Toon posts:

Tesla Crypt (Cryptolocker variant)

Pagina: 1
Acties:

donderdag 19 maart 2015 11:00

Acties:
  • HellBeast
  • Registratie: Oktober 2002
  • Laatst online: 06-11 12:03

HellBeast

Oh My GoT!

Topicstarter
Toevallig op mijn werk nu wat klanten die dit virus hebben opgelopen. Mcafee komt met dit verhaal.

"A newly crafted ransomware, Teslacrypt, has arrived in the malware genre that encrypts user files using AES encryption and demands money to decrypt the files. This ransomware infects systems from a compromised website that redirects victims to a site running the Angler exploit kit. (For more on Angler, read the McAfee Labs Threats Report, February 2015.) This ransomware, like many others, encrypts document files including text, pdf, etc. to force victims to pay a ransom to have their files restored"

Wat irritant is, is dat de encryptie (nog) niet gedecrypt kan worden. Net zo irritant zijn alle "gratis removal tooltjes (zoals SpyHunter 4)" die lekker gaan scannen en dan aan het eind van de scan je willen laten betalen voor de removal.....

De te volgen stappen in de praktijk zijn:

1. Alle werkstations van het netwerk afkoppelen, AV updaten en offline scannen
2. restore van je file server

En dan uiteraard hopen dat de klant zijn backups netjes op orde heeft. Oh, nog een tip. Check ook of het werkstation dropbox heeft, het virus verspreid zich ook daarnaartoe. Removal kan ook handmatig: http://blog.yoocare.com/teslacrypt-removal-guide/ maar dit heb ik zelf nog niet getest.

Beauty is in the eye of the beerholder

vrijdag 20 maart 2015 07:26

Acties:
  • Squ1zZy
  • Registratie: April 2011
  • Niet online

Squ1zZy

ransomware.. Super irritant, maar enigszins ook briljant.Er zou een community gemaakt moeten worden om via een brute-force chain de encryptie te achterhalen :P

Een bestand van een backup (niet encrypted) en een bestand wat encrypted is. Zo weet je wat de source moet zijn en mogelijk kunnen brute-forcen.

Ik roep nu hardop, maar misschien dat dit draadje hierin verder kan gaan? :)

zaterdag 21 maart 2015 14:29

Acties:
  • .Sjoerd
  • Registratie: November 2008
  • Laatst online: 07-07 12:45

.Sjoerd

ik ben voor. ik heb een aantal bestanden van voor en na.

specs

zaterdag 21 maart 2015 22:43

Acties:
  • Damic
  • Registratie: September 2003
  • Laatst online: 23:54

Damic

Tijd voor Jasmijn thee

De encryptie methode is AES (wrs 256b)

Begin al maar: RUeBHvAi8HjnLP2xbdszkw2JGoaUSFeKl9OKSd/ZumSM3R+fUPokwGYKL/1mX6wgkJGu15zBeQy52dSutkHqcg==
Tip: sleutel is 128b lang en via http://aesencryption.net/ gemaakt ;)

Al wat ik aanraak werk niet meer zoals het hoort. Damic houd niet van zijn verjaardag

zondag 22 maart 2015 09:54

Acties:
  • Squ1zZy
  • Registratie: April 2011
  • Niet online

Squ1zZy

Damic schreef op zaterdag 21 maart 2015 @ 22:43:
De encryptie methode is AES (wrs 256b)

Begin al maar: RUeBHvAi8HjnLP2xbdszkw2JGoaUSFeKl9OKSd/ZumSM3R+fUPokwGYKL/1mX6wgkJGu15zBeQy52dSutkHqcg==
Tip: sleutel is 128b lang en via http://aesencryption.net/ gemaakt ;)
Ik bedoelde meer zoals Dutch Power Cows. Alle krachten bundelen door een tool te maken waarbij honderdduizenden machines mee kan werken met het brute-forcen. Met mijn Mac alleen ga ik het niet redden, maar als er een grote community komt zou het dan geen kans van slagen hebben?

