×

Laat je stem gelden!

Dit jaar organiseren we voor de elfde keer de Tweakers Awards! Wat vind jij de beste tech- en elektronicaproducten van het afgelopen jaar? Laat je stem gelden en ontvang 50 ippies. Je maakt bovendien kans op een Philips Hue Starter Pack, JBL Charge 3, Call of Duty: WWII of twee vrijkaarten voor de uitreiking op donderdag 1 februari!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Dumpert, 9gag en Yahoo verspreidden malware' - update

Meerdere populaire websites als 9gag, Dumpert en Yahoo Finance verspreidden malware via ge´nfecteerde advertenties. Dat meldt beveiligingsbedrijf Proofpoint. Het gaat om ransomware, die bestanden van gebruikers versleutelt en tegen betaling weer ontsleutelt.

Naast 9gag, Yahoo Finance en het Nederlandse Dumpert zijn volgens Proofpoint ook een subsite van Aol, het tijdschrift The Atlantic en datingssite Match.com getroffen. De websites verspreidden de malware niet zelf; de aanvallers gebruikten advertentienetwerken om hun malware te verspreiden. Daaronder was onder meer één OpenX-server; die advertentiesoftware staat bekend om zijn beveiligingsproblemen.

Wie een van de getroffen websites heeft bezocht, kan volgens Proofpoint zijn geïnfecteerd met de CryptoWall 2.0-ransomware. Net als andere ransomware versleutelt CryptoWall bestanden van gebruikers, met de melding dat ze de bestanden pas weer kunnen benaderen tegen betaling. Bovendien worden getroffen gebruikers geconfronteerd met een aftellende klok; bereikt die het nulpunt, dan worden de bestanden van gebruikers permanent gewist.

Gebruikers kunnen zijn geïnfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit. Die probeert om middels beveiligingsproblemen in software om malware te installeren. De aanvallers vermomden hun malvertisements als legitieme advertenties van bestaande merken als Microsoft Bing en Fancy.

Update, 15:34: GeenStijl, de zustersite van Dumpert, stelt dat er nog geen bevestiging is dat de site daadwerkelijk malware heeft verspreid. Desondanks belooft GeenStijl kritischer te zullen kijken naar adverteerders. "Elke code van elke reclame altijd door de full body scanner heen", aldus de site.

Door

Redacteur

243 Linkedin Google+

Reacties (243)

Wijzig sortering
Without having to click on anything, visitors to the impacted websites may be stealthily infected with the CryptoWall 2.0 ransomware. Using Adobe Flash, the malvertisements silently “pull in” malicious exploits from the FlashPack Exploit Kit. The exploits attack a vulnerability in the end-users’ browser and install CryptoWall 2.0 on end-users’ computers.

Dus als je flash niet automatisch laat draaien ben je veilig.
Lekker weer Adobe. Dezelfde prutsers die een verouderde versie van Adobe Reader online zetten, omdat het financieel niet interessant is de applicatie te vertalen. Ik zou graag zien dat hiermee HTML5 video verder gepushed wordt en Adobe's pruts software niet langer gebruikt hoeft te worden.
Gelukkig, heb geen flash meer aanstaan in de browser :)
Dat cryptolocker is echt een 'pain-in-the-ass'. Jammer dat er criminelen zijn die misbruik maken d.m.v. een advertentie netwerk.

[Reactie gewijzigd door Mijnenveger op 24 oktober 2014 14:00]

Je hebt ook al een variant voor android beschikbaar, simpellocker of s/lockerA doet hetzelfde op android. Het encrypt alles, en geeft je alleen een decryptie sleutel als je betaalt.

Ook daar kom je aan via een louche advertentie netwerk. Je hebt gelukkig steeds meer sites die je kan betalen om geen advertenties te laten zien, zodat je 'veiliger' bent. Een beetje tweaker blokkeerd selectief advertentie netwerken, al wordt je internet dan vaak minder functioneel. Een moderne browser met modern os, in combinatie met gezond verstand helpt ook veel. Al blijft het verdedigen tegen een ongepatchte exploit in browser of os bijna onmogelijk.
Bijna iedere site maakt gebruik van ÚÚn of meerdere advertentienetwerken om inkomsten te genereren. Ook Tweakers, ook de Telegraaf, ook Nu.nl en noem meer van die veelbezochte sites.

1) je weet niet welke advertentienetwerken er gebruikt worden
2) je weet niet welk systeem die netwerken gebruiken
3) je kan niet voor iedere site een abo kopen om zonder reclame toch te kunnen lezen

Dus, voor de veiligheid van je eigen data kan je bijvoorbeeld alleen surfen op een aparte machine die alleen het internet op mag, of in een sandbox. Dat is een nogal botte oplossing voor het probleem.

Beter is het om adblock of ghostery te gebruiken. Het voordeel is dat je advertenties per site kan toestaan (als je bijvoorbeeld tweakers inkomsten gunt) of bepaalde advertentienetwerken wel wil toestaan en andere weer niet. Ook tracking cookies, widgets en andere malware verspreidende sites worden gestopt. Werkt op Firefox onder windows, linux en android.

Ja dat is vervelend voor de makers van de website, maar ook zij kunnen niet garanderen dat hun advertentienetwerk schoon is en blijft. Het is voor criminelen te lucratief en te makkelijk om je data te gijzelen.

