image

Ransomware versleutelt offline computers

donderdag 5 november 2015, 10:48 door Redactie, 5 reacties

In het geval van een ransomware-infectie kan het helpen om de internetverbinding te verbreken, om zo het versleutelen van bestanden te voorkomen, maar onderzoekers hebben een variant ontdekt die ook werkt bij computers die offline zijn. Het gaat om ransomware gericht op Russische internetgebruikers.

De ransomware versleutelt bestanden en verandert de wallpaper van de computer. "Hoewel de meeste ransomware een internetverbinding vereist en een succesvolle verbinding met de C&C-servers voordat de encryptie begint, vereist dit exemplaar geen internetverbinding om bestanden te versleutelen en de gijzelboodschap te tonen", aldus beveiligingsbedrijf Check Point.

Volgens de onderzoekers houdt dit in dat er geen encryptiesleutel tussen de besmette computer en aanvaller wordt uitgewisseld, wat één mogelijkheid om de aanval te stoppen voorkomt. De ransomware vraagt een losgeldbedrag van 290 euro op de eerste dag van de infectie. Een dag later moeten slachtoffers al 360 euro voor de decryptiesleutel betalen. Voor de encryptie worden er twee niveaus van RSA-encryptie gebruikt. Zoals gezegd kan de ransomware lokaal de bestanden versleutelen zonder eerst de C&C-server te benaderen.

Om de bestanden te ontsleutelen moet de aanvaller wel eerst een bestand van de besmette machine ontvangen. Daarbij is het niet haalbaar om de RSA-encryptie zonder de privésleutel van de aanvaller te ontsleutelen. Dit zou volgens Check Point naar schatting 2 jaar in beslag nemen een veel computers vereisen. Het betalen van het losgeld is dan ook de enige manier om de versleutelde bestanden terug te krijgen, zo stelt het bedrijf. Hoewel het beveiligingsbedrijf nu pas bericht over de ransomware blijkt die al sinds vorig jaar juni te bestaan en vooral in Rusland actief te zijn.

Reacties (5)
05-11-2015, 12:22 door Anoniem
Ik snap dit niet. Als er geen verbinding gemaakt wordt met een C&C en er toch asymmetrische encryptie gebruikt wordt, dan moet toch ergens een decryptiesleutel bekend zijn?

Als deze niet wordt opgeslagen op de C&C dan zou deze toch ergens op de PC zelf te vinden moeten zijn? Zij het RAM, als een file, of hardcoded in de malware zelf?

Ik ben absoluut geen expert op het gebied van reverse engineering en/of crypto , maar kan iemand aangeven of mijn beredenering klopt, Zo niet, waar ga ik de mist in?
05-11-2015, 12:35 door Anoniem
Ik neem aan dat het probleem zich zoals gebruikelijk beperkt tot het Microsoft Windows ecosysteem.
05-11-2015, 13:20 door Anoniem
@Anoniem 12:22
De malware maakt gebruikt van asymmetrische crytografie. Daarmee kun je gegevens versleutelen met een publieke sleutel en alleen weer ontsleutelen met de bijbehorende privésleutel.

De publieke sleutel zal wel in de malware ingebed zijn (zodat 'ie niet apart gedownload hoeft te worden).

Wat ik vermoed is dat de malware eerst alle bestanden versleutelt met symmetrische cryptografie (zoals AES) en daarna de symmetrische encryptiesleutel versleutelt met de publieke sleutel van de malwaremaker en daarna de onversleutelde symmetrische sleutel verwijdert. De privésleutel van de malwaremakers verlaat nooit hun server.

Wanneer een slachtoffer bestanden wil ontsleutelen, dan ontsleutelt de malwaremaker (na betaling) met de op zijn servers opgeslagen privésleutel de symmetrische encryptiesleutel en geeft deze aan het slachtoffer. (De privésleutel houdt 'ie uiteraard zelf, omdat het privé- en publieke sleutelpaar ook bij andere slachtoffers gebruikt is.) Het slachtoffer kan nu met de symmetrische sleutel zijn bestanden ontsleutelen.
05-11-2015, 20:57 door karma4
Door Anoniem: Ik neem aan dat het probleem zich zoals gebruikelijk beperkt tot het Microsoft Windows ecosysteem.
Waahhh Het gaat om sottware, malware is software. Waarom zou dat afhankelijk zijn van internet om op een computer te draaien. Er was een tijd dat er geen internet en wel computers waren. Synolock (Linux) vergeten ?
06-11-2015, 09:25 door Anoniem
Door Anoniem: Ik neem aan dat het probleem zich zoals gebruikelijk beperkt tot het Microsoft Windows ecosysteem.

Gelieve de trol niet te voeren mensen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.