image

Politie helpt honderden ransomware-slachtoffers met decryptie

woensdag 24 augustus 2016, 11:41 door Redactie, 8 reacties

De politie heeft de afgelopen maand honderden slachtoffers van ransomware met het ontsleutelen van hun bestanden geholpen. Via de website NoMoreRansom biedt de politie verschillende decryptietools aan. Gisteren werd er een decryptietool voor de op Nederland gerichte WildFire-ransomware toegevoegd.

De website werd een maand geleden gelanceerd en moet slachtoffers zowel helpen bij het ontsleutelen van bestanden als het voorkomen van infecties. Toch lijkt het dat, gezien het door de politie genoemde aantal, veel slachtoffers de website nog niet weten te vinden, hun bestanden zelf al via een back-up hebben teruggezet of het losgeld hebben betaald. NoMoreRansom helpt slachtoffers van de ransomware-varianten Shade, WildFire, Chimera, CoinVault, TeslaCrypt, Rannoh en Rakhni.

In het geval van Shade ging het om 160.000 slachtoffers. CoinVault besmette 15.000 systemen, terwijl WildFire 5900 slachtoffers maakte. Het aantal infecties door TeslaCrypt is onbekend. De maker besloot uiteindelijk zelf de decryptiesleutel online te zetten. Van de Chimera-ransomware werden 3500 decryptiesleutels door een concurrerende ransomwaremaker op internet gepubliceerd. De politie gebruikte deze sleutels vervolgens voor NoMoreRansom. Cijfers over Rannoh en Rakhni zijn ook onbekend.

Onderzoeker Jornt van der Wiel van het Russische anti-virusbedrijf Kaspersky Lab liet eerder aan Security.NL weten dat hopelijk meer partijen met NoMoreRansom gaan meedoen. "Als er meer partijen meedoen en mensen meer informatie met de politie delen, dan kunnen ze meer servers in beslag nemen. En hoe meer servers we in beslag nemen, en hoe meer decryptietools worden gemaakt, des te kleiner wordt de kans dat mensen zullen betalen, omdat ze dan zullen hopen dat er mogelijk in de toekomst een decryptietool zal verschijnen."

Reacties (8)
24-08-2016, 14:49 door Anoniem
Overheid blijft 'liegen' over ransomware

Wel goed
"Als er meer partijen meedoen en mensen meer informatie met de politie delen, dan kunnen ze meer servers in beslag nemen. En hoe meer servers we in beslag nemen, en hoe meer decryptietools worden gemaakt, des te kleiner wordt de kans dat mensen zullen betalen, omdat ze dan zullen hopen dat er mogelijk in de toekomst een decryptietool zal verschijnen."

Zeer fout! Misleidend!
nomoreransom.org

* The general advice is not to pay the ransom. By sending your money to cybercriminals you’ll only confirm that ransomware works, and there’s no guarantee you’ll get the decryption key you need in return.

Naar de letter klopt deze tekst maar naar de geest niet.
Dat is misleidend en de overheid hoort niet te misleiden!

Bekend is namelijk dat de kans zeer groot is dat je je bestanden terugkrijgt als je betaalt. Het feit dat die kans op terugkrijgen zeer groot is draagt een overtuigend zekere succes garantie in zich.

Omgekeerd, als je niet betaalt was de kans 100% dat je je bestanden niet terugkrijgt.
Als je wel betaalt is de kans op terugkrijgen 90 / 95 % ?
Dat percentage van 90 / 95 % haalt die nieuwe site vermoedelijk bij lange na nog niet, kom maar op heren met jullie cijfers.

De tegenoplossing is/lijkt bepaald nog lang niet zaligmakend.
Criminelen maken echter fouten bij eerste nieuwe versies van nieuwe ransomware en het zijn die versies waarvoor soms decryptie oplossingen worden gevonden.
Met een versie 2.0 van betreffende ransomware is de decryptie mogelijkheid weer uitgesloten.
Wees daar eerlijk over.

