image

Politie waarschuwt voor ransomware die kinderporno toont

woensdag 30 oktober 2013, 09:21 door Redactie, 16 reacties

De politie waarschuwt Nederlandse internetgebruikers voor een nieuwe ransomware-variant die op besmette computers kinderporno toont. Al honderden mensen in Nederland werden slachtoffer van deze nieuwe ransomware, die net als traditionele ransomware het systeem vergrendelt.

Waarbij traditionele ransomware alleen stelt dat het slachtoffer zich aan misdrijven zoals het bekijken van kinderporno heeft schuldig gemaakt, laat de nieuwe variant daadwerkelijk harde kinderporno op de computer zien, aldus de politie. Om weer toegang te krijgen moeten slachtoffers een betaalcode van bijvoorbeeld Ukash of Paysafecarde aanschaffen en op de computer invullen. Deze betaalcodes zijn in Nederland bij veel winkels verkrijgbaar.

Schaamte

"Met deze kinderpornovariant van ransomware spelen de criminelen in op het schaamtegevoel van computergebruikers", zegt Wilbert Paulissen, hoofd van de Landelijke Recherche. "Als politie zullen we nooit op deze wijze te werk gaan als we verdachten willen vervolgen. Betalen heeft geen zin, de computer wordt niet vrijgegeven. De politie kan overigens onderscheiden of kinderporno is binnengekomen via het virus of op een andere manier."

Onderzoek

De politie doet zowel in Nederland als internationaal onderzoek naar ransomware. Er zijn al diverse bendes opgerold. In september werd in Nederland nog een aanhouding verricht. Paulissen roept computergebruikers en verkopers van betaalcodes op om zich niet langer te laten misbruiken door deze zware criminelen.

"Deze criminele activiteiten stoppen alleen als slachtoffers niet meer betalen. Als iemand een voucher komt kopen, kun je als winkelier best vertellen dat je ze nooit moet gebruiken als je computer geblokkeerd is. Uiteindelijk help je daar je klant mee." Om winkeliers hierbij te helpen heeft de politie onder andere een poster laten maken.

Reacties (16)
30-10-2013, 09:35 door [Account Verwijderd]
Het wordt pas leuk als de ransomware encryptie gebruikt om bestanden te 'gijzelen', dan kan je dus of betalen, of data kwijt zijn als geen backups hebt.
30-10-2013, 09:41 door Anoniem
Maar hoe komt die rommel op je pc, kan iemand dit in eenvoudige bewoordingen uitleggen?
30-10-2013, 10:18 door Preddie
Fijn om te weten, maar het geen wat menig gebruiker hier wil weten....... hoe verspreid het zich en hoe kun je het voorkomen?

Kwetsbaarheid in java ? Kwetsbaarheid in Flash ? Kwetsbaarheid in de browser ...... ????
30-10-2013, 10:37 door Mysterio
Door Anoniem: Maar hoe komt die rommel op je pc, kan iemand dit in eenvoudige bewoordingen uitleggen?
Als ik het een beetje lees dan betreft het een nieuw uiterlijk op traditionele malware. De traditionele gevallen maakt gebruik van lekken in bijvoorbeeld Acrobat Reader en Java die geladen worden door de browser bij het bezoeken van een besmette website.

Dit is vrij eenvoudig te voorkomen door je software up to date te houden en niet zomaar alle scripts van pagina's laden in de browser. Stap één is simpel, de tweede stap vereist iets meer moeite, maar je zou bijvoorbeeld Firefox kunnen gebruiken met een adblocker geïnstalleerd. Daarnaast en misschien bovendien scheelt het enorm als je niet standaard met beheersrechten werkt. Op die manier blijft een eventuele besmetting bijna altijd binnen het 'gebied' van de gebruiker en besmet niet de gehele computer of andere gebruikersprofielen.

Je kunt niet blind varen op je virusscanner, want vaak worden nieuwe varianten niet direct opgepikt.
30-10-2013, 11:47 door 0101 - Bijgewerkt: 30-10-2013, 11:51
Door Anoniem: Maar hoe komt die rommel op je pc, kan iemand dit in eenvoudige bewoordingen uitleggen?
Voornamelijk door misbruik te maken van lekken in software op de computer. Sommige malware wordt verspreid via bijvoorbeeld bijlagen bij spam email of geïnfecteerde (vaak cracked) programma's.

Ransomware wordt echter vooral verspreid via exploit kits (EK's). Dit zijn tools die proberen kwaadaardige software te installeren door misbruik te maken van beveiligingslekken. Tot de arrestatie van de EK-ontwikkelaar "Pauch" (http://malware.dontneedcoffee.com/2013/10/paunch-arrestationthe-end-of-era.html) waren BlackHole en Cool de meest gebruikte EK's.

