Nieuwe ransomware laat gebruiker één bestand 'gratis' ontsleutelen

Beveiligingsfirma Webroot heeft een nieuwe ransomware-variant gevonden die na het heimelijk versleutelen van data de gebruiker de mogelijkheid biedt om één bestand 'gratis' te ontsleutelen. Ook wordt het 'losgeld' voor de benodigde sleutel elke 24 uur verhoogd.

De ransomware, CoinVault geheten, besmet Windows-systemen en versleutelt diverse bestandssoorten, waaronder documenten, gecomprimeerde bestanden, plaatjes, video's en iso-bestanden. De makers claimen dat het gaat om AES-256-encryptie. Na een besmetting met de malware vraagt CoinVault voor elk bestand een bedrag in bitcoin, maar het biedt de gebruiker de mogelijkheid om één bestand kosteloos te ontsleutelen. Volgens Webroot biedt deze optie kansen om een decrypt-tool te ontwikkelen.

Het betaalproces, dat per bestand verloopt, wordt aangeboden via een programma, terwijl de meeste ransomware slachtoffers doorverwijst naar een website. CoinVault laat bovendien elke 24 uur het geëiste 'losgeld' oplopen.

CoinVault zou zich lastig laten verwijderen omdat het diverse executables blokkeert. Toch zouden slachtoffers versleutelde data via een omweg kunnen terugkrijgen omdat de malware back-ups die via Volume Shadow Copy zijn gemaakt met rust laat.

CoinVault

IT-banen

Reacties (291)

291

268

174

Wijzig sortering

User321 16 november 2014 14:42

Ben onlangs slachtoffer geworden van deze locker.. mijn onderzoek leverde op dat het iig niet om AES-256 gaat, maar om een licht gemodificeerde versie van dezelfde methode als de eerste versie van torrentlocker gebruikte: XOR op de eerste 2MB van het bestand.
zie http://www.bleepingcomput...-has-been-made/?p=3534631 voor mijn bevindingen.
helaas heb ik nog niet al mijn bestanden terug, maar ik heb goede hoop dat dat nog gaat lukken.

dat 'unlock 1 file for free' principe is al vaker toegepast trouwens.. wordt aangeprezen als 'bewijs dat wij de decryptiesleutel hebben, dus koop hem nu!'

[Reactie gewijzigd door User321 op 26 juli 2024 21:11]

VinnioD @User321 • 16 november 2014 18:01

Helaas was ik hier ook slachtoffer van. Heb alle geinfecteerd bestanden op een 'wegwerp' USB stick gezet. Gelukkig staan de belangrijke foto's op een externe HDD die al een behoorlijke tijd niet aan deze pc heeft gehangen.

Daarna heb ik drastisch alles verwijderd, van alle HDD's. Partities verwijderd, geformateerd en daarna weer opnieuw begonnen. Echter hier ook geen idee hoe het bestand er op is gekomen. Zijn maar twee dingen die ik voor het laatst heb geinstalleerd. Dat was SumatraPDF dmv van Ninite en een programma via Spotnet. Ik verwacht dat de laatste de boosdoener is.
Hoewel ik altijd de reacties nakijk zag ik daar niets tussen.

En ja ik weet het zeer dom was om geen Anti-Virus te hebben. Vergeten tijdens de laatste nieuwe installatie

. Dat zal me niet meer gebeuren!

Nees @VinnioD • 16 november 2014 21:01

Een AV is niet noodzakelijk nodig. Gebruik WFC (Windows Firewall Control)

Dit soort lockers werkt alleen wanneer de applicatie connectie kan maken met internet met 1 van de servers waar de key kan opgeslagen worden. Want als dat niet kan, heeft encryptie geen nut, omdat er geen data kan verstuurd worden om je na betaling de key te sturen.

Ik heb op m'n werk testen gedaan met cryptolocker. Deze ging draaien in je systeem, maar deed niets. Ging geen bestanden encrypteren. Op moment ik de netwerkkabel in stak, begon z'n activiteit, maar aangezien ik op een test pc bezig was met clean OS en een paar test.txt had aangemaakt, was het snel klaar en kreeg ik de popup snel om te betalen.

Het is dus belangrijk om te weten welk traffiek naar buiten kan en het nog kan blokken. Zelfs al zou de locker zelf een firewall rule kunnen aanmaken, WFC delete rules die niet via WFC zijn aangemaakt. En kan je dus zonder probleem de processen killen en de files opkuisen.

coolbvrobin @VinnioD • 16 november 2014 20:39

Waarom heb je gewoon niet hitman pro kickstart gebruikt?

stewie @User321 • 16 november 2014 14:47

vraag is, hoe heb je het op je PC gekregen dan?

User321 @stewie • 16 november 2014 14:52

Ik heb werkelijk geen idee.. weet wel dat het al sinds 19 oktober op de pc stond, met een entry in de registry om bij boot-up van de pc te starten..
ik boot mijn pc niet zo vaak, dus zag ik pas op 10 november iets gebeuren..

kimborntobewild @stewie • 17 november 2014 17:12

vraag is, hoe heb je het op je PC gekregen dan?

Je hoeft maar (willekeurige) websites te bezoeken om een zero day in je nek te krijgen.

stewie @kimborntobewild • 17 november 2014 18:48

Dan moet je wel heel willekeurig bezig zijn en geen noscript en java op je PC gebruiken, zeker mensen die alle websites via google in toetsen.

*edit* het komt dus door spam emails downloaden op je PC met een email client (moet je ook niet doen)

[Reactie gewijzigd door stewie op 26 juli 2024 21:11]

Sunrise @User321 • 16 november 2014 15:37

Hoe ben je besmet geraakt? Welk AntiVirus pakket had/heb je draaien?

ViperXL @User321 • 16 november 2014 21:24

Ik heb de link bekeken en ik zie dat je je erg hierin verdient hebt

top!
Met alle info van "BleepingComputer" heb ik in iedergeval een Group Policy gemaakt voor een klant die virtuele bureaubladen verhuurt en daarin de registersleutels en pad opgenomen om te blokkeren. Daarvoor hartelijk dank, ik weet dat het geen garantie is maar toch $_/-\o_$

Ik heb nog een vraag waar jij misschien antwoord op kunt geven: Versleuteld CoinVault ook netwerkmappen?

brederodekater @User321 • 17 november 2014 00:03

Ik zie in je profiel dat je een leuke server hebt draaien. Zijn er via je shares daar ook bestanden ten prooi gevallen, of is het alleen lokaal?

Trommelrem 16 november 2014 14:28

Het is nog steeds belachelijk dat de echte email van PostNL, die waarschuwde voor de valse email, spelfouten bevatte. Daardoor dachten veel mensen dat de echte email onveilig was en werd er veel op de link in de valse email geklikt, waar voor de verandering geen spelfouten in stonden.

Met losgeld van 500 euro per bestand kun je immers een goede vertaler inhuren en is het ongetwijfeld ook geen probleem om één bestandje gratis te geven. Met 39 cent per postzegel kun je wat minder snel een Neerlandicus inhuren dan met 500 euro per bestand

Is deze versie trouwens ook blokkeerbaar door group policies?

[Reactie gewijzigd door Trommelrem op 26 juli 2024 21:11]

Verwijderd @Trommelrem • 17 november 2014 09:46

Was echt een domme Postnl mail:
- In alinea a zeggen ze: klik niet op de link in de e-mal, in alinea b vragen ze om op een link te klikken.
- De links gaan NIET naar een postnl domein, maar naar e-mark.nl.... Waarom niet naar het eigen postnl domein? Wie zegt me dat e-mark.nl betrouwbaar is of niet gehackt?
- Was getekend met een naam die erg lijkt op de namen die in spam wordt gebruikt (of mag ik dat niet zeggen?) Carlos Mendes Agular
- De titel van deze meneer is "Directeur Commercie", maar op de site van postnl is dat ene "van Bijnen".
- Nergens geven ze aan hoe ik het probleem kan herkennen (m.a.w. sturen ze soms zelf deze e-mails?)