[Reactie gewijzigd door asing op 24 oktober 2014 14:58]

Ik gebruik zowel Ghostery als Adblock. In hoeverre ben je dan nog vatbaar voor zo'n valse driveby als je zo'n site bezoekt? Verder heb ik een goede, betaalde, virusscanner die standaard wordt geupdate zodra ik de laptop aanzet.
Er is een plugin voor firefox die laat zien waar je browser naartoe connect als je een site bezoekt. https://www.mozilla.org/en-US/lightbeam/ Dan bezoek je bijvoorbeeld Tweakers en dan zie je direct welke sites ook worden geraadpleegd. Zonder adblockers ontploft je scherm van de sites en linkjes, met werd het een heeeeel stuk minder.

Als je adblock en ghostery aanzet zal je zien dat het een stuk minder is en kan je controleren of er verbinding wordt gemaakt met de advertentiesites. Als dat niet zo is ben je veilig voor deze drive-by shooting.
Dan moet je dus eigenlijk kunnen instellen dat er Řberhaupt geen verbinding meer gemaakt mag worden met externe sites.
Veel sites hebben de afbeeldingen op een andere server staan zodat de pagina sneller kan laden. De browser kan een maximaal aantal bestanden per server tegelijkertijd downloaden (dacht ik). Door de afbeeldingen op een andere server te zetten, kunnen er meer bestanden tegelijkertijd komen.

edit: En dingen als Google Custom Search op een website.

[Reactie gewijzigd door Frederic98 op 24 oktober 2014 22:08]

Ik heb daar eens mee getest, maar een stuk of 6 sites noem ik niet onmiddelijk een ontploffing. Precies net zoveel als met Ghostery in mijn geval.

Misschien moet ik meer gare addons en plugins instellen. De sandboxed browser ging namelijk eerst wel uit zijn bol, maar dat lag aan een Youtube downloader die kennelijk tracking injectereerde in de site. Het viel me tenminste op dat er via hun site een web aan andere sites getriggerd werd.

*Edit: Ik zie dat ik een foutje in de filtering had zitten in Ghostery op de zandboxed browser. Daarmee ga ik twee cookie trackers omlaag naar nog 4 sites op Tweakers.

[Reactie gewijzigd door 125509 op 24 oktober 2014 22:09]

Als de adblocker alle actieve content blocked ben je redelijk veilig. Als de adblocker alleen content van ad netwerken blocked, hang je als je op een site terecht komt die zelf gehacked is.

Een adblocker tegen malware is wat mij betreft schijnveiligheid.

Maar goed, het is een populaire reden om het blocken van ads goed te praten.
Volgens mij ben je daar nog prima vatbaar voor met een adblocker

Dat je een element niet ziet op een pagina wil niet zeggen dat tie er niet is..


Nvm is niet mee zo geloof ik

[Reactie gewijzigd door TheNymf op 24 oktober 2014 17:29]

Dat vroeg ik me dus inderdaad ook af. Dat je iets niet ziet, betekent niet dat het er niet is. Vandaar die drive-by'. Je weet niet eens dat je besmet raakt, of niet.
Dus, voor de veiligheid van je eigen data kan je bijvoorbeeld alleen surfen op een aparte machine die alleen het internet op mag, of in een sandbox. Dat is een nogal botte oplossing voor het probleem.
Er is een veel eenvoudigere oplossing.

Gewoon je plug-ins uitzetten.

99,9% van de malware verspreid zich tegenwoordig via oude lekken in Flash, Silverlight en de Java plugin. Die 0,1% die zich verspreid via echte lekken in de browser kom je in het wild zo goed als niet tegen.

Ik gebruik zelf Ghostery om de tracking shit te blocken, maar de ads laat ik gewoon door.
Heel vervelend dat virus zo wordt verspreid. Zullen de meeste websites wel last van zullen krijgen omdat meer mensen weer de adblockers zullen gaan installeren.

Heb zelf al jaren adblocker en ghostery. Ja ik block gewoon alles dus ook voor tweakers. Niet omdat ik ze geen inkomsten gun maar een site zoals tweakers zou toch beter weten dat meeste gebruikers geen cookies willen hebben. Een site als tweakers zou ik hoger inschatten dat ze geen cookies nodig hebben om mensen te kunnen volgen.
Je kan zo alles ophalen waar iemand vandaan komt en hoeft dus ook niet opgeslagen te worden.
Snap best dat veel advertentie netwerken dit niet accepteren maar volgens mij moet een website als tweakers gewoon sponsor deals kunnen opduiken. Zet je images lokaal en plop iedereen ziet ze. Reclame filmpjes kunnen gewoon in filmpje worden verwerkt. Is het dan minder gericht? Ja.... maar een website als tweakers moet zelf heel goed weten welke niche iemand in geintresseerd is.
Een site als tweakers zou ik hoger inschatten dat ze geen cookies nodig hebben om mensen te kunnen volgen

Tweakers heeft het niet nodig, maar hun reclame broodheren vinden van wel betreft hun adds. Dan kun jer als Tweakers op je kop gaan staan, maar het is dan gewoon stikken of slikken.

