image

FBI: alleen professional kan Citadel verwijderen

zondag 12 augustus 2012, 15:24 door Redactie, 14 reacties

Slachtoffers die met de Citadel-malware besmet zijn, die ook in Nederland duizenden slachtoffers maakte, moeten naar een expert om het Trojaanse paard te verwijderen. Dat adviseert het Internet Crime Complaint Center (IC3), een samenwerkingsverband tussen de FBI en het Amerikaanse White Collar Crime Center. De opsporingsdienst kwam deze week al met een waarschuwing voor Citadel, die in de VS de Reveton ransomware installeert.

"We worden overspoeld door klachten", zegt Donna Gregory van het IC3. Reveton laat slachtoffers geloven dat ze een boete wegens het illegaal downloaden van media of bekijken van kinderporno krijgen. Als slachtoffers de boete niet betalen, beweert de ransomware dat er een aanklacht wordt ingediend en het scherm vergrendeld blijft. "Sommige mensen hebben de zogenaamde boete echt betaald", laat Gregory weten.

Verwijderen
Slachtoffers krijgen het advies om de boete niet te betalen en geen persoonlijke informatie te verstrekken. Daarbij wordt gewaarschuwd dat als mensen zelf de computer kunnen ontgrendelen, de malware mogelijk nog steeds op de achtergrond actief is en inloggegevens kan verzamelen.

Daarbij is het niet verstandig om zelf aan de slag gaan. "Benader een computer professional om Reveton en Citadel van je computer te verwijderen", aldus het advies.

Reacties (14)
12-08-2012, 19:41 door Anoniem
Maar als je inderdaad illegaal media hebt gedownload of kinderporno heb gekeken dan
moet je natuurlijk gewoon betalen ...
12-08-2012, 20:08 door [Account Verwijderd]
En de gemiddelde computerprofessional weet wel hoe je dat moet aanpakken. Ik heb eerlijk gezegd mijn twijfels.

Een iets uitgebreidere verwijzing naar een handleiding zou wel handig zijn. En natuurlijk moeten echte leken er wel afblijven. Paniek is sowieso een slechte raadgever.
12-08-2012, 21:22 door Anoniem
Wat is goedkoper..... virus verwijderen of een nieuwe harddisk plaatsen als je naar een winkel gaat ?
12-08-2012, 22:50 door Bitwiper
Als er sprake is van versleutelde bestanden zou ik wel naar een echt ter zake kundige stappen (bijv. Ontrack Data Recovery). Denk erom dat er veel prutsers rondlopen die, vaak met de beste bedoelingen, meestal meer kwaad doen dan goed. Stap je naar een professionele data recovery service, vraag dan als eerste om een vrijblijvende prijsopgave!

Als het puur om het verwijderen van "nare" (lastig detecteerbaar, rootkit etc) malware gaat ben ik het eens met Insider. Als je een computerprofessional inhuurt voor zoiets, kost dat bakken met geld en daarbij is de kans groot dat hij/zij niet al het aangerichte kwaad kan verwijderen (bijv. toegevoegde https certificaten, BHO's, gewijzigde registerinstellingen, malware in Alternate Data Streams etc.) en je binnen de kortste keren weer actieve malware op je PC hebt.

Als er sprake is van geavanceerde malware is bijna forensisch onderzoek nodig om vast te stellen wat er onbedoeld op de PC is veranderd. Tenzij er verschikkelijk veel tijd in gestopt wordt, is kans dat een "computerprofessional" alles vindt, zo goed als nul. Een echte computerprofessional zal doen wat ik hieronder beschrijf. En dat kun veel mensen zelf, vraag anders een ervaren familielid of vriend om hulp.

(1) Maak een file-based-backup van de belangrijkste bestanden (niet met een backupm programma, maar slepen met verkenner op een externe schijf en vermijd daarbij uitvoerbare bestanden. Als je versleutelde bestanden hebt, zet die dan in een aparte map op de backupschijf. Vergeet niet bijv. de database van wachtwoordkluisprogramma's (zoals KeePass) te backuppen. Als je een beetje verstand hebt van Linux, kun je dat backuppen het veiligste doen opgestart vanaf een betrouwbare live CD met bijv. Ubuntu of Knoppix. Er ligt bijna altijd wel een computertijdschrift met een Linux live CD in de tijdschriftenwinkels voor ca. 7 tot 15 Euro.

