.

Bron: http://www.fireeye.com/bl...ptolocker-decryption.html

Edit: Dat was inderdaad de verkeerde oplossing. Mijn excuses voor de mogelijk valse hoop. Een mogelijke oplossing wordt geboden doormiddel van een decrypt tool. Ik kan op dit moment niet testen of deze werkt. Hier is de link naar het forum met de analyse en de mogelijke oplossing: http://www.bleepingcomput...-decrypter-has-been-made/

[Reactie gewijzigd door TweakOverflow op 23 juli 2024 20:09]