Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

CryptoLocker al tegengekomen?

Pagina: 1
Acties:

donderdag 19 september 2013 17:19

Acties:

Verwijderd

Topicstarter
Het verbaast me dat een zoekopdracht naar Cryptolocker zowel op het forum als op de nieuwsberichten van de site nog geen hits oplevert.

Van mijn collega's in Amerika kreeg ik al een dag of 10 geleden wat angstige geluiden te horen en sinds gisteren heb ik een schokkend aantal bevriende bedrijven hier in .nl gezien die zijn getroffen door deze Ransomware.
Velen hebben de ransom betaald, maar (anders dan de berichten uit de VS) niet iedereen krijgt hiermee z'n bestanden terug.

Anders dan al die andere nep-ransomware van de laatste jaren die de bestanden van een gebruiker "verstopt" en voor een tweaker heel makkelijk te fixen is, is deze Ransomware zeer serieus: bestanden worden daadwerkelijk versleuteld en als je niet de $300 (! er zijn ook $100 varianten) ransom betaalt, ben je daadwerkelijk de pineut. Er wordt nl een publieke en private 2048-bits RSA key gebruikt, en tenzij je bij de NSA werkt, ga je die bestanden dus verloren moeten beschouwen.

Ik knip-plak hier onder een Engelstalige post die een goede samenvatting geeft.
Het lijkt me handig om deze thread te gebruiken om eventuele aanvullende informatie over deze relatief nieuwe en verrassend succesvolle bedreiging te verzamelen.

Knip-plak van Reddit:
Vectors: It's largely being spread via email attachments claiming to be a dispute notification, though members of the Zeus botnet have had the virus pushed to them directly. The virus is totally functional regardless of UAC or whether the logged in user is a local administrator, and has been reported on WinXP through 7 64-bit. No infections on 8 reported yet but that may be a market share thing, especially since MSE has proven ineffective at preventing the virus.

Variants: There is a version that demands $100 and a version that demands $300. No other variants reported at the time of this writing.

Payload: The virus stores a public RSA 2048-bit key in the local registry, and goes to a C&C server for a private key which is never stored. The technical nuts and bolts have been covered by Fabian from Emsisoft. It will use a mix of RSA 2048-bit and AES 256-bit encryption on files matching these masks:
*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

It will also access mapped network drives that the current user has write access to and encrypt those.
It is worth mentioning that by the time the notification pops up, it's already encrypted everything. It's silent until the job is done.

Many antiviruses have been reported as not catching the virus until it's too late, including MSE, Trend Micro WFBS, Eset, and Kaspersky. They can further complicate matters by reverting registry changes and removing the executables, leaving the files behind without a public or private key. Releasing the files from quarantine does work, as does releasing the registry keys added and downloading another sample of the virus.

What's notable about this virus, and this is going to lead to a lot of tough decisions, is that paying them to decrypt the files actually does work, so long as their C&C server is up. They withdraw the money from the GreenDot MoneyPak manually and then push a notification for the infected machine to call home for the private key again, which it uses to decrypt. It takes a long time to decrypt, at the rate of roughly 5GB/hr based on forum reports. The virus uses the registry to maintain a list of files and paths, so not moving the files around is vital to decryption if you are paying them.

Also notable is that the timer it gives you to pay them does appear to be legitimate, as multiple users have reported that once the timer ran out, the program uninstalled itself. Reinfecting the machine does not bring a new timer.

Due to the nature of the encryption, brute-forcing a decrypt is essentially impossible for now.
Removal: Removing the virus itself is trivial, but no antivirus product (or any product, for that matter), will be able to decrypt the files until the private key is found.

File Recovery: There are only a handful of options for recovering encrypted files, and they all rely on either having System Restore/VSS turned on or having a backup disconnected from the infected machine. Backup solutions like Carbonite are no good against this as they will commit the encrypted files to the cloud. Using the "Previous Versions" tab of the file properties is a cheap test, and has had mixed results. Using ShadowExplorer on Vista-8 will give you a much easier graphical frontend for restoring large amounts of files at once (though this will not help with mapped drives, you'd need to run it on the server in that case). Undelete software doesn't work as it encrypts the files in place on the hard drive, there is no copying going on. The big takeaway is that cold-storage backups are good, and they will make this whole process laughably easy to resolve.

Forecast: The reports of infections have risen almost exponentially over the last week every single day. This virus is really ugly, really efficient, and really hard to stop until it's too late. It's also very successful in getting people to pay, which funds the creation of a new variant that plugs what few holes have been found. I don't like where this is headed.

donderdag 19 september 2013 17:50

Acties:

Verwijderd

Ik had al redelijk veel radeloze slachtoffers gezien her en der op internationale fora.