(2) Deze stap kun je eventueel overslaan, maar is wel aan te raden. Download op een vertrouwde PC een image van een bootable antivirus pakket, bijv. http://support.kaspersky.com/viruses/rescuedisk (of check http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/ voor alternatieven) en brand deze op een CDROM of maak er een bootable USB stick van. Stop die in je PC, zorg dat de PC daarvan opstart en laat de PC helemaal scannen en eventuele malware verwijderen. Ik zet dit als stap 2 omdat er een kans bestaat dat je PC hierna niet meer vanaf de schijf wil opstarten, en dan is het niet meer mogelijk een backup te maken. Start de PC nog wel op, dan kun je nogmaals een backup maken op de externe schijf. Naar keuze kun je een tweede backup (in aparte map) maken, of de oude weggooien en een geheel nieuwe backup maken.

(3) Sluit die externe schijf aan op een vertrouwde computer die volledig gepatched is en van up-to-date antivirus is voorzien. Scan de externe schijf, nog aangesloten op de vertrouwde PC, volledig met de aanwezige virusscanner, bij voorkeur met tijdelijk de meest uitgebreide checks aangezet (alle bestandstypes scannen, ook in archives etc). Ik zou de scanner tijdelijk zo instellen dat deze alleen meldt en eventueel repareert, maar verdachte bestanden niet in quarantaine zet en zeker niet verwijdert. Pak alle versleutelde bestanden uit en laat ook die scannen.

(4) Als er verdachte bestanden zijn kun je een alternatieve virusscanner downloaden en daar nog eens mee scannen, of de individuele verdachte bestanden uploaden naar Virustotal om false positives te helpen uitsluiten. Als twee of meer virusscanners alarm slaan zou ik uitgaan van infectie, anders is de kans op een false positive groot. Als het geen superbelangrijke bestanden zijn, gooi ze dan weg. Verdachte bestanden kun je over het algemeen redelijk veilig openen in bijv. een Open Office op een Linux live CD. Als je ze exporteert naar een ander format (bijv. een oudere MS Office versie), is de kans groot dat eventuele malware niet meekomt. Scan de nieuwe bestanden daarna nogmaals.

(5) Als je erg paranoïde bent kun je de BIOS van je PC resetten en/of opnieuw flashen (download de laatste BIOS voor je PC op een betrouwbare PC en zet deze daar op een USB stick). BIOSes met rootkit zijn aangetoond onder lab omstandigheden, maar ik ga ervan uit dat je deze in de praktijk niet tegen zult komen.

(6) Als je twijfelt of je alle belangrijke info van je schijf hebt gebackupped (denk aan e-mail wachtwoorden) kun je het beste een nieuwe schijf kopen (zo duur zijn die nou ook weer niet) en de oude schijf, voorzien van rode viltstift markering "VIRUS", de datum, en de PC waar deze uitkwam, in de kast leggen. Ben je zeker van jezelf of heb je het geld er niet voor (over), wis dan de gecompromitteerde schijf in je PC met DBAN (éénmalig overschrijven met nullen). Dit voorkomt dat als je ooit met "unerase" programma's aan de gang moet, onbedoeld geïnfecteerde bestanden "terugtovert".

(7) Installeer Windows, drivers en applicaties opnieuw vanaf betrouwbare media. Daarna kun je de gebackupte en eentueel gereinigde files terugzetten.
13-08-2012, 00:55 door Anoniem
Reveton laat slachtoffers geloven dat ze een boete wegens het illegaal downloaden van media of bekijken van kinderporno krijgen.
Wat ?! Wie noemt nou "downloaden van media" en "bekijken van kinderporno" in 1 zin, alsof het gelijkwaardige dingen zijn ?

