image

CryptoDefense-ransomware gijzelt bestanden voor 360 euro

donderdag 20 maart 2014, 15:49 door Redactie, 9 reacties

Er is een nieuwe vorm van ransomware ontdekt die bestanden versleutelt en voor losgeld gijzelt. Slachtoffers van de malware moeten 360 euro betalen als ze hun bestanden willen terugzien. Wordt er niet binnen vier dagen betaald, dan stijgt het te betalen bedrag naar 720 euro.

CryptoDefense, zoals de ransomware heet, werd voor het eerst eind februari aangetroffen. Het zoekt op de computer naar tekst-, foto-, video- en Officebestanden, die vervolgens worden versleuteld met een sterke vorm van encryptie. Daarna worden de Shadow Volume Copies verwijderd. Bij vorige versies van cryptoware, zoals dit soort ransomware ook wordt genoemd, waren bestanden soms nog via Shadow Volume Copies terug te krijgen.

De malware maakt tevens een screenshot van het actieve Windowsscherm en uploadt dit naar de Command & Control-server. Het screenshot verschijnt op de aparte betaalpagina waar het slachtoffer voor het ontsleutelen van zijn bestanden kan betalen. Om deze pagina te bereiken moet het slachtoffer eerst de Tor Browser installeren. De betaalpagina is namelijk een Tor-site die alleen via het Tor-netwerk toegankelijk is. Instructies voor het gebruik van Tor worden in twee aparte HTML en TXT-bestanden op de computer duidelijk gemaakt.

Losgeld

Het betalen zelf gebeurt via de digitale valuta Bitcoin. CryptoDefense vraagt 500 dollar in Bitcoins (360 euro), dat na vier dagen wordt verdubbeld. Als het slachtoffer binnen een maand niet betaalt wordt de privésleutel van de versleutelde bestanden verwijderd, waardoor slachtoffers geen toegang meer tot de bestanden kunnen krijgen. Aangezien er RSA-2048 bit encryptie wordt gebruikt is het zeer lastig om de versleuteling te kraken, zo laat Bleeping Computer in een analyse van de ransomware weten.

Politie roept slachtoffers van ransomware op om nooit te betalen. Het is niet zeker of de criminelen de bestanden ook weer ontsleutelen. Daarnaast moedigt het criminelen aan om met de ransomware door te gaan. Internetgebruikers kunnen zich tegen cryptoware beschermen door beveiligingsupdates te installeren, geen ongevraagde e-mailbijlagen te openen en software alleen van de officiële website van de leverancier te downloaden. Om de impact van een eventuele infectie te beperken wordt aangeraden om over actuele en geteste back-ups te beschikken.

Reacties (9)
20-03-2014, 16:26 door Spiff has left the building
Door Redactie:
Internetgebruikers kunnen zich tegen cryptoware beschermen door beveiligingsupdates te installeren, geen ongevraagde e-mailbijlagen te openen en software alleen van de officiële website van de leverancier te downloaden. Om de impact van een eventuele infectie te beperken wordt aangeraden om over actuele en geteste back-ups te beschikken.
Inderdaad, de standaardadviezen.
Voor wie zich daarnaast nog wil wapenen,
SurfRight vermeldde vandaag net dat HitmanPro.Alert 2.6.3.x ook beschermt tegen CryptoDefense.
En met HitmanPro.Alert 2.6.3.74 is recent de stable release van HitmanPro.Alert 2.6.3.x uitgegeven.
Zie: http://www.wilderssecurity.com/showthread.php?p=2352528#post2352528
20-03-2014, 17:22 door Anoniem
Hoe meer ik lees over de onveiligheid bij gebruik van het internet hoe nerveuzer ik word en toch surf ik graag op het internet en doe ik min of meer verplicht bankzaken en maak gebruik van E-mail. Ook maak ik gebruik van Windows omdat een programma als Flight Simulator alleen hiervoor beschikbaar is.

Over een vergelijkbare aktie als [CryptoDefense-ransomware gijzelt bestanden] heb ik bij Linux (nog) nooit gehoord.

Na wat proberen blijkt het in mijn situatie heel goed mogelijk om alles wat ik op het internet wil doen, te doen via een Live CD met linux.
Omdat een live CD bijzonder traag opstart gebruik ik een live USB-stick met Linux (dus niet met Linux erop geinstalleerd!) wat enorm veel sneller gaat.
Voorzover ik heb kunnen nagaan kunnen er geen gegevens op de USB-stick worden veranderd, gewist of toegevoegd en start de computer schoon op.
Mogelijk dat een besmetting in het geheugen plaatsvindt, wat bij Linux niet zo snel zal gebeuren, dan volstaat het volgens mij de computer te herstarten om de besmetting te verwijderen.
Natuurlijk is het niet verstandig om het internet af te schuimen, bankzaken te doen en weer verder te surfen.
Dus computer (her)starten, bankzaken, herstarten en verder surfen.