Hier een redelijk lang topic op bleepingcomputer: http://www.bleepingcomput...ptolocker-hijack-program/

Mijn advies: Backup, backup, backup :)

donderdag 19 september 2013 18:19

Acties:
  • Ra_gdd
  • Registratie: Oktober 2002
  • Laatst online: 24-11 17:41

Ra_gdd

-= Nigga on tha Trigga =-

Heb dit eenmaal meegemaakt bij een kennis die via Torrents randsom malware binnen had gehaald.
Meeste bestanden waren encrypted zoals MP3, AVI, WMV, WMA, JPG, DOC enz... en hadden nu als extra extensie Enc.
Was toen geen oplossing om je bestanden te decrypteren, dus was een verse installatie de enige oplossing.
Gelukkig hadden zij wel een backup van hun belangrijkste bestanden.

http://www.tweakers.net/gallery/92748/sys / http://www.tweakers.net/gallery/sys/11563" / http://www.tweakers.net/gallery/sys/11561

donderdag 19 september 2013 18:38

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op donderdag 19 september 2013 @ 17:50:Mijn advies: Backup, backup, backup :)
Ja, als ik ooit een advertentie voor backuppen heb gezien, en dan vooral een 'koude' backup, zijn het de verhalen van mensen die door deze narigheid getroffen zijn.

donderdag 19 september 2013 18:50

Acties:
  • lolgast
  • Registratie: November 2006
  • Nu online

lolgast

Nog niet van gehoord, maar ik bookmark het topic maar. Je weet maar nooit waar je mee te maken krijgt. Het hele Dorifel verhaal is gelukkig ook aan mij voorbij gegaan, maar ik heb toentertijd wel meteen een kopie gemaakt van de benodigde software om het eventueel ongedaan te maken.

Als ik het hele verhaal zo hoor kan ik alleen maar hopen dat onze klanten gespaard blijven. Je back-up mag dan wel waterdicht zijn, de hoeveelheid tijd die je kwijt bent aan het restoren van data (en dus niet kunnen laten werken van medewerkers) laar ik liever passeren :). Wel vraag ik me af hoe het zit met DMS, waarbij je documenten bijvoorbeeld in een SQL database zitten. Lijkt me dat je dan veilig zit?

donderdag 19 september 2013 19:21

Acties:

Verwijderd

Verwijderd schreef op donderdag 19 september 2013 @ 18:38:
[...]


Ja, als ik ooit een advertentie voor backuppen heb gezien, en dan vooral een 'koude' backup, zijn het de verhalen van mensen die door deze narigheid getroffen zijn.
Het grootste probleem is dat velen pas over backups na gaan denken wanneer het te laat is. Juist als er geen enkel probleem is moet je backups maken. En dan ook goede backups natuurlijk, niet denken dat systeemherstel alles oplost. Nu gaat het om malware, een andere keer is een harde schijf zomaar stuk en tegenwoordig zitten de foto's niet meer in een album geplakt of samen met de negatieven in een schoenendoos...

vrijdag 20 september 2013 13:39

Acties:
  • ELD
  • Registratie: December 2000
  • Niet online

ELD

In dit geval was het door de NSA ontwikkelde SELINUX met Mandatory access control handig geweest op Windows. 8)

vrijdag 20 september 2013 13:49

Acties:
  • thedon46
  • Registratie: April 2011
  • Laatst online: 13-10 11:58

thedon46

weet iemand of het ook mogelijk is dat via mijn windows pc mijn linux server besmet kan raken? want mijn belangrijke data staat vooral op die linux server.

vrijdag 20 september 2013 13:51

Acties:
  • Perkouw
  • Registratie: Juli 2005
  • Laatst online: 28-11 20:08

Perkouw

Moderator General Chat
thedon46 schreef op vrijdag 20 september 2013 @ 13:49:
weet iemand of het ook mogelijk is dat via mijn windows pc mijn linux server besmet kan raken? want mijn belangrijke data staat vooral op die linux server.
Waarom zou dit niet kunnen ?

vrijdag 20 september 2013 13:58

Acties:
  • u_nix_we_all
  • Registratie: Augustus 2002
  • Niet online

u_nix_we_all

thedon46 schreef op vrijdag 20 september 2013 @ 13:49:
weet iemand of het ook mogelijk is dat via mijn windows pc mijn linux server besmet kan raken? want mijn belangrijke data staat vooral op die linux server.
Dat staat gewoon in de TS:
It will also access mapped network drives that the current user has write access to and encrypt those.
Edit:
Eigenlijk hangt het van je definitie van "besmet" af. Je linux server zelf raakt niet besmet, maar de bestanden worden wel door de besmette windows client vernaggeld.

[ Voor 17% gewijzigd door u_nix_we_all op 20-09-2013 14:02 ]

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

vrijdag 20 september 2013 14:28

Acties:
  • thedon46
  • Registratie: April 2011
  • Laatst online: 13-10 11:58

thedon46

ok duidelijk.
wat zou voor mij dan een best practise zijn op dit moment, me windows computer blokkeren in de linux firewall, of zou het niet mappen van je shares voldoende zijn?

vrijdag 20 september 2013 14:35

Acties:
  • swbr
  • Registratie: Maart 2009
  • Laatst online: 28-11 16:46

swbr

It will also access mapped network drives that the current user has write access to and encrypt those.
Je moet dus zorgen dat je windows client geen write access heeft op de data van je server. Share niet mappen, alleen read-only beschikbaar maken, zorgen dat er geen netwerk verbinding tussen de twee is, legio mogelijkheden. Als het maar resulteert in het niet kunnen schrijven naar je linux server vanaf je windows client.

