image

GnuPG-ransomware wist bestanden met Microsoft-tool

vrijdag 21 november 2014, 12:15 door Redactie, 6 reacties
Laatst bijgewerkt: 21-11-2014, 15:04

Een ransomware-variant die bestanden via een opensourceprogramma versleutelt gebruikt vervolgens een tool van Microsoft om de onversleutelde originele bestanden permanent te wissen. Het gaat om de Ransomcrypt-ransomware die in augustus voor het eerst werd ontdekt en zich op Russisch sprekende gebruikers richtte. De nieuwste variant heeft het echter op Engelstalige gebruikers voorzien.

Ransomcrypt verspreidt zich via e-mails met als bijlage een zip-bestand. Het zip-bestand lijkt een Word-document te bevatten, maar dit is in werkelijkheid een JavaScript-bestand. Als de gebruikt dit bestand opent worden verschillende programma's gedownload, namelijk het opensourceprogramma GnuPG voor het versleutelen van bestanden, Microsoft SDelete voor het permanent wissen van de originele bestanden, een Windows commandscript dat de encryptie uitvoert en een bericht voor de gebruiker achterlaat en een Adclicker Trojan die in de achtergrond continu op advertenties klikt.

GnuPG is een opensource-implementatie van de OpenPGP-standaard. Bij het versleutelen van de bestanden met GnuPG bewaart de ransomware de decryptiesleutel in twee versleutelde bestanden op de computer. Om de bestanden te ontsleutelen moeten slachtoffers deze twee bestanden naar een e-mailadres sturen. De ransomwareschrijver kan deze bestanden vervolgens ontsleutelen en zo de decryptiesleutel naar het slachtoffer terugsturen, die hiermee de bestanden op zijn computer kan terugkrijgen.

Gevaarlijk

Volgens Lawrence Abrams van het computerforum Bleeping Computer is de Ransomcrypt zeer gevaarlijk omdat de ransomware zo mobiel is. Er wordt bijvoorbeeld geen Command & Control-server gebruikt die autoriteiten uit de lucht kunnen halen. De ransomwareschrijver hoeft slechts één encryptiesleutel bij zich te dragen voor het ontsleutelen van de decryptiesleutels van besmette computers. En deze decryptiesleutels worden weer per e-mail verstuurd.

Het zou op dit moment niet mogelijk zijn om versleutelde bestanden te herstellen, tenzij slachtoffers over een back-up beschikken. Verder adviseert Abrams Symantec's Norton Script Disabler/Disabler, dat de Windows scriptinghost op computers uitschakelt, zodat JS-bestanden niet meer kunnen worden geladen.

Reacties (6)
21-11-2014, 12:39 door Anoniem
Symantec's NoScript tool ?

NoScript is van G. Malone.
Is dit niet een ongeoorloofde vorm van 'naamkaping' door symantec?
21-11-2014, 12:47 door Anoniem
Twee dingen om te checken bij een sample:

01. Start dit eenmalig op is het ook actief na opstarten? Het lijkt op de werking van GPCode, als je de pc op tijd uitschakelde was je er (deels) van verlost omdat het geen auto-start mogelijkheid had ingebouwd.

02. Wordt het sleutel-bestand na elke file geupdate / versleuteld of pas na afloop versleuteld? Ook hier, indien je het op tijd opmerkt kun je wellicht de pc uitschakelen en je bestanden redden.
21-11-2014, 12:51 door Anoniem
Maakt het uit dat deze malware open source gebruikt? Aangezien het tool ernaast niet open source is en voor hetzelfde doel wordt ingezet, lijkt me dat redelijk irrelevant.

Het diepere probleem is veeleer dat "openen" en "uitvoeren" nauwlijks te onderscheiden zijn onder windows, en dat het systeem zich in de vreemdste bochen wringt om toch maar de gekste dingen ongevraagd uit te voeren, ook als die instructies uit wildvreemde bron afkomstig zijn. Dat is nou niet echt het summum van controle bij de gebruiker leggen.

Want uiteindelijk komt allerlei rotzooi toch wel binnen, en dus heeft het dan zin om een systeem te hebben wat niet "gebruiksvriendelijk" wil zijn en "alvast" maar vanalles te gaan doen met wat er is binnengehaald. Je hebt zelfs derdepartijsoftware nodig om daar een stokje voor te steken en eerst eens op virusen te scannen.
21-11-2014, 14:54 door Spiff has left the building - Bijgewerkt: 21-11-2014, 15:22
Door Redactie, 12:15uur:
Verder adviseert Abrams Symantec NoScript, dat de Windows scriptinghost op computers uitschakelt, zodat JS-bestanden niet meer kunnen worden geladen.
Door Anoniem, 12:39 uur:
Symantec's NoScript tool?
NoScript is van G. Malone.
Is dit niet een ongeoorloofde vorm van 'naamkaping' door Symantec?

Symantec noemt het zelf "Norton Script Disabler/Disabler".
noscript.exe is slechts de bestandsnaam, niet de formele naam van het tooltje.
Zie:
http://www.bleepingcomputer.com/forums/t/556942/keybtc-a-simple-yet-effective-encrypting-ransomware/
--> http://www.bleepstatic.com/swr-guides/k/keybtc/noscript.jpg

Opvallend is overigens dat de Symantec download-optie voor "Norton Script Disabler/Disabler" nog beschikbaar is,
maar dat via de Symantec site momenteel nergens meer enige verwijzing naar "Norton Script Disabler/Disabler" of "noscript.exe" te vinden is.

Ten slotte -
Wat met de "Norton Script Disabler/Disabler" tool is uit te voeren, is ook te bereiken met een register-aanpassing in HKEY_LOCAL_MACHINE
Zie:
"Disabling Windows Script Host"
http://technet.microsoft.com/en-us/library/ee198684.aspx
21-11-2014, 17:06 door PureFox
En HitManPro Alert? In hoeverre beschermt die hiertegen? Het bedrijf Surfright beweert dat dit product beschermt tegen cryptolocker. http://www.surfright.nl/nl/cryptoguard. Iemand er ervaring mee?
21-11-2014, 18:11 door Spiff has left the building
Door PureFox, 17:06 uur:
En HitManPro Alert? In hoeverre beschermt die hiertegen? Het bedrijf Surfright beweert dat dit product beschermt tegen cryptolocker. http://www.surfright.nl/nl/cryptoguard.
Iemand er ervaring mee?
Wel met HitmanPro.Alert, de huidige stable version 2.6.5.77.
Maar ik heb die zelf nooit getest met crypto ransomware, laat staat met de bovengenoemde Ransomcrypt, dus ik kan je niet uit ervaring vertellen of het die blokkeert.
Je zou eventueel kunnen informeren in de HitmanPro.Alert Support and Discussion Thread op Wilders Security Forums:
http://www.wilderssecurity.com/threads/hitmanpro-alert-support-and-discussion-thread.324841/
Al gaat de discussie daar momenteel doorgaans niet over de stable version 2.6.5.77, maar over de HitmanPro.Alert 3 Community Technology Preview.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.