Tracking cookies zijn zo goed als exclusief enkel en alleen voor reclame.
Mij kan je niet vertellen dat omdat ik mijn ghostery & adblockers aan heb staan het effect tig keer hoger is als er ineens wel wat omhoog schiet.
Dus als tweakers zijnde zouden ze mijn inziens dit toch gewoon moeten kunnen verkopen aan een add. Ja dat een pampers hier geen boodschap aan snap ik. Maar je kan mij niet verkopen dat als je asus/intel of enig technisch bedrijf zoiets niet kan verkopen. Enige is wel dat je inderdaad geen gebruik kan maken van de advertentie netwerken om je reclames in te kopen. Maar goed na zulke berichten wil je daar ook niet van afhankelijk zijn lijkt me.
Voor de volledigheid, Adblock werkt ook op Chrome
Inderdaad, slechte zaak.

Als mensen het willen kunnen ze eventueel HitmanPro Alert proberen, deze biedt onder anderen bescherming tegen het versleutelen van bestanden waaronder ook netwerk shares, en dus ook tegen dingen als Cryptolocker.

Niet bedoelt om hier slecht reclame te gaan lopen maken. :+
Of je gebruikt Sandboxie. Dan draait je browser in een sandbox. Zodra je geinfecteerd bent met ransomware zet je gewoon je pc uit en weer aan, schoon je je sandbox op en gaat weer verder of er niks gebeurt is :)
Tools als sandboxie verhogen slechts de drempel en zijn geen garantie tegen malware infecties via je browser. Die 'reset knop' in je sandboxie is leuk, maar er blijft altijd lokale interactie bestaan tussen virtuele browser en OS. De momenten waarop interactie tussen de sandbox en het OS plaatsvind is dan ook het moment waarop malware kan toeslaan en lokale data kan wegschrijven. Een herstart van je computer lost dat probleem ook niet op.

Lees dit artikel maar eens:
http://www.infoworld.com/...rotect-your-desktop-.html
Een virtuele machine die binnen een OS uitsluitend voor browsen wordt gebruikt lijkt mij een veiliger alternatief. Wat vind densoN daar van?
zoiets als qubes os. weet niet of dat werkt. Welke os'en zijn vatbaar eigenlijk?
Ik bedoelde eerder virtualbox met bijvoorbeeld Linux of Mac OSX om te browsen. Ik moet nog horen dat een exploit uit een virtuele machine ontsnapt is.

Windows only.
Trojan.Cryptowall, Symantec zegt: Risk Level 1: Very Low. Haha, very low.
de exploit kan low zijn. De gevolgen high. Als dus door die fout een trojan binnenkomt en je hebt virtual box dan gaat hij eerst via host OS. Dus ja dat kan theoretisch wel. Zelfs met Xen enz.

Ik bedoelde qubes os: https://qubes-os.org/
Die xen hypervisor is gepatched!

Ik heb een even nagedacht in principe komt al het netwerk verkeer langs de host voordat het naar het guest os gaat en terug weer langs de host. Of je moet bijvoorbeeld een container hebben met een eigen kernel en een netwerkadapter die alleen verbonden is met de gues via die aparte kernelt. Dan kan het geen kwaad.

oftopic: (dus niet hierop in deze discussie op reageren!! ;) )@moderaties: In het artikel op tweakers wordt nergens verwezen naar welke OS'en en browsers het gaat. Een ieder die hier naar vraagt is dus ontopic/relevant! Een ieder die hier antwoord op geeft is: +2 informatief (of zelfs +3 want het is een essentiŰle toevoeging op het artikel)

Wat betreft sandboxing,adblocking en andere oplossingen daaromtrent: Elke manier om de gevolgen van het probleem aan te pakken/verhelpen/voorkomen zijn +1 ontopic/relevant .
Af en toe zijn de moderaties echt drama de laatste tijd. :/

[Reactie gewijzigd door rob12424 op 25 oktober 2014 00:30]

Uit je eigen link
Threat Assessment

Wild
Wild Level: Low
Number of Infections: 0 - 49
Number of Sites: 0 - 2
Geographical Distribution: Low
Threat Containment: Easy
Removal: Easy


Damage
Damage Level: Medium
Payload: Demands a ransom to decrypt files on the compromised computer.
Modifies Files: Encrypts files on the compromised computer.


Distribution
Distribution Level: Low
Removal easy vandaar risk level 1 very low (als je dus Norton gebruikt...) ;).
Mijn opmerking gaat over het feit dat dit crypto-ware is, en het verwijderen van de malware wellicht makkelijk is, je files zijn weg. Vandaar dat ik de "Risk: low" nogal opvallend vind, veel andere malware besmet je systeem met vanalles smerigs, maar je bestanden raak je niet zomaar kwijt.
Naar mijn weten neemt het risico (door toenemende complexiteit ) af drdelta.

Wel heb je nog steeds met twee dreigingen te maken:
1. Een fout in de virtualisatie software waardoor (bij misbruik) de VM niet langer ge´soleerd is.
2. Netwerk mappings/routeringen tussen VM en host.

Een voorbeeld van een 'bug' in virtualisatie software waardoor een aanvaller toegang krijgt tot de fysieke host vind je hier. Daar moet wel bij gezegd worden dat de bug in kwestie pas een gevaar vormt wanneer je:
a) Verouderde VM software draait
b) Een netwerkshare maakt tussen VM en host.

Hoewel ik het gebruik van een VM aanmoedig (zonder netwerk shares en in eigen vlan) voor bijvoorbeeld bankzaken of andere activiteiten met een hoger risico blijft het een feit dat usability dit soort oplossingen vaak toch de das om doet.