If you try and take a cat apart to see how it works, the first thing you have on your hands is a non-working cat. -DNA

vrijdag 20 september 2013 14:35

Acties:
  • u_nix_we_all
  • Registratie: Augustus 2002
  • Niet online

u_nix_we_all

thedon46 schreef op vrijdag 20 september 2013 @ 14:28:
ok duidelijk.
wat zou voor mij dan een best practise zijn op dit moment, me windows computer blokkeren in de linux firewall, of zou het niet mappen van je shares voldoende zijn?
Nooit meer het internet opgaan ! Dan ben je veilig. Trek alle netwerkkabels eruit !

Ja, duh, als je je windows geen toegang geeft tot die bestanden zijn ze wel veilig. Maar dan kun je niet bij je bestanden hé >:)

De enige oplossing is ook al gegeven: Backups, backups, backups.

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

vrijdag 20 september 2013 19:32

Acties:

Verwijderd

Topicstarter
thedon46 schreef op vrijdag 20 september 2013 @ 14:28:
ok duidelijk.
wat zou voor mij dan een best practise zijn op dit moment, me windows computer blokkeren in de linux firewall, of zou het niet mappen van je shares voldoende zijn?
Best practise is verschillend van situatie tot situatie, maar wat je *eventueel* kunt doen is via GP het uitvoeren van executables vanuit %AppData% niet toestaan. Dit blokkeert -voor nu- de uitvoering van het downloadprogramma dat de echte narigheid binnenhaalt.

Helaas zullen hiermee ook een paar andere volledig legitieme applicaties dan niet meer werken.

Veiligheid is zoals zo vaak ook in dit geval een afweging tussen afscherming en gebruiksgemak...

vrijdag 20 september 2013 20:03

Acties:
  • Anteros
  • Registratie: Januari 2009
  • Laatst online: 00:27

Anteros

Ben ik blij dat ik een ZFS NAS heb met snapshotting enabled. Elke dag wordt er een snapshot gemaakt van AL mijn bestanden op de NAS (gaat supersnel en kost geen ruimte). Mocht ik ooit besmet raken, dan kan ik altijd 'terug in de tijd gaan' om mijn data terug te halen.

PS: Uiteraard worden er ook echte backups gedraaid van mijn NAS.

zaterdag 21 september 2013 15:59

Acties:

Verwijderd

Hier nog wat technische details: http://blog.emsisoft.com/2013/09/10/cryptolocker-a-new-ransomware-variant/

maandag 14 oktober 2013 00:12

Acties:
  • JJ93
  • Registratie: Maart 2013
  • Laatst online: 28-11 03:40

JJ93

Error 418

Het verbaasd mij ook dat dit topic het enige wat je kan vinden op Tweakers.net met betrekking tot CryptoLocker. Ik heb het als nieuwstip ingestuurd deze week maar er is nog geen artikel.

CryptoLocker wordt nog steeds verspreid en zo ver ik weet zijn er (helaas) geen fouten gemaakt door de makers.

woensdag 23 oktober 2013 12:14

Acties:
  • Slashdotter
  • Registratie: Maart 2000
  • Niet online

Slashdotter

Webwereld heeft er nu een artikel over.
http://webwereld.nl/bevei...telt-ook-nederlandse-data

Ik vind het maar een erg eng virus en ik vrees dat er nog vele slachtoffers gaan vallen. Door het financiele succes zullen er meerdere copycats komen die ik ook hun zakken willen vullen.

Ik ben vorige week nog door m'n eigen domme schuld in een 'virus' getrapt. Normaal ben ik supervoorzichtig, check ik reviews van anderen enzo maar toch trapte ik erin. Gelukkig was deze relatief onschuldig (veranderde alleen het startscherm van IE, FireFox en Chrome) maar voor hetzelfde was ik tegen CryptoLocker aangelopen en was ik nu 300 dollar armer...

vrijdag 25 oktober 2013 10:44

Acties:
  • Dracyn
  • Registratie: September 2013
  • Laatst online: 30-04 22:08

Dracyn

Denk dat ik maar eens mijn oude mini atx syteem ga gebruiken om mails te openen met downloads er aan...

Iemand al enig idee of het werkt om een virtuele pc te gebruiken om mails te openen zodat het niet direct je eigenlijke os is? Somige virtualisatie programma's linken de virtuele hdd aan de fysieke hdd (vmware kan het met tools bijv.) als je het dan op de virtuele machine hebt wordt dan ook je fysieke hdd geinfecteerd of gaat dit niet zo makkelijk?

Ik weet wel als ik het heb is het direct reinstall, ik trek gelijk netwerk er uit wis alles, you aint getting s*** of me... als ik de decrypt speed kijk op verschillende site's heb je zo ong 16gb/h dat zou mij 7 dagen kosten om mijn systeem helemaal te doen... not going to happen.

Ook al iets bekend over actie tegen deze groep asshole's criminelen hier in Nederland?

[ Voor 29% gewijzigd door Dracyn op 25-10-2013 10:48 ]

Body mods don't determine skill

vrijdag 25 oktober 2013 13:50

Acties:
  • lolgast
  • Registratie: November 2006
  • Nu online

lolgast

Dracyn schreef op vrijdag 25 oktober 2013 @ 10:44:
...

Ik weet wel als ik het heb is het direct reinstall, ik trek gelijk netwerk er uit wis alles, you aint getting s*** of me... als ik de decrypt speed kijk op verschillende site's heb je zo ong 16gb/h dat zou mij 7 dagen kosten om mijn systeem helemaal te doen... not going to happen.

