Wordt nieuwe CTB locker 'KPN factuur' gestopt door vscanners

Bullguard != BitDefender
Bullguard = "based on" BitDefender

Klein verschilletje...

Ik had vorige week een soortgelijke situatie.

Ook KPN factuur, PC onder beperkt user account met up-to date Avast 2016.

m.b.v. shadow explorer bestanden weer terug gekregen, mogelijk kan je hiermee je bijlage ook terughalen.

Meest Recente CTB LOCKER (KPN FACTUUR)

SCHREEUW NIET ZO Ik haal de caps even uit de titel.

lol voor hierboven ^^


De kpn facturen worden door bijvoorbeeld een Dell Sonicwall wel tegengehouden. (mits je de juiste licenties erbij hebt)

Er zijn verder weinig antivirussen die deze meteen vanuit outlook pakken, sommige pakken hem daarna wel op als je hem opent en de anderen zien helemaal niets.

Tenzij je echt 100% zeker bent van een kpn factuur zou ik ze allemaal lekker opzij schuiven of op een stickje gooien en openen op een pc waar niks op staat behalve windows en office. (al is dit natuurlijk wel wat meer werk...)

[ Voor 3% gewijzigd door furian88 op 19-07-2016 15:47 ]

Virussen spyware malware, deze zullen altijd zich aanpassen/wijzigen om door te dringen,
dus die vraag had je niet hoeven te stellen, want ze willen geld verdienen.

boyette schreef op dinsdag 19 juli 2016 @ 18:35:
Is er bij iemand bekend of de actuele malware is aangepast en wederom detectie omzeilt of zijn virusscanners als Bullguard (gebaseerd op de technologie van bitdefender) nog steeds niet opgewassen tegen deze malware van maart 2016 of betreft dit een nieuwe variatie?

In feite stel je twee vragen.

Moderne malware wordt vaak door middel van een 'packer' dusdanig verpakt/gecodeerd, zodat deze 'uniek' wordt (of kan worden gemaakt). Dit heeft én als voordeel dat een virusscanner niet aanslaat op basis van een hash (van een eerder gevonden exemplaar van dezelfde malware met andere unieke packing methode), daarnaast wordt het moeilijker voor onderzoekers om de malware uit elkaar te trekken en te kijken wat het nu precies doet.

Meer daarover kun je bijvoorbeeld hier lezen: https://blog.malwarebytes...ion-malwares-best-friend/

Dat packen maakt nog geen andere variatie. Een variate kun je zien als een nieuwe release van een stuk software, al dan niet aangepast door de auteur zodat het echt een nieuwe variant is die zich bijvoorbeeld anders gedraagt op de computer die het infecteert. En ja, het is erg aannemelijk dat een versie van malware uit maart 2016 waarschijnlijk niet dezelfde als die nu rondzwerft.

Je klinkt verbaasd dat de AV zijn werkt niet heeft gedaan, maar besef wel dat je met een AV altijd achter de feiten aanloopt. Het proces gaat ongeveer zo:
Boefjes maken malware
Sturen het rond, e-mail blijft erg in trek
AV companies de malware in handen (via diverse bronnen, niet relevant voor dit verhaal)
Analyseren de malware, en de bestandshashes of andere herkenbare stukken code in hun definitieupdates
Client gaat updaten, krijgt nieuwe definities, is beschermd tegen de malware.

Maar zoals je kunt zien is er altijd een gap tussen het moment dat je de mail ontvangt (met 'verse' malware), en voordat de AV boeren komen met een oplossing. Overigens is het zeker niet zo dat elke malware per definitie (via deze manier) wordt opgepikt.

Wat over het algemeen een aardig betrouwbare manier lijkt te zijn, is een vermoedelijke malware-bijlage gewoon op de disk op te slaan, en dan even een dag of twee niet aanraken. Als het foute boel is, is de kans groot dat bij dan je AV erop gealarmeerd heeft en de zaak heeft gewist.

Daarnaast kun je zelf de files uploaden naar plekken als virustotal of malwr.com om te kijken of het schadelijk is. Een enkele keer open ik nog wel eens bestanden met hoge urgency, maar dat doe ik dan op een Linux VM die ik eerst snapshot en na afloop weer terugdraai.

Op dit ogenblik erg hot is het gebruik van Macro's in Office documenten, om op die manier kwalijke code binnen te hengelen vanaf het net. De Macro's zelf zijn zwaar obfuscated zodat ze het werk van AV frustreren. En komen vaak door de spam filters heen, omdat ze in eerste instantie vaak niet de kenmerken hebben van spam.

boyette schreef op dinsdag 19 juli 2016 @ 23:16:
In maart werd de infectie door avast al in 2 fases gedetecteerd en nadien ook. Nu merk ik dat in juli Bullguard de detectie niet opmerkt maar wat ik dus probeer uit te vogelen is of dit een variatie betreft of dezelfde malware die al in maart de ronde deed.
Aangezien ik alleen beschik over de encrypted malware kan ik deze dus niet testen.

Wat bedoel je met "in 2 fases gedetecteerd"?
En wat bedoel je met "encrypted malware"?

Maar zoals ik al aangeef is de kans nihil dat het om dezelfde versie gaat, maar er is een kans. De enige manier om dat ZEKER te weten is als je zowel een sample hebt van de oude als de nieuwe malware, en deze met elkaar te vergelijken, bijvoorbeeld via virustotal...

Ah ok. Ik neem aan dat je in beide gevallen de betreffende malware via de mail hebt gekregen. Mocht je ze niet gewist hebben dan heb je dus kans dat de ze daar nog staan en je ze opnieuw kunt downloaden voor een vergelijk in VT.

Als je ze niet meer hebt dan kun je bijzonder weinig doen om te achterhalen of nu wel of niet dezelfde malware variant was van toen.

Waarom wil je dat eigenlijk zo graag weten? Het klinkt alsof je nog maar weinig vertrouwen hebt in dat Bullguard, dan neem je toch een ander pakket, Kaspersky ofzo?