image

Ransomware verspreidt zich op geniepige wijze via usb-sticks

donderdag 19 januari 2017, 14:00 door Redactie, 8 reacties

Onderzoekers waarschuwen voor een nieuw ransomware-exemplaar dat zich op geniepige wijze via usb-sticks verspreidt. Het gaat om de Spora-ransomware die recentelijk al in het nieuws kwam. De methode die Spora gebruikt om usb-sticks en externe harde schijven te infecteren was nog niet genoemd.

In eerste instantie maakt Spora gebruik van e-mailbijlagen om internetgebruikers te infecteren, zo meldde anti-virusbedrijf Emsisoft vorige week. Eenmaal actief gebruikt de ransomware dezelfde truc als verschillende computerwormen om zich verder te verspreiden, namelijk lnk-bestanden. Deze extensie gebruikt Windows voor snelkoppelingen, maar is ook te gebruiken voor het uitvoeren van code.

Zowel op usb-sticks, externe harde schijven als de systeemschijf maakt de ransomware bestanden en mappen onzichtbaar. Vervolgens vervangt het deze mappen en bestanden met een gelijknamig lnk-bestand dat de originele map of bestand opent, zodat de gebruiker niets vermoedt, en tegelijkertijd in de achtergrond de malware uitvoert. De worm verwijdert tevens een waarde in het Windows-register, zodat het snelkoppeling-icoon niet meer het bekende pijltje bevat. Zodoende ziet de gebruiker niet dat er iets mis is, tenzij hij de detailweergave van mappen heeft ingeschakeld.

"Alleen door de mappen op je systeem via dubbelklik te doorlopen activeert de worm. Via deze strategie verspreidt de worm zich niet alleen naar verwijderbare schijven zoals usb-sticks, maar zal het ook nieuwe bestanden op het systeem versleutelen. Dit maakt het systeem onbruikbaar voor het opslaan van of werken aan foto's en documenten totdat de ransomware is verwijderd", zegt Karsten Hahn van het Duitse anti-virusbedrijf G Data.

Hahn laat verder weten dat Spora de User Account Control (UAC) maatregel van Windows niet omzeilt. Dit houdt in dat de gebruiker een dialoogvenster van Windows krijgt te zien waarin de malware vraagt om aanpassingen aan de computer te maken. In dit geval is het verzoek van de "Windows Command Processor" afkomstig die als gecontroleerde uitgever Microsoft zelf heeft. Verder verwijdert de ransomware schaduwvolumes en schakelt Windows foutherstel uit. Voor het ontsleutelen van de data vraagt de ransomware bedragen tussen de 79 en 280 dollar.

Image

Reacties (8)
19-01-2017, 14:30 door AceHighness
Ik snap het niet helemaal ... gebruiker opent malware in email, is besmet. Nu gaat de malware eerst op een sticky zich verbergen en wachten tot een gebruiker daar klikt ? Makes no sense ... Waarom niet meteen infecteren / encrypten ?

Ook het aanpassen van de registry zodat je de pijltjes niet ziet op het icoontje lijkt me alleen te kunnen op een systeem dat al geinfecteerd is, dus plug je deze USB in een nieuwe machine dan zie je gewoon de pijltjes.

Volgens mij klopt er iets niet in deze analyse, vooral niet dat ik deze methode (mappen verbergen en lnk's neerzetten al minstens 2 jaar in het wild ben tegen gekomen) en het artikel noemt dit een nieuwe methode ?
19-01-2017, 14:52 door Anoniem
Door AceHighness: Ik snap het niet helemaal ... gebruiker opent malware in email, is besmet. Nu gaat de malware eerst op een sticky zich verbergen en wachten tot een gebruiker daar klikt ? Makes no sense ... Waarom niet meteen

Je ziet vaak dat iemand niet snapt wat er aan de hand is. Ondanks de grote ransomware mededelingen die getoond worden. Dus bellen ze de helpdesk. Die stuurt iemand er naar toe. Soms met een stick met anti-virus software e.d. Die weet ook niet wat er precies aan de hand is en hij zal in de gelinkte directories willen kijken.