JayDz @Trommelrem • 17 november 2014 12:44

Sinds wanneer zijn postzegels 39 cent?
edit: is hierboven al vermeldt soz

[Reactie gewijzigd door JayDz op 26 juli 2024 21:11]

FreshMaker @Trommelrem • 16 november 2014 14:36

Het is nog steeds belachelijk dat de echte email van PostNL, die waarschuwde voor de valse email, spelfouten bevatte. Daardoor dachten veel mensen dat de echte email onveilig was en werd er veel op de link in de valse email geklikt, waar voor de verandering geen spelfouten in stonden.

Dat niet alleen, maar al jarenlang roepen banken en instellingen dat ze dit soort zaken pertinent NIET over email communiceren, en dan in tijde van nood gaat men het ineens wel doen ?

Omdat het voordeliger is, om het via een snelle mailing te doen, dan iedereen een briefje te sturen.

Ik heb hetzelfde meegemaakt met het overnemen van een bankrekening ( mijn kinderen die een rekening hadden via opa en oma, op hun adres )
Ineens krijgt opa een email van de ABN, met de mededeling dat het account van adres gaat veranderen, en of hij het via "deze" link wil accepteren.

geeft je te denken over procedures en veiligheid.

loki504 @FreshMaker • 16 november 2014 17:41

Meeste banken hebben een in house mail systeem. Dus wat ze moeten doen/mogelijkheid geven is om deze mail door te linken. En dan geen links er in. Maar gewoon een geachte heer/mevrouw. Er staat een belangrijk mailtje op u te wachten. Om veiligheids redenen verspreiden wij geen mail. Maar kunt u op de normale manier inloggen op u internetbankieren en kunt u de mail lezen. Zo verspreid je geen links en kan je mensen ook wijzen op het feit dat ze nooit een mailtje moeten openen.

aliberto @loki504 • 16 november 2014 19:27

Hierop wil ik toch even reageren:

1 jaar geleden werd ik door TNS Nipo benaderd uit naam van de ABN Amro.
Nu komt het rare, ik ben klant bij ABN Amro maar heb nooit mijn gegevens aan TNS Nipo doorgegeven. Dus ik kan maar 1 ding concluderen dat ABN Amro mijn cliënt gegevens heeft verhandeld aan TNS Nipo!

In de mail stond dat ze onderzoek deden in opdracht van de bank.
Geheel niet correct vind ik. Zoiets hoor je eerst met je cliënt te bespreken voor wederzijdse goedkeuring.

Door de bank wordt je juist gewaarschuwd dat de bank je nooit direct zal benaderen via mail of per telefoon en nu deden ze het via derden. Beetje rare situatie. Hierover heb ik verontwaardigd gereageerd met een klacht.
Met een telefoontje, gratis Identifiër en een simpele sorry werd de kous mee afgedaan.

Dit is misschien een unieke situatie maar kan me best voorstellen dat mensen aan de hand van dit soort praktijken ook sneller op andere mails zullen reageren.

[Reactie gewijzigd door aliberto op 26 juli 2024 21:11]

knirfie244 @aliberto • 17 november 2014 11:29

De banken zeggen dat ze je nooit per email of telefoon zullen benaderen voor bankgegevens.

Een klantgericht onderzoek, of informatieve emails over nieuwe producten/diensten, dan wel waarschuwen over phishing acties staan daar geheel lost van.

vinkjb @aliberto • 16 november 2014 22:26

Heel letterlijk heft de bank jou ook niet benadert, wel via een bedrijf dat onderzoek doet naar iets, in dit geval TNS nipo.
En dan nog zou ik geen gegevens vertellen, laat ze de ....krijgen.

dmystic @aliberto • 16 november 2014 20:21

Er zijn meer bedrijven die dit doen, maar meestal, in ieder geval de keren dat ik het heb meegemaakt wordt de mail/brief door het bedrijf waar je klant bent gestuurd, in opdracht van bijvoorbeeld TNS Nipo, hierdoor geven ze dus niet jouw gegevens af, totdat jij op de brief/mail ingaat

ongewoongewoon @loki504 • 16 november 2014 19:09

Een beetje zoals de Belastingdienst dit aanpakt, dus ?

Overigens kreeg ik laatst een emailtje met een betalingsherinnering, ik kon op de link klikken en via ideal meteen het bedrag voldoen. Ik vond dat verdacht en nam contact met het bedrijf op maar het bleek wel degelijk legitiem te zijn...lekker verwarrend allemaal.

divvid @ongewoongewoon • 17 november 2014 15:18

dan reageer je toch gewoon niet? ze sturen maar een ouderwetse brief met dat soort dingen.

Aikon @FreshMaker • 16 november 2014 19:14

Dat niet alleen, maar al jarenlang roepen banken en instellingen dat ze dit soort zaken pertinent NIET over email communiceren, en dan in tijde van nood gaat men het ineens wel doen ?

Dat is niet waar, ze geven al sinds jaar en dag aan dat ze niet om persoons- en inloggegevens etc. vragen via mail. Simpelweg communiceren via de mail doen ze natuurlijk wel, en dat doen ze omdat het effectiever is dan een briefje sturen. Stuk sneller en blijkbaar lezen de mensen hun mail wel in elk geval.

MadEgg @Trommelrem • 16 november 2014 14:52

Wat ik storender vond was dat de waarschuwingsmail niet naar de servers van PostNL verwees. Er stond 'Verdere uitleg kunt u lezen op deze pagina' maar die verwees dan vervolgens naar een link op http://subscriber.e-mark.nl/ Nu verwacht ik dat dit een consequentie is van de trackable links die zij via hun e-mailprovider willen versturen maar het deed de alarmbellen in mijn scam-detectie-systemen en mijn eigen ervaring wel afgaan. In het hele mailtje was geen één echte link naar postnl.nl te vinden. Ze hebben er duidelijk geen kaas van gegeten bij PostNL.

Crazy Harry @MadEgg • 16 november 2014 15:51

Dat vond ik inderdaad ook het meest storende.
Het is leuk dat ze verzonden e-mails willen tracken, en wanneer het echt om marketing gaat vind ik dat nog best logisch.
Maar dit soort e-mails kan je simpelweg niet gaan volgen wanneer het volgsysteem niet linkt naar je eigen domein.

loki504 @MadEgg • 16 november 2014 17:45

Klopt. En volgens mijn stiefvader heeft de ict afdeling ook zwaar op hun donder gehad. Spelfout ala dat is menselijk. maar waarschuwen voor links en dan zelf een link gebruiken. Die nog geen eens is naar postnl.nl link. Is gewoon schandalig

Wim-Bart @Trommelrem • 16 november 2014 17:27

Ja, zelfs ik dacht dat de mail van PostNL ook een Trojaan bevatte. Heb gewoon heel postnl geblocked voor 4 weken op mijn exchange bak :-)

whetstone @Trommelrem • 17 november 2014 09:52

Ik betwijfel of louter spelling de bepalende factor is in de beslissing om op een link te klikken, voor zover al sprake is van een rationeel proces bij mensen die dat doen. Hoeveel mensen checken de URL vooraf?

//off-topic
Ik weet niet wanneer jij voor het laatst een postzegel hebt gekocht, maar daar betaal je tegenwoordig toch echt 64 cent voor.