Het belang van de overheid om criminaliteit uit te sluiten en niet te voeden is begrijpelijk.
Aan burgers een offer te vragen in de vorm van hun eigen bestanden voorgoed op te geven is een irreëel hoog offer om te vragen.
Wanneer je daar een schepje bovenop doet door uit eigenbelang te suggereren dat betalen niet helpt, dus om te voorkomen dat mensen hun bestanden terugkrijgen terwijl die kans er zeer zeker wel in zit, ben je heel verkeerd bezig.

Je bent dan verkeerd bezig omdat je burgers bewust misleidt terwijl er informatie beschikbaar is die het tegenovergestelde aantoont!

Een overheid hoort eerlijk te communiceren.
Een overheid hoort bij haar gecommuniceerde conclusies de burger te overtuigen door waarheidsgetrouwe informatie te verstrekken.
Dat betekent dat je je conclusies baseert op juiste informatie en statistiek.
De meest juiste informatie op dit moment is dat als je betaalt je zeer hoogstwaarschijnlijk je bestanden terugkrijgt.
Dat kan je als overheid wel niet willen maar het doel hoort niet de middelen te heiligen, het tegenovergestelde suggereren met slim bedachte formuleringen en twijfel te zaaien.

Twijfel zaaien valt onder?
FUD = Fear, uncertainty and doubt
Dat is angst, onzekerheid en twijfel zaaien uit eigenbelang in plaats van werkelijk accurate en kloppende informatie geven.
https://en.wikipedia.org/wiki/Fear,_uncertainty_and_doubt

Helaas is het dus zo dat je de informatievoorziening uit die hoek nooit zomaar moet geloven.
Fact checken en weerwoord geven is helaas nodig.

Laat burgers op basis van juiste informatie zelf hun afweging maken.
Want het is onvergefelijk als mensen zeer waardevolle bestanden niet terugkrijgen omdat er gesuggereerd werd dat het geen zin had.
De overheid gaat niet over de emotionele waardebepaling van eigendommen van burgers en moet ook niet op die plek gaan zitten door misleidende informatie te verspreiden!!!

Vertrouwen gaat op deze manier te paard en zal op termijn slechts schoorvoetend langzaam terugkomen.

Dit soort methoden dienen te worden gestaakt!
24-08-2016, 16:44 door Anoniem
Naar de letter klopt deze tekst maar naar de geest niet.
Dat is misleidend en de overheid hoort niet te misleiden!

Bekend is namelijk dat de kans zeer groot is dat je je bestanden terugkrijgt als je betaalt. Het feit dat die kans op terugkrijgen zeer groot is draagt een overtuigend zekere succes garantie in zich.

Ben het er mee eens dat de overheid niet hoort te misleiden... maar ben het er niet mee eens dat dit misleidend is.

Het klopt dat de kans groot is dat je je bestanden terugkrijgt bij betaling, alleen garanties zijn er niet...

Het enige wat je zeker weet is dat als je betaalt zal ransomware door blijven gaan... mensen betalen immers. Door zowel zakelijk als privé een goede recente back-up te hebben hoef je geen zorgen te maken over het terugkrijgen van je bestanden en documenten... en betalen is dan niet nodig, het kost je alleen wat tijd om de back-up terug te zetten.
24-08-2016, 17:31 door Anoniem
De juiste informative is dat het op de lange termijn voor iedereen beter is om NIET te betalen.

Het is vergelijkbaar met de golf aan vliegtuig kapingen die er 40 jaar geleden was. Doordat landen consequent weigerden op de eisen in te gaan kwamen de terroristen er achter dat die method niet hielp en zijn ze er mee gestopt. Het is nu zeer zeldzaam.

Het advise is juist. De vraag is of jij de lange termijn visie hebt en hoe egoïstisch je bent.
24-08-2016, 19:05 door Anoniem
Dat nog niet alle slachtoffers de site hebben weten te vinden;

Dat is ook een lastig punt. Ze zijn "er" eerder in getrapt, dus een mailtje van "de politie"[1] die verwijst naar een veelbelovende website... Al juich ik de actie op zich natuurlijk ook van harte toe.