Ook al iets bekend over actie tegen deze groep asshole's criminelen hier in Nederland?
Volgens mij heb je een deel van de werking van het virus gemist, want normaliter merk je pas dat het virus geïnstalleerd is als hij klaar is met encrypten. Dan kun je je netwerkkabel wel verwijderen, maar dan is het kwaad al geschied...

dinsdag 29 oktober 2013 12:55

Acties:
  • LnC
  • Registratie: Juni 2005
  • Laatst online: 03-08 11:16

LnC

The offending line...

Hier nog wat extra info over Cryptolocker. Nu maar hopen dat de AV fabrikanten snel een tegen oplossing hebben voor deze zooi.

woensdag 30 oktober 2013 13:39

Acties:
  • Stoney3K
  • Registratie: September 2001
  • Laatst online: 27-11 17:50

Stoney3K

Flatsehats!

Ik ben zelf eens benieuwd hoe het zit met de juridische aansprakelijkheid als Cryptolocker-slachtoffer. Ook met het nieuwe 'kinderpornovirus' wat nu in omloop is.

We hebben in Nederland toch nu een 'decryptiebevel' waarin je de sleutel van een bestand moet geven als je ergens van wordt beschuldigd? Als je dus een Cryptolocker oploopt die je hele PC versleutelt, dan ga je juridisch nog glad ijs krijgen als je de sleutel daarvan niet op kan hoesten (logisch niet).

De volgende stap is dat er ransomware komt die kinderporno naar binnen slingert, de hap versleutelt, en aangifte doet bij de politie als je niet betaalt. Waardoor straks de hele wetgeving rond zowel versleuteling als kinderporno een papieren tijger wordt.

Zet het daar maar neer! -- It's time to party like it's 1984 -- Soundcloud

woensdag 30 oktober 2013 13:51

Acties:
  • DCG909
  • Registratie: Januari 2011
  • Laatst online: 11:15

DCG909

Maar hoe zit het eigenlijk met betalen?
Want je doet dat feitelijk onder dwang, toch? Is er dan niet ook de mogelijkheid om het onder het die noemer weer terug te claimen als je pc weer werkt na betaling?

En gezien de opgelicht aflevering van gisteren of eergisteren, is het ook niet mogelijk met een soort check te betalen die niet klopt?
Dan staat het geld in eerste instantie wel op hun rekening, maar wordt dat weer terug gevorderd en zijn zij het als nog kwijt.
(of pleeg je dan zelf fraude? :/ )

woensdag 30 oktober 2013 14:13

Acties:
  • Stoney3K
  • Registratie: September 2001
  • Laatst online: 27-11 17:50

Stoney3K

Flatsehats!

Die betaling loopt via een anonieme kaart waarop je dan geld kan 'storten' en de ontvanger weer geld af kan halen.

Zo'n kaart is gewoon in een winkel te koop (met contant geld) dus het valt bijna niet naar NAW-gegevens te traceren. Op rekening storten (met een 'ongedekte' check) kan daardoor ook niet.

En zelfs als je dat kon, dan zou jij als slachtoffer de fraudeur zijn. Tenminste, van het enige misdrijf dat aantoonbaar is gepleegd en van wie ze een duidelijke verdachte hebben.

De klassieke scams van Nigeriaanse prinsen werken op dezelfde manier, je bent je geld kwijt en uiteindelijk word je als slachtoffer gecriminaliseerd omdat je met creditcards fraudeert.

Zet het daar maar neer! -- It's time to party like it's 1984 -- Soundcloud

woensdag 30 oktober 2013 14:31

Acties:
  • hendrikjan
  • Registratie: Mei 2001
  • Niet online

hendrikjan

VOORMALIG STUNTMAN

Stoney3K schreef op woensdag 30 oktober 2013 @ 13:39:
Ik ben zelf eens benieuwd hoe het zit met de juridische aansprakelijkheid als Cryptolocker-slachtoffer. Ook met het nieuwe 'kinderpornovirus' wat nu in omloop is.

We hebben in Nederland toch nu een 'decryptiebevel' waarin je de sleutel van een bestand moet geven als je ergens van wordt beschuldigd? Als je dus een Cryptolocker oploopt die je hele PC versleutelt, dan ga je juridisch nog glad ijs krijgen als je de sleutel daarvan niet op kan hoesten (logisch niet).

De volgende stap is dat er ransomware komt die kinderporno naar binnen slingert, de hap versleutelt, en aangifte doet bij de politie als je niet betaalt. Waardoor straks de hele wetgeving rond zowel versleuteling als kinderporno een papieren tijger wordt.
Volgens mij hebben we geen wetgeving die verplicht tot decryptie. Het wordt - vooralsnog - in strijd geacht met het nemo tenetur beginsel (dat je niet hoeft mee te werken aan je eigen veroordeling, voor een al wat ouder onderzoek zie http://arno.uvt.nl/show.cgi?fid=11171). Wel is het zo dat men daar over na aan het denken is, en dat de er gewerkt wordt aan wetsvoorstellen om e.e.a. het hoofd te kunnen bieden.