Mocht je interesse hebben in het onderwerp raad ik je aan om de paper van John Rusby over Kernelized Secure systems. Hoewel deze paper ruim 30 jaar (!) oud is blijft het probleem actueel, namelijk een 'gedeeltelijke isolatie' van virtuele diensten op fysieke machines.

[Reactie gewijzigd door densoN op 25 oktober 2014 00:27]

oke, weer iets geleerd. :(
Ik denk dat ik weer eens pixelserv, met een blacklist op mijn router ga zetten. Dat werkt tenminste op het juiste niveau. Geen mallware naar ieder device op het netwerk via advertenties.

Het spijt mij vriendelijk, maar blijkbaar is het te riskant om advertenties aan te zetten. Als je advertenties die door derden worden aangeleverd op je site zet, dan moet er ook iemand zijn die ik als verantwoordelijke kan aanwijzen als het mis gaat en de kosten declareren. Als niemand aansprakelijk wil zijn, dan vind ik ook niet dat ik het risico moet lopen.
Je ziet het verkeerd; het risico is dat klanten adblockers installeren en dat is een slechte zaak.

Om die reden zouden advertentie netwerken gecontroleerd moeten worden, niet omdat jij nergens voor wil betalen.. (en met betalen bedoel ik reclame kijken)

Edit: niet dat ik het niet met je eens ben :)

[Reactie gewijzigd door TheNymf op 24 oktober 2014 17:26]

Goeie backups worden steeds belangrijker.

Jammer dat de aandacht alleen op preventie (virusscan, malwareblocker, patching ligt), en te weinig op 'wat als het mis is gegaan'.

Waarmee ik niet wil zeggen dat die andere zaken niet ook heel belangrijk, of misschien wel stap 1 zijn. Het gaat alleen een keer mis.

Daarom backups. Liefst meerdere. Gebruik zelf Apple Time Machine, maar zou eigenlijk ook vaker een volledige kopie moeten maken voor een offsite 'koude' backup.
Daar heb ik Crashplan voor, die automatisch zowel on-site (naar NAS) als off-site (naar CrashPlan Central) backups maakt met versioning. Je kan ook andere bekenden gebruiken als destination voor je backup, bijvoorbeeld jouw NAS backuppen bij je broer, en die van je broer bij jou.
En het liefste (ook) OFFsite, iig niet alleen een externe HD die permanent aan je pc hangt ..
Kan dit mij ook raken als ik NoScript en Adblock gebruik, en dus nooit advertenties zie?
Adblocker zoekt de advertenties op op de webpagina. Vervolgens past hij de broncode van de pagina aan, hier zet hij de advertenties naar : 'Display: none'.

De advertenties worden wel gewoon geladen op je pagina, alleen Adblocker maakt ze onzichtbaar voor je.

Dat is in ieder geval wat ik er van begreep van hun website
Klopt niet, op basis van het filter worden de advertenties al bij het downloaden tegengehouden.
In de eerste versies van de Chrome plugin werden advertenties inderdaad alleen verborgen, omdat extensies in Chrome geen rechten hadden om het downloaden te be´nvloeden.
In 2010 is dat opgelost, zie: http://downloadsquad.swit...ads-before-they-download/

In Firefox heeft het wel altijd zo gewerkt.
Over browsers gesproken (en OS'en). Waren alle broswers kwetsbaar dit voor dit of alleen Internet Explorer?
Geldt dit voor alleen Windows of ook Mac (en linux)?
Dit artikel is voor mij een beetje onduidelijk waar het hier precies om gaat. Lijkt me sterk dat letterlijk alles aangevallen kon worden door deze ransomware.

En ik meen me te herinneren dat Chrome zijn eigen ingebouwde flash player had ipv een plugin zoals bij firefox, zou dat nog uitmaken kwa bescherming?

Zoveel vragen :|

[Reactie gewijzigd door Hedva op 24 oktober 2014 14:30]

Gelukkig. Zat al meteen te denken aan een adblock alternatief, zou wel nutteloos zijn als ads nog steeds geladen zouden worden.
Voor zover ik weet wordt content in een display none object niet zomaar ingeladen. Dus wellicht dat Adblocker snel genoeg is om het element al uit te zetten, waardoor het laden van het component voorkomen wordt

Mijn aanname bleek niet juist (dank ook aan melders hieronder), en zie dat chrome, firefox en ie alle drie de hidden content wel al inladen inderdaad

[Reactie gewijzigd door dsmeef op 24 oktober 2014 14:18]

Hmm, dat is een goede. Mij lijkt het juist dat het word ingeladen, vervolgens word gecontroleerd of het een advertentie is, en vervolgens op verbergen word gezet.

Iemand die hierover meer kan uitleggen?
Display:none objecten worden ingeladen maar niet weergeven ;)
Display none wordt gewoon ingeladen
Als ik binnen IE in de F12 Developer Tools kijk, dan zie ik een aantal dingen langskomen (als voorbeeld voor deze pagina):
- verkeer naar http://tweakers.net/...
- verkeer naar http://ic.tweakers.net/...
- verkeer naar http://tweakimg.net/...
allen met status 200, ontvangen data > 0 kb en laadtijden > 1ms.

Verder nog wat verkeer naar verschillende google services en vnumedia, maar die krijgen, als ik TPL inschakel allemaal een status (Afgebroken), 0 B ontvangen en gebruik van < 1ms.

