image

Politievirus maakt slachtoffers gek met computerstem

zondag 10 februari 2013, 14:44 door Redactie, 5 reacties

Er is een nieuwe variant van de Cbeplay.P ransomware ontdekt die slachtoffers elke 35 seconden via de speakers laat weten dat er illegale activiteiten op de computer zijn waargenomen. Ransomware, ook bekend als politievirussen, vergrendelen de computer en tonen een melding dat de gebruiker zich met illegale activiteiten heeft beziggehouden.

Om weer toegang tot de pc te krijgen moet er eerst een boete worden betaald. In december verscheen een variant van de Reveton ransomware die slachtoffers in verschillende talen instructies gaf, waaronder het Nederlands. De Nederlandse versie was duidelijk door een individu ingesproken.

De pratende politievirussen waren geen succes, want twee weken later stoptee Reveton met praten. De makers van Cbeplay.P hebben de functionaliteit toch aan hun laatste variant toegevoegd. Het gaat hier om een computerstem die zichzelf elke 35 seconden herhaalt en tekst 'Attention illegal Activity has been detected on your computer' laat horen. De pratende versie zou alleen tegen Britse internetgebruikers zijn gericht.

Cbeplay verspreidt zich via de Cool EK exploit-kits, die beveiligingslekken uit 2011 en 2012 gebruikt om computers via drive-by downloads te infecteren, aldus het securityblog Malware Don't Need Coffee.

Reacties (5)
10-02-2013, 15:07 door yobi
Raakt men nog besmet na het verwijderen van Java en het uitschakelen van Java-script in Adobe-reader?
10-02-2013, 15:34 door Anoniem
Door yobi: Raakt men nog besmet na het verwijderen van Java en het uitschakelen van Java-script in Adobe-reader?

Dat ligt er aan hoe het virus verspreid word.
10-02-2013, 15:53 door Security Scene Team
Yobi,

in princiepe niet nee, hoewel er ook gebruik word gemaakt van windows exploits. de exploitkits (vaak blackhole, Phoenix, CrimePack) kiezen welke exploit het beste past bij jou systeem. een volledig gepatched systeem die Java & flash hebben uitgeschakeld zijn moeilijker te infecten. maar zeg nooit, nooit is mijn ervaring. richt je niet alleen op het uitschakelen van java en flash. Probeer eens Exploitshield, deze houd ook windows Exploits tegen. hoewel er exploits bestaan die ook exploitshield kunnen bypassen (nooit 100% veiligheid)

als je een beetje overweg kunt met de engelse taal, raad ik je aan om eens een kijkje te nemen op sorry-geenlinkmeer.info 't is een Reverse engineerders forum, en ze zijn gericht om het aanpakken van malwares en hoe deze te verwijderen.
Ook Alle Ransomwares worden besproken ook de KLPD ransomwares, en de ukcash malwares. zoals de ransomware hierboven, staat er ook tussen, met unlocking codes ofc ;)

P.s dit is een screenlocker, lang niet alles word volledig encrypted, omdat encrypten een tijdrovend proces is, en nooit behaald kan worden door (alle) ransomwares (vaak de eerste 20bytes). (ook methodes om niet alleen de ransomware te verwijderen, maar ook het decrypten van bestanden word er besproken) ook MBR ransomwares beginnen populair te worden omdat die moeilijker te verwijderen zijn. meer daarover bespreken op sorrygeenlinkmeer.info
Succes.

p.s. begrijp me niet verkeerd, er zijn ransoms die gebruikmaken van 1024 & 2024bit. maar die heb ik nog nooit gezien inomloop in nederland.
edit:
mochten er mensen zijn met encrypted bestanden, probeer deze tools (na t verwijderen van de trojan/ransom)
(rannoh trojan encryptie methode)

ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
http://support.kaspersky.com/downloads/utils/rannohdecryptor.zip
http://www.eset.com/de/download/utilities/detail/family/145/
http://www.avira.com/files/support/FAQ_KB_Download_Files/EN/ransom_file_unlocker.zip

nogmaals edit:
Sorry van de link, maar de site administrator van de link wil niet dat alles voor t oprapen ligt voor elke scriptkid. dit vanwege de cracked malware samples, die misbruikt worden door scriptkids om hun eigen botnet te bouwen. graag uw begrip hiervoor, ik had eerst moeten vragen voor het doorverwezen mocht worden.

Nog keer Edit:

https://www.security.nl/artikel/45113/1/Ransomware_Helper.html
10-02-2013, 17:44 door yobi
Bedankt voor het antwoord, daar hebben veel mensen wat aan.
11-02-2013, 17:16 door Anoniem
Ik heb al een 3tal weken geleden java verwijderd en voorlopig nog niet nodig gehad :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.