Barryke @Trommelrem • 16 november 2014 19:35

> Het is nog steeds belachelijk dat de echte email van PostNL, die waarschuwde voor de valse email, spelfouten bevatte.

Niet relevant voor dit artikel, maar ja dat vond ik ook al zo achterlijk.. en dat de mail naar een of andere vage server verwees ipv de postnl.nl website.

Trommelrem @Barryke • 16 november 2014 20:39

Wat het van belang maakt, is dat de virusschrijvers steeds beter worden in de Nederlandse taal. Wellicht huren ze daarvoor externe consultants in. De ontwikkelingen zijn dus niet alleen op technisch gebied en virussen herken je dus niet meer simpelweg aan spelfouten.

BoringDay @Trommelrem • 16 november 2014 20:41

Ook waarschuwingsmail kan valse mail zijn om nog meer verwarring te zaaien.

MaxxBass @Trommelrem • 17 november 2014 08:44

Whaha... wedden dat TNT toch echt nog wel meer verdiend aan de postzegels, trouwens... 39 cent? Dat is echt lang geleden... goedkoopste is 64 cent...

The-Source @Trommelrem • 16 november 2014 14:38

Ik heb zojuist even de email erbij gepakt van PostNL (de waarschuwings email) en ik zie daar toch geen spelfouten voorbij komen. Niet dat ik zelf een alles zonder fouten schrijf maar het is in ieder geval niet opvallend, ook niet als je er op zoekt tijdens het lezen.
Dus ik weet niet wat voor "waarschuwings email" jij hebt gehad?

PS. postzegel 1 als ondertussen al 64 cent, dus misschien heb je het ook wel over een oude email

.oisyn Moderator Devschuur® @The-Source • 17 november 2014 00:16

Hier is de originele mail

Het is u vast niet ontgaan. Deze week werd bekend dat er besmette e-mails uit naam van PostNL worden verstuurd. Verschillende media hebben hier aandacht aan besteed en wij hebben u op de hoogte gesteld via een bericht op de MijnPakket Homepage en op social media.

Wat is er precies gebeurd?
Cybercriminelen versturen mails die doen geloven dat een koerier een pakket niet kon afleveren. Er wordt gevraagd op een link te klikken.Wanneer u op deze link klikt, download u schadelijke software die u bedreigt en vervolgens geld vraagt.

Via deze mail adviseren wij u nogmaals om deze e-mail meteen te deleten en niet op de link te klikken.

Verdere uitleg kunt u lezen op deze pagina.

Met vriendelijke groet,

Daar is nogal wat mee mis. Allereerst een stijlfout: er mist een spatie tussen "klikken." en "Wanneer". Dan staat er "download" wat zoals gezegd "downloadt" moet zijn. Maar nog veel belangrijker is het ontzettend warrige taalgebruik.

"Via deze mail adviseren wij u nogmaals om deze e-mail meteen te deleten en niet op de link te klikken."

Waaraan refereert "deze mail" nu? Common sense zegt dat het de eerste keer natuurlijk de mail die je aan het lezen bent is, en de tweede keer de vervalste mail, maar erg duidelijk is het niet. Feitelijk staat er dat je de mail van PostNL direct moet deleten.

Daarnaast adviseren ze vooral niet op de link te klikken. En wat doen ze vervolgens? Verwijzen naar meer uitleg op een andere pagina middels een link, waarvan de URL in eerste instantie niet eens naar het PostNL domein verwijst!

Dit was echt een enorme faal van epische proporties. Hopeloos.

sfranken @The-Source • 16 november 2014 17:22

"Jij download" en dus ook "u download" moet met een t op het eind, dus "als u op deze link klikt downloadt u een virus" is correct, zonder t niet.

http://nl.wiktionary.org/wiki/downloadt

ilaurensnl @The-Source • 16 november 2014 19:54

<sarcasm>Mogelijk een waarschuwing mail dat er misbruik wordt gemaakt van email, en dat dit het enigste legitiem email is. Er moet geverifieerd worden dat het gebruiker echt is, daarom moeten ze op mijn.tntpoost.nl inloggen. </sarcasm>

Het is niet heel raar, grotendeels weten de jeugd wel hoe internet werkt. Maar de oudere generatie vergeten het, of is goedgelovig. Dat is een van de redenen waarom ik, ja, alleen ik op mijn eigen computer moet komen. Heb te vaak virussen op mijn ouders z'n computer verwijderd, en dan vraag ik hoe komt dat.... "ehm, geen idee ik wilde een video openen maar toen werd er gezegd dat ik Windows Media Player 10 moest installeren en dat deze verouderd is.", dan gaat bij mij al een alarm ringen omdat ik toch echt weet dat op Windows 8 een nieuwer media player heeft.

Achteraf denken ze stom.... Maar voor ons is het niet belangrijk omdat ik alle foto's bewaar. Maar..... Ik kan me voorstellen dat mensen familie/jeugd foto's kwijt raken

Zonder.... Nu is de vraag, waarom?

Het is makkelijk, eerst was het nog niet bekend. Dit gebeurde vrij nooit. Maar toen de nieuws begon te komen.... Ransomeware heeft miljoenen euro's gekregen... Begon ik ineens dagelijks op te merken dat vele personen in m'n omgeving deze problemen hadden.

Irritant voor de mensen dat de dupe hiervan is geworden, goed voor computer winkels dat virussen kan verwijderen. En leuk voor de eigenaar van de ransomeware.

Trommelrem @The-Source • 16 november 2014 14:48

Iets met "'wanneer u deze link klikt download u een virus" in plaats van downloadt. Zal vast nog wel ergens op internet staan.

Geen idee wat een postzegel kost trouwens. Er staat een 1 op. Maar het zal wel geen 1 cent zijn...

[Reactie gewijzigd door Trommelrem op 26 juli 2024 21:11]

Verwijderd @Trommelrem • 16 november 2014 16:41

Uiteraard is het geen 1 cent. Die waarde is variable kan op deze manier makkelijk verhoogd worden door TNT zonder nieuwe postzegels te hoeven uitgeven.
Kosten op dit moment 64 cent per 1 januari 67 cent.

Maar wel verschrikkelijk zo'n virus. Nu is de Cloud voor externe opslag wel heel handig of anders gewoon je bestanden met een kopie op je externe harde schijf plaatsen.

Dit adviseer ik iedereen en gewoon herinstalleren die pc.

Trommelrem @Verwijderd • 16 november 2014 16:59

Voor mensen die hun backups niet goed bijhouden is VSS eigenlijk de enige oplossing.

Verwijderd @Trommelrem • 17 november 2014 07:00

Daar heb je het handige programma Cobian Backup voor.

loki504 @Trommelrem • 16 november 2014 17:42

Postzegel kost nu dacht ik 44 cent

pennywiser @loki504 • 16 november 2014 18:37

loki504 @pennywiser • 16 november 2014 19:57

damn 64 voor 1 brief. moet niet gekker worden.

pennywiser @loki504 • 16 november 2014 20:13

Wordt het wel..

loki504 @pennywiser • 16 november 2014 20:19

damn 69 cent...... gaat helemaal nergens over.

Trommelrem @loki504 • 16 november 2014 20:40

Virus kost per bestand 500 voor de eerste dag. Moet niet gekker worden. PostNL probeert tenminste nog het tarief laag te houden.

Roelof @loki504 • 17 november 2014 09:14

offtopic:dat is het voordeel van concurentie op postbezorging....

idef1x @Trommelrem • 16 november 2014 16:24

Download is anders wel een engels woord. Downloadt (met dt) heb ik anders ook nog nooit gezien. Gaat het kofschip?fokkeschaap/whatever wel op voor buitenlandse woorden? Ik zou het iig niet als taalfout zien.