Dit doet vermoeden dat de media maffia en/of machtige lobbyisten achter deze malware zitten. Een ander zou het niet bedenken om deze dingen zo als vanzelfsprekend in 1 zin op te noemen.
13-08-2012, 09:29 door linuxpro
Al jaaaaren wordt er van allerlei kanten door professionals gewaarschuwd voor dit soort praktijken en het enige wat er gedaan werd om de gemoederen te sussen is een firewall en een virusscanner installeren. Hopelijk dringt nu het besef door dat de zwakste schakel in de keten, de mens, moet worden "opgeleid" en dat een firewall en virusscanner niet helpen tegen deze vorm van aanvallen maar dat een zorgvuldigere keuze nodig is van te gebruiken software en besturingssysteem.
13-08-2012, 10:29 door Anoniem
Hahahaha wat een onzin, en wat een overkill aan adviezen #professionals.
Kijk gewoon even op http://www.surfright.nl/en/support/dorifel-decrypter
13-08-2012, 12:25 door Anoniem
Door Anoniem: Hahahaha wat een onzin, en wat een overkill aan adviezen #professionals.
Kijk gewoon even op http://www.surfright.nl/en/support/dorifel-decrypter
Bij sites met taalfouten (ook al is het in het Engels) krijg ik altijd een wat onzeker gevoel...
13-08-2012, 14:45 door Security Scene Team
Door Anoniem: Wat is goedkoper..... virus verwijderen of een nieuwe harddisk plaatsen als je naar een winkel gaat ?

nieuwe pc kopen XD
13-08-2012, 14:47 door Security Scene Team
Door Bitwiper: Als er sprake is van versleutelde bestanden zou ik wel naar een echt ter zake kundige stappen (bijv. Ontrack Data Recovery). Denk erom dat er veel prutsers rondlopen die, vaak met de beste bedoelingen, meestal meer kwaad doen dan goed. Stap je naar een professionele data recovery service, vraag dan als eerste om een vrijblijvende prijsopgave!

Als het puur om het verwijderen van "nare" (lastig detecteerbaar, rootkit etc) malware gaat ben ik het eens met Insider. Als je een computerprofessional inhuurt voor zoiets, kost dat bakken met geld en daarbij is de kans groot dat hij/zij niet al het aangerichte kwaad kan verwijderen (bijv. toegevoegde https certificaten, BHO's, gewijzigde registerinstellingen, malware in Alternate Data Streams etc.) en je binnen de kortste keren weer actieve malware op je PC hebt.

Als er sprake is van geavanceerde malware is bijna forensisch onderzoek nodig om vast te stellen wat er onbedoeld op de PC is veranderd. Tenzij er verschikkelijk veel tijd in gestopt wordt, is kans dat een "computerprofessional" alles vindt, zo goed als nul. Een echte computerprofessional zal doen wat ik hieronder beschrijf. En dat kun veel mensen zelf, vraag anders een ervaren familielid of vriend om hulp.

(1) Maak een file-based-backup van de belangrijkste bestanden (niet met een backupm programma, maar slepen met verkenner op een externe schijf en vermijd daarbij uitvoerbare bestanden. Als je versleutelde bestanden hebt, zet die dan in een aparte map op de backupschijf. Vergeet niet bijv. de database van wachtwoordkluisprogramma's (zoals KeePass) te backuppen. Als je een beetje verstand hebt van Linux, kun je dat backuppen het veiligste doen opgestart vanaf een betrouwbare live CD met bijv. Ubuntu of Knoppix. Er ligt bijna altijd wel een computertijdschrift met een Linux live CD in de tijdschriftenwinkels voor ca. 7 tot 15 Euro.

