image

Ransomware gijzelt boot sector harde schijf

zaterdag 14 april 2012, 19:17 door Redactie, 7 reacties

Onderzoekers hebben een geheel nieuw soort ransomware ontdekt, dat niet het besturingssysteem, maar de boot sector van de harde schijf gijzelt, zodat de computer niet meer kan opstarten. Ransomware zorg ervoor dat gebruikers geen toegang meer tot het besturingssysteem, programma's of bestanden krijgen. In de meeste gevallen worden die versleuteld en moet het slachtoffer losgeld betalen.

Vaak door naar een bepaald telefoonnummer een sms-bericht te versturen of de code van een waardebon door te mailen. De ransomware die Trend Micro ontdekte infecteert de master boot record (MBR) van de harde schijf en voorkomt dat het besturingssysteem opstart. De malware kopieert de originele MBR en overschrijft die met kwaadaardige code.

Losgeld
Vervolgens wordt het systeem automatisch herstart, waarna de melding van de ransomware verschijnt. Daarin staat dat de gebruiker 90 euro moet betalen. Na de betaling ontvangt de gebruiker een unlockcode om weer toegang tot het systeem te krijgen. Deze specifieke ransomware richt zich tegen Oekraïense gebruikers.

De afgelopen maanden verschenen verschillende ransomware-varianten. Zo gaan er verschillende varianten rond die zich als een melding van de lokale politie voordoen en gisteren werd er nog gewaarschuwd voor ransomware die allerlei bestanden op de computer gijzelt.

Reacties (7)
14-04-2012, 19:32 door [Account Verwijderd]
[Verwijderd]
14-04-2012, 20:01 door tuxick
maar da's toch vrij makkelijk te fixen? de meesten zullen niet echt een moeilijke partition table hebben
15-04-2012, 00:04 door Nietsnut
dat niet het besturingssysteem, maar de boot sector van de harde schijf gijzelt, zodat de computer niet meer kan opstarten

niet echt te rijmen met dit -- >> Platform: Windows 2000, Windows XP, Windows Server 2003
15-04-2012, 12:01 door Ivanhoe
Maak beter altijd gelijk na aanschaf van een systeem met MBRWiz(ard) op de UBCD4Windows-bootcd een backup van de MBR naar USB-stick.
Maak bij elke aanpassing van de HDD's door partitioneren steeds een nieuwe MBR-backup.
Doe in een calamiteit als deze de USB-stick in een USB-poort en start daarna het systeem op vanaf de bootcd.
Overschrijf met MBRWiz de ransomware-MBR met de MBR-backup op de USB-stick.
Dit zou altijd moeten kunnen werken.

Of dit:

Bewaar nooit je belangrijke data enkel en alleen op de harde schijf, zodat je altijd 'lomp' een her-installatie kan doen.
Voor Vista en Windows 7 zijn middels Reverse Integration makkelijk driver-, Windows Update en programma's-voorziene installatie-iso's te maken voor installatie vanaf USB-stick. Her-installatie duurt dan nog geen uur en is wel compleet (op de allerlaatste updates van Windows Update na).

In beide opties ga ik er wel even vanuit dat de harde schijf niet dusdanig gegijzeld is, dat MBR overschrijven of her-installeren niet mogelijk is.
15-04-2012, 17:06 door SRiM
Ik ken de code van deze flauwekul-ware niet maar een 'fdisk /mbr' moet voldoende zijn voor de meeste mensen dacht ik zo.... (single boot)
15-04-2012, 23:35 door Righard J. Zwienenberg
Door SRiM: Ik ken de code van deze flauwekul-ware niet maar een 'fdisk /mbr' moet voldoende zijn voor de meeste mensen dacht ik zo.... (single boot)

Dat ligt geheel aan wat de code verder doet... Als de MBR vervangen, daarna wat andere sectoren (of de hele partitie) encrypt en de decryptie-sleutel opslaat in de nieuwe MBR, dan zorgt fdisk /mbr dat het systeem niet te benaderen is omdat ook de decryptiesleutel verloren is gegaan. Deze truc werd oa reed toegast in het OneHalf virus. Ik heb deze trojan zelf nog niet gezien, dus kan niet zeggen of dit hier ook het geval is, maar het lijkt me (te) simpel om te denken dat alleen het terugzetten van de originele MBR lukt.

Dus het terugkopieren van de orinele MBR of fdisk /mbr is dan niet de oplossing en brengt meer schade toe dan het oplost.

Bovendien heeft niet iedereen fdisk (zoek een waar in Win7), de kennis om een boot-CD te maken, ed.

Beter is het om in zo'n geval eerst contact op te nemen met de support van het anti-malware pakket.
17-04-2012, 00:25 door SRiM
Door Righard J. Zwienenberg: Dat ligt geheel aan wat de code verder doet...
Dat is wat ik zeg.

Bij dit specifieke geval werkt het wel met 'fdisk /mbr' zie:
http://about-threats.trendmicro.com/Malware.aspx?name=TROJ_RANSOM.AQB

Idd werkt alleen als je HDD niet geencrypt is. Dus wel weten wat je doet en waar je mee te maken hebt!
Eerst proberen of je Live-CD kan booten en dan kijken of je de HD kan mounten. Dan kan je nog de MBR uitlezen en wordt vaak veel duidelijk. Ook bij het geval hier was het meer scareware dan ransomware.

Dit soort dingen zijn echter niets nieuws. Het wordt lastig als ze PSK gebruiken d.w.z. dat alleen de coder de zaak kan decrypten.

Als dit je niets zegt....
Door Righard J. Zwienenberg: Beter is het om in zo'n geval eerst contact op te nemen met de support van het anti-malware pakket.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.