Jack V @idef1x • 16 november 2014 16:40

http://woordenlijst.org/leidraad/12/2/
Staat zelfs in het rijtje. 'Vreemde' werkwoorden worden gewoon zo veel mogelijk volgens de regels vervoegd.
Weer wat geleerd.

Verwijderd @idef1x • 16 november 2014 17:33

't Kofschip is hier niet van toepassing, omdat dit ezelsbruggetje alleen over voltooid deelwoorden gaat (gedownload). U downloadt is onvoltooid tegenwoordige tijd.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 21:11]

Bacchus @Verwijderd • 17 november 2014 08:43

"'t Kofschip" is dan ook het meest waardeloze ezelsbruggetje dat er bestaat: Het is ingewikkeld, incompleet, gezien het aantal fouten weet niemand hoe hij het toe moet passen en minstens 95% van de Nederlanders kent de taalregel die erachter zit niet eens.
De regel is: een stam die eindigt op een klinker of een stemhebbende medeklinker wordt gevolgd door een "d" of "de", eindigt de stam op een stemloze medeklinker, dan schrijven we er "t" of "te" achter. Als je oplet dan zie je ook dat van veel (stemhebbende) klanken in 't Kofschip er een stemloze variant is: t/d, s/z, ch/g, f/v, p/b.
Een werkend ezelsbruggetje voor voltooid deelwoorden is: maak er een verleden tijd mee, dan hoor je direct wat het zijn moet.

Gillonde @idef1x • 16 november 2014 16:35

Zie https://onzetaal.nl/taaladvies/advies/engelse-werkwoorden

idef1x @Gillonde • 16 november 2014 16:43

Dank voor de link. Ik val dan over het lelijke woordbeeld dat je met downloadt krijgt

Mocro_Pimp® @Gillonde • 16 november 2014 18:59

Engelse leen woorden op z'n Nederlands vervoegen. Dus niet gedownload maar downgeload

84hannes @Mocro_Pimp® • 16 november 2014 21:00

offtopic:
leenwoorden

[Reactie gewijzigd door 84hannes op 26 juli 2024 21:11]

Vihaio @Mocro_Pimp® • 16 november 2014 19:10

Het klopt dat je leenwoorden op z'n Nederlands vervoegt, maar de juiste vorm is dan gedownload en zeker niet downgeload.

https://onzetaal.nl/taala...-d-nederlandse-vervoeging

[Reactie gewijzigd door Vihaio op 26 juli 2024 21:11]

Jantje51 @Vihaio • 16 november 2014 20:33

En dan wel graag bij de tweede persoon enkelvoud tegenwoordige tijd vervoegT en niet vervoegD.
En nu niet beginnen over het "kofschip" (of "fokschaap"), want we hebben het hier gewoon over de tegenwoordige tijd en niet over een voltooid deelwoord, dus: jij vervoegT en jij HEBT vervoegD (en dus ook jij downloaDT en jij hebt gedownloaD).
Het is toch zo simpel!

vinkjb @Jantje51 • 16 november 2014 22:28

simple voor de 1 en erg moeilijk voor de ander, maar dat is met alles, ook wiskunde of wat dan ook

Znorkus @Mocro_Pimp® • 17 november 2014 00:37

zo werkt het niet. Regels zijn regels en als iedereen "ik vindt" gaat schrijven maakt dat het nog niet automatisch juist.

Zo werkt het eigenlijk wel. Als iedereen ik vindt gaat schrijven, wordt dat de juiste taal.

Let maar op, over een paar jaar hoeven Nederlandse woorden ook niet meer aan elkaar geschreven te worden. Dan is 'advocaten kantoor' gewoon correct.

Trommelrem @Znorkus • 17 november 2014 02:28

Sgool is zo gebruikelijk geworden dat dat binnenkort ook correct is.
Museums is dat helaas al geworden.

Tim_O @Mocro_Pimp® • 17 november 2014 00:43

Ik download een auto | Ik uitlaad een auto
Ik load een auto down | Ik laad een auto uit

Lijkt mij de reden dat het gewoon gedownload is i.p.v. downgeload.

sjettepetJR. @Tim_O • 17 november 2014 08:12

ik snap dat er wordt gezegd dat "down" en "loaden" twee delen zijn, omdat het origineel van het woord "loaden" komt, maar in het Nederlands komt het woord "loaden" niet voor, dus vervoeg je "downloaden" als één woord; gedownload.

ThijssjihT @idef1x • 16 november 2014 18:03

't Kofschip/'t fokschaap/kuifspecht (mijn persoonlijke favoriet) heeft niets met de extra t bij de 2e persoon tegenwoordige tijd.
Ook hebben veel mensen het over dt, dit is denk ik verwarrend. Er komt gewoon altijd een t achter, behalve als de stam eindigt op een t. Zo gaat het al foutloos. Waarom een extra onnodige uitzonderingen maken voor werkwoorden waar de stam eindigt op een d?
Downloaden -> stam is -en, dus download -> 2e persoon +t, dus downloadt. Zo simpel is het.

ThijssjihT @freedzed6 • 18 november 2014 21:21

Waarom word je gedownmod? Dit is de enige zinnige reactie tussen al dit off-topic gezeik. 😊

Trommelrem @idef1x • 16 november 2014 17:35

Nouja een goeie, het is gewoon correct. De X staat niet in 't kofschip en daarom heeft men er "XTC Koffieshop" van gemaakt.

Techneut 16 november 2014 22:15

Wat ik in alle serieuze discussies hierover toch nog mis is informatie over hoe groot de kans is dit je treft. Als ik naar me zelf kijk en me voorstel dat ik op zekere dag een mail krijg met een dergelijke inhoud. Mijn eerste reactie zou toch zijn: "Ho even, klopt dit wel?".
In dit geval lijkt zoals ik lees post.nl de afzender. Welnu, ik doe letterlijk nooit zaken met hen, dus alleen dat al zou argwaan wekken. En dat zal bij iedere andere afzender ook zo gaan.
Versta me goed, ik ga niet van de daken roepen van: "Dat overkomt mij nooit". Want één ogenblik van even niet opletten......... Maar hoe dan ook, tot nu toe is volgens mij alle ongein op dit gebied te voorkomen door die alertheid, je moet namelijk als ik het goed begrijp actief op een link in een mail klikken, je wordt niet zomaar besmet.

PostHEX @Techneut • 16 november 2014 22:41

Dit type malware heeft ook een geschiedenis van verspreiding via geïnfecteerde advertenties. Onder anderen het netwerk van Yahoo had hier een tijdje last van. Veel mensen die reclame van dat netwerk op hen pagina te zien kregen, werden ook geïnfecteerd met een variant uit de cryptolocker familie. Nou kan je dat redelijk makkelijk voorkomen door de betaalde versie van MBAM te gebruiken, gratis of betaalde versie van Avast, cryptoprevent installeren (al moet je als het goed is met deze oplossing nog altijd het programmatje handmatig updaten wanneer er een nieuwe strain op het web is), etc...