(2) Deze stap kun je eventueel overslaan, maar is wel aan te raden. Download op een vertrouwde PC een image van een bootable antivirus pakket, bijv. http://support.kaspersky.com/viruses/rescuedisk (of check http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/ voor alternatieven) en brand deze op een CDROM of maak er een bootable USB stick van. Stop die in je PC, zorg dat de PC daarvan opstart en laat de PC helemaal scannen en eventuele malware verwijderen. Ik zet dit als stap 2 omdat er een kans bestaat dat je PC hierna niet meer vanaf de schijf wil opstarten, en dan is het niet meer mogelijk een backup te maken. Start de PC nog wel op, dan kun je nogmaals een backup maken op de externe schijf. Naar keuze kun je een tweede backup (in aparte map) maken, of de oude weggooien en een geheel nieuwe backup maken.

(3) Sluit die externe schijf aan op een vertrouwde computer die volledig gepatched is en van up-to-date antivirus is voorzien. Scan de externe schijf, nog aangesloten op de vertrouwde PC, volledig met de aanwezige virusscanner, bij voorkeur met tijdelijk de meest uitgebreide checks aangezet (alle bestandstypes scannen, ook in archives etc). Ik zou de scanner tijdelijk zo instellen dat deze alleen meldt en eventueel repareert, maar verdachte bestanden niet in quarantaine zet en zeker niet verwijdert. Pak alle versleutelde bestanden uit en laat ook die scannen.

(4) Als er verdachte bestanden zijn kun je een alternatieve virusscanner downloaden en daar nog eens mee scannen, of de individuele verdachte bestanden uploaden naar Virustotal om false positives te helpen uitsluiten. Als twee of meer virusscanners alarm slaan zou ik uitgaan van infectie, anders is de kans op een false positive groot. Als het geen superbelangrijke bestanden zijn, gooi ze dan weg. Verdachte bestanden kun je over het algemeen redelijk veilig openen in bijv. een Open Office op een Linux live CD. Als je ze exporteert naar een ander format (bijv. een oudere MS Office versie), is de kans groot dat eventuele malware niet meekomt. Scan de nieuwe bestanden daarna nogmaals.

(5) Als je erg paranoïde bent kun je de BIOS van je PC resetten en/of opnieuw flashen (download de

priet praat, m'n buur jongentje van 15 kan het voor je doen voor 10 euro! ....reken uit je winst?
13-08-2012, 17:06 door Anoniem
@bitwiper;
vermijd uitvoerbare bestanden?

wat dan: dat zijn alle office bestanden, alle pdf bestanden, alle media bestanden. Ze kunnen allen malware installeren (soms alleen beperkt tot patchlevel van de startende applicatie).

Beetje jammer. Je moet ervan uit gaan dat alle bestanden besmet zijn. Scannen kan bijvoorbeeld via een rescuedisk van Kaspersky of zo. Het beste resultaat krijg je nadat je pc een aantal dagen uit is geweest en niet meer aan het internet hangt en dat je je netwerk kabel er pas in stopt wanneer je het eerste keuze menu van de kaspersky rescuedisk in beeld hebt. Nadat die is opgestart kan je de AV bestanden updaten tot de laatste versie en dan gaan scannen. Nadat je hebt gescand kan je ook via die omgeving bestanden overzetten naar een andere schijf als backup. Of ervoor natuurlijk als je denkt dat kaspersky de boel gaat verzieken. Aan jou de keuze.
13-08-2012, 20:46 door Bitwiper
Door Anoniem: @bitwiper;
vermijd uitvoerbare bestanden?

wat dan: dat zijn alle office bestanden, alle pdf bestanden, alle media bestanden. Ze kunnen allen malware installeren (soms alleen beperkt tot patchlevel van de startende applicatie).
Dat is in de praktijk knap lastig, en niet te vergelijken met per definitie uitvoerbare bestanden (.exe, .com, .dll, .scr, .ocx, .bat, .cmd, .wsh, .hta, .wsh, .csh etc).

Microsoft heeft de afgelopen jaren heel wat patches en verbeteringen doorgevoerd waarmee bekende methodes om malware in MS Office documenten te stoppen zijn geblokkeerd. Als je Adobe Reader X gebruikt wordt het PDF bestand in een sandbox geopend. Ongewijfeld barst het nog van de onontdekte kwetsbaarheden in MS Office en vooral Adobe Reader, maar de kans dat een virus daarvan gebruik maakt om te verspreiden acht ik zeer klein (daar zijn echte zero days veel te kostbaar voor).

