image

Politievirus laat slachtoffer schrikken via webcam

woensdag 4 juli 2012, 13:39 door Redactie, 10 reacties

Malware die in naam van de politie beweert de computer te vergrendelen gebruikt nieuwe manieren om slachtoffer tot betalen te dwingen, zo hebben onderzoekers ontdekt. De afgelopen maanden zou er een evolutie in de werking van de 'politievirussen' hebben plaatsgevonden, aldus het Spaanse Panda Security. Het gaat hier om malware die op besmette computers een waarschuwing toont dat er strafbaar materiaal op de computer is aangetroffen.

In eerste instantie versleutelde de ransomware alleen maar .doc bestanden en de encryptie was niet lastig te kraken. "De cybercriminelen beseften dat ze een fout hadden gemaakt en ontwikkelden een nieuwe versie", zegt Luis Corrons. In de nieuwere versies wordt een betere encryptie gebruikt.

Om bestanden te ontsleutelen is nu de sleutel vereist. Daarnaast wordt voor elke computer een unieke sleutel gebruikt. "Tenzij iemand toegang tot de server met de sleutels krijgt, is er geen manier om de bestanden te ontsleutelen", merkt Corrons op.

Webcam
Tevens versleutelt de ransomware niet alleen meer .doc bestanden, maar ook allerlei andere bestandsformaten. Daarbij wordt er bewust gecontroleerd of de malware geen essentiële systeembestanden versleutelt waardoor het systeem niet meer werkt. Volgens Corrons is het de vraag hoe ver de malwaremakers kunnen gaan. Vorige week werd er een variant ontdekt die de webcam inschakelde.

In de waarschuwing die de gebruiker krijgt te zien staat ook een foto die met de webcam is genomen. De webcam neemt verder geen beelden op of verstuurt die naar de aanvaller, het toont alleen de foto. "Maar de gebruiker weet dit niet en de meesten zullen hier erg van schrikken en meteen betalen", denkt Corrons. De webcam-versie gebruikt geen enkele encryptie. "Ze dachten waarschijnlijk dat het gebruik van de webcam eng genoeg is."

Reacties (10)
04-07-2012, 14:01 door M_iky
Shit, ik moet deze avond deze malware ergens gaan bestrijden, van wat ik had begrepen aan de telefoon werd er inderdaad een foto getoond die via de webcam gemaakt werd met een mededeling van de franse politie.
Het verwijderen van de malware zal waarschijnlijk nog wel lukken maar als er ook nog allerlei bestanden versleuteld zijn....?

Kan er iemand wat tips geven hoe ik dit best aanpak, eerst systeem herstellen naar voor de infectie en dan scannen of eerst scannen en dan proberen te ontsleutelen, met welke prog's?

Dank je.
04-07-2012, 14:46 door Anoniem
M@iky: Beste is systeem wipen en bestanden van backup terugzetten


je hebt toch een backup?
04-07-2012, 15:33 door Anoniem
begrijpend lezen is voor sommige nog steeds erg moeilijk,

"De webcam-versie gebruikt geen enkele encryptie. "Ze dachten waarschijnlijk dat het gebruik van de webcam eng genoeg is."

dus er zijn geen bestanden versleuteld ;)
05-07-2012, 07:17 door Anoniem
vriend van mij had het gisteren avond alleen volgens mij heeft hij geen webcam
maar wat we gedaan hebben is in zn bios gegaan en van cd laten booten
windows cd erin en toen kon hij recoveren of terug in de tijd een dag
hierna kon hij zn computer weer volledig gebruiken en een virus scanner runnen
05-07-2012, 08:05 door M_iky
Zoals zo vaak geen backup aanwezig :-(

Gelukkig was de besmette account de gebruiker met de beperkte rechten (kids hé).

Infectie bleek mee te vallen, via hirens boot cd opgestart, eerst netwerk gefixed (lag er ook uit) dan alle temp folder en prefetch van alle user gewist. Veilige modus met netwerk opgestart MBAM laten draaien, hitmanpro en hijackthis, alle verwijzingen weggehaald. Normaal opgestart, Spybot en combofix (met aangepaste scaninstellingen) laten draaien, nog wat infecties weggehaald, hijackthis nogmaals gedraaid (OK). Wise disk cleaner op beide accounts laten draaien, auslogic disk defrag.

Avast gedeinstalleerd en Comodo internet security geinstalleerd. PSI laten draaien, alle software geupdate. (Ook verborgen windows updates terug zichtbaar gemaakt en geinstalleerd).

Firefox en IE gedeinstalleerd (+flash player) - chrome geinstalleerd.

Backup ingesteld.

Kids nog gewezen op het [s]nut[/s] gevaar van pornosites.

3 en half uur verder, klaar.
05-07-2012, 15:55 door Anoniem
Door M@iky:
Zoals zo vaak geen backup aanwezig :-(

Gelukkig was de besmette account de gebruiker met de beperkte rechten (kids hé).

Infectie bleek mee te vallen, via hirens boot cd opgestart, eerst netwerk gefixed (lag er ook uit) dan alle temp folder en prefetch van alle user gewist. Veilige modus met netwerk opgestart MBAM laten draaien, hitmanpro en hijackthis, alle verwijzingen weggehaald. Normaal opgestart, Spybot en combofix (met aangepaste scaninstellingen) laten draaien, nog wat infecties weggehaald, hijackthis nogmaals gedraaid (OK). Wise disk cleaner op beide accounts laten draaien, auslogic disk defrag.

Avast gedeinstalleerd en Comodo internet security geinstalleerd. PSI laten draaien, alle software geupdate. (Ook verborgen windows updates terug zichtbaar gemaakt en geinstalleerd).

Firefox en IE gedeinstalleerd (+flash player) - chrome geinstalleerd.

Backup ingesteld.

Kids nog gewezen op het [s]nut[/s] gevaar van pornosites.

3 en half uur verder, klaar.
Ghost backup was sneller geweest.
09-07-2012, 08:18 door Anoniem
Een Ghost backup zal er wel niet geweest zijn......

3,5 uur werk van iemand die Security.nl leest.... Dan hadden ze waarschijnlijk net zo goed een nieuwe PC kunnen kopen.
09-07-2012, 22:15 door Anoniem
Gewoon Kaspersky Rescue Disk 10 gebruiken en hij is weer schoon alleen je anti virus licht om zweep effen in save mode verwijderen en opnieuw installeren en klaar
04-09-2012, 08:44 door Anoniem
Ik heb Kaspersky gedraaid en daarna kwam hij gewoon weer in beeld hoor, werkt dus helemaal niet
19-10-2012, 23:24 door Anoniem
een virus ondekt weet niet of het kan helpen maar bij mij had hij bij mij een nieuw programma geplaatst het was een ctfmon die linkte naar een programma ergens diep in mijn computer die opende de link dat ik moest gaan betalen bij mij is het verwijderen van de cookies genoeg geweest maar als het op de administrator had gezeten had ik een probleem bij mij hoefde ik alleen de naam van het .lld bestand(de tweede) te veranderen dan linkt de eerste naar niks.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.