Maar het gekke is; juist wanneer je wel met cryptolocker geïnfecteerd wilt raken (van wegen research doeleinden), is dat moeilijker dan je denkt. Eigenlijk is het wel logisch, want bedrijven en overheidsorganen zijn er heel snel bij om de netwerken van cryptolocker varianten te ontmantelen.
Een aantal weken terug probeerde ik m'n machine geïnfecteerd te laten raken door welke cryptolocker variant die ik ook maar in handen kon krijgen. Ik had er een aantal op m'n machine geïnstalleerd, maar een daadwerkelijk succesvolle infectie bleef uit. Zodra de infectie op je systeem komt, gaat het niet gelijk je data encrypten. Elke vorm van cryptolocker gaat bepaalde stappen af voordat het gaat encrypten. De eerste is dat het naar een server belt waar de encryptie sleutels worden opgeslagen (want zodra encryptie sleutels gaat er niemand meer de criminelen betalen). Wanneer het contact heeft gemaakt, volgen er nog een paar stappen, en uiteindelijk gaat het daarna pas bezig met het encrypten. De reden waarom alleen recente strains van de malware wel werken, is omdat oude strains contact proberen te maken met servers en netwerken die door bedrijven en geheime diensten zijn neergehaald.

Thystan @PostHEX • 18 november 2014 09:29

cryptoprevent, thanks voor de tip

Edit:
Hier is nog een tool: http://www.avira.com/en/s...edgebase-detail/kbid/1253

Edit2:
Nog 1: https://www.decryptcryptolocker.com/

[Reactie gewijzigd door Thystan op 26 juli 2024 21:11]

spokje 16 november 2014 14:30

Is het niet mogelijk om adhv dat bitcoin nr te achterhalen op welke rekening dit gestort wordt? Ik zit niet zo in bitcoin, maar als je zou tracen op dit bedrag dan zou het toch te achterhalen moeten zijn bij wie het terecht komt? (of tracen op aantal bitcoins dan bedoel ik).

*legt familie direct nog eens uit dat ze niet op websites moeten komen / linkjes moeten klikken als ze niet 100% zeker zijn dat het vertrouwd is*

Soldaatje @spokje • 16 november 2014 14:37

Iedereen kan redelijk anoniem een wallet aanmaken via Tor en een clean emailadres.
Dan laat je de ontvangen bitcoins door een mixer gaan zodat ze anoniem zijn, en dan kan je ze opnemen in normaal geld.
Dan is het anoniem en niet makkelijk te traceren.

Thimo @Soldaatje • 16 november 2014 18:30

nieuws: Onderzoekers: groot deel van Tor-gebruikers is te identificeren

OverSoft @Soldaatje • 17 november 2014 07:23

Sterker nog, als je gewoon de bitcoin client draait heb je niet eens een mailadres nodig en hoeft het ook niet via Tor te lopen.

theobril @spokje • 16 november 2014 14:36

Veilig, maar compleet onwerkbaar, enkel op dingen klikken waarvan je 100% zeker weet dat ze veilig zijn. Geef ze dan het advies een backup te maken en deze dagelijks aan te vullen met je nieuwe spul

spokje @theobril • 16 november 2014 14:38

Heb je een punt. Maar het kan geen kwaad om nog te waarschuwen alleen hun standaard zaken te doen als mail, etc. Maargoed, het kan ook een e-mail zijn die geinfecteerd is.

Ik draai een offsite backup van ze op m'n NAS. Dus ik verwacht dat het weinig problemen op gaat leveren uiteindelijk, maar toch.

nandervv @spokje • 16 november 2014 23:30

Als hij automatisch gemount wordt zonder wachtwoord kan het virus daar in principe ook gewoon direct in, geen enkel probleem...

i-chat @spokje • 16 november 2014 14:37

natuurlijk kan dat niet,

das nu juist het hele idee achter bitcoin..

MrMonkE @i-chat • 16 november 2014 15:03

Juist wel.
Sterker nog je kunt zelfs het totale bedrag dat op zo'n BTC-adres wordt binnengehaald

Cartman!

@MrMonkE • 16 november 2014 18:52

Heel leuk maar hoe ga je dat aan een persoon linken? Openheid van transacties staat los van wie welk adres bezit.

MrMonkE @Cartman! • 16 november 2014 23:38

Door de blockchain terug door te lopen kunnen ze wanneer ze over 10 jaar erachter komen dat een adres van jou was/is alle transacties nagaan. Maar het is inderdaad niet eenvoudig die initiele link te leggen net als het moeilijk is compleet te voorkomen dat ze die kunnen leggen tenzij je nooit een dubbeltje uitgeeft. Vroeg of laat zal iemand iets uitgeven ergens waar het op de radar van de BTC-detectives komt.

OverSoft @MrMonkE • 17 november 2014 07:26

En daarom zijn er bitcoinpools. Via een site stort je je balance hier in ("op de grote hoop") en voor een kleine fee onttrek je in een aantal kleinere transacties weer je bitcoins naar andere adressen over de tijd van een paar dagen/weken.

Volledig ontraceerbaar tenzij je de logs van de pool hebt.

Mijndankisgroot @spokje • 16 november 2014 14:34

Hierin wordt veel uitgelegd hoe het zit met bitcoins en anonimiteit en traceebaarheid van bitcoins:

https://en.bitcoin.it/wiki/Anonymity

spokje @Mijndankisgroot • 16 november 2014 14:35

Thanks

Verwijderd @spokje • 16 november 2014 14:39

Dat is niet hoe bitcoins werkt.
Ja. je kan wel zien waar de btc heen gaan (btc adres)
maar er komt geen naam bij te staan ofzo.

verder wordt er vaak door dit soort mensen gebruik gemaakt van tumblers/mixers,
die er dus voor zorgt dat de bitcoins gemixed worden met andere coins en adressen en dan weer langzaam terugkomt bij 1 of meerdere adressen van de diegene die zo'n service gebruikt.

Verwijderd @spokje • 17 november 2014 00:04

Is het niet mogelijk om adhv dat bitcoin nr te achterhalen op welke rekening dit gestort wordt?

Dat bitcoin adres waar het heen moet is het "rekening nr". Dat is gewoon openbaar bij Bitcoin. Alleen je weet niet van wie het is, een Bitcoin adres of wallet hoef je nergens te registreren. Zij kunnen deze bitcoins gewoon uitgeven, je kunt de bitcoins dan volgen van adres tot adres maar je weet niet bij wie ze allemaal terecht komen.

Greymane 16 november 2014 14:57

Het voordeel is, dat alles wat belangrijk is voor mij, altijd word gebackupped op een extra harde schijf. Ransomware heeft zo geen effect op me. Geinfecteerd? Format C:.

mrtnvnl @Greymane • 16 november 2014 15:07

Fijn een backup. Vooral als de ransomware zich eerst een tijdje verdekt opstelt, een weekje of zo, zodat alle bestanden in je backup ook encrypted zijn.

Edit: typo

[Reactie gewijzigd door mrtnvnl op 26 juli 2024 21:11]

MadEgg @mrtnvnl • 16 november 2014 17:15

Incrementele updates, en dan natuurlijk niet voor maar een weekje. Ik heb stapels incrementele updates. 4 per dag van de afgelopen week, 1 per dag van de afgelopen maand, 1 per week van het afgelopen jaar, 1 per maand van langer dan dat geleden. Als je binnen een maand nog niet doorhebt dat je PC besmet is met het een of ander dan is de schade ook niet dermate groot dat een maandje meer of minder veel uitmaakt.

Backups zijn zeker wel de oplossing voor dit soort problemen, maar je moet natuurlijk wel een goede backup-strategie hebben. Het backup-medium moet bijvoorbeeld niet fysiek aan je PC gekoppeld zijn waarvan je de backup maakt en alle backups moeten read-only zijn. De PC die de backup-schijf beheert bepaalt dat het tijd is om een deel van de oudere backups op te schonen.

En natuurlijk moet je backup op een fysiek andere locatie zijn dan het medium wat je backupt. Bij voorkeur meerdere backups op verschillende fysieke locaties.