Misschien dat ik nu wat over het hoofd zie, maar alles dat niet van tweakers vandaan komt wordt dus al aan de poort tegengehouden en niet eens geladen, laat staan uitgevoerd.

[Reactie gewijzigd door rene_fb op 24 oktober 2014 17:48]

My two cents mbt mobiele browsers: Display:none laad geen interne Ún externe 'includes/content' in (zoals iframes, afbeeldingen,etc). Pas wanneer het element zichtbaar wordt gemaakt word de content ingeladen. Je kunt dit herkennen aan de preloader die begint te draaien zodra je een element op display block zet.
Op basis van de reacties ben ik wat verder gaan kijken ook nog, en kwam ik dit nog tegen:

http://timkadlec.com/2012...sset-downloading-results/
Nice! Ben nu ook wel benieuwd hoe de zaken er anno 2014 voor staan.
Er zijn verschillende soorten adblockers, bijvoorbeeld de chrome extensie adblock plus (van adblockplus.org) blokkeert advertenties, als je f12 doet (ontwikkelingvenster) dan zie je vaak ook dat er verschillende elementen niet geladen kunnen worden. het is dus per definitie niet zo dat iedere ad blocker alles alleen maar op display: none zet.
Ah oke, ik had het opgezocht op hun website. Daar kwam ik erachter dat ze de DIV's op display: none zetten.
Dat is alleen element hiding, een aparte functie.
NoScript schakelt JS uit en je kan ook dingen trucen met iFrames om vervolgens bijvoorbeeld een malafide PDF aan te bieden. Als je dan een pdf plugin hebt geinstalleerd en er zit ergens een kwetsbaarheid in of de reader of de plugin heb je een probleem.
Content van iframes worden geladen wanneer ze op display:none staat. Dus uit die redenatie zou ik zeggen; JA.
Maar het ligt allemaal aan hoe het inelkaar is gezet. Je bent iig niet helemaal veilig met die combinatie van tools, ik denk dat het wel wat scheelt aangezien je de attack vectors wat inperkt. Vooral NoScript dan.

[Reactie gewijzigd door jozuf op 24 oktober 2014 14:14]

Dit is standaard het geval bij NoScript. Echter is het mogelijk om te zorgen dat een untrusted website geen plugins kunnen laden of aanroepen (en dat raad ik ook iedereen aan om te doen):

Open de NoScript opties (klik op het NoScript icoontje en dan "Options"), ga vervolgens naar "Embeddings" en zorg dan dat er vinkjes staan bij "Forbid Java", "Forbid Adobe Flash", "Forbid Microsoft Silverlight" en "Forbid other plugins".

Ik raad ook aan om voor untrusted sites <AUDIO>, <IFRAME> en <FRAME> tags te verbieden. In dit geval is het voor een malafide advertentie (of website) die je niet aan de trusted websites hebt toegevoegd helemaal niet meer mogelijk om een plugin uit te voeren.

Dat is ook het mooie aan NoScript, het doet zoveel meer dan alleen javascript blokkeren, maar het helpt je om zowat iedere attack vector uit te schakelen.

[Reactie gewijzigd door Mithrildor op 24 oktober 2014 17:40]

Kan dit mij ook raken als ik NoScript en Adblock gebruik, en dus nooit advertenties zie?
Nee, voor het uitvoeren van de exploit moet dus de advertentie geladen en uitgevoerd worden.
In dit geval zou je dus blij zijn met je adblocker / adaway en andere blokkades .
Ik gebruik zelf Adblok plus en ghostery met firefox. Ik heb daardoor nooit een virus gehad :)
Okay....
En dan, ik heb een van de sites bezocht, dus kan geinfecteerd zijn.
Hoe check ik dat en hoe los ik dat op??
zie de beschrijving van de genoemde malware in het artikel.
Net als andere ransomware versleutelt CryptoWall bestanden van gebruikers, met de melding dat ze de bestanden pas weer kunnen benaderen tegen betaling. Bovendien worden getroffen gebruikers geconfronteerd met een aftellende klok; bereikt die het nulpunt, dan worden de bestanden van gebruikers permanent gewist.
Als je ge´nfecteerd bent zul je dus je bestanden niet meer kunnen benaderen, en wordt een klok getoond, met een melding dat je maar beter snel kan betalen, want anders .....
Als je de klok ziet is het al te laat...

Volgens mij draait CryptoWall 2.0 als explorer.exe svchost.exe. Je zou in je taakbeheer dus een extra svchost.exe moeten zien draaien, maar die heb je bijna altijd al meerdere keren draaien. Daarnaast kun je de volgende locaties controleren op vreemde executables:
%Temp%
C:\<random>\<random>.exe
%AppData%
%LocalAppData%
%ProgramData%
Of in het register:
HKCU\Software\<unique computer id>\<random id>
Voorbeeld: HKCU\Software\03DA0C0D2383CCC2BC8232DD0AAAD117\01133428ABDEEEFF

Edit: draait onder een ander proces

[Reactie gewijzigd door lolgast op 24 oktober 2014 14:47]

Als je geen aftellende klok hebt die om bitcoins vraagt ben je niet geinfecteerd.
Maar ik zou de genoemde sites vandaag even niet bezoeken.
Is al sinds 18 oktober niet meer gedetecteerd.
Okay....
En dan, ik heb een van de sites bezocht, dus kan geinfecteerd zijn.
Hoe check ik dat en hoe los ik dat op??
Als je besmet bent met een cryptolocker-achtige malware, dan zal die direct aan het versleutelen gaan en je een melding tonen dat je moet betalen. Dus als je niets gemerkt hebt, dan zul je die malware in ieder geval niet opgelopen hebben.