Mijn idee is om alles op het internet te doen via live Linux en de rest via Windows.

Maak ik hier een denkfout v.w.b. de veiligheid?
20-03-2014, 17:24 door Anoniem
De blangrijkste bescherming tegen malafide encryptie van belangrijke bestanden lijkt me nochtans: offline backup
20-03-2014, 20:36 door Anoniem
Om de impact van een eventuele infectie te beperken wordt aangeraden om over actuele en geteste back-ups te beschikken.

Backup disk niet aangesloten laten maar afgekoppeld van je pc bewaren.
Kijk ook eens naar Cryptoprevent, nog geen expliciete vermelding over bescherming tegen Cryptodefense (What's in a name?)
Gratis
http://www.foolishit.com/vb6-projects/cryptoprevent/
Betaalversie
http://www.foolishit.com/vb6-projects/cryptoprevent/cryptoprevent-auto-update/
21-03-2014, 13:53 door Spiff has left the building
Door Anoniem, gisteren, do.20-3, 20:36 uur:
Kijk ook eens naar Cryptoprevent, nog geen expliciete vermelding over bescherming tegen Cryptodefense
CryptoPrevent is die oplossing die vorig jaar werd uitgebracht om te beschermen tegen CryptoLocker, een paar dagen voordat SurfRight HitmanPro.Alert 2.5 met CryptoGuard uitbracht.
Op een vraag over de voor en nadelen van CryptoGuard vergeleken met CryptoPrevent antwoordde Erik Loman:
http://www.wilderssecurity.com/showthread.php?p=2301977#post2301977
En zoals ik gisteren aangaf, Erik Loman vermeldt nu dat HitmanPro.Alert 2.6.3.x ook beschermt tegen CryptoDefense:
http://www.wilderssecurity.com/showthread.php?p=2352528#post2352528
Van de informatie over CryptoPrevent echter nog geen recente update:
http://www.foolishit.com/vb6-projects/cryptoprevent/
FoolishIT vermeldt enkel, "due to the way that CryptoPrevent works, it actually protects against a wide variety of malware, not just Cryptolocker", zonder vermelding van CryptoDefense.
21-03-2014, 16:28 door Anoniem
@13:53 reactie
"Ik durf het bijna niet te vragen, mag ik even?"
Directe korte vraag (no offence) : belanghebbende band met producten of maker van gepropageerde hollandse software toevallig?

Linkspamming mag niet hier, er wordt wel eens wat verwijderd, ook van El Surfright. Als derde partij overweldigend enthousiast zijn mag weer wel, tenzij je er eigenlijk indirect onderdeel of familie van bent misschien? Wat zegt het reglement? Vindt het opvallend, beter om misverstanden daaromtrent te voorkomen?

Linken naar Wc eend story reviews
http://www.wilderssecurity.com/showthread.php?p=2301977#post2301977
Zelfde maand zelfde strekking, el promo reactie verwijderd hier
https://www.security.nl/posting/369948#posting369973
Meer WC eend door El
http://www.wilderssecurity.com/showthread.php?p=2352528#post2352528

De links van Nick Shaw zijn hier weer eens gepost om al te eenzijdige overweldigende product promotie wat in balans te brengen.
Geen persoonlijke banden met Nick Shaw van Foolish It of zijn producten.

Dus, gewoon ontzettend nogal erg spontaan belangenloos enthousiast over producten van Surfright?
Dan is het leuk om kennis te nemen van je enthousiaste bijdragen en is die twijfel de wereld uit.
22-03-2014, 10:54 door Spiff has left the building - Bijgewerkt: 22-03-2014, 11:17
Door Anoniem, vr.21-3, 16:28 uur:
[...]
belanghebbende band met producten of maker van gepropageerde hollandse software toevallig?
Linkspamming mag niet hier, er wordt wel eens wat verwijderd, ook van El Surfright. Als derde partij overweldigend enthousiast zijn mag weer wel, tenzij je er eigenlijk indirect onderdeel of familie van bent misschien? Wat zegt het reglement? Vindt het opvallend, beter om misverstanden daaromtrent te voorkomen?
[...]
Dus, gewoon ontzettend nogal erg spontaan belangenloos enthousiast over producten van Surfright?
Dan is het leuk om kennis te nemen van je enthousiaste bijdragen en is die twijfel de wereld uit.

Ik hoop dat ik je kan geruststellen en overtuigen.