Dubbel-click -> stick besmet.

En die stick wordt natuurlijk ook gebruikt op werkplekken van andere gebruikers.

Ik heb het hier zien gebeuren. Het stopte pas toen de stick in een PC met een andere niet-standaard virusscanner werd gestoken, die aangaf dat de stick besmet was.

Peter
19-01-2017, 14:53 door Anoniem
Ransomware verspreidt zich op geniepige wijze via usb-sticks

Is ransomware niet per definitie 'geniepig'?
Of is het wel OK wanneer je eerst een beleefde aankondiging krijgt?
"Hallo, ik ben ransomware XYZ en zou mij graag op uw computer installeren. Gaat u akkoord? [Ja, graag], [Vertel meer], [Nee, liever niet]"
19-01-2017, 15:02 door Anoniem
Maar als je de geinfecteerde USB uit de besmette workstation X haalt en plugt hem in een andere workstation Z, dan kun je toch zien dat er pijltjes in de .lnk files zit? Want de registry van workstation Z is niet hetzelfde als in workstation X. Of werkt dat niet zo?
19-01-2017, 17:58 door karma4
Remedies:
- niet enkel de bekende malware detectie op maar juist ook
- ander gedrag, veranderingen etc ofwel intrusion detectie.
- uitwisselen van data via usb zeker in werkomgeving = verbod
- zorg voor backups op meerdere devices.
En ja dit soort traag verval in de aanval is moeilijker te herkennen dan dat het meteen plat gaat.
19-01-2017, 23:54 door Anoniem
Ik zet nooit shortcuts op usb, dus ik zou het gelijk door hebben.
20-01-2017, 02:08 door Anoniem
Weergeven extensies aanzetten.
20-01-2017, 06:43 door Anoniem
In dit geval is het verzoek van de "Windows Command Processor" afkomstig die als gecontroleerde uitgever Microsoft zelf heeft.
Oeps, dat maakt het wel heel makkelijk voor kwaadwillenden om zich als vertrouwde partij voor te doen.

Ik weet dat Microsoft UAC niet als "security boundary" positioneert maar als "convenience". Maar om dat te weten moet je technet-artikelen weten te vinden, en de mededeling "Verified publisher: Microsoft Windows" in de UAC-popup is een stevige en suggestieve uitspraak.

De betekenis van die UAC-mededeling is natuurlijk dat de command processor geverifieerd is en niet de invoer die hij verwerkt, in dit geval een commando of script, maar die nuance zal heel wat gebruikers ontgaan omdat ze er geen verstand van hebben, en wat je communiceert is niet wat jij bedoelt maar hoe de ander het interpreteert.

Als je gebruikers de indruk geeft te kunnen vertellen wie het initiatief tot een handeling neemt, dan is het niet genoeg als je dat bijna altijd goed hebt. Dat kwaadwilligen actief misbruik zullen maken van de mogelijkheid iets uit naam van Microsoft zelf te doen als die mogelijkheid geboden wordt is nogal wiedes. Dat een command processor commando's verwerkt die niet door Microsoft zijn gepubliceerd zou men bij Microsoft ook moeten weten. En dat een doorsnee-computergebruiker dat niet door heeft ook, in een tijd dat ingetypte commando's en scripts als het toppunt van gebruikersonvriendelijkheid worden bestempeld door velen.

Ik vind het daarom niet handig zoals Microsoft dit heeft ingericht. Dat bedoel ik niet als een groot verwijt aan Microsoft, ik zie het meer als een van de dingen waaraan je kan zien dat de softwareindustrie nog jong en onvolwassen is en bezig om met vallen en opstaan de juiste modus te vinden om een razend complex programmeerbaar apparaat algemeen bruikbaar te maken. Ik hoop dat ze bij Microsoft herkennen dat UAC nog niet goed genoeg is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.