Overigens krijgt lang niet iedere bezoeker dezelfde advertenties te zien, dus de kans dat je de kwaadaardige advertentie hebt gezien is al niet zo groot en dan moet je ook nog de juiste software-configuratie hebben die vatbaar is voor de gebruikte exploits.
GeenStijl geeft net zelf aan nog geen bevestiging te hebben gehad. Dus het is nog maar de vraag in hoeverre het bij hun speelt.
http://www.geenstijl.nl/m...itale_ebola_des_dood.html
je moet eerst het een en ander downloaden en een zip bestand openen voordat je geinfecteerd raakt met cryptolocker dus je bent pas geinfecteerd als je op die advertenties klikt en het bestand opent

[Reactie gewijzigd door firest0rm op 24 oktober 2014 14:14]

Gebruikers kunnen zijn ge´nfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit.
Volgens het artikel kan het ook als ik nergens op geklikt heb:
Gebruikers kunnen zijn ge´nfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit. Die probeert om middels beveiligingsproblemen in software om malware te installeren. De aanvallers vermomden hun malvertisements als legitieme advertenties van bestaande merken als Microsoft Bing en Fancy.
ik zie het over heen gelezen dumpert dus maar even niet bezoeken
Drive-by infectie noemen ze dat... http://blogs.mcafee.com/consumer/drive-by-download
De infectie gebeurd normaliter via verouderde plugins, of een andere vorm van exploits in de browser. Wanneer je machine helemaal up-to-date is, incl, de diverse adobe plugins, java, etc, dan ben je al redelijk safe.
Uhmm learn to read?
Gebruikers kunnen zijn ge´nfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit.
Maar, vertel ff verder... je klikt op zo'n link? En dan? Download hij dan een zip met een exe-file? Of ben je dan gelijk al de lul als je browser outdated is ofzo?

Voor tweakers.net mag hier wel iets meer inside info bij. Het is geen nu.nl hier...
Je browser zal de advertentie inladen en vanaf dan kan er code op jouw systeem uitgevoerd worden. Je bent dus meteen gezien van het moment je klikt op een pagina waar een malware advertentie op aanwezig is.

Een interessant filmpje om te bekijken ivm de mogelijkheden rond malware op advertentienetwerken vind je hier : https://www.youtube.com/watch?v=ERJmkLxGRC0
Gebruikers kunnen zijn ge´nfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit. Die probeert om middels beveiligingsproblemen in software om malware te installeren.
No offence, maar als tweaker lees ik zelf het artikel ook maar even door. Tweakers kan het wel in hap klare brokjes voor je leggen, maar het is hier toch geen nu.nl ?
Zijn punt is dat het helemaal geen hapklare brok is. Een link naar de bron was wellicht even informatief als de brok tekst die er nu staat...

Dat gezegd zijnde heb ik soms het gevoel dat dit een poging is van T.net om discussies uit te lokken en zodoende voldoende views en reacties te genereren voor de adverteerders.
en als je een ad-blocker gebruikt? of maakt dat in dit soort gevallen niks uit?
en als je een ad-blocker gebruikt? of maakt dat in dit soort gevallen niks uit?
Staat er redelijk duidelijk in :)
Gebruikers kunnen zijn ge´nfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit. Die probeert om middels beveiligingsproblemen in software om malware te installeren. De aanvallers vermomden hun malvertisements als legitieme advertenties van bestaande merken als Microsoft Bing en Fancy.
Dus ook al gebruik je adblock dan nog kan je ge´nfecteerd raken aangezien de advertenties wel laden. Ik weet niet helemaal precies hoe ghostery enzo wekt, Maar zolang de advertentie (en het script) laad loop je risico.

[Reactie gewijzigd door rickboy333 op 24 oktober 2014 14:03]

Daarom gebruik ik een 'adblocker' die via de hosts-file van Windows alles blokkeert.. Het programma hostman kan dat bijvoorbeeld voor je automatiseren, maar je kan ook handmatig de hosts file aanpassen.

Daarmee voorkom je dat de advertenties gedownload worden. Tevens werkt het dan op je hele systeem, dus ook in andere programma's dan de browser. En je hebt in je browser geen extra plug-in nodig :)

Volgens mij zijn er ook oplossingen om dit in bepaalde routers toe te passen, zodat het op alle computers werkt (en ook smartphone/tablet via wifi), maar daar heb ik zelf geen ervaring mee.
Werkt dat niet enorm vertragend, zo'n enorm grote hosts-file met allemaal adressen die geblockt moeten worden?
Nee. Zelfs als je hosts erg vol zit bijvoorbeeld mbv Bluetack dan nog is-ie zo'n 500k in je RAM.
Als het goed is zorgt AdBlock er juist voor dat de advertentie helemaal niet eens wordt gedownload, dus kun je dan ook niet worden ge´nfecteerd.
ah k thx :) wist dat die adblockers niet echt de advertenties weggooien :)
Waarom kunnen website's die content presenteren niet verantwoordelijk gesteld. Ze kunnen wel quasi doorverwijzen net als de verantwoordelijkheid maar er staat toch maar 1 header boven in mijn URL. Ik kan nooit direct zien waar de data vandaan komt en moet dan ook maar aannemen, tenzij er duidelijk een link staat ofzo dat de data vanaf dat domain komt. We hoeven er maar op te wachten dat bijv dat een grote Nederlandse site weer malware verspreid. Ik vind dat die nu eens verantwoording moeten nemen. Wel de lusten niet de lasten.
Hier ben ik het ook mee eens. Meer transparantie over de gebruikte adnetwerken zou fijn zijn.