[ Voor 3% gewijzigd door hendrikjan op 30-10-2013 14:35 ]

woensdag 30 oktober 2013 14:39

Acties:
  • Stoney3K
  • Registratie: September 2001
  • Laatst online: 27-11 17:50

Stoney3K

Flatsehats!

hendrikjan schreef op woensdag 30 oktober 2013 @ 14:31:
Volgens mij hebben we geen wetgeving die verplicht tot decryptie. Het wordt - vooralsnog - in strijd geacht met het nemo tenetur beginsel (dat je niet hoeft mee te werken aan je eigen veroordeling, voor een al wat ouder onderzoek zie http://arno.uvt.nl/show.cgi?fid=11171). Wel is het zo dat men daar over na aan het denken is, en dat de er gewerkt wordt aan wetsvoorstellen om e.e.a. het hoofd te kunnen bieden.
In Nederland nog niet, in het Verenigd Koninkrijk (bijvoorbeeld) wel. Als een stuk malware daar dus ongevraagd je bestanden versleutelt ben je zonder medeweten een crimineel geworden.

Dat is juist waardoor dat soort wetgeving op de lange termijn onhoudbaar blijft.

Zet het daar maar neer! -- It's time to party like it's 1984 -- Soundcloud

woensdag 30 oktober 2013 14:46

Acties:
  • hendrikjan
  • Registratie: Mei 2001
  • Niet online

hendrikjan

VOORMALIG STUNTMAN

Ik ben niet bekend met zaken uit het VK, maar ik mag hopen dat als ze bestaan en mensen als gevolg daarvan veroordeeld worden, de advocaten in kwestie e.e.a. voor gaan leggen aan het EHRM. Artikel 6 van het EVRM, waarborgt een eerlijk proces. Het nemo tenetur beginsel valt daar ook onder...

woensdag 30 oktober 2013 14:48

Acties:
  • Stoney3K
  • Registratie: September 2001
  • Laatst online: 27-11 17:50

Stoney3K

Flatsehats!

Maarmaar, versleutelde bestanden betekent kinderporno! En we weten allemaal dat pedofielen gewoon untermensch zijn en dus aan de hoogste boom moeten hangen, tenzij ze bewijzen dat ze onschuldig zijn!

Als we ze met betonnen schoenen in de vijver gooien en ze komen niet boven drijven, dan pas kunnen we verzekerd zijn van hun onschuld!

:+

Zet het daar maar neer! -- It's time to party like it's 1984 -- Soundcloud

woensdag 30 oktober 2013 14:49

Acties:
  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

Ik lees dat het via mail attachments binnenkomt. Zijn dit dan exe's of wordt er gebruikt gemaakt van vulnerabilities in 3rd party software ?

woensdag 30 oktober 2013 14:50

Acties:
  • Stoney3K
  • Registratie: September 2001
  • Laatst online: 27-11 17:50

Stoney3K

Flatsehats!

KillerAce_NL schreef op woensdag 30 oktober 2013 @ 14:49:
Ik lees dat het via mail attachments binnenkomt. Zijn dit dan exe's of wordt er gebruikt gemaakt van vulnerabilities in 3rd party software ?
Ik gok EXE-files of executables die vermomd zijn als documenten (dus .xls.exe of iets dergelijks). Vaak zie je ook .rar.exe of .avi.exe terugkomen op nieuwsgroepen, meeliftend op de 'grote' releases.

Niet gek dus dat ook vooral domme users slachtoffer worden van dit soort ransomware...

[ Voor 10% gewijzigd door Stoney3K op 30-10-2013 14:51 ]

Zet het daar maar neer! -- It's time to party like it's 1984 -- Soundcloud

woensdag 30 oktober 2013 14:59

Acties:
  • DCG909
  • Registratie: Januari 2011
  • Laatst online: 11:15

DCG909

Oh, dus het is niet de standaard ransomware die je zomaar op zou kunnen lopen door een site te bezoeken? Je moet het echt draaien?
Dan zou het dus voor een deel te voorkomen zijn door gewoon op te letten :/

woensdag 30 oktober 2013 15:22

Acties:
  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

Als het exe's zijn dan is de user front-end bij ons vrij dicht. Unauthorized exe's worden geblokt d.m.v. Res Workspace Manager. (management front end dat we gebruiken voor de Xenapp servers).

woensdag 30 oktober 2013 17:28

Acties:

Verwijderd

KillerAce_NL schreef op woensdag 30 oktober 2013 @ 15:22:
Als het exe's zijn dan is de user front-end bij ons vrij dicht. Unauthorized exe's worden geblokt d.m.v. Res Workspace Manager. (management front end dat we gebruiken voor de Xenapp servers).
Bestaat er een variant hiervan voor particulieren.
Ik ben zelf IT-er en om iets te installeren moet je bv. shift - > uitvoeren als..
En heb ik nog enkele andere beveiligingsmechanismes in gang gezet. Maar elke .exe blockeren lijkt mij nog wel interessant, dat je bv. werkt met een standaard blacklist en dat je elk proces één per één moet whitelisten, het is toch maar éénmalig. Eventueel gekoppelt aan de hash.

woensdag 30 oktober 2013 17:47

Acties:
  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

Verwijderd schreef op woensdag 30 oktober 2013 @ 17:28:
[...]