De meest misbruikte lekken zijn lekken in Java. Een paar lekken die actief gebruikt worden door malwareverspreiders zijn http://viewCVE.tk/CVE-2010-0188 (Lek in oude Adobe Reader), http://viewCVE.tk/CVE-2011-3402 ("Duqu" lettertypekwetsbaarheid in niet up-to-date Windows), http://viewCVE.tk/CVE-2013-1493 (Java), http://viewCVE.tk/CVE-2013-2423 (Java).

Deze lekken ontstaan doordat een programma voor het uitvoeren van een actie met niet-vertrouwde code niet goed controleert of deze wel toegang mag krijgen tot bepaalde functies en / of er wel genoeg ruimte is voor deze code.

De oplossing is gelukkig simpel: omdat lekken niet voor het oprapen liggen, zullen cybercriminelen zelden lekken inzetten waarvoor nog geen patch is. Daarom volstaat het up-to-date houden van je programma's en besturingssysteem in de meeste gevallen. Als er een actief misbruikt lek is in een programma dat jij gebruikt (bijvoorbeeld in Internet Explorer) is het bovendien aan te raden om in afwachting van een oplossing een ander programma te gebruiken (bijvoorbeeld: Firefox).

Als laatste is het ook een goed idee om programma's die je niet gebruikt uit te schakelen. De Java plug-in in je browser is bijvoorbeeld meestal niet nodig, Minecraft (bijvoorbeeld) en veel andere Java-applicaties werken prima zonder.
30-10-2013, 12:22 door Anoniem
De oplossing is gelukkig simpel: omdat lekken niet voor het oprapen liggen, zullen cybercriminelen zelden lekken inzetten waarvoor nog geen patch is

0101,

Dank voor Uw (jullie) uitleg, maar bovenstaande regel die U schrijft begrijp ik moeilijk. Of lees ik hem verkeerd? Zoekt bv een cybercrimineel zelf geen onbekende lekken op maar laat hij MS eerst een lek patchen (maar wie vindt deze dan?) Dus m.a.w. MS zet ze op het spoor.
30-10-2013, 12:46 door [Account Verwijderd] - Bijgewerkt: 30-10-2013, 13:18
[Verwijderd]
30-10-2013, 13:36 door Anoniem
Door Peter V.:
Maar hoe komt die rommel op je pc, kan iemand dit in eenvoudige bewoordingen uitleggen?
Een aantal maatregelen kun je nemen om te voorkomen dat deze rotzooi op je computer komt:

Nog veel relevanter:
Maak een aparte user aan die geen admin rechten heeft en geen software kan installeren. Gebruik deze user de hele
dag om te werken. Gebruik de admin user alleen om software te installeren of updaten en ga daar niet mee browsen.
Let op dat de rechten op je directories correct zijn ingesteld hiervoor. Standaard is dat wel het geval dus als je niet hebt
zitten rotzooien is alles OK.
Dan nog (dat is nog het meest effectief) lokaal een Software Restriction of Applocker policy aanmaken die software uitvoeren wel toelaat vanaf %SystemDrive% en NIET vanaf %USERPROFILE%. Daarmee worden de meeste driveby download trojans effectief gekilled.
30-10-2013, 15:47 door Erik van Straten - Bijgewerkt: 30-10-2013, 15:48
En m.i. nog relevanter (in lijn met de1e reactie van bbecko): maak regelmatig en frequent backups!

Ook al patch je je suf, draai je tig firewalls en virusscanners (zinloos en onverstandig), is je webbrowser helemaal dichtgetimmerd, bezoek je nooit "kwaadaardige" websites en werk je altijd met verlaagde privileges: het is onmogelijk een computer zo te beveiligen dat de kans op een malwareinfectie 0 is (overigens kan ook je schijf ineens defect raken en onbenaderbaar blijken).
30-10-2013, 16:20 door 0101 - Bijgewerkt: 30-10-2013, 16:22
@Anoniem 12:22
In dit schema heb ik een aantal manieren aangegeven waarop een lek in een exploitkit kan belanden: http://pastebin.com/ysNf8d81.
30-10-2013, 18:40 door Anoniem
Door Anoniem:
Door 0101:De oplossing is gelukkig simpel: omdat lekken niet voor het oprapen liggen, zullen cybercriminelen zelden lekken inzetten waarvoor nog geen patch is.

0101,

Dank voor Uw (jullie) uitleg, maar bovenstaande regel die U schrijft begrijp ik moeilijk. Of lees ik hem verkeerd? Zoekt bv een cybercrimineel zelf geen onbekende lekken op maar laat hij MS eerst een lek patchen (maar wie vindt deze dan?) Dus m.a.w. MS zet ze op het spoor.
Daar wil ik graag even op inhaken, volgens mij heb je het idee dat deze malware het werk is van één persoon, maar dan vergis je je toch.

Iemand vind een lek, 3 keuze's: A] niets doen; B] melden aan fabrikant; C] verkopen.