Als jij advertenties op je website lijkt het mij ook jouw verantwoordelijkheid om te zorgen dat deze netwerken veilig zijn.
Oneens, maar advertentienetwerken moeten wel goed doorgelicht worden.

Je moet als websitebeheerder er voor de volledige 100% van uit kunnen gaan dat de advertenties die het netwerk serveert veilig zijn en dat elke geserveerde advertentie gecheckt is door het netwerk.
Nee, zo werkt het niet. Jouw website, jouw verantwoordelijkheid. Dan moet je maar gewoon geen advertentienetwerken gebruiken als je niet aangeklaagd wil worden.
Dat klinkt heel erg als : moet je maar niet gaan autorijden als je geen botsing wil hebben.

Websites moeten geld kunnen verdienen. Zonder geld kunnen ze niet bestaan. Dan is het gebruik maken van een advertentienetwerk bijna altijd noodzakelijk.
Dat is toch ook zo? In het verkeer kun je ongevallen wel reduceren, maar niet totaal voorkomen. Als je dus autorijdt neem je het risico (wat er altijd is) voor lief. Websites hoeven echt geen geld te verdienen. Sterker nog, verreweg de meeste websites verdienen helemaal geen geld. Nada, noppes. Die advertentienetwerken, dat is echt iets van de laatste aantal jaren. Het internet kan prima zonder advertenties, men wil gewoon niet. Het klinkt dus meer als: ja wij verspreiden soms ongewild malware, maar onze winst is voor ons belangrijker dan de veiligheid van onze bezoekers. Want dat is in feite waar het op neerkomt.
Het internet kan zonder advertenties? Ga jij eens 1 dag websites bezoeken die geen advertenties hebben.

En de opmerking: websites hoeven echt geen geld te verdienen..... dat neem je zelf toch niet serieus?
Ik neem het wel serieus. Ik bezoek al websites die geen advertenties hebben. Dat jij je dat niet voor kan stellen is jouw probleem.

Nieuws: democracynow.org, decorrespondent.nl
Sociale media: 4chan.org
Muziek: rdio premium
En nog wat torrent websites die besloten zijn zonder reclame.

Verder gebruik ik gewoon adblock. Een internet zonder advertenties werkt prima voor mij.

Besef je ook:
* Advertentienetwerken hebben lang niet altijd bestaan
* De drempel om een website te beginnen en dan gewoon advertentie inkomsten binnen te hoereren is ontzettend laag, elke klown kan een website beginnen.
* Er zijn tal van websites die helemaal niks toevoegen aan het internet maar gewoon andere dingen kopieren en het op pagina's zetten van "10 beste dit", "20 beste dat". En dan elk item op de ranglijst op een andere pagina zetten zodat ze extra veel clicks binnen krijgen.

Nogmaals, het is gewoon PRIMA mogelijk, maar men wil gewoon niet (meer terug).
Klopt voor de websitebeheerder maar voor mij als eindgebruiker hoeft het niet transparant te zijn. De site die ik bezoek levert alle content en waar het vandaan komt boeit mij in feite niet. Het is daarom ook dat ik het eens ben met BramV die zegt dat de websites zelf verantwoordelijk moeten worden gesteld. Zij zorgen er voor dat ik advertenties op mij afgevuurd krijg als ik hun site bezoek dus moeten zij ook de verantwoordelijkheid nemen als er iets mis gaat.
Dat kan ook de andere kant op gaan:
Jij bezoekt mijn site, dat jij het met verouderde software doet, boeit mij in feite niet. Jij bezoekt mijn site en zorgt dat je de advertenties op je afgevuurd krijgt en jij moet dus ook verantwoordelijkheid nemen als je computer geinfecteerd wordt omdat je software vol met gaten zit.

Welke van de 3 partijen weet het beste welke advertenties er geserveerd worden en serveert deze ook daadwerkelijk en is dus ook verantwoordelijk?
- De websitebezoeker
- De eigenaar van de website
- Het advertentienetwek
?

Je kunt een huisvrouwtje met een kantkloswebsite met een paar banners die de buurjongen op haar site heeft geplaatst, toch niet verantwoordelijk stellen dat jouw computer ten prooi is gevallen?
Is zoiets eigenlijk nog afhankelijk van OS?

Dus is OSX of Linux ook kwetsbaar voor dit soort geintjes of is (vooral) op Windowsgebruikers gericht?
Ik denk dat als jij je RWX goed heb staan het vrij weinig kwaad kan op Linux. (Tenzij je natuurlijk zelf weer bepaalde rechten geeft).
Heb zowel OSX als Linux draaien, ben van Windows naar OSX gegaan om dit soort geintjes te voorkomen, vandaar die vraag.

Op Linux heb ik (hopelijk) inderdaad RWX goed staan :)
Tja what can i say? Dit alleen al is al reden genoeg om standaard een adblock te draaien, laat staan omdat ads vaak ook nog eens overbodig irritant zijn of je scherm binnen komen rollen als je je muis erop houdt (ook op tweakers!)