Bestaat er een variant hiervan voor particulieren.
Ik ben zelf IT-er en om iets te installeren moet je bv. shift - > uitvoeren als..
En heb ik nog enkele andere beveiligingsmechanismes in gang gezet. Maar elke .exe blockeren lijkt mij nog wel interessant, dat je bv. werkt met een standaard blacklist en dat je elk proces één per één moet whitelisten, het is toch maar éénmalig. Eventueel gekoppelt aan de hash.
Het is maar 1 van de functies, je kunt er een desktop mee beheren.
Als het goed is, is er een express editie.

dinsdag 5 november 2013 22:05

Acties:
  • Gandalf
  • Registratie: Mei 2000
  • Laatst online: 28-11 20:06

Gandalf

Het gratis HitmanPro.Alert 2.5 BETA with CryptoGuard schijnt CryptoLocker tegen te kunnen houden:
http://www.surfright.nl/nl/alert/cryptoguard
https://www.security.nl/p...chermt+tegen+CryptoLocker

zaterdag 16 november 2013 20:13

Acties:
  • CapTVK
  • Registratie: November 2000
  • Niet online

CapTVK

(overleden)
Ik had hier al een poos terug op Ars over gelezen. Nasty, want je moet echt zorgen dat je ook offline backups hebt die je niet te vaak bijwerkt (als die die ook besmet zijn is de enige oplossing betalen of je data afschrijven). :-(

Blijkbaar is het inmiddels ook in de UK gesignaleerd:

http://www.theregister.co...enace_triggers_nca_alert/
The infamous Cryptolocker malware, which encrypts your computer files and demands a payment of £534 ($860) to unlock them, may have been sent to "tens of millions" of Brits, Blighty's crime-busters warned today.

According to an alert from the UK National Crime Agency (NCA), a fresh round of ransomware-loaded spam posing as bank notices has been sent out, with small and medium-sized businesses targeted in particular. The messages, described as a "significant risk", carry booby-trapped attachments and claim to be official documents from financial institutions.

Lurking within the attachments is a Trojan called Cryptolocker that, when executed, silently installs itself and quietly begins encrypting documents one by one on the Windows PC using tough-as-nails AES256. When it's finished, it demands a ransom payment of 2 Bitcoins (at least 500 quid or 800 bucks) to decrypt the data, which must be paid within a time limit.
Lekkere business (ook voor de vraag naar Bitcoin)

TF2 GoT http://www.teamfortress.eu

zaterdag 16 november 2013 20:56

Acties:
  • DCG909
  • Registratie: Januari 2011
  • Laatst online: 11:15

DCG909

Wow, de prijs voor het verwijderen is exorbitant verhoogt dan :s
Ook zometeen maar even kijken naar hitmanpro, want het begint nu wel heel dichtbij te komen...

zaterdag 16 november 2013 21:19

Acties:
  • PilatuS
  • Registratie: September 2002
  • Niet online

PilatuS

Dit is ook wel gelijk het smerigste virus ooit zo'n beetje. Dat je niet meer in Windows kan komen door het politievirus is 1 ding, al je bestanden kwijt of betalen is iets heel anders. Ik kan mij voorstellen dat er dan genoeg mensen zijn die betalen. Met het politievirus worden al miljoenen verdient, dit zal nog wel wat meer geld binnen brengen.

Met zulk soort dingen ben ik blij dat ik netjes iedere 2 weken een backup op een externe schijf maak die in de kast ligt. Mocht zoiets gebeuren is het gewoon format C. (Ik maak trouwens backups op 2 externe schijven die ik afwissel. Mocht ik alles van de afgelopen anderhalve week kwijt raken boeit mij dat niet.)

zaterdag 16 november 2013 22:34

Acties:
  • CapTVK
  • Registratie: November 2000
  • Niet online

CapTVK

(overleden)
DCG909 schreef op zaterdag 16 november 2013 @ 20:56:
Wow, de prijs voor het verwijderen is exorbitant verhoogt dan :s
Ook zometeen maar even kijken naar hitmanpro, want het begint nu wel heel dichtbij te komen...
Heeft te maken met de stijgende prijs van Bitcoins. Het totaal bedrag wordt steeds hoger omdat je met Bitcoins moet betalen.

Ik vraag me af of er verband is tussen de prijs van bitcoin en cryptolocker. Als er elke week een paar honderd bedrijven/individuen slachtoffer worden heb je opeens een gewillige groep van bitcoin kopers erbij. Ongeacht de prijs.


En gezien het feit dat de UK nu aan de beurt is zal NL op termijn wel volgen.

TF2 GoT http://www.teamfortress.eu

maandag 18 november 2013 16:22

Acties:
  • LnC
  • Registratie: Juni 2005
  • Laatst online: 03-08 11:16

LnC

The offending line...

Misschien zit er enig schot in de zaak als ik dit zo lees:"
http://malwaremustdie.blo...-44-cryptolocker-cnc.html

maandag 18 november 2013 16:24

Acties:
  • PilatuS
  • Registratie: September 2002
  • Niet online

PilatuS

LnC schreef op maandag 18 november 2013 @ 16:22:
Misschien zit er enig schot in de zaak als ik dit zo lees:"
http://malwaremustdie.blo...-44-cryptolocker-cnc.html
Leuke site. Norton geeft bij mij direct een melding. Misschien even weghalen ?

maandag 18 november 2013 18:03

Acties:
  • Kalief
  • Registratie: Maart 2005
  • Laatst online: 25-11 19:56

Kalief

PilatuS schreef op maandag 18 november 2013 @ 16:24:
[...]Leuke site. Norton geeft bij mij direct een melding. Misschien even weghalen ?
Of even je Norton configureren.
Je zou tenminste kunnen schrijven wat Norton dan wel te melden heeft want zo zegt het niemand iets.

