image

Nederlanders nieuw doelwit van bijzondere ransomware

maandag 29 december 2014, 09:33 door Redactie, 11 reacties

Onderzoekers hebben een nieuwe variant van een bijzondere ransomware ontdekt die zich nu ook specifiek op Nederlandse internetgebruikers richt. Het gaat om CTB-Locker, wat staat voor Curve-Tor-Bitcoin, die halverwege juli voor het eerst verscheen en bestanden voor losgeld versleutelt.

CTB-Locker, door Microsoft Critroni genoemd, valt op vanwege de gebruikte werkwijze. Zo gebruikt de ransomware het Tor-netwerk om met besmette computers te communiceren. In plaats van het bestand Tor.exe te gebruiken, zoals door andere malware wordt gedaan, heeft de maker van CTB-Locker de code van Tor onderdeel van de ransomware-code gemaakt.

Waar de ransomware ook een ander pad inslaat is bij de gebruikte encryptie. De meeste ransomware gebruikt een combinatie van AES- en RSA-encryptie om de bestanden van slachtoffers te versleutelen. CTB-Locker gebruikt een asymmetrisch cryptografisch protocol bekend als ECDH (Elliptic curve Diffie-Hellman). Een andere nieuwe ontwikkeling die voor het eerst bij de CoinVault-ransomware werd gezien is het gratis ontsleutelen van bestanden. Liet CoinVault slachtoffers één bestand kosteloos ontsleutelen, CTB-Locker ontsleutelt gratis vijf bestanden.

De ransomware wordt onder andere verspreid via gehackte WordPress-sites. Op de websites wordt kwaadaardige code geplaatst die gebruik maakt van beveiligingslekken. Het is echter onbekend om welke kwetsbaarheden het precies gaat. In het geval de aanval succesvol is wordt CTB-Locker op het systeem geplaatst en zal de ransomware aanwezige bestanden versleutelen. Beveiligingsonderzoeker 'Kafeine' van het blog Malware Don't Need Coffee ontdekte de nieuwste variant, die naast het Nederlands ook Italiaans ondersteunt.

Image

Reacties (11)
29-12-2014, 14:02 door Anoniem
[Verwijderd door moderator]
29-12-2014, 14:06 door JanAnoniem
Ik heb mijn belangrijke data op een tweede (interne) hardeschijf staan, wordt die schijf door deze ransomware ook versleuteld?
29-12-2014, 14:13 door Anoniem
Door WebmasterT: Ik heb mijn belangrijke data op een tweede (interne) hardeschijf staan, wordt die schijf door deze ransomware ook versleuteld?

Zelfs eventuele als netwerkschijf gekoppelde cloud-diensten (Google Drive, MS SkyDrive, DropBox etc) zijn niet veilig; iedere (netwerk)schijf met een letter waar je mag schrijven is een potentiëel doelwit.
29-12-2014, 14:36 door Anoniem
Door WebmasterT: Ik heb mijn belangrijke data op een tweede (interne) hardeschijf staan, wordt die schijf door deze ransomware ook versleuteld?
Ja.

Netwerkschijven en andere netwerklocaties waarvan de credentials door windows zijn opgeslagen ook. In principe alles waar jij als gebruiker bij kan komt cryptoware ook bij.

Best practice zou zijn backups te maken vanaf een live-cd naar een externe harde schijf, en deze externe harde schijf alleen aangesloten te hebben wanneer je vanaf de live cd geboot bent.
29-12-2014, 15:01 door Anoniem
Zou zeker kunnen. Daarom: "Backups maken"!!! en deze geisoleerd bewaren op een ontkoppelde netwerkschijf.

Wordt w.m.b. tijd dat die idioten die deze onzin maken keihard aangepakt worden. Desnoods met boetes dat ze hun hele leven lang in de schuldsanering zitten.
29-12-2014, 15:22 door Whacko
Door WebmasterT: Ik heb mijn belangrijke data op een tweede (interne) hardeschijf staan, wordt die schijf door deze ransomware ook versleuteld?

als je pc besmet is, wordt alles wat er in en aan hangt versleuteld. Dus ook Externe harddisks of usb sticks. Zelfs netwerk shares zijn vaak niet veilig.
29-12-2014, 16:42 door Anoniem
Door WebmasterT: Ik heb mijn belangrijke data op een tweede (interne) hardeschijf staan, wordt die schijf door deze ransomware ook versleuteld?
Dat is nogal afhankelijk van je configuratie, maar als je de beoogde data kan bereiken vanuit het OS dat besmet wordt, is de kans groot dat dat ook daadwerkelijk gebeurt.

Ook NAS, cloud en andere soorten niet-lokale opslag zijn niet per definitie veilig, zoals Whacko al meldt.
29-12-2014, 19:06 door Anoniem
Met schuldsanering komen ze nog steeds weg. Kaalplukken zodat ze de rest van hun leven geen cent meer te maken hebben moeten ze dat volk.
29-12-2014, 20:58 door Anoniem
Heb het over 4 maand binnen gekregen het virus . en alles word versleuteld foto , word bestanden, jpg bestanden.
heb gewoon de berstanden in een map gezet en wacht achter en oplossing daar ik ergens gelezen had dat eens en sleutel zal komen die het kan oplossen. heb en format C gedaan en van 0 terug moeten beginnen.
heb :Malwarebytes Anti-Malware , HitmanPro, SpyHunter, Loaris Trojan Remover, allemaal getest is met niets klein te krijgen.

zij die weten hoe je het wel kan oplossen laat hier iets weten AUB.
07-01-2015, 03:25 door Anoniem
Ach, dat gezwets over kaalplukken en schuldsanering...

De mensen achter de schermen zitten op de Opper-Patagonische Laagvlakte, in Oehoeboeroestan en op de Noord Propaanse eilanden. Ik zie er al Nederlandse overvalwagens naar toe gaan...

Gewoon niet te veel dingen aan elkaar knpen (cloud!!) en backus maken na controle van de intergriteit van data. Hiervoor de boel loskoppelen van het netwerk, fysiek verbinding met het back-up medium maken, backupmedia afkoppelen en de zaak weer aansluiten op het netwerk. En altijd afwisselende backups op minimaal twee media maken.

En vooral geen domme dingen doen door lukraak overal op te klikken...
12-01-2015, 14:33 door Anoniem
Door Anoniem: Heb het over 4 maand binnen gekregen het virus . en alles word versleuteld foto , word bestanden, jpg bestanden.
heb gewoon de berstanden in een map gezet en wacht achter en oplossing daar ik ergens gelezen had dat eens en sleutel zal komen die het kan oplossen. heb en format C gedaan en van 0 terug moeten beginnen.
heb :Malwarebytes Anti-Malware , HitmanPro, SpyHunter, Loaris Trojan Remover, allemaal getest is met niets klein te krijgen.

zij die weten hoe je het wel kan oplossen laat hier iets weten AUB.
Lees hier kijk op emisoft of gebruik de link wie weet??
http://blog.emsisoft.com/2015/01/04/new-ransomware-alert-cryptolocker-copycat-pclock-discovered/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.