Politievirus laat slachtoffer schrikken via webcam
Malware die in naam van de politie beweert de computer te vergrendelen gebruikt nieuwe manieren om slachtoffer tot betalen te dwingen, zo hebben onderzoekers ontdekt. De afgelopen maanden zou er een evolutie in de werking van de 'politievirussen' hebben plaatsgevonden, aldus het Spaanse Panda Security. Het gaat hier om malware die op besmette computers een waarschuwing toont dat er strafbaar materiaal op de computer is aangetroffen.
In eerste instantie versleutelde de ransomware alleen maar .doc bestanden en de encryptie was niet lastig te kraken. "De cybercriminelen beseften dat ze een fout hadden gemaakt en ontwikkelden een nieuwe versie", zegt Luis Corrons. In de nieuwere versies wordt een betere encryptie gebruikt.
Om bestanden te ontsleutelen is nu de sleutel vereist. Daarnaast wordt voor elke computer een unieke sleutel gebruikt. "Tenzij iemand toegang tot de server met de sleutels krijgt, is er geen manier om de bestanden te ontsleutelen", merkt Corrons op.
Webcam
Tevens versleutelt de ransomware niet alleen meer .doc bestanden, maar ook allerlei andere bestandsformaten. Daarbij wordt er bewust gecontroleerd of de malware geen essentiële systeembestanden versleutelt waardoor het systeem niet meer werkt. Volgens Corrons is het de vraag hoe ver de malwaremakers kunnen gaan. Vorige week werd er een variant ontdekt die de webcam inschakelde.
In de waarschuwing die de gebruiker krijgt te zien staat ook een foto die met de webcam is genomen. De webcam neemt verder geen beelden op of verstuurt die naar de aanvaller, het toont alleen de foto. "Maar de gebruiker weet dit niet en de meesten zullen hier erg van schrikken en meteen betalen", denkt Corrons. De webcam-versie gebruikt geen enkele encryptie. "Ze dachten waarschijnlijk dat het gebruik van de webcam eng genoeg is."
Het verwijderen van de malware zal waarschijnlijk nog wel lukken maar als er ook nog allerlei bestanden versleuteld zijn....?
Kan er iemand wat tips geven hoe ik dit best aanpak, eerst systeem herstellen naar voor de infectie en dan scannen of eerst scannen en dan proberen te ontsleutelen, met welke prog's?
Dank je.
je hebt toch een backup?
"De webcam-versie gebruikt geen enkele encryptie. "Ze dachten waarschijnlijk dat het gebruik van de webcam eng genoeg is."
dus er zijn geen bestanden versleuteld ;)
maar wat we gedaan hebben is in zn bios gegaan en van cd laten booten
windows cd erin en toen kon hij recoveren of terug in de tijd een dag
hierna kon hij zn computer weer volledig gebruiken en een virus scanner runnen
Gelukkig was de besmette account de gebruiker met de beperkte rechten (kids hé).
Infectie bleek mee te vallen, via hirens boot cd opgestart, eerst netwerk gefixed (lag er ook uit) dan alle temp folder en prefetch van alle user gewist. Veilige modus met netwerk opgestart MBAM laten draaien, hitmanpro en hijackthis, alle verwijzingen weggehaald. Normaal opgestart, Spybot en combofix (met aangepaste scaninstellingen) laten draaien, nog wat infecties weggehaald, hijackthis nogmaals gedraaid (OK). Wise disk cleaner op beide accounts laten draaien, auslogic disk defrag.
Avast gedeinstalleerd en Comodo internet security geinstalleerd. PSI laten draaien, alle software geupdate. (Ook verborgen windows updates terug zichtbaar gemaakt en geinstalleerd).
Firefox en IE gedeinstalleerd (+flash player) - chrome geinstalleerd.
Backup ingesteld.
Kids nog gewezen op het [s]nut[/s] gevaar van pornosites.
3 en half uur verder, klaar.
Zoals zo vaak geen backup aanwezig :-(
Gelukkig was de besmette account de gebruiker met de beperkte rechten (kids hé).
Infectie bleek mee te vallen, via hirens boot cd opgestart, eerst netwerk gefixed (lag er ook uit) dan alle temp folder en prefetch van alle user gewist. Veilige modus met netwerk opgestart MBAM laten draaien, hitmanpro en hijackthis, alle verwijzingen weggehaald. Normaal opgestart, Spybot en combofix (met aangepaste scaninstellingen) laten draaien, nog wat infecties weggehaald, hijackthis nogmaals gedraaid (OK). Wise disk cleaner op beide accounts laten draaien, auslogic disk defrag.
Avast gedeinstalleerd en Comodo internet security geinstalleerd. PSI laten draaien, alle software geupdate. (Ook verborgen windows updates terug zichtbaar gemaakt en geinstalleerd).
Firefox en IE gedeinstalleerd (+flash player) - chrome geinstalleerd.
Backup ingesteld.
Kids nog gewezen op het [s]nut[/s] gevaar van pornosites.
3 en half uur verder, klaar.
3,5 uur werk van iemand die Security.nl leest.... Dan hadden ze waarschijnlijk net zo goed een nieuwe PC kunnen kopen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