Niemand wordt Kalief in plaats van de Kalief!

maandag 18 november 2013 19:21

Acties:
  • PilatuS
  • Registratie: September 2002
  • Niet online

PilatuS

Kalief schreef op maandag 18 november 2013 @ 18:03:
[...]


Of even je Norton configureren.
Je zou tenminste kunnen schrijven wat Norton dan wel te melden heeft want zo zegt het niemand iets.
Zowel vanmiddag op het werk als nu thuis deze melding.
Afbeeldingslocatie: http://tweakers.net/ext/f/zPuOHI65DPRZa5Sw4OiDO80Y/full.jpg

vrijdag 22 november 2013 12:02

Acties:
  • CapTVK
  • Registratie: November 2000
  • Niet online

CapTVK

(overleden)
Cryptolocker geeft 75% korting!

Afbeeldingslocatie: http://cdn.arstechnica.net/wp-content/uploads/2013/11/CryptoLocker_20131120_Bitcoin-640x496.png

Van 2 naar 0,5 bitcoins :P

http://arstechnica.com/se...r-ransomware-price-break/

[ Voor 24% gewijzigd door CapTVK op 22-11-2013 12:03 ]

TF2 GoT http://www.teamfortress.eu

maandag 25 november 2013 14:27

Acties:
  • ImNotnoa
  • Registratie: September 2011
  • Niet online

ImNotnoa

CapTVK schreef op vrijdag 22 november 2013 @ 12:02:
Cryptolocker geeft 75% korting!

[afbeelding]

Van 2 naar 0,5 bitcoins :P

http://arstechnica.com/se...r-ransomware-price-break/
Moet je dat niet melden in het shopping forum ?

Try SCE to Aux

maandag 9 december 2013 12:23

Acties:
  • CapTVK
  • Registratie: November 2000
  • Niet online

CapTVK

(overleden)
Cryptolocker is inmiddels bekend bij de gewone pers.

http://www.nu.nl/tech/364...-golf-van-ransomware.html
In het afgelopen kwartaal waren er volgens McAfee zeker 300.000 incidenten met zogenoemde 'ransomware', die de computer op slot gooit en vraagt om een betaling.
Als er bij de helft van die gevallen (150.000) ook is betaald (was 2 nu 0,5 bitcoins) loopt het aardig op. Als je uit gaat van een gemiddelde ransom van 1 bitcoin voor het gehele kwartaal kom je uit op 150.000 bitcoins. Bij de huidige koers spreek je dan over tientallen miljoenen of zelfs 100 miljoen aan kosten ($/€).


Zijn er eigenlijk al meldingen van Nederlandse slachtoffers? Het blijft erg stil in deze thread.

[ Voor 52% gewijzigd door CapTVK op 09-12-2013 12:38 ]

TF2 GoT http://www.teamfortress.eu

vrijdag 13 december 2013 12:30

Acties:
  • arie_papa
  • Registratie: Augustus 2008
  • Laatst online: 28-11 21:40

arie_papa

Running on Ubuntu

Nu ook in het wild aangetroffen in Nederland :(

https://www.security.nl/p...oLocker-kloon?channel=rss

Statistieken zijn als bikini's: wat ze tonen is erg suggestief, wat ze niet tonen is essentieel

maandag 30 december 2013 20:16

Acties:
  • lolgast
  • Registratie: November 2006
  • Nu online

lolgast

skinlee78 schreef op vrijdag 13 december 2013 @ 12:30:
Nu ook in het wild aangetroffen in Nederland :(

https://www.security.nl/p...oLocker-kloon?channel=rss
Dat is geen cryptolocker maar een slechte namaak. Cryptolocker is na encryptie nog altijd niet ongedaan te maken, de "Nederlandse" variant wel. Zoals ik het uit het artikel haal in ieder geval :)

zaterdag 4 januari 2014 12:52

Acties:

Verwijderd

Last van CryptoLocker?

Had ik ook ik starte mijn laptop op in veilige modus + internet
Vervolgens malwarebytes anti-malware of hitmanpro downloaden (kun je ook op een andere laptop doen en met USB stickie op de geinfecteerde pc zetten, let op laat tijdens het scannen de USB zitten dan scant hij deze ook mee)
Uitvoeren en laten scannen.

Zo kwam ik er van af!

zaterdag 4 januari 2014 13:18

Acties:

Verwijderd

En hoe kwam je eraan? Dat is minstens zo interessant.

Voor de duidelijkheid: hoe ben je door die malware geïnfecteerd?

[ Voor 39% gewijzigd door Verwijderd op 04-01-2014 13:19 ]

maandag 2 juni 2014 23:43

Acties:
  • CapTVK
  • Registratie: November 2000
  • Niet online

CapTVK

(overleden)
Nog nieuws over cryptolocker-achtige gevallen in Nederland? Lijkt er op dat vooral de UK er last van heeft. Al hebben ze wat succes met met het uitschakelen van de C&C servers:

http://www.theregister.co...eus_cryptolocker_warning/
The UK’s National Crime Agency has warned people have just two weeks to protect themselves against the Cryptolocker ransomware and a strain of the ZeuS password-slurping malware – before both return from the dead.

