Buma/Stemra-malware verspreidt zich over Europa
Malware die in naam van Buma/Stemra Windows-computers gijzelt, verspreidt zich over Europa. De malware zegt dat de computer is vergrendeld omdat de gebruiker illegaal muziek zou hebben gedownload. Volgens de malware is dit een strafbaar feit, ook al is het downloaden van muziek en films in Nederland nog steeds legaal. Om weer toegang tot de computer te krijgen, moeten slachtoffers een vergoeding van 50 euro betalen. Dit kan via een Paysafecard, die bij verschillende benzinestations te koop is.
De ransomware verspreidt zich via de Blackhole exploit-kit. Zodra een internetgebruiker met een niet recente Adobe Reader, Flash Player of Java-versie een gehackte website bezoekt, wordt de malware vanaf het domein pampa04.com geïnstalleerd. Vervolgens wordt er naar de landinstelling gekeken om een gelokaliseerde versie van de ransomware aan te bieden.
Aldi-Bot
Naast de Nederlandse versie zijn er ook versies in het Zwitsers, Duits, Oostenrijks, Engels en Frans actief. Bij analyse van de gebruikte URL's, komt naar voren dat ze allemaal in het Duits zijn. "Dus het lijkt alsof de cybercrimineel achter deze ransomware-campagne een Duits sprekend persoon is", zegt de Zwitserse beveiligingsonderzoeker Roman Huessy De crimineel zou daarnaast informatie hebben uitgezocht waar het slachtoffer in zijn of haar land de Paysafecard kunnen kopen.
Huessy ontdekte verder dat de ransomware van een aanvullend Trojaans paard wordt voorzien, namelijk de Aldi-Bot. De Aldi-Bot steelt inloggegevens voor internetbankieren, zoals Zeus en SpyEye, en kan DDoS-aanvallen uitvoeren. Op deze pagina staat uitleg om de Buma/Stemra-ransomware te verwijderen.
toch?
knip
Op deze pagina staat uitleg om Buma/Stemra te verwijderen. ;)
1) Gebruik van malware - check
2) Afperspraktijken - check
3) Wets-teksten creatief bewerken - check
Sterker nog, ze innen de auteursrechten voor de ransomware schrijver ...
1. Browse to C:\Windows\
2. Type *.exe in the File name field
3. Select explorer.exe
4. Copy the file by pressing Ctrl-C (the right mouse button doesn’t work very well in this window)
5. Browse to the “Application Data” directory of the current user
(for Administrator user: C:\Documents and Settings\Administrator\Application Data\ )
6. Paste the copied explorer.exe file by pressing Ctrl-V
7. Rename the malware file, just adding an underscore behind is will be enough
8. Rename the explorer.exe file to the malware file name
9. Reboot
10. Enable registry:
WScript.CreateObject("WScript.Shell").RegWrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", 0, "REG_DWORD"
11. Using RegEdit, DELETE the following keys:
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\VX2bt1oYNKCLnkO
• HKEY_USERS\Administrator\Software\Microsoft\Windows\Current Version\Policies\Explorer\NoDesktop
• HKEY_USERS\Administrator\Software\Microsoft\Windows\Current Version\Policies\System\DisableTaskMgr
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\VX2bt1oYNKCLnkO
12. Then CHANGE the following keys:
• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\Winlogon
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon
13. Change the value of “Userinit” to “C:\Windows\System32\Userinit.exe,”
14. Change the value of “Shell” to “Explorer.exe”
In de veilige modus configuratie scherm dan systeemherstel lukt ook bij sommige infecties.
Ron
al deze bestanden hebben nu een andere naam:
er staat nu "locked-" voor.
en na de herkenningsextentie staat nog een punt en dan at random voor tekens.
de PC herkent dus niets meer.
geprobeert de bestandsnaam te renamen door de toevoegingen te verwijderen.
resultaat: de icoontjes verschijnen weer maar het bestand is ontoegankelijk.
alle bestanden (duizenden) hebben dezefde bestandsdatum precires van dat tijdstip dat het buma venster in beeld was.
dikke shit dus.
de virus zelf is vorige week al verwijderd door een inhuurspecialist maar wat moet ik hier in hemelsnaam mee aan ?
NB op deze PC staat uberhaupt geen muziek (althans nooit wat gedownload)
die vent verdient een levenslange opsluiting
Maar idd met een veiligheids scan is het zo opgelost!
Of: Google Chrome browser gebruiken: daar zit Flash en PDF in meegeleverd en update zichzelf automatisch en stilletjes. Alleen dan zelf Java updaten (meeste mensen weten niet wat dat oranje icoontje naast de klok inhoudt).
Als je de tekst goed doorleest zie je aan de grammaticale fouten dat dit met een computer vertaald is, of dan toch wel door iemand die de Nederlandse taal niet volledige beheerst. Dat moet op zich al de alarmbellen doen laten rinkelen. (zelfde geldt voor spam berichten van de diverse banken die vragen om in te loggen, vrijwel zonder uitzondering met fouten)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