Thystan @MadEgg • 17 november 2014 11:31

Ik denk dat juist incrementals hiervoor vatbaar zijn.

MadEgg @Thystan • 17 november 2014 11:34

Nee, juist niet.

De incrementele updates kopiëren alleen dat wat gewijzigd is. Naar een nieuwe versie.

Dus:

Backup/2014-06-01/bestand_a
Backup/2014-06-01/bestand_b

Backup/2014-06-02/bestand_a (ongewijzigd, dus wijst naar 2014-06-1/bestand_a)
Backup/2014-06-02/bestand_b (gewijzigd, dus nieuwe kopie)

Mocht het systeem geinfecteerd raken waardoor bestand b gewijzigd (encrypted) wordt, dan heb ik dus de versie van 2014-06-01 die niet encrypted is en de versie van 2014-06-02 die wel encrypted is. Die laatste kan ik dan inderdaad net zo goed weggooien, maar de eerste is ongewijzigd en dus bruikbaar.

Thystan @MadEgg • 17 november 2014 11:35

A differential backup refers to a backup made to include the differences since the last full backup, while an incremental backup contains only the changes

MadEgg @Thystan • 17 november 2014 11:40

Potatoe, potatoe...

Anyway, ook voor een incrementele backup volgens jouw definitie maakt het niet uit. Je hebt dan een set wijzigingen ten opzichte van de eerste volledige backup. Door de wijzigingen terug te draaien kom je uiteindelijk vanzelf op een versie voor de infectie die niet encrypted is.

Het is in ieder geval noodzakelijk dat je méér dan één kopie hebt, dus dezelfde backup overschrijven met een nieuwe is een slechte vorm van backups maken.

Gody @mrtnvnl • 16 november 2014 15:56

Klinkt alsof cloud-opslag een betere backup zou zijn... totdat malware ' slim' genoeg wordt om ook oude versies in je cloud te verwijderen en opnieuw te uploaden. Dus dan maar weer de volgende stap, cloud opslag en telkens na een sync uitloggen zodat malware er niet bij kan.

Wat blijft het toch enorm jammer dat niet iedereen bereid is om op een normale manier geld te verdienen..

SuperDre @Gody • 16 november 2014 17:25

ook cloud opslag maakt natuurlijk geen zak uit.. Zolang een bestand vanaf de geinfecteerde PC te benaderen is, is het vatbaar voor deze ransomeware.. Nadeel van cloudopslag is dan ook nog eens dat het de kans vergroot dat je hiermee andere PC's ook sneller kunt infecteren..
En je methode met uitloggen heeft ook weinig zin, de besmetting vindt dan plaats tijdens het syncen, waar dus het originele bestand mee aangeraakt wordt.

Ulysses @SuperDre • 16 november 2014 18:10

Nee, zo werkt cloud opslag niet. Zou een knappe jongen zijn die storage blobs cross-cloud infecteert. Grof gezegd is cloud opslag een soort schaalbare database met geheel eigen offensief aan security maatregelen. Zou wat zijn, als ik een virus upload naar GoogleApps, dat dan alle klanten (waaronder de VS overheid) vatbaar zijn. Meer verdiepen in cloud technieken kan onder andere op http://www.microsoftvirtualacademy.com

Ik zelf maak periodiek nog steeds handmatig backups, door alles in archieven te dumpen, die precies in mijn stukje wolk passen en belangrijker: Vooraf te controleren. Daarbij staat alles hier dubbel redundant. Op vaste schijven met RAID, Windows die een externe 3TB schijf heeft, en cloudopslag bij 2 aanbieders voor de echt belangrijke files. De rest van mijn data is sowieso al downloadbaar of opnieuw uitrolbaar (VHD's e.d.)

Al kan ik natuurlijk ook gewoon mijn hardeschijven niet wissen als ik ze verkoop. Er bestaat een kleine kans dat de data dan magischerwijs vanzelf zich repliceert naar mijn systeem.

Ik mis alleen nog mijn "eigen" scripts van mijn overleden server. Misschien zaten de goeden niet op te letten toen. En het was ook wel erg systeem specifiek. Maar toch. Ach, maak wel een keer nieuwe in PowerShell.

[Reactie gewijzigd door Ulysses op 26 juli 2024 21:11]

SuperDre @Ulysses • 17 november 2014 10:04

Cloud opslag werkt exact hetzelfde als lokale opslag, alleen in de cloud.. Zodra het bestand door de cloud'sync' wordt aangeraakt wordt het al door de ransomeware encrypt, en gaat zo de cloud in.. Als er dan exe bestanden mee de cloud in gaat, kan het zijn dat deze exe bestanden dus geinfecteerd raken. Ga jij op een andere PC deze exe weer van de cloud binnenhalen, dan is er dus een grote kans dat je daarmee die PC dan infecteert.
Ik bedoelde dus niet dat bestanden in de cloud die niet aangeraakt worden door de geinfecteerde PC ook geinfecteerd kunnen worden, maar dus wel de bestanden die gesynced worden met de cloud zodra de betreffende PC geinfecteerd is.

LessRam @Greymane • 16 november 2014 16:00

Het voordeel is, dat alles wat belangrijk is voor mij, altijd word gebackupped op een extra harde schijf. Ransomware heeft zo geen effect op me. Geinfecteerd? Format C:.

En toen bleek je backup ook al 10 dagen eerder geinfecteerd te zijn, en nu pas executed

Soldaatje @LessRam • 16 november 2014 16:06

Daarom is het handig om file versioning te hebben met je backup, dan kan je altijd een aantal versies terughalen.
Een probleem is als de malware ook via je backup-client oude versies kan gaan verwijderen, tenzij je altijd om wachtwoord vragen aan hebt staan.
Dat laatste kan bij de Dropbox client onder Windows niet eens, als ik even vlug kijk, dat is dus wel een risico.

[Reactie gewijzigd door Soldaatje op 26 juli 2024 21:11]

User321 @Greymane • 16 november 2014 15:02

Alleen als die extra schijf op dat moment niet is aangesloten op de pc.. bij mij waren files op D: en E: ook te grazen genomen.
(en bij andere gebruikers ook op mapped netwerk shares)

[Reactie gewijzigd door User321 op 26 juli 2024 21:11]

TWeaKLeGeND @Greymane • 16 november 2014 15:10

Ooit krijg je er spijt van dat je backup structuur slecht is, of wellicht zal je ons ooit dankbaar zijn voor het bashen van je backup structuur waardoor je op die sombere november zondag 2014 alles begon te verbeteren.

computerjunky 16 november 2014 15:28

Leuke uitvinding dat versleutelen...
Lijkt wel of mensen er alleen maar last van hebben.

Als je zelf je bestanden a versleuteld is het dan nog mogelijk om met een andere tool ong een keer het versleutelde bestand te versleutelen?
Zo niet is de enigste echte veilige optie straks al je bestanden versleutelen en je workflow om zeep helpen haha.

blorf @computerjunky • 16 november 2014 16:03

Ik geef het OS de schuld. Als er zonder gebruikers-interactie iets kwalijks kan binnenomen met voldoende permissies dat het vrij in bestanden elders op het systeem kan rommelen zonder dat het OS en dus de gebruiker dat door hebben mankeert er iets aan het geheel. Bij een 'default' configuratie zou zoiets niet voor mogen komen. Dan staan er naar mijn idee gewoon teveel deuren onnodig open

[Reactie gewijzigd door blorf op 26 juli 2024 21:11]

sfranken @blorf • 16 november 2014 17:31

Dan is het ook de schuld van de OEM of van de user die de account aanmaakt. Blijkbaar maken ze dan een account aan met root/admin rechten, terwijl dat helemaal niet nodig is als huis-, tuin- en keukengebruiker, toch?

