image

Kovter-ransomware besmet 43.000 computers op één dag

woensdag 13 augustus 2014, 17:19 door Redactie, 10 reacties

Een agressieve vorm van ransomware genaamd Kovter heeft in juni op één dag 43.000 computers weten te besmetten. Net als veel andere ransomware vergrendelt Kovter de computer. Gebruikers krijgen vervolgens een waarschuwing te zien dat ze een misdrijf hebben begaan.

Om weer toegang tot de gegevens te krijgen moet een boete worden betaald. In het geval van Kovter worden er bedragen tussen de 300 en 1.000 dollar gevraagd. De ransomware gebruikt allerlei tactieken om slachtoffers tot betalen te dwingen. Een versie die vorig jaar april verscheen zocht in de browsergeschiedenis van gebruikers naar bezochte pornosites en toonde die vervolgens in de ransomware-waarschuwing.

Een variant die vorig jaar oktober opdook ging nog veel verder. Deze variant laadde eerst verschillende kinderpornosites in de browser, voordat de vergrendeling in werking trad. Vervolgens kregen gebruikers een waarschuwing te zien dat ze kinderporno hadden bekeken. Volgens beveiligingsbedrijf Damballa vond er in het tweede kwartaal van dit jaar een sterke stijging van het aantal Kovter-infecties plaats. In mei was er zelfs een 153% toename ten opzichte van april en in juni steeg het aantal infecties nog altijd met 52% ten opzichte van mei.

Het eerder genoemde aantal infecties van 43.000 computers vond op slechts één dag plaats. Gemiddeld raakten in juni elke dag bijna 38.000 computers met Kovter besmet. Kovter verspreidt zich via exploitkits die van bekende lekken in bijvoorbeeld Java en Adobe Reader gebruik maken die niet door internetgebruikers zijn gepatcht. Het up-to-date houden van software kan deze infecties dan ook voorkomen.

Reacties (10)
13-08-2014, 19:26 door Anoniem
@ Redactie : Vraag / voorstel :

1) Mag er / is het het overwegen waard om bij artikel-links waaronder een pdf download verstopt zit (want vanwege security bekijken we pdf's natuurlijk / toch niet direct in de browser zelf?) voortaan een kleine toevoeging achter de link als "(.pdf)" ?

Volgens (.pdf) beveiligingsbedrijf Damballa

Het is mij bekend dat een hover onderaan een link toont waaruit ik aan het einde zou kunnen opmaken dat het om een pdf file gaat, maar toch is dat niet altijd gezien.

@ Andere lezers; Gewenst / Goed idee?
;-)
13-08-2014, 20:47 door [Account Verwijderd]
[Verwijderd]
13-08-2014, 21:33 door Briolet
Lijkt me overbodig omdat iemand bij wie het echt uitmaakt, toch altijd al kijkt of je naar een interne of externe link doorverwezen wordt. En in die link zie je direct al dat het een pdf betreft.
13-08-2014, 23:07 door Anoniem
Wat mij betreft is het ook goed zo. Als je met de muis eroverheen gaat zie je dat 't een PDF is, en de ingebouwde PDF-lezers van Firefox en Chrome zijn geen lekke, trage plug-inbedoeling.
14-08-2014, 09:10 door Mysterio - Bijgewerkt: 14-08-2014, 09:13
Door Anoniem: @ Redactie : Vraag / voorstel :

1) Mag er / is het het overwegen waard om bij artikel-links waaronder een pdf download verstopt zit (want vanwege security bekijken we pdf's natuurlijk / toch niet direct in de browser zelf?) voortaan een kleine toevoeging achter de link als "(.pdf)" ? (..)
Als je PDF niet in de browser wil lezen, waarom heb je die optie dan aan staan? Maar goed, het zou eventueel geen kwaad kunnen om er tussen haakjes (PDF) of zo achter te zetten voor wie dat interesseert.
14-08-2014, 09:21 door Anoniem
Door Anoniem:Mag er / is het het overwegen waard om bij artikel-links waaronder een pdf download verstopt zit (want vanwege security bekijken we pdf's natuurlijk / toch niet direct in de browser zelf?) voortaan een kleine toevoeging achter de link als "(.pdf)" ?
Wil je dan ook een toevoeging die waarschuwt dat de doelpagina flash of java kan bevatten, bijvoorbeeld via advertenties? Of neem je daar zelf beschermende maatregelen tegen, zoals het installeren van add-ons die dingen blokkeren?

Als je zelf beschermende maatregelen neemt voor normale webpagina's, waarom zou je voor links naar PDFs dan met een andere maat meten? Dit is bijvoorbeeld helemaal niet zo moeilijk om te regelen:
- configureer de browser om de ingebouwde PDF-viewer niet te gebruiken;
- configureer hem om je altijd te vragen of je de pdf wilt bewaren of openen met de externe applicatie;
- gebruik als externe applicatie niet Adobe Reader maar een licht alternatief dat geen JavaScript in PDFs ondersteunt.

En wat het vergeten van kijken naar de link voor je erop klikt betreft: leer jezelf aan om dat altijd te doen. Je vergeet ook niet links en rechts te kijken voor je de weg oversteekt, en daar beschermt niemand je tegen je eigen blunders. Toch slagen de meeste mensen erin hun leven lang nooit aangereden te worden. Het is mogelijk om van dit soort dingen een routine te maken, zodat je het domweg altijd doet zonder er nog bij na te hoeven denken.
14-08-2014, 09:48 door Anoniem
Door Mysterio:
Door Anoniem: @ Andere lezers; Gewenst / Goed idee?
;-)
Als je PDF niet in de browser wil lezen, waarom heb je die optie dan aan staan? Maar goed, het zou eventueel geen kwaad kunnen om er tussen haakjes (PDF) of zo achter te zetten voor wie dat interesseert.

Andersom,
- ik heb de in-browser weergave juist uit staan, daarom krijg ik een download poging voor mijn kiezen (als ik wel op de link klik maar gewoonweg niet zie dat het een pfd is, komt regelmatig voor. Altijd 100% concentratie, wie heeft het? Vandaar dat social engineering ook zo'n krachtig instrument is!).

Daarnaast,
heb ik er weliswaar maatregelen tegen genomen maar vind het evengoed een beetje storend en vroeg mij af of anderen dat in stilte misschien ook wel vinden maar ook niet melden.
Een kleine attentie kan je ook opvatten als 'service' aan de lezende lezer van de redactie, of zelfs een beetje als een netiquette variant.

Mogelijke gebruikersmaatregelen,
en daarmee ook weer terug naar Malware onderwerp (+ bijvoorbeeld infectie via ongewilde downloads!)

1) Laat je browser altijd vragen naar de specifieke bestandslocatie waar het file moet worden opgeslagen., *

2) Timmer je standaard opgegeven/toegewezen download folder dicht met alleen lezen permissie, werkt 'altijd'' je krijgt dan (in Firefox tenminste) een foutmelding in beeld, 'kanniedownloadnie!'.
Wil je toch downloaden zal je even een andere downloadfolder moeten toewijzen in de voorkeuren of makkelijker; open even die tweede (derde, vierde, vijfde, zesde) browser die je hebt en paste daar de download link in met standaard een andere opgegeven download folder.


* Het venster voorkomt overigens niet dat de download niet al is gestart, het file is al zichtbaar op de opslag locatie maar heeft alleen nog niet de definitieve naam en extensie van je systeem toebedeeld gekregen (of dat voor alle Os-en geldt? Check het zelf).

Driveby download test: test het bijvoorbeeld met een klein drive by download file op/met de site ; http://www.amtso.org/feature-settings-check-drive-by-download.html

Voor deze 'test' wel sommige addons deactiveren of de site toestemming aanpassen ;-) : iframes toestaan, het laden van 3rd party images connecties toestaan. Dan wordt het file 'automatisch' gedownload.
Tevens een test voor je antivirusscanneer of het het Eicar Testfile wel herkent. Als dat niet het geval is, zet dan enige vraagtekens bij de kwaliteit van je antivirusscanner.)
14-08-2014, 10:34 door Mysterio
Door Anoniem:
Door Mysterio:
Door Anoniem: @ Andere lezers; Gewenst / Goed idee?
;-)
Als je PDF niet in de browser wil lezen, waarom heb je die optie dan aan staan? Maar goed, het zou eventueel geen kwaad kunnen om er tussen haakjes (PDF) of zo achter te zetten voor wie dat interesseert.

Andersom,
- ik heb de in-browser weergave juist uit staan, daarom krijg ik een download poging voor mijn kiezen (als ik wel op de link klik maar gewoonweg niet zie dat het een pfd is, komt regelmatig voor. Altijd 100% concentratie, wie heeft het? Vandaar dat social engineering ook zo'n krachtig instrument is!).
Ah, ik las het verkeerd, mijn excuses. Iets met 100% concentratie.

Weet je, er wordt wel spastisch gedaan over PDF's, maar het is eigenlijk vrij eenvoudig op te lossen door actieve inhoud van het bestand te blokkeren. Geen hond die dat sowieso gebruikt.
14-08-2014, 20:31 door Anoniem
Door Anoniem:
Door Anoniem:Mag er / is het het overwegen waard om bij artikel-links waaronder een pdf download verstopt zit (want vanwege security bekijken we pdf's natuurlijk / toch niet direct in de browser zelf?) voortaan een kleine toevoeging achter de link als "(.pdf)" ?
Wil je dan ook een toevoeging die waarschuwt dat de doelpagina flash of java kan bevatten, bijvoorbeeld via advertenties? Of neem je daar zelf beschermende maatregelen tegen, zoals het installeren van add-ons die dingen blokkeren?
Helemaal mee eens, vooral omdat:

Door Mysterio:
Door Anoniem:
Door Mysterio:
Door Anoniem: @ Andere lezers; Gewenst / Goed idee?
;-)
Als je PDF niet in de browser wil lezen, waarom heb je die optie dan aan staan? Maar goed, het zou eventueel geen kwaad kunnen om er tussen haakjes (PDF) of zo achter te zetten voor wie dat interesseert.

Andersom,
- ik heb de in-browser weergave juist uit staan, daarom krijg ik een download poging voor mijn kiezen (als ik wel op de link klik maar gewoonweg niet zie dat het een pfd is, komt regelmatig voor. Altijd 100% concentratie, wie heeft het? Vandaar dat social engineering ook zo'n krachtig instrument is!).
Ah, ik las het verkeerd, mijn excuses. Iets met 100% concentratie.

Weet je, er wordt wel spastisch gedaan over PDF's, maar het is eigenlijk vrij eenvoudig op te lossen door actieve inhoud van het bestand te blokkeren. Geen hond die dat sowieso gebruikt.
Je kunt security.nl toch niet verantwoordelijk houden voor de content van links? Daarbij zijn vrijwel alle links een potentieel gevaar, ondanks dat ik op security.nl nog nooit een twijfelachtige link in een artikel heb gevonden.
Ik zie het verschil tussen een blog met advertentie en een pdf niet direct.
Ook op het forum is de moderatie op links uitstekend, niets meer aan doen redactie! ;)
15-08-2014, 01:31 door Anoniem
Dus PSI Secunia draaien en dit soort exploit kits maken weinig kans
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.