dinsdag 28 april 2015 13:17

Acties:
  • ongekend41
  • Registratie: September 2007
  • Laatst online: 19:30

ongekend41

Division Brabant

Klein schopje: er is inmiddels een decryption tool. http://www.net-security.org/malware_news.php?id=3026

nope

vrijdag 6 november 2015 22:31

Acties:

Verwijderd

"A newly crafted ransomware, Teslacrypt, has arrived in the malware genre that encrypts user files using AES encryption and demands money to decrypt the files. This ransomware infects systems from a compromised website that redirects victims to a site running the Angler exploit kit. (For more on Angler, read the McAfee Labs Threats Report, February 2015.) This ransomware, like many others, encrypts document files including text, pdf, etc. to force victims to pay a ransom to have their files restored"
here comes another variant, crytowall 4.0 - http://soft2secure.com/knowledgebase/cryptowall-4-0

vrijdag 6 november 2015 22:38

Acties:
  • Matthijz98
  • Registratie: Januari 2013
  • Laatst online: 06-11 09:45

Matthijz98

Squ1zZy schreef op vrijdag 20 maart 2015 @ 07:26:
ransomware.. Super irritant, maar enigszins ook briljant.Er zou een community gemaakt moeten worden om via een brute-force chain de encryptie te achterhalen :P

Een bestand van een backup (niet encrypted) en een bestand wat encrypted is. Zo weet je wat de source moet zijn en mogelijk kunnen brute-forcen.

Ik roep nu hardop, maar misschien dat dit draadje hierin verder kan gaan? :)
Het idee is goed.
Met een tool als hashtopus een "distributed GPU hashcat wrapper" moet je een heel end komen. maar volgens mij zijn die keys heeeeeel erg lang.

[ Voor 3% gewijzigd door Matthijz98 op 06-11-2015 22:39 . Reden: verkeerde link ]

vrijdag 6 november 2015 22:40

Acties:
  • ELD
  • Registratie: December 2000
  • Niet online

ELD

Squ1zZy schreef op zondag 22 maart 2015 @ 09:54:
[...]


Ik bedoelde meer zoals Dutch Power Cows. Alle krachten bundelen door een tool te maken waarbij honderdduizenden machines mee kan werken met het brute-forcen. Met mijn Mac alleen ga ik het niet redden, maar als er een grote community komt zou het dan geen kans van slagen hebben?
Ik zou er niet op hopen ;)

woensdag 16 maart 2016 00:57

Acties:
  • arjants
  • Registratie: Mei 2000
  • Niet online

arjants

Teslacrypt duikt weer op, en hoe...
http://arstechnica.com/se...eading-crypto-ransomware/

Mainstream websites, including those published by The New York Times, the BBC, MSN, and AOL, are falling victim to a new rash of malicious ads that attempt to surreptitiously install crypto ransomware and other malware on the computers of unsuspecting visitors, security firms warned.

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

woensdag 16 maart 2016 08:06

Acties:
  • GerardVanAfoort
  • Registratie: April 2010
  • Niet online

GerardVanAfoort

kalm aan

https://blog.malwarebytes...aign-hits-top-publishers/

Update: According to a just-published post from Malwarebytes, a flurry of malvertising appeared over the weekend, almost out of the blue. It hit some of the biggest publishers in the business, including msn.com, nytimes.com, bbc.com, aol.com, my.xfinity.com, nfl.com, realtor.com, theweathernetwork.com, thehill.com, and newsweek.com. Affected networks included those owned by Google, AppNexis, AOL, and Rubicon. The attacks are flowing from two suspicious domains, including trackmytraffic[c],biz and talk915[.]pw.