En ik snap niet waarom middelgrote tot grote websites niet zelf de ads kunnen controleren en dus niet de ads extern inladen. Nou ja, ik snap het wel het kost natuurlijk wat geld maar dat dit soort websites dat niet doen geeft aan dat ze geen respect hebben voor de bezoeker maar wel leuk vragen of alsjeblieft de adblock uit mag 8)7 respect moet van twee kanten komen toch?
Waarom grote websites hun banners niet zelf doen? Simpel!

Stel: jij hebt een mooi stuk software ontwikkelt en jij wil op een aantal IT sites reclame gaan maken.
Je kunt dan contact opnemen met Tweakers. Je maakt afspraken voor een banner. Dan doe je dat ook met Webwereld, TZ en Hardware.info. Dat kost jou een dag.
Of je gaat naar een bannerboer en zegt: ik heb deze banner, die moet op alle IT sites geplaatst worden. Kwartier verder en je banner draait op tientallen websites.
Snapte de reden erachter, maar doelde meer met het oog op veiligheid. Er zijn laatste tijd hier al zoveel berichten over geweest, en ik weiger adblock uit te zetten als een website extern ads inlaad.
en daarom blokkeer je advertenties
Adblocker blokkeert de advertenties niet, het gaat door middel van 'Element hiding', oftwel: Broncode aanpassen en onzichtbaar maken voor de gebruiker.

Advertenties staan er wel, maar worden niet getoond. Zie hun website
Daarom maak ik gebruik van addons zoals delad, die blockeerd ze namelijk en zorgt dat ze niet worden gedownload. Daarnaast kan je daar zeer gemakkelijk extra blockregels toepassen (zoals malwaredomains, socialtracking ect ect.).

[Reactie gewijzigd door vali op 24 oktober 2014 15:00]

Is helaas alleen voor Internet Explorer, niet voor andere browsers..
Zijn er geen betaalde adblockers te vinden voor firefox en/of Chrome? Zelf ben ik niet zo happig om gratis geboden diensten zoals adblockplus en ghostery. Die hebben in het verleden een zak geld gekregen van bedrijven zoals Google om bepaalde advertenties wel te tonen.

Daarnaast is het maar de vraag wat er met je prive gegevens gebeurd. Mochten ze het financieel wat slechter krijgen is het maar de vraag hoe netjes ze daar mee om gaan.

[Reactie gewijzigd door vali op 24 oktober 2014 15:03]

Ghostery blokkeert daadwerkelijk het inladen van advertenties.
Volgens mij wordt een geblockte ad niet geladen, en wordt het element waar de ad in zou hebben gestaan gehide (om grote witte blokken te voorkomen). (Ziehttps://adblockplus.org/en/faq_internal#policies)
Ik lees dit niet terug in het artikel, maar ik ga er van uit dat je pas ge´nfecteerd raakt als je op de nep advertentie klikt. Het verstoppen van de advertentie heeft dus wel degelijk nut.

Overheen gelezen

"Gebruikers kunnen zijn ge´nfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit. Die probeert om middels beveiligingsproblemen in software om malware te installeren. De aanvallers vermomden hun malvertisements als legitieme advertenties van bestaande merken als Microsoft Bing en Fancy."

[Reactie gewijzigd door TimoVeld op 24 oktober 2014 14:20]

Lees het artikel, laatste alinea:
Gebruikers kunnen zijn ge´nfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit. Die probeert om middels beveiligingsproblemen in software om malware te installeren. De aanvallers vermomden hun malvertisements als legitieme advertenties van bestaande merken als Microsoft Bing en Fancy.
en daarom blokkeer je advertenties
En daarom draai ik mijn browser in een sandbox. Als het goed is kan hij dan nergens bij. (Hoop ik.)
Je krijgt 0-sterren, maar je reactie is spot-on.

Immers de crypto locker is de 3e stap in de besmettingsketen. Een javascript (stap 1) dat meestal een gemodificeerd PDF, Flash of Java applet gebruikt om een lek te gebruiken (stap 2). Denk aan een buffer-overrun of use-after free, etc. Hierdoor kan dan de echte malware gedownload worden (stap 3).

Addblockers werken doorgaans goed om de eerste stap tegen te gaan. Andere zaken zijn no-script of addons uitzetten (Java, Flash en PDF plugins uitzetten is meestal genoeg om 99+% van alle malware tegen te gaan). Je voorkomt daarmee dat de zaak geladen wordt.

Zaken als EMET of IE 64bit mode (optie in advanced settings) stoppen bij de 2e fase. De exploit faalt, en kan dus de malware niet downloaden.

De sandbox is om de 3e stap tegen te gaan. Dat kan een aparte tool zijn, maar ook enhanced protected mode van IE doet iets soortgelijks. De malware kan dan niet bij je bestanden en dus niets versleutelen. Zodra je je browser afsluit is de malware dan onschadelijk.

Anti-virus kan zowel op stap 1 (blokkeren javascript), stap 2 (herkennen van specifiek gemodificeerde PDF, Java applet, etc) of stap 3 (malware zelf) bescherming bieden.

In principe hoeft maar op een plaats in de keten de zaak gestopt te worden en je bent veilig.

Wat dit artikel niet zegt is hoe de eerste stappen van de exploit plaatsvonden. Java, Flash, PDF, etc?
1 2 3 ... 8

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*