Ik ben beslist niet Erik of Mark Loman, noch familie, noch anderszins betrokken bij SurfRight, anders dan dat ik gebruiker ben van zowel de producten HitmanPro en HitmanPro.Alert.
Dat ik in mijn bijdrage van donderdag 20-03-2014, 16:26, HitmanPro.Alert noemde, en dat ik in mijn bijdrage van gisteren, vrijdag 21-03-2013, 13:53 uur, links neerzette naar posts die een beperkte vergelijking van HitmanPro.Alert en CryptoPrevent geven, dat was enkel informatief bedoeld, als handreiking naar wie onverhoopt niet goed in staat zou zijn zich goed te beschermen tegen crypto-ransomware en daarbij een hulpje kan gebruiken. (Goed patchen en verstandig computergebruik zou voldoende moeten zijn, maar helaas is niet iedereen daar even sterk in.)

De Security.NL redactie kent mijn postgedrag al jaren (of mochten we sinds vorig jaar augustus een nieuwe redactie hebben, dan kent de redactie me in ieder geval sindsdien) en ik denk dat het de redactie op grond van mijn bijdragen voldoende duidelijk mag zijn dat ik een 'gewone' Security.NL gebruiker ben, en niet Erik of Mark Loman, of familie, of anderszins betrokken bij SurfRight, anders dan als gebruiker.

En enthousiasme over de SurfRight producten heb ik voor zover ik me herinner zelfs nooit tot uitdrukking gebracht.
Ik heb de producten genoemd en verwezen naar de eigenschappen ervan.
Ik meende dat mijn verwijzingen objectief waren, maar de grondigheid van het linken naar een en ander zal je misschien op het verkeerde been hebben gezet.

Goed dat je het vroeg.
Ik hoop dat ik je heb kunnen geruststellen.


By the way -
Je kunt zelfs de bijdragen van Erik Loman in de HitmanPro.Alert Support and Discussion Thread op Wilders Security Forums als "Wij van WC-eend adviseren WC-eend" reclames beschouwen, maar ik zou dat niet terecht vinden.
De HitmanPro.Alert Support and Discussion Thread op Wilders Security Forums is wat het is, een thread waarin de ontwikkelingen van HitmanPro.Alert worden besproken, de opeenvolgende nieuwe builds, inclusief de bugs en problemen die bij de bèta-tests aan het licht komen om vervolgens opgelost te moeten worden. Lees je die HitmanPro.Alert Support and Discussion Thread op Wilders Security Forums dan is dat mijns inziens niet als reclamepraatje te zien, maar als een open kijkje in een geschiedenis met reëel vallen en opstaan.
Niettemin, zouden Erik of Mark Loman of belanghebbenden hier op Security.nl verwijzen naar de meest positieve nieuwtjes in die thread, of zelfs naar de SurfRight website, dan zou dat uiteraard not done zijn, dat moge duidelijk zijn.
22-03-2014, 15:21 door Anoniem
Thanks spiff,
Helder!
Vervelende vraag van mij, moedig en bewonderenswaardig dat je het zo goed oppikt. Schone discussies en bijdragen zijn na te streven, bij deze bewezen.
Verder heb ik niets tegen sommige specifieke producten, wel tegen verkapte reclamepogingen, ze komen af en toe voorbij hier op de site. Goede wijn behoeft geen krans, hoeft niet te bestaan bij afbreuk van iets anders, en als dan inderdaad gekranst, dan liever van enthousiaste gebruikers.
Compliment voor je reactie, blijf enthousiast en kritisch posten, stay safe,
vrg Anoniem
22-03-2014, 18:19 door Spiff has left the building
Door Anoniem 15:21 uur:
Vervelende vraag van mij, moedig en bewonderenswaardig dat je het zo goed oppikt.
Ik vond het geen vervelende vraag van je, hoor. Ik kon me je vraag best voorstellen.
En moed had ik er al helemaal niet voor nodig toch, om te reageren? ;-)
Het enige vervelende dat had kunnen gebeuren, dat zou geweest zijn dat ik je vraag van gisteren 16:28 uur niet gezien had en daarom niet geantwoord zou hebben. We hebben immers sinds vorig jaar augustus geen notificatie-optie meer, en threads raken daardoor op een gegeven moment letterlijk uit het zicht. Gelukkig houd ik threads waarin ik gereageerd heb nog wel in het oog zolang die zichtbaar zijn via mijn account/profiel-pagina, maar toch zou ik wat kunnen missen. En dan had je misschien wel zomaar gedacht dat ik een vuige linkspammer was ;-)

Door Anoniem 15:21 uur:
Verder heb ik niets tegen sommige specifieke producten, wel tegen verkapte reclamepogingen, ze komen af en toe voorbij hier op de site.
Ik houd er ook niet van, van duidelijke pogingen tot reclame voor eigen product en/of product-site.
Een overduidelijk geval meld ik via de abuse meld-mogelijkheid. Gelukkig heb ik dat nog zelden hoeven doen.

Ook van mij vriendelijke groeten
en een prettig weekend toegewenst
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.