The ads are also spreading on sites including answers.com, zerohedge.com, and infolinks.com, according to SpiderLabs. Legitimate mainstream sites receive the malware from domain names that are associated with compromised ad networks. The most widely seen domain name in the current campaign is brentsmedia[.]com. Whois records show it was owned by an online marketer until January 1, when the address expired. It was snapped up by its current owner on March 6, a day before the malicious ad onslaught started.

Other domain names being used in the current campaign include evangmedia[.]com and shangjiamedia[.]com. The SpiderLabs researchers speculate the people pushing the bad ads are on the lookout for expired domains containing the word "media" to capitalize on the reputation they may enjoy as a legitimate address.

The campaign underscores the vital role that smart browsing plays in staying secure online. One of the most important things users can do is to decrease what researchers refer to as their "attack surface." That means uninstalling things like Adobe Flash, Oracle Java, Microsoft Silverlight, and other third-party browser extensions unless absolutely required. The other crucial ingredient in safe browsing is installing updates as soon as they become available and using the 64-bit version of Chrome for browsing when possible. Windows users would also do well to install Windows 10 and use Microsoft's Enhanced Mitigation Experience Toolkit.

The posts didn't elaborate on the crypto ransomware being spread in the campaigns, except for the mention by SpiderLabs that it included TeslaCrypt, which so far is known to infect only Windows computers.
With last week's discovery of Mac-based ransomware, users of all computing platforms should take the threat seriously.

NRG

woensdag 16 maart 2016 12:17

Acties:
  • arjants
  • Registratie: Mei 2000
  • Niet online

arjants

Wel een leuk kijkje in de keuken van de makers, embedded in GIF -> uitvoerbare code: https://malwarebytes.app.box.com/Operation-Fingerprint

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

donderdag 17 maart 2016 08:15

Acties:
  • GerardVanAfoort
  • Registratie: April 2010
  • Niet online

GerardVanAfoort

kalm aan

nieuws: Experts: TeslaCrypt-ransomware nu onmogelijk te kraken

Onmogelijk te kraken (v3.0) én veelvoorkomend dus! "TeslaCrypt zou in de top vijf staan van de meest voorkomende ransomware."

NRG

donderdag 17 maart 2016 10:13

Acties:
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

GerardVanAfoort schreef op donderdag 17 maart 2016 @ 08:15:
nieuws: Experts: TeslaCrypt-ransomware nu onmogelijk te kraken

Onmogelijk te kraken (v3.0) én veelvoorkomend dus! "TeslaCrypt zou in de top vijf staan van de meest voorkomende ransomware."
Crypto malware en malvertising zijn de natte droom van malware makers denk ik. Mensen hoeven niet langer vage sites te bezoeken om geïnfecteerd te raken. Mainstream sites met een enorm publiek dienen nu als platform om troep te serveren aan hun niets vermoedende gebruikers. Ook al is slechts een percentage kwetsbaar, dat is meer dan voldoende voor de verspreiders van deze troep. Sites als NY Times, BBC en MSN hebben een miljoenenpubliek.

Combineer dit met relatief anonieme betaalmiddelen als Bitcoin en je kan als digitale afperser nog aardig wat verdienen zonder direct gepakt te worden.

donderdag 19 mei 2016 10:28

Acties:
  • Speedmaster
  • Registratie: Juli 2005
  • Laatst online: 19:42

Speedmaster

Make my day...

Schopje:

nieuws: Criminelen geven universele sleutel voor TeslaCrypt-ransomware vrij

Masterkey is vrijgegeven waardoor het mogelijk is geworden om zonder te betalen de bestanden te decrypten.

donderdag 19 mei 2016 11:55

Acties:
  • GerardVanAfoort
  • Registratie: April 2010
  • Niet online

GerardVanAfoort

kalm aan

En een decryptor van Eset http://support.eset.com/kb6051/

NRG

woensdag 25 mei 2016 20:39

Acties:

Verwijderd

TeslaDecoder van Bleeping Computer (http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq