Nieuws

Harde schijf gijzelvirus verspreidt zich via e-mail

woensdag 1 december 2010, 11:19 door Redactie, 11 reacties

De Seftad malware die de master boot record (MBR) van harde schijven gijzelt voor losgeld, wordt geïnstalleerd door malware die zich via e-mail verspreidt. Het bericht dat de malware gebruikt heeft als onderwerp "Changelog" gevolgd door een datum en bevat de bijlage Changelog_16.08.2010.DOC.exe. Dit is het Sasfis downloadplatform, dat uiteindelijk Seftad downloadt. Seftad, ook bekend als Yuakee, omzeilt de UAC-beveiliging van Windows Vista, aldus Zarestel Ferrer van anti-virusbedrijf CA.

Bij Windows 7 en Server 2008 R2 probeert de malware de System Preparation Tool te starten en het legitieme bestand cryptbase.dll te verwijderen. Bij Vista, XP en oudere systemen wordt het bestand inst.exe uitgevoerd. De ransomware bewaart de originele MBR in een andere locatie en plaatst vervolgens een eigen MBR op het systeem. Daarna wordt de computer herstart en verschijnt de melding dat de gebruiker een code moet invoeren. De code is voor honderd euro verkrijgbaar.

Internet Explorer blijft verliezen van Google Chrome

China arresteert honderden cybercriminelen

Reacties (11)

01-12-2010, 11:27 door Anoniem

Dit is echt vieze malware. Hopen dat als ze de dader vinden ze deze flink aanpakken.

01-12-2010, 12:19 door Mysterio

Vies ja, maar wel een beetje voor domme mensen die niet letten op de bijlage.

01-12-2010, 12:29 door Anoniem

Als het op betalen aankomt, moet je toch weten op welke rekening het moet worden gestort. Dat betekent dan toch ook wie de rekeninghouder is en ook in het complot zit. Of moet een zak geld achter een of andere boom leggen?
Overigens zet ik belangrijke zaken meteen op CD of DVD en niet jaren op een harde schijf. Als deze crasht ben je ook alles kwijt.

01-12-2010, 14:59 door Anoniem

Betalingen zal wel via Moneygram lopen. Anoniem en haast niet traceerbaar.

01-12-2010, 16:09 door Anoniem

Moneygram zullen zelf vast wel logs hebben?

01-12-2010, 17:28 door 0101

Door Anoniem: Betalingen zal wel via Moneygram lopen. Anoniem en haast niet traceerbaar.

Nee, er staat: "Ukash of Paysafecard".

01-12-2010, 17:41 door cryptomannetje

Kan je zelf niet een kopie maken van je MBR en deze extern back-uppen? Probleem is waarschijnlijk dat je niet bij machte bent die opnieuw te installeren omdat je je systeem niet meer inkomt. Tenzij de HD via een andere PC of Linux live CD benaderbaar is natuurlijk. Volgens de melding lukt je dat niet omdat je daarmee de encryptiesleutel vernietigt.
A. het duurt een behoorlijke tijd voordat je hele HD van vele gigabytes volledig geëncrypt is,
B. de sleutel zetten ze heus niet in de MBR maar ergens anders op een niet eenvoudig benaderbare plaats.
Kortom herstel van de MBR lijkt mij wel mogelijk. Wie kan hier meer over vertellen? Ik houd me aanbevolen.

01-12-2010, 18:06 door nicolaasjan

Herstel MBR met (bv) Ubuntu Live CD:
Zie uitleg op: http://www.arsgeek.com/2008/01/15/how-to-fix-your-windows-mbr-with-an-ubuntu-livecd/.

02-12-2010, 01:02 door Anoniem

Door nicolaasjan: Herstel MBR met (bv) Ubuntu Live CD:
Zie uitleg op: http://www.arsgeek.com/2008/01/15/how-to-fix-your-windows-mbr-with-an-ubuntu-livecd/.

Of (ander vb): Avira AntiVir Boot Sector Repair Tool, of MBR Backup (Mischel Internet Security) of Active@ Partition Recovery of ...
Terugzetten kan natuurlijk nooit wanneer je boot van de harde schijf waarvan je het MBR wilt terugzetten (lees: overschrijven).
(@ cryptomannetje) Als 't al opstart that is.

"The simplest way to repair or re-create MBR is to run Microsoft's standard utility called FDISK with a parameter /MBR, like
A:\> FDISK.EXE /MBR"

Maar 'n Linux Live CD kan natuurlijk ook. "Sommige" MS Windows "gebruikers" hebben liever een windows-gereedschapje...
:-)

02-12-2010, 02:00 door Anoniem

Bij mij is het eergisteren gebeeurd, kreeg de melding dat ik mijn pc niet meer kon gebruiken omdat mijn harde schijven 2 stuks geencrypt zijn, ik moet hondert euro betalen voor een password om het ongedaan te maken.
Ik heb mijn eerste harde schijf nog kunnen redden door hem uit miojn laptopp te halen, en hem te formateren, later alles van een backup er weer op gezet, de tweede is opslot, heb geprobeerd met Partition manager te schijf te zien, zag de schijf met een 24mb partitie, en een unallocated partitie van 465,6 gb nolabel free space.
probeer deze ook te redden, weet alleen nog niet goed hoe.
Ben geen zins van plan op dit aan die mannen te betalen, ze mogen van mij allemaal op hun verjaardag sterven, dan ben je met een jaar van dat Russische tuig af.

07-12-2010, 23:24 door Anoniem

Vroeger had je FDisk /MBR en het probleem was opgelost ????!!!!!!!!

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer