image

Politievirus versleutelt foto's en documenten

donderdag 31 januari 2013, 16:03 door Redactie, 15 reacties

Er is een nieuw politievirus ontdekt dat niet alleen de computer vergrendelt, maar ook foto's, documenten en uitvoerbare bestanden versleutelt. De meeste ransomware, zoals politievirussen ook worden genoemd, vergrendelen in de naam van de FBI of het KLPD de computer. De eigenaar zou illegaal materiaal hebben bekeken en moet vervolgens een boete betalen om weer toegang te krijgen.

Het Tsjechische anti-virusbedrijf AVG ontdekte een nieuwe variant. Analist Michal Cebak stelt dat de meeste mensen van wie de computer met ransomware besmet raken het gevraagde losgeld niet betalen en de malware vervolgens verwijderen.

Encryptie
Om verwijdering te voorkomen versleutelt de nieuwe variant verschillende bestanden, waaronder foto's, documenten en zelfs uitvoerbare bestanden. De malware genereert een uniek computer ID, gebaseerd op de computernaam. Vervolgens wordt dit ID samen met een vaste string gebruikt voor het genereren van een encryptiesleutel.

De malware maakt bij het versleutelen een uitzondering voor Windows-bestanden. Toch worden tools zoals regedit, taakbeheer en msconfig uitgeschakeld. "Om het leven van het slachtoffer nog lastiger te maken", merkt Cebak op. "Het niet kunnen gebruiken van versleutelde persoonlijke gegevens is hier echter een groter probleem."

Reacties (15)
31-01-2013, 16:29 door Preddie
Leuk, maar nu nog even de link naar de tool die je helpt de bestanden decrypten...... (er maar even vanuit gegaan dat dit kan aangezien bekend is waaruit de encryptiesleutel bestaat.)
31-01-2013, 16:54 door Security Scene Team
dit wil ook wonderen doen bij, winlocker, silence winlocker etc. (beiden bevatten sqli trouwens) ;)

/panel/index.php?act=status_code&x=true&id=1' or '1'='1
iets als dat een beetje php kenner komt er wel uit.

http://support.kaspersky.com/viruses/deblocker

en de decrypter:

direct link: http://downloads.sophos.com/misc/RansomDecrypter.zip

http://www.sophos.com/en-us/support/knowledgebase/117669.aspx

Save the systems ;)
31-01-2013, 18:08 door Security Scene Team
Door Predjuh: Leuk, maar nu nog even de link naar de tool die je helpt de bestanden decrypten...... (er maar even vanuit gegaan dat dit kan aangezien bekend is waaruit de encryptiesleutel bestaat.)

overigens, de encrypties kun je vergelijken met de WEP/WPA versleuteling van verschillende bekende thombson & speedtouch routers. dit word gedaan aan de hand van SSID's en de router serienummer. als jij dit op de zelfde manier berekent kom je dus ook uit bij de WEP/WPA sleutel van die specifieke router. dus zo kan je het ook bekijken met de ransomware. niet allemaal trouwens hoor er zijn een veel verschillende ransoms te krijgen via de locale blackhat foras. (vooral Russische) schijnt dus dat niet alleen router uitgevers dit soort fouten maken. maar ach, alles wat door n mens is gebouwd kan ook gekraakt worden door n mens zeggen we dan maar. ik vond het wel een leuke bijkomstigheid.

oh ja de FBI & KLPD ransomware is voor elke skid te krijgen op opensc.ws het enige wat men hoeft te doen is downloaden & een plaatje ontwerpen. het overige is al gedaan, 't is n gekraakte builder etc.
ik maak geen reclame, hoemeer mensen hiervan weten, deste sneller is het minder aantrekkelijk voor kwaadwillenden, omdat men over een tijdje zelf de ransomwares kan verwijderen. ohja en het KLPD raad ik aan om deze C&C's op te sporen en die overtenemen via Sqli want daar zitten ze VOL mee. vervolgens kunnen zij alle infected pc's unlocken op afstand.
31-01-2013, 19:26 door Preddie
Door Security Scene Team: dit wil ook wonderen doen bij, winlocker, silence winlocker etc. (beiden bevatten sqli trouwens) ;)

/panel/index.php?act=status_code&x=true&id=1' or '1'='1
iets als dat een beetje php kenner komt er wel uit.

Ik snap alleen de bedoeling van je SQLi even niet ..... misschien slaat het op de malware ? Ik heb namelijk geen idee, heb de malware nog niet gezien.

Maar de linkjes naar "de oplossing" leken me een een aardige toevoeging op dit artikel. Als iemand dan security.nl raadpleegd voor het probleem staat er direct een oplossing vermeld :)

Als deze SQLi fouten inderdaad in de malware zitten dan is dat natuurlijk wel een beetje erg slordig :P
31-01-2013, 19:30 door Anoniem
Ik snap na al die tijd eigenlijk nog steeds het probleem niet. Image terug zetten en de groeten met je 'Politievirus'. Data is al helemaal niet interessant, daar zet je daarna een backup van terug.
31-01-2013, 21:17 door Eghie
Waar ik me wel een beetje zorgen om maak, is als er malware komt, en misschien is die er al wel, die door de C&C een sleutel laat genereren of bij een vorm van een polymorfische worm/virus een sleutel random genereert en naar C&C stuurt. En dat met een geteste en stevige encryptie, bijvoorbeeld AES 256 bits en een key van zeg 16 tekens met speciale karakters. En dat je dus met de C&C moet communiceren via een beveiligde betalingsmanier om de key terug te krijgen.

Ik kan me heel goed voorstellen dat dat er al is en zo niet dat het komen gaat. We moeten mensen opvoeden om te backuppen, want dit gaat de spuigaten uitlopen. Binnenkort moeten virusscanners geclusterde crackmachines worden met gemak.

Serieus, bedenk eens wat voor een toekomst de virus/worm "markt" kan hebben. We moeten ons er echt beter tegen verdedigen dan dat we nu doen. Backuppen moet makkelijker en veiliger worden. En we moeten meer gesandboxed gaan werken.
31-01-2013, 21:48 door Security Scene Team
Door Eghie: Waar ik me wel een beetje zorgen om maak, is als er malware komt, en misschien is die er al wel, die door de C&C een sleutel laat genereren of bij een vorm van een polymorfische worm/virus een sleutel random genereert en naar C&C stuurt. En dat met een geteste en stevige encryptie, bijvoorbeeld AES 256 bits en een key van zeg 16 tekens met speciale karakters. En dat je dus met de C&C moet communiceren via een beveiligde betalingsmanier om de key terug te krijgen.

Ik kan me heel goed voorstellen dat dat er al is en zo niet dat het komen gaat. We moeten mensen opvoeden om te backuppen, want dit gaat de spuigaten uitlopen. Binnenkort moeten virusscanners geclusterde crackmachines worden met gemak.

Serieus, bedenk eens wat voor een toekomst de virus/worm "markt" kan hebben. We moeten ons er echt beter tegen verdedigen dan dat we nu doen. Backuppen moet makkelijker en veiliger worden. En we moeten meer gesandboxed gaan werken.

Mensen, maar vooral bedrijven moeten leren te updaten. zwakke en verouderde software is het grootste probleem.
als jij al nachtmerries krijgt van 256 AES cryptotrojans maak dan alvast je borst maar nat want er bestaan zelfs cryptowormen en cryptotrojans die gebruik maken van 2024bit en 1024bit. praktisch onmogelijk om dit te omzeilen.
zelfs een Reverse Engineer heeft hier nachtmerries over! maar er zijn mogelijkheden. kun je de cryptotrojan niet verslaan, pak dan de C&C. Vaak is dit PHP, en maken gebruik van Sql Databases, en zoals je weet zijn die vaak zwak voor sqli's

het zal een kat en muis spelletje zijn. zo kun je nog wel eventjes doorgaan, maar betalen, is geen optie aangezien Hackers maar ook Coders houden van Backdoors. mochten ze geld te kort komen, zullen ze niet aarzelen om hun backdoor 'n seintje te geven ;)

Ransomware is ook nog vrij onbekend, 't begint op gang te komen maar nog steeds vrij onbekend. ik weet me te herinneren dat ik een hele tijd terug hier voor het eerst kwam en begon te vertellen over Ransomwares, iedereen verklaarde me voor Gek en voor niet bestaand. laten we een begin te maken door iedereen op de hoogte te stellen. je kunt niet constant afhankelijk blijven van Tooltjes die worden uitgebracht die je helpen bij het Decrypten van je bestanden, omdat dit bijna alleen opgaat voor crypto trojans zoals SilenceWinlocker en Winlocker (omdat die erg slecht inelkaar zitten, vooral de C&C. Coded by lamers kun je wel zeggen)

De cryptotrojans zijn afhankelijk van mensen die hen openen willen, dat wil je en doeje niet toch? dus begin bij Exploitkits, wapen je zelf hier tegen door te updaten, maar ook door verder te kijken dan je neus lang is. als je dat doet ben je al 'n aardig eindje op weg. Firefox & Ja Chrome zijn goede voorbeelden van een goed begin. Ook tooltjs als ExploitShield zijn goede beginnetjes, alleen zijn dezen nog steeds in beta tests en vertonen nog steeds "kuren"

Door Beta-Tester te worden help je je zelf, en anderen. je maakt zulke software beter en beter. net zoals Coders doen bij hun ransomwares: Releasen, kijken wat beter kan aanpassen en weer door gaan..

Bedenk je dat Cryptotrojans en cryptovirusses en cryptowormen ALTIJD afhankelijk blijven van slecht geupgrade software en of slecht geinformeerde mensen. (the not so up-to-date users)

ik denk dat de meesten het nu wel snappen, dus ik zal de rest van m'n bullshit achterwege laten.
voor nu wil ik het hier even bij laten, begin last van mn ogen te krijgen.

succes en blijf alert.
31-01-2013, 21:50 door Security Scene Team
Door Predjuh:
Door Security Scene Team: dit wil ook wonderen doen bij, winlocker, silence winlocker etc. (beiden bevatten sqli trouwens) ;)

/panel/index.php?act=status_code&x=true&id=1' or '1'='1
iets als dat een beetje php kenner komt er wel uit.

Ik snap alleen de bedoeling van je SQLi even niet ..... misschien slaat het op de malware ? Ik heb namelijk geen idee, heb de malware nog niet gezien.

Maar de linkjes naar "de oplossing" leken me een een aardige toevoeging op dit artikel. Als iemand dan security.nl raadpleegd voor het probleem staat er direct een oplossing vermeld :)

Als deze SQLi fouten inderdaad in de malware zitten dan is dat natuurlijk wel een beetje erg slordig :P

uhm niet in de malware zelf dat snap je hopelijk wel. maar hun C&C's wel. dit geld zelfs voor Spyeye hoor.
En ja dat is een beetje heel erg slordig :) mocht je de malware willen onderzoeken inclusief zijn C&C dit kan hoor, bezoek even www.OpenSC.ws ga naar hun forum, en kijk in sectie Cracked Malware. daar staan silence winlocker en winlocker. alleen al de reacties geven aan dat de C&C code vol zit met sqli's de rest kan je doen door de PHP code zelf na te checken, en dan maar hunten naar Winlocker en sillence winlocker C&C's binnnen no-time kun je heel wat gebruikers een plezier doen door op "unlock system" te klikken :)

Succes.

Edit:
iets te veel info :)
31-01-2013, 22:15 door Eghie
Door Security Scene Team: ...
Mensen, maar vooral bedrijven moeten leren te updaten. zwakke en verouderde software is het grootste probleem.
als jij al nachtmerries krijgt van 256 AES cryptotrojans maak dan alvast je borst maar nat want er bestaan zelfs cryptowormen en cryptotrojans die gebruik maken van 2024bit en 1024bit. praktisch onmogelijk om dit te omzeilen.
zelfs een Reverse Engineer heeft hier nachtmerries over! maar er zijn mogelijkheden. kun je de cryptotrojan niet verslaan, pak dan de C&C. Vaak is dit PHP, en maken gebruik van Sql Databases, en zoals je weet zijn die vaak zwak voor sqli's
Updaten is zeker enorm belangrijk en kan niet vaak genoeg gezegd worden. Maar bij een 0day of bij zwakke custom made software kun je ook bij de meest up-to-date systemen nog zwak zijn hiervoor. Dan wil je graag wel een safe fallback.

Ah, dus die wormen zijn er ook al. Verbaasd me ook weinig eigenlijk. Want wat hierboven geschetst wordt in het artikel is gewoon amateuristisch. Ik kan me voorstellen dat er ook worm bouwers tussen zitten met meer verstand van beveiliging en encryptie.

Gelukkig is de gemiddelde C&C nog zwak. Maar er komt ook een tijd dat zelfs die sterk wordt. En dat het alleen via parametrized queries werkt en via een defensieve manier geprogrammeerd. Op een gegeven moment ben je dus als beveiligingsonderzoeker ook uitgeteld. En dan?

het zal een kat en muis spelletje zijn. zo kun je nog wel eventjes doorgaan, maar betalen, is geen optie aangezien Hackers maar ook Coders houden van Backdoors. mochten ze geld te kort komen, zullen ze niet aarzelen om hun backdoor 'n seintje te geven ;)
Inderdaad.

Qua beveiliging zal ook meer richting gedragsherkenning moeten gaan van software en vooral van exploits. En eigenlijk moeten API's en libraries enzo zo ontwikkeld worden dat misbruik, of haast niet mogelijk is, of dat misbruik makkelijk te herkennen is.

PHP en SQLinjectie mogelijkheden automatisch in code terugvinden en daarvan alle gevallen, is lastig. Dit omdat je de ongefilterde user input zo kunt concatten met de rest van de query. En dat kan op 1000en manieren. Ga daar maar eens algemene beveiligingssoftware voor schrijven. Is een lastig iets. Als de API zo was dat het concatten van de query onmogelijk was geweest, omdat de aard van de query anders was, dan was dat al een stuk veiliger. En zo kun je op API en library niveau al veel dingen verbeteren. Ook zodat je met beveiligingssoftware makkelijker misbruik kunt detecteren.

ExploitShield kende ik nog niet. Ik zal er wel eens naar kijken.
31-01-2013, 23:15 door Security Scene Team
wat jij stelt is waar, alleen kunt je niet verwachten van deze hackers of coders dat hun C&C's of malwares 100% zijn net als je niet kunt verwachten dat een systeem 100% veiligheid kan bieden, ook in de toekomst niet. er zal altijd wel wat te doen zijn, en je bent zeker nooit uitgeteld als beveiligingsonderzoeker :) het gaat erom dat je bij blijft en niet achter raakt kwa kennis. ik blijf dus bij mn standpunt het word een kat en muis spelletje.

en wat de 0days betreft, ik las dat je exploitshield nog niet kon en er naar zal kijken, ik denk dat je na het gebruik en wat tests ervan zult begrijpen dat zelfs 0days onmogelijk worden (als ze uit beta tests zijn en meerdere ervaren onderzoekers gaat helpen de foutjes eruit te vissen). denkje in dat systemen tegenwoordig met meerdere cores zijn uitgerust en in de toekomst zal iedereen een 'Super computer' bezitten. en de mogelijkheden zowel voor beveiligings onderzoekers als voor hackers beter zal worden. Misschien een soort OS waar binnen alles onafhankelijk zal draaien, misschien voor alles een VM achtig iets zal worden gedraait waardoor deze ransoms alleen op enkel 1 plek in het systeem kan werken of juist helemaal niet. dat word dus al snel glazenbol kijkwerk.

updaten enz is ook niet voldoende, daarom bood ik ook ExploitShield als secondary security level aan. 't is niet perfect, maar hé wat wel? t enige wat we kunnen doen is de koppen bijelkaar steken, vanelkaar te leren en ons daarop aan te passen. alleen dan kunnen wij zeggen dat we stukken veiliger zijn.
31-01-2013, 23:43 door Anoniem
Door Security Scene Team: ......... Misschien een soort OS waar binnen alles onafhankelijk zal draaien, misschien voor alles een VM achtig iets zal worden gedraait waardoor deze ransoms alleen op enkel 1 plek in het systeem kan werken of juist helemaal niet. dat word dus al snel glazenbol kijkwerk.................

Bestaat al: http://qubes-os.org
01-02-2013, 13:48 door Security Scene Team
Door Anoniem:
Door Security Scene Team: ......... Misschien een soort OS waar binnen alles onafhankelijk zal draaien, misschien voor alles een VM achtig iets zal worden gedraait waardoor deze ransoms alleen op enkel 1 plek in het systeem kan werken of juist helemaal niet. dat word dus al snel glazenbol kijkwerk.................

Bestaat al: http://qubes-os.org

ik weet het, maar nog niet zo geadvanceerd als werd voorgehouden in mijn reactie. als dat wél zo was had het alle dreiging allang weggenomen. vandaar dat ik ook zei "dat word als snel glazenbol kijkwerk." maar je hebt gelijk, vandaar de +1,
01-02-2013, 15:30 door Anoniem
Snelle oplossing voor deactiveren politie virus.


BIOS DATUM TERUG ZETTEN
REBOOT


Graag gedaan.
02-02-2013, 15:28 door Anoniem
waar zijn die links gebleven om het politievirus te verwijderen?
heb kasperski en avg rescuabootdisk gedownload maar die lopen beide vast in de opstartfase.
nog meer tips? (voordta ik ga formatteren enzo?
heb de hdd al in andere pc gezet om de data veilig te stellen.
alvast bedankt
17-02-2013, 18:18 door Anoniem
Ik heb zelf een avast! virusprogramma erop staan en deze meldden dat het "trojan paard" was geblokkeerd. Toch kreeg de melding te zien om 100 euro te betalen, niks meegedaan natuurlijk. Is mijn laptop nu eigenlijk nog veilig?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.