The alert comes after the cops "disrupted" the systems remotely controlling the software nasties – which could mean anything from knocking them offline to physically seizing machines. The cyber-plod isn't saying.

The NCA worked with the FBI, Europol and other agencies to knackered the command and control (C&C) servers that were managing a major network distributing the GameoverZeuS Trojan and the infamous Cryptolocker ransomware.

NCE operatives warned that it’s only a matter of time before the miscreants behind the botnet set up new C&C servers and regain control.

The agency said the standoff “will give the UK public a unique, two-week opportunity to rid and safeguard themselves” from both GameoverZeuS and Cryptolocker. However, Rik Ferguson, veep of security research at Trend Micro, said in a blog post that folks may not even have that long.

...

TF2 GoT http://www.teamfortress.eu

dinsdag 3 juni 2014 00:44

Acties:
  • ongekend41
  • Registratie: September 2007
  • Laatst online: 01:56

ongekend41

Division Brabant

CapTVK schreef op maandag 02 juni 2014 @ 23:43:
Nog nieuws over cryptolocker-achtige gevallen in Nederland? Lijkt er op dat vooral de UK er last van heeft. Al hebben ze wat succes met met het uitschakelen van de C&C servers:

http://www.theregister.co...eus_cryptolocker_warning/


[...]
Nog iets meer info over deze actie op europol.europa.eu en security.nl voor de (vrije) Nederlandse vertaling.

nope

zondag 8 juni 2014 15:01

Acties:
  • CapTVK
  • Registratie: November 2000
  • Niet online

CapTVK

(overleden)
Nog wat nieuws op Ars over Cryptowall, een andere cryptolocker variant. Als ik de reacties zo lees zijn er toch wel aardig wat bedrijven die hier last van kregen.

http://arstechnica.com/se...ryptowall-ransom-malware/

En webads zijn een populaire manier om dit te verspreiden.
Advertenties op verschillende populaire websites zijn vorige maand gebruikt om bezoekers met de Cryptowall-ransomware te infecteren. Deze vorm van ransomware versleutelt bestanden op de computer. Slachtoffers moeten vervolgens losgeld betalen om weer toegang tot de bestanden te krijgen.
https://www.security.nl/p...idt+zich+via+advertenties

TF2 GoT http://www.teamfortress.eu

woensdag 11 juni 2014 11:31

Acties:
  • Michiel313
  • Registratie: December 2009
  • Laatst online: 28-11 18:02

Michiel313

Is betalen een optie?

LAAG8 Blog

woensdag 11 juni 2014 11:36

Acties:
  • CuBras
  • Registratie: Oktober 2011
  • Laatst online: 27-11 22:55

CuBras

Michiel313 schreef op woensdag 11 juni 2014 @ 11:31:
Is betalen een optie?
Nee.
Gewoon desinfecteren die hap. Doordat mensen gaan betalen komen er meer en meer van dit soort kut geintjes.

[quote]CapTVK schreef op zondag 08 juni 2014 @ 15:01:


http://arstechnica.com/se...ryptowall-ransom-malware/

En webads zijn een populaire manier om dit te verspreiden.


[...]

Dus hoe simpel kan het zijn ..? Nooit op advertenties klikken en een ad-blocker erop gooien.

[ Voor 63% gewijzigd door CuBras op 11-06-2014 11:38 ]

woensdag 6 augustus 2014 11:41

Acties:
  • arie_papa
  • Registratie: Augustus 2008
  • Laatst online: 28-11 21:40

arie_papa

Running on Ubuntu

Zo te lezen zijn ze erin geslaagd om de private key van Cryptolocker te ontdekken.
https://www.security.nl/p...e+CryptoLocker-ransomware

Statistieken zijn als bikini's: wat ze tonen is erg suggestief, wat ze niet tonen is essentieel

zondag 17 augustus 2014 23:28

Acties:
  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Verwijderd schreef op zaterdag 04 januari 2014 @ 12:52:
Last van CryptoLocker?

Had ik ook ik starte mijn laptop op in veilige modus + internet
Vervolgens malwarebytes anti-malware of hitmanpro downloaden (kun je ook op een andere laptop doen en met USB stickie op de geinfecteerde pc zetten, let op laat tijdens het scannen de USB zitten dan scant hij deze ook mee)
Uitvoeren en laten scannen.

Zo kwam ik er van af!
En dan begint het probleem. Heb je data welke terug moet, dan kan dat niet meer want de,sleutel is weg. Dus ook al betaal je, je data ben,je kwijt.

Het krachtige van dit virus is dat zolang je je data terug wil, je het virus onaangetast actief moet houden. Op iedere PC in je netwerk die geïnfecteerd is en schrijf machtigingen heeft tot shares

Het is gewoon tricky als je er van af wilt.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

maandag 18 augustus 2014 08:28

Acties:
  • thedon46
  • Registratie: April 2011
  • Laatst online: 13-10 11:58

thedon46

Wim-Bart schreef op zondag 17 augustus 2014 @ 23:28:
[...]

Het is gewoon tricky als je er van af wilt.
Nee hoor: https://www.decryptcryptolocker.com/
De hele database van cryptolocker is al gevonden/gekraakt en hier kan je gewoon gratis het mee verwijderen.

(dit is een door fox-it opgezette site, welke zeer betrouwbaar is)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq