image

Nieuwe ransomware schakelt dvd-speler uit

zaterdag 14 juni 2014, 07:04 door Redactie, 10 reacties

Onderzoekers hebben een nieuwe opmerkelijke ransomware-variant ontdekt die zich in een veelgebruikt Windowsbestand verbergt en de dvd- of cd-romspeler uitschakelt om verwijdering via een opstart-cd te voorkomen. Het gaat om een variant van de zogeheten "Department of Justice" ransomware.

Deze ransomware toont een waarschuwing dat de gebruiker de Amerikaanse wetgeving heeft overtreden. Om weer toegang tot de computer te krijgen moet er een bepaald bedrag worden bepaald. In tegenstelling tot veel andere ransomware die een uitvoerbaar bestand op de computer plaatst, infecteert deze variant het veelgebruikte Windowsbestand user32.dll.

Volgens het Nederlandse anti-virusbedrijf SurfRight, dat de ransomware ontdekte, is dit de eerste keer dat ransomware op deze manier een computer infecteert. Eenmaal actief blokkeert de ransomware het opstarten in Veilige Modus, Windows Taakbeheer, de command prompt en Register editor. Acties die ook veel andere ransomware-varianten uitvoeren.

Dvd-speler

Een andere opmerkelijke eigenschap van deze specifieke variant is dat de ransomware de dvd- of cd-romspeler van de computer uitschakelt. Hoe dit precies wordt gedaan laat het anti-virusbedrijf niet weten, maar het zou het lastiger maken om de malware van de computer te verwijderen, wat vaak met een opstart-cd wordt gedaan. De ransomware zou al sinds januari van dit jaar rondgaan, maar wordt vooralsnog door slechts 3 van de 54 virusscanners op VirusTotal gedetecteerd.

Hoe de ransomware zich precies verspreidt wordt ook niet gemeld, maar in veel gevallen gebeurt dit via aanvallen op populaire browsers en browserplug-ins die niet door gebruikers zijn gepatcht, het openen van ongevraagde bijlagen of installeren van bijvoorbeeld valse videocodecs en plug-ins of andere geïnfecteerde software.

Reacties (10)
14-06-2014, 09:35 door Anoniem
Nu wachten op een variant die ook gelijk maar USB mee pakt en je netwerkverbinding. Leuker kunnen ze het niet maken, wel moeilijker. Dan maar vanaf floppy: please insert disk 2 of 3437
14-06-2014, 10:29 door Above - Bijgewerkt: 14-06-2014, 10:33
Opstarten vanaf USB kan altijd nog. Als laatste redmiddel kun je gewoon een extra harddisk met de nodige tools aan je moederbord koppelen. Ik heb hem ook een keer verwijderd bij een kennis. Was wel een drama. Kwam natuurlijk veilige modus en dergelijke niet in. Moest ik weer naar huis om de tools op een USB stick te zetten.
14-06-2014, 11:37 door Wim ten Brink
Apple deed dit ook toen ik iTunes van mijn PC de-installeerde. Apple had meteen de drivers voor mijn DVD-speler gewist. Erger, bij installatie van iTunes vervangt Apple deze door hun eigen variant. Geen idee of ze dat nog doen. Maar bij de-installatie zetten ze de oude versie dus niet terug.
Gelukkig kon ik de drivers gewoon weer zelf installeren. Even zoeken op Internet, downloaden en klaar.

Overigens is het uitschakelen van een DVD-station onder Windows niet zo moeilijk omdat je daarvoor gewoon de driver aanpakt. Het station uitschakelen in de BIOS is wel wat lastiger, maar veel effectiever omdat dan ook een opstart-cd niet meer werkt.
14-06-2014, 11:47 door Anoniem
Eerst de hd verwijderen , dan opstarten vanaf dvd of usb , dan hd weer terugplaatsen .
14-06-2014, 12:10 door Anoniem
Het zal niet lang duren voordat iemand nog maar eens roept dat je een wachtwoord moet
instellen om de bios te beveiligen tegen de malware.
14-06-2014, 12:11 door Anoniem
Extern USB DVD/Blue Ray station gebruiken die niet continue aan de pc hangt?

Ok dan mag er natuurlijk geen aanval bestaan op de USB poorten.

Ik had ook niet de indruk dat er nog veel PC's verkocht werden met een DVD station incluis?

Removal, tekst en uitleg?

http://www.departmentofjusticevirus.com/

This virus may come up from any spam e-mail that contains a link or attachments. If you happen to click on any of these, then you may end up with an infected PC. This is the reason why almost every security guideline asks to not open any suspicious e-mail or one whose sender is unknown.
14-06-2014, 12:14 door [Account Verwijderd]
[Verwijderd]
14-06-2014, 18:32 door marcelvb - Bijgewerkt: 14-06-2014, 18:32
Dvd-speler of cd-speler heb ik niet dus ik zal hier geen last van krijgen.

Ik wel, maar ik heb dan weer geen Windows. Ik slaap er een stuk rustiger door.
14-06-2014, 18:36 door Erik Loman - Bijgewerkt: 14-06-2014, 18:36
Ter verduidelijking: de ransomware maakt de CD/DVD speler in Windows onklaar zodra de geïnfecteerde user32.dll geladen wordt. Je kunt dus nog gewoon booten van CD/DVD.
16-06-2014, 11:05 door Anoniem
@ Erik Loman: dat lijkt mij inderdaad een stuk aannemelijker. De berichtgeving is misleidend, want daarin wordt gesuggereerd dat een computer niet meer kan booten van cd/dvd. Echter, om dat mogelijk te maken zou het virus de bios moeten kunnen wijzigen, of de firmware van de cd/dvd speler. En zover ik weet, is dat nagenoeg onmogelijk, alleen al om het feit dat er zoveel verschillende soorten bios-sen en cd/dvd spelers zijn.
Kortom, booten vanaf cd/dvd zal nog wel kunnen en daar begint ook altijd je opschoonactie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.