Ransomware versleutelt offline computers
In het geval van een ransomware-infectie kan het helpen om de internetverbinding te verbreken, om zo het versleutelen van bestanden te voorkomen, maar onderzoekers hebben een variant ontdekt die ook werkt bij computers die offline zijn. Het gaat om ransomware gericht op Russische internetgebruikers.
De ransomware versleutelt bestanden en verandert de wallpaper van de computer. "Hoewel de meeste ransomware een internetverbinding vereist en een succesvolle verbinding met de C&C-servers voordat de encryptie begint, vereist dit exemplaar geen internetverbinding om bestanden te versleutelen en de gijzelboodschap te tonen", aldus beveiligingsbedrijf Check Point.
Volgens de onderzoekers houdt dit in dat er geen encryptiesleutel tussen de besmette computer en aanvaller wordt uitgewisseld, wat één mogelijkheid om de aanval te stoppen voorkomt. De ransomware vraagt een losgeldbedrag van 290 euro op de eerste dag van de infectie. Een dag later moeten slachtoffers al 360 euro voor de decryptiesleutel betalen. Voor de encryptie worden er twee niveaus van RSA-encryptie gebruikt. Zoals gezegd kan de ransomware lokaal de bestanden versleutelen zonder eerst de C&C-server te benaderen.
Om de bestanden te ontsleutelen moet de aanvaller wel eerst een bestand van de besmette machine ontvangen. Daarbij is het niet haalbaar om de RSA-encryptie zonder de privésleutel van de aanvaller te ontsleutelen. Dit zou volgens Check Point naar schatting 2 jaar in beslag nemen een veel computers vereisen. Het betalen van het losgeld is dan ook de enige manier om de versleutelde bestanden terug te krijgen, zo stelt het bedrijf. Hoewel het beveiligingsbedrijf nu pas bericht over de ransomware blijkt die al sinds vorig jaar juni te bestaan en vooral in Rusland actief te zijn.
Als deze niet wordt opgeslagen op de C&C dan zou deze toch ergens op de PC zelf te vinden moeten zijn? Zij het RAM, als een file, of hardcoded in de malware zelf?
Ik ben absoluut geen expert op het gebied van reverse engineering en/of crypto , maar kan iemand aangeven of mijn beredenering klopt, Zo niet, waar ga ik de mist in?
De malware maakt gebruikt van asymmetrische crytografie. Daarmee kun je gegevens versleutelen met een publieke sleutel en alleen weer ontsleutelen met de bijbehorende privésleutel.
De publieke sleutel zal wel in de malware ingebed zijn (zodat 'ie niet apart gedownload hoeft te worden).
Wat ik vermoed is dat de malware eerst alle bestanden versleutelt met symmetrische cryptografie (zoals AES) en daarna de symmetrische encryptiesleutel versleutelt met de publieke sleutel van de malwaremaker en daarna de onversleutelde symmetrische sleutel verwijdert. De privésleutel van de malwaremakers verlaat nooit hun server.
Wanneer een slachtoffer bestanden wil ontsleutelen, dan ontsleutelt de malwaremaker (na betaling) met de op zijn servers opgeslagen privésleutel de symmetrische encryptiesleutel en geeft deze aan het slachtoffer. (De privésleutel houdt 'ie uiteraard zelf, omdat het privé- en publieke sleutelpaar ook bij andere slachtoffers gebruikt is.) Het slachtoffer kan nu met de symmetrische sleutel zijn bestanden ontsleutelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!