1
Ik weet niet hoe de eventuele communicatie verloopt, maar weet wel dat ik zelf nogal wantrouwend zou zijn na een dergelijk akkefietje.
24-08-2016, 20:49 door Anoniem
Door Anoniem: De juiste informative is dat het op de lange termijn voor iedereen beter is om NIET te betalen.

Niet veel mensen zijn bereid om zichzelf persoonlijk op te offeren om de samenleving als geheel op de lange duur een
voordeeltje te gunnen. En zeker niet als ze een gokje kunnen wagen om dat opofferen te voorkomen. Daarom is het
inderdaad misleidend om de mensen te verleiden niet te betalen onder het voorwendsel dat het geen succes garandeert.

Je kunt ook zeggen dat als je een ernstige en erfelijke of overdraagbare ziekte hebt je beter geen behandeling kunt
vragen en er aan dood moet gaan, omdat je daarmee voorkomt dat jouw erfelijke materiaal overgedragen wordt op
anderen die ook die ziekte kunnen krijgen. De menselijkheid is dan beter af. Maar toch worden ziekten bestreden
en zegt de overheid niet dat een behandeling ontraden wordt omdat die geen succes garandeert.

Daarnaast is het ook nog eens linke soep dat de politie deze keys in beslag genomen heeft en nu in bezit heeft.
Voor je het weet zijn ze ze kwijt. Vraag maar aan de ombudsman.
24-08-2016, 21:47 door Anoniem
De politie doet hier op digitaal vlak iets ten gunste van de burger. Dat verdient een compliment.

Dat gezegd hebbende, slachtoffers van ransomware zijn in de praktijk meestal mensen die alle regels voor veilig internetten aan hun laars lappen, alle bijlagen zonder te denken openen en het zelfs voor elkaar krijgen 3x maal in 2 maanden besmet te raken terwijl hun Back-up al meer dan een jaar niet meer loopt omdat de doelschijf defect is.

Moraal: als je niet besmet wordt dan hoef je ook niet te betalen en als het je gelukt is ransomware op je computer te krijgen dan staat deze waarschijnlijk ook propvol met andere, onzichtbare malware en spyware.

Waarom zou je nu eigenlijk een factuur openen van een bedrijf wiens naam je niets zegt, uit een land waar je geen zaken mee doet?

Naast een decryptietool kan je ook de schijf als read-only mouten en met forensische tools naar verwijderde bestanden zoeken. Als een bestand wordt versleuteld dan wordt er eerst een nieuw, versleuteld bestand aangemaakt waarna het orgineel vervolgens wordt verwijderd. Sommige ransomware vergeet de lege ruimte te overschrijven waardoor veel bestanden nog teruggehaald kunnen worden.
25-08-2016, 09:30 door Anoniem
Je kunt ook zeggen dat als je een ernstige en erfelijke of overdraagbare ziekte hebt je beter geen behandeling kunt
vragen en er aan dood moet gaan, omdat je daarmee voorkomt dat jouw erfelijke materiaal overgedragen wordt op
anderen die ook die ziekte kunnen krijgen. De menselijkheid is dan beter af. Maar toch worden ziekten bestreden
en zegt de overheid niet dat een behandeling ontraden wordt omdat die geen succes garandeert.

Maar ja digitaal kun je een back-up terugzetten als je 'ziek' wordt, als je echt ziek wordt kan ik geen herstel punt uit het verleden pakken en genezen...
25-08-2016, 18:24 door Anoniem
Door Anoniem:
Maar ja digitaal kun je een back-up terugzetten als je 'ziek' wordt, als je echt ziek wordt kan ik geen herstel punt uit het verleden pakken en genezen...

Je denkt toch zeker niet dat degenen die een backup hebben om terug te zetten overwegen om toch losgeld te gaan betalen?
En "had je maar een backup moeten maken" is net zo iets als "had je maar niet (waardoor je ziek werd)".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.