Keuze A&B is fijn voor de fabrikant, zij kunnen patchen in hun eigen tijd en iedereen die een legale versie heeft wordt uiteindelijk wat beter beveiligd. Dat bepaalde mensen misbruik maken van deze lekken is niet meer het probleem van de fabrikant; deze is niet meer aansprakelijk en het is ook nog eens goed argument om te kunnen zeggen dat legale versies ($$$/€€€) misschien toch wel handig zijn.
Heel het AV-gebeuren van bijvoorbeeld MS is op deze strategie gebaseerd, en dan met name gericht op de Oost-Europese en vooral Aziatische markt, waar zelfs bedrijven rustig illegale Windows-versies draaien (vooral omdat de prijzen van MS echt belachelijk hoog zijn), maar vervolgens wel veel geld over hebben voor een legaal AV-pakket.
Ook is dit (keuze B dus) de reden van al die hack-wedstrijden en belonings-programma's die grote spelers echt maar een schijntje kosten.


Keuze C is voor de mensen die écht centjes willen hebben, niet een troostprijsje van Google of zelfs een boze brief van MS bijvoorbeeld. Dat kan allerlei redenen hebben, maar feit is dat er grof betaald wordt op fora voor bruikbare lekken. De beheerder "verdient" er natuurlijk ook een centje mee.

Op die manier kost het al snel veel geld, en dan moeten er nog mensen gevonden worden die de lekken om gaan zetten in bruikbare software (de malware dus), nog buiten alle money-mules die nodig zijn om de opbrengst binnen te harken. Al dat geld moet ergens vandaan komen, en dan wordt het vervelend, want ga maar eens langs bij de bank met zo'n verzoek / ondernemersplan...

Vanaf dat moment kun je spreken van georganiseerde financiële criminaliteit, zeg maar gerust maffia. En dan moet je bedenken dat er wel malware is, maar die moet natuurlijk ook verspreid worden, wat weer via een andere "familie" gaat, de zgn. exploit kits bijvoorbeeld, maar ook partijen die zich richten op e-mail, het hacken of huren (gebruikelijker dan je denkt) van advertentie-netwerken, noem maar op.

Daarbij wordt ook allerlei persoonlijke data binnen geharkt, die wordt aangeboden via de eerder genoemde fora. En zo is het cirkeltje weer rond. Al die partijen schuwen overigens echt geen intimidatie, afpersing of geweld om hun "werknemers" (coders & mules) in het gareel te houden waar nodig, sterker nog, er zijn ook partijen die zich laten inhuren om juist dát werk te doen...


Dat het uiteindelijk altijd achter de feiten aanlopen blijft voor de "good guys" is dan ook heel logisch, want het is gewoon niet aantrekkelijk voor bedrijven om hier al te veel geld aan te besteden (kosten / baten).
Ook niet voor AV-vendors bijvoorbeeld, want die verdienen veel liever centjes aan veel kleine klanten in plaats van één of twee grote.

"Marktwerking" ;]


NB: Om de "legale" partijen (overheden en toeleveranciers zoals VUPEN) er nog maar niet bij te betrekken...
30-10-2013, 18:53 door Anoniem
Het belangrijkste waar de politie zich mijns inziens mee bezig kan houden is het beperken van de gevolgen. Dergelijke ransomware is erg genoeg, maar de kans is groot dat je er later ook nog voor vervolgd wordt. Een kwestie van: "Once robbed, twice the victim". En ik heb geen vertrouwen in het huidige niveau van rechtsbescherming of opsporing om het onderscheid te kunnen maken tussen een echte downloader en een slachtoffer van ransomware...
30-10-2013, 22:04 door Anoniem
surfen in een zogenaamde sandbox helpt ook besmetting voorkomen. Hoeft niks te kosten! Het gratis geavanceerde Comodo Internet Security heeft dat aan boord en dat geldt ook voor Qihoo Internet Security 2013
31-10-2013, 00:46 door Anoniem
CryptoPrevent is een programma dat ransomware tegen gaat.

http://www.foolishit.com/vb6-projects/cryptoprevent/

Het programma is/was in zeer aktieve ontwikkeling, de afgelopen week ongeveer elke dag 1 of 2 updates.
Pas wel op, na het installeren van CryptoPrevent kan het installeren van bijvoorbeeld een nieuwe anti-virus geblokkeerd worden. Dan moet CryptoPrevent even uitgeschakeld worden, het nieuwe programma geinstalleerd worden, en daarna CryptoPrevent weer aktief gezet worden.

Groeten
31-10-2013, 12:47 door [Account Verwijderd]
[Verwijderd]
31-10-2013, 16:12 door Anoniem
Door GateKeeper: Het is geen virus, maar ransomware. Ik heb me er niet meer echt in verdiept maar de variant die ik een paar maanden geleden tegenkwam werd dus ook niet door een virusscanner gedetecteerd. Die variant deed net of je webcam aanstond, er zat alleen geen cam aan de pc. Dit vind ik echt te walgelijk voor woorden en ik hoop dat ze deze bende heel erg snel gaan oprollen, doe je best https://www.ncsc.nl/
Wil je nu insinueren dat een AV alléén virussen detecteert en géén andere malware of begrijp ik je post niet goed?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.