SirBlade @sfranken • 16 november 2014 18:06

Voor dit soort malware heb je in theorie voldoende aan een normaal useraccount. Niemand gaat betalen voor het decrypten van system files, het zijn de user-files die waardevol zijn, en laat iedere user nu toegang hebben tot zijn eigen bestanden. En zonder draconische extreem gebruikersonvriendelijke maatregelen ga je dit soort malware niet op OS niveau tegenhouden.

hackerhater @SirBlade • 16 november 2014 21:08

no-excequte rechten op de bestanden-map?
opgelost.

SirBlade @hackerhater • 17 november 2014 10:37

Dan wordt het een standaard handeling om alle bestanden na downloaden eerst handmatig te verplaatsen naar een locatie waar ze wel gestart kunnen worden. En een .msi of .rpm wordt niet uitgevoerd, dat wordt geopend met een vertrouwde applicatie.

En als je de goede naam aan je package geeft dan zullen mensen dat doen.

hackerhater @SirBlade • 17 november 2014 11:06

Dat is toch makkelijk te blokkeren?
Geef ze geen schrijfrechten buiten hun eigen mappen. klaar.

Mijn ouders kunnen bijvoorbeeld niks buiten hun eigen usb-sticks en home.
En beiden zijn no-exequte gemount. Ingesteld door mij.

[Reactie gewijzigd door hackerhater op 26 juli 2024 21:11]

Breezers @blorf • 16 november 2014 16:37

Weer terug naar Vista met alle UAC meldingen ?, nee dank jewel.

Je hebt een punt dat dit niet zomaar in de commerciele OS moet kunnen, maar houdt ook rekening met de eindgebruiker die doorgaans echt eerst zelfstandig een actie uitvoert die meestal dit als gevolg heeft (lees: linkjes klikken, downloaden, websites bezoeken etc)

Dat er dan iets verkeerd kan gaan kan ook in de tig programma's/standaarden van derden liggen die niet specifiek OS gerelateerd zijn ; flash, behaviour, etc.

Er is in bijna ALLE gevallen een gebruikersinteractie geweest....

We willen met z'n allen wel het gemak van blindelings surfen en complete vrijheid van wat we willen met een computer (als dit niet kan/mag, dan is dit belachelijk) , anti virus is lastig/duur, updates uitvoeren kan ook wel later, obscure websites willen we bekijken want dit staat op Google, E-mail linkjes klikken we lustig aan, programma's installeren we want dat was gratis, we drukken allemaal een freeware NAS die niet beveiligd, geupdate of secuur is aan het internet etc, etc.

Het probleem ligt niet altijd aan een OS:

Als je een stand-alone PC hebt met een OS, prgramma's installeerd die ook legitiem zijn en deze gebruikt waarvoor het gemaakt is, dan is de kans dat er wat gebeurt erg klein.

Maar nee !, we sluitten blindelings USB sticks, en gejailbreakte telefoons aan, we moeten toch wel de laatste torrent, newsgroup, freeware programma hebben, we moeten internetten en alles zien/klikken wat er is, we moeten wel op internet alle flash filmpjes kunnen zien, we moeten alles via WiFi kunnen gebruiken, we moeten alles met elkaar delen, of het nu dropbox is of netwerkshares open zetten.

En dan een keer gaan piepen en wijzen naar een OS als het fout gaat ? Dat is wel heel erg makkelijk..

Natuurlijk is niemand roomser dan de paus, maar wij als maatschappij willen vrijheid als het om computers en het omgaan daarmee heeft nu eenmaal een keerzijde aan dat het ook fout kan gaan.

Wil je de closed user/afgeschermde omgeving hebben waarbij een ander bepaald wat je wel en niet kan ? Ga dan naar een streng gereguleerd bedrijfsnetwerk of OSX omgeving.

[Reactie gewijzigd door Breezers op 26 juli 2024 21:11]

Ramon @blorf • 16 november 2014 16:52

Uiteraard gebeurt dit niet zonder gebruikers-interactie. Veelal krijgen mensen een bestand.exe.jpeg in de mail en klikken hierop waarna de malware aan het werk gaat. Gebruik je overigens Windows 8 en heb je SmartScreen (is standaard) aanstaan dan zouden dit soort exe's geblokkeerd moeten worden.

SuperDre @blorf • 16 november 2014 17:29

Maar het gaat hier niet om iets dat op je PC komt zonder gebruikers-interactie.. Het gaat hier om mensen die vanuit hun mail 'rare' exe's hebben gestart..

BlackOwl @computerjunky • 16 november 2014 16:01

ja, versleutelde bestanden kun je gewoon nog eens versleutelen, zo vaak je maar wil.

itsalex

16 november 2014 15:14

Dan vraag je toch af waarom ze dan geen zip bestanden tegenhouden bij de emailproviders. 1 blokkade en het is opgelost. Wel exe stoppen maar geen zip. Dan heb je 1 probleem al opgelost. Daarna zou een veilige DNS misschien ook wel de oplossing bieden. Alleen de sites welke goed zijn dat deze worden doorgegeven net als Symantec DNS dat je porno etc kan blokkeren.

blouweKip @itsalex • 16 november 2014 17:00

Ik zou het niet fijn vinden als mijn email provider zomaar bestanden in mails gaat tegenhouden op basis van extensies, het is de verantwoordelijkheid van de gebruiker zelf.

Thystan @blouweKip • 17 november 2014 11:33

Als je je er van op de hoogte stellen en je alsnog een download link geven is dat geen probleem.

Ik bedoel, als beveiligingsonderzoeker moet je uiteindelijk ook nog aan het virus kunnen komen

blouweKip @Thystan • 17 november 2014 14:04

Dan nog, het is de omgekeerde wereld als mijn ISP gewoon maar willekeurig zaken gaat blokkeren, prima als ze mailcontent scannen maar verder moeten ze zich niet met de inhoud bemoeien.

Thystan @blouweKip • 17 november 2014 14:12

spam filteren doen ze anders al jaren, en thank god for that.

dat heeft toch wel degelijk met de inhoud te maken

ultimasnake @itsalex • 16 november 2014 15:57

Ik vraag me eigenlijk dat ook altijd af, we hebben blacklists van sites die malafide zijn waar chrome/firefox en anderen regelmatig gebruik van maakte om de gebruiker te beschermen, waarom niet op mail content/links (niet iedereen ontvangt een unieke upload link denk ik zo) of het bestand wat gekoppeld is kan toch simpelweg worden herkend ahdv een md5 hash van het zip bestand (die ook echt niet uniek zal zijn).

Providers zouden haast 'verplicht' moeten worden hier aan mee te doen.

AW_Bos

16 november 2014 14:35

Wel zo aardig dat een enkel bestand encrypt kan worden, maar kan je dit niet met een expert reverse engineren, zodat je uiteindelijk de 'sleutel' kan achterhalen om de rest te ontsleutelen, zonder betalen aan de hacker?

orf

@AW_Bos • 16 november 2014 14:39

Waarom zou niet elk bestand een unieke sleutel hebben? Dat verklaart ook gelijk waarom per bestand betaald moet worden. De encryptiemethode is bekend. De private keys zijn niet bekend.

AW_Bos

@orf • 16 november 2014 15:24

Als het een random bestand is wat je zelf mag kiezen om eenmalig gratis te laten decrypten, dan moet het wel de zelfde sleutel hebben, vergelijken met de rest.

orf

@AW_Bos • 16 november 2014 16:09

Als er geen netwerk verkeer is klopt dat inderdaad. Maar het kan prima zo zijn dat de sleutel wordt opgevraagd voor dat ene bestand.