Media bestanden: ik zou me geen zorgen maken over foto's (.jpg of jpeg) en films. Met Office bestanden en foto's denk ik dat je voor de meeste mensen de belangrijkste te bewaren files hebt afgedekt. Mochten daar bestanden tussen zitten met RTLO extensies, dan mag ik hopen dat AV boeren die ondertussen wel detecteren (zie volgende punt). Wat ik bedoelde te zeggen is dat je bijv. wel een KeePass database moet backuppen, maar niet het programma zelf. Dat kun je veel beter opnieuw downloaden.

Beetje jammer. Je moet ervan uit gaan dat alle bestanden besmet zijn. Scannen kan bijvoorbeeld via een rescuedisk van Kaspersky of zo.
Beetje jammer dat je mijn bijdragen niet helemaal leest en vervolgens kritiek meent te moeten geven. In elk geval heb je punt 2 overgeslagen (waarin ik toch duidelijk verwijs naar de Kaspersky rescue disk) en later bij punt 3 geef ik helder aan dat je alle gebackupte bestanden moet scannen, en bij twijfel (zie punt 4) door moet zoeken.
13-08-2012, 21:29 door Bitwiper
Fijn te weten dat mensen met geïnfecteerde PC's voor €10 bij de buurjongen van Security Scene Team terecht kunnen. Nog goedkoper bent u uit met het advies van onze Anonieme Amateur van 2012-08-13 10:29, uw PC is zo weer Dorifel vrij. Daarna kunt u met een gerust hart verder computeren!

Nb. een boodschap van de Citadel beheerders (die hun schouders ophalen bij het uit de lucht halen van een enkele botnet controller) wil ik u niet onthouden:
Door root@citadel.vx: Onze welgemeende excuses voor de bugs in Dorifel alsmede de veel te eenvoudige encryptie, en niet te vergeten, de onbedoelde paniek die we hebben veroorzaakt. Het is niet gebruikelijk dat we op deze "lawaaige" wijze het nieuws halen, het zal niet meer gebeuren.

Binnenkort zullen we uw computer voorzien van een verbeterde versie van Dorifel (waarbij we er natuurlijk voor zorgen dat deze niet gedetecteerd wordt door de virusscanners die we niet volledige onklaar hebben kunnen maken op de door ons beheerde PC's). Een reboot zal niet meer nodig zijn en u kunt voortaan ook zelf via iDEAL betalen (anders doen wij dat, zoals vanouds, voor u, d.w.z. zonder dat u dat tijd kost of er iets van merkt).

Tot die tijd vragen wij u dringend om -onverhoopte- beveiligingswaarschuwingen te negeren en aan lokale beheerders te vertellen dat er niets mis is met uw PC, aangezien deze tot in de puntjes wordt onderhouden. Vanzelfsprekend kunt u er, net als afgelopen jaar, verzekerd van zijn dat wij, mocht u het vergeten, uw computer patchen en alle ons vijandig gezinde malware verwijderen.

Voor mensen die wachtwoorden in hun browser opslaan (handig, dan vergeet u ze niet), hun adresboek up-to-date houden, regelmatig nieuwe games installeren en veel iBankieren gelden zeer aantrekkelijke kortingsregelingen.
13-08-2012, 22:09 door Spiff has left the building
Door Security Scene Team, 14:47 uur: [...]
priet praat, m'n buur jongentje van 15 kan het voor je doen voor 10 euro! ....reken uit je winst?
Security Scene Team quote Bitwipers volledige bijdrage (dat getuigt in mijn optiek van onverschilligheid),
maar zag blijkbaar over het hoofd dat Bitwiper al aangaf dat het door hem/haar beschreven stappenplan door veel mensen zelf uitgevoerd kan worden, of anders met hulp van een ervaren familielid of vriend. Bitwiper gaf aan dat je daar niet iemand voor hoeft in te huren.
Security Scene Team kan wel (alles!) quoten, maar niet lezen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.