Stoney3K @orf • 16 november 2014 16:20

Als er geen netwerk verkeer is klopt dat inderdaad. Maar het kan prima zo zijn dat de sleutel wordt opgevraagd voor dat ene bestand.

En als de sleutels van elk bestand over een netwerk remote worden opgeslagen dan zijn ze te onderscheppen, net zoals wanneer alle sleutels lokaal in een keyfile worden opgeslagen.

Ransomware zit aan dezelfde valkuil vast als DRM: Je probeert de bestanden voor de rechtmatige "gebruiker" te versleutelen terwijl de rechtmatige gebruiker 100% toegang heeft tot elke bit op zijn schijf en over zijn netwerkverbinding.

orf

@Stoney3K • 16 november 2014 16:32

De bestanden worden versleuteld met een public key. De private key gaat dus helemaal niet over het netwerk. Pas als je betaalt voor een bestand (of 1 gratis) krijg je de private key voor dat bestand.

[Reactie gewijzigd door orf op 26 juli 2024 21:11]

Stoney3K @orf • 16 november 2014 16:57

De bestanden worden versleuteld met een public key. De private key gaat dus helemaal niet over het netwerk. Pas als je betaald voor een bestand (of 1 gratis) krijg je de private key voor dat bestand.

Die private key moet tijdens het versleutelen (op het moment van infectie) toch worden overgezonden op het netwerk, of lokaal worden opgeslagen. Je kan immers geen 1 publieke sleutel hebben die bij meerdere private keys hoort van afzonderlijke bestanden.

Je kan de private key voor één bestand wel toezenden op het moment dat de ontsleuteling voor dat bestand wordt opgevraagd, maar dan is er dus ergens op afstand een database met jouw bestanden, en de publieke en private sleutels.

kaphot @Stoney3K • 16 november 2014 17:39

Voor het versleutelen heb je een public key nodig, voor het ontsleutelen de private key.

Je kunt meerdere public keys gebruiken. Bijvoorbeeld maak een lijst van bestanden, geef ze een nummer. Met 100 public/private key paren kun je bestandnummer modulo 100 doen en je weet welke public/private keypaar nodig is. Op het moment dat je 1 bestand wilt decrypten kun je weer uit de lijst halen welke private key nodig is en deze wordt dan verstuurd.

Waarschijnlijk kun je meerdere bestanden met dezelfde key decrypten, maar daarvoor moet je wel de lijst herleiden.

GekkePrutser @orf • 16 november 2014 20:41

Als het AES-256 is zoals het artikel zegt, is er geen public/private key, want AES is een symmetrisch encryptie algorithme. Dus dezelfde key voor versleutelen en ontsleutelen.

mxcreep @GekkePrutser • 16 november 2014 21:18

Hehe, eindelijk iemand die snapt wat ie leest. Normaal gesproken wordt voor het versleutelen van veel data ook symmetrische encryptie gebruikt aangezien het minder resources kost om daarmee te encrypten. Voor het versturen van die symmetrische sleutel wordt deze dan vaak weer asymetrisch encrypt, dit is niet veel data en kan dus zonder veel resources verbruik.

[Reactie gewijzigd door mxcreep op 26 juli 2024 21:11]

Mavamaarten @AW_Bos • 16 november 2014 14:39

Volgens Webroot biedt deze optie kansen om een decrypt-tool te ontwikkelen.

Inderdaad. De decryptie-sleutel moét wel ergens in het geheugen aanwezig zijn. Met een beetje reverse-engineeringwerk kan je waarschijnlijk de decryptie-key opvangen wanneer hij opgevraagd wordt, of wanneer het bestand ontsleuteld wordt.

Gomez12 @Mavamaarten • 16 november 2014 20:23

Maar waarom zou je 1 decyptie sleutel gebruiken?

Waarom niet 100 of 1000 en dan een algoritme wat er per bestand 1 kiest.
Dan kan je de die ene decryptiesleutel achterhalen en krijg je nog maar 1% van je bestanden terug.

oko2708 16 november 2014 19:23

Ik heb niet zo veel verstand van dit soort zaken, maar kan je niet gewoon in de Bios je systeemtijd veranderen om de kosten weer te verlagen? Natuurlijk lost dit het probleem niet op, maar die timer moet toch iets als referentiepunt gebruiken?

pennywiser @oko2708 • 16 november 2014 21:25

Waarschijnlijk een NTP stamp in een encrypted file..

Gomez12 @oko2708 • 16 november 2014 23:54

Dan verlaag je je systeemtijd en dan bij een betaling wordt er je huidige tijd meegezonden (die dus teruggezet is) en dan wordt de betaling niet opgepikt en heb je dus betaald voor niets.

Zwartoog 16 november 2014 21:36

Inmiddels onderaan in de comments, maar toch

Zoals altijd ga je pas echt over backups nadenken als het een keer (bijna) mis is gegaan. Ik heb altijd gezeuld met schijven en "zo-nu-en-dan" backupjes. Na een inbraak flink geschrokken (geen computers gestolen gelukkig) nog eens alles goed overdacht.

Bij handmatig backuppen verzwakt onverhoopt de discipline, en als het mis gaat ben je altijd teveel data kwijt. Met externe harde schrijven ben je overigens ook nergens, dus een backup wil je offsite hebben. Dus in de cloud, of op een NAS bij een vriend. Als je een toffe baas hebt mag je je NAS misschien daar neerzetten

Alle data van de vaste computers in huis staat op onze NAS. Deze maakt elke nacht een incrementele backup via een RSYNC scriptje naar een Linux computer elders. De home-drive van de NAS is encrypted, dus als je die pakt, kan een ander ook niet bij de data.

Voor m'n Linux laptop gebruik ik duplicity: incrementeel en encrypted, en een cron-job die draait op tijden dat ik m'n laptop aan heb.

Incremental backups zijn vooral bij dit soort ransomware belangrijk: het kan sluimeren en heel veel bestanden infecteren voordat je er erg in hebt en de pop-up komt.

Mijn oplossing vereist wel wat kennis van scripting en dergelijke, al kun je met Synology bijvoorbeeld al out-of-the-box makkelijk offsite backups maken. En als je je backup-partner engiszinds vertrouwd, ben je zonder geencrypte backup altijd nog beter af dan zonder backup.

Katsunami @Zwartoog • 16 november 2014 21:57

Tja. Persoonlijk vind ik het idioot dat dit soort malware anno 2014 nog werkt. Zo zie je maar hoe weinig mensen daadwerkelijk afweten van de spullen die ze in gebruik hebben, en hoe weinig waarde men hecht aan "belangrijke" data.

Iedereen snapt dat je geld en belangrijke documenten in een kluis dient te stoppen (die aan de muur verankerd is), maar diezelfde mensen wachten met het maken van backups totdat er iets goed mis gaat en ze al hun data kwijt zijn.

PostHEX @Zwartoog • 16 november 2014 22:09

Wat ik doe is met Macrium Reflect de backups automatiseren. Ook met de gratis editie heb je de "scheduled backups" optie. Behalve dat je dan elke keer de image naar een externe locatie moet overzetten, hoef je niet telkens elke maand er aan te denken om een backup te maken. Wel is het dan inderdaad het makkelijkst als je ook nog een NAS hebt en script gebruikt die automatisch inlogged op een netwerk map en de image overzet.

[Reactie gewijzigd door PostHEX op 26 juli 2024 21:11]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (291)

Sorteer op:

Weergave: