image

Nederlands politievirus krijgt make-over *update*

maandag 11 februari 2013, 10:45 door Redactie, 9 reacties

Een politievirus dat Nederlandse computers vergrendelt heeft een nieuwe vormgeving gekregen, en doet zich nu voor als 'Korps Landelijk Politiediensten Afdeling om Cybercriminaliteit Te Bestrijden'. De Urausy ransomware vergrendelt de computer en stelt dat de gebruiker zich aan verschillende misdrijven heeft schuldig gemaakt, waaronder kinderpornografie en Zoöfilie.

Tevens zou er via de computer spam verstuurd zijn en heeft de gebruiker zijn computer laten infecteren. Vervolgens krijgen slachtoffers 72 uur de tijd om de gevraagde 100 euro te betalen. 'Na het deblokkeren hebt u 7 dagen om alle overtredingen te corrigeren." aldus de tekst van de ransomware.

Ontwikkeling
Naast de Nederlandstalige versie zijn er ook nieuwe versies van verschillende andere Europese landen verschenen. Daarbij tonen alle varianten nu ook het logo van het onlangs opgerichte Europese Cybercrime Center in Den Haag.

De varianten wachten nu meer dan 5 minuten na het infecteren van de computer met het vergrendelen van het scherm. Verder werkt de malware alleen nog in specifieke landen. In het geval de infectie in een land plaatsvindt waarvoor geen aparte 'politiemelding' aanwezig is, wordt de computer niet vergrendeld, aldus Kafeine van Malware Don't Need Cofee.

Update 13:30
Volgens PC Web Plus wordt de ransomware onder andere verspreidt via valse Firefox-updates. Kwaadaardige websites laten internetgebruikers via pop-ups weten dat ze hun Firefox-installatie moeten updaten. De aangeboden update is in werkelijkheid de ransomware.

Reacties (9)
11-02-2013, 11:05 door Anoniem
Belachelijk is dit gewoon, maar helaas zijn er nog veel mensen die erin trappen.
Werk zelf voor een Nederlandse ISP, krijg dagelijks dit soort telefoontjes binnen.

Typfouten en de artikelen die ze erin zetten, 202 en 210 gaan niet over boete hoogte, en de 212? die bestaat al niet meer sinds 1932.
http://www.wetboek-online.nl/wet/Wetboek%20van%20Strafrecht/212.html
11-02-2013, 11:07 door Anoniem
Ik snap niet dat de Echte Politie dit gajes oppakt ?
11-02-2013, 11:54 door Anoniem
Waar ik kan kopen ukash?

Vreemd hoe sommige virusspecifieke tekst wél in uitstekend Nederlands is geschreven en andere dan weer schabouwelijk slecht.
11-02-2013, 15:53 door spatieman
Door Anoniem: Ik snap niet dat de Echte Politie dit gajes oppakt ?
te druk met bonnen uit delen natuurlijk..
11-02-2013, 16:28 door Anoniem
Behalve het gebruik van de Nederlandse vlag en de Comic Sans lettertype, moest ik echt grinniken om " Ondersteund en Beschermd door" en dan het Windows logootje. Man man man.
11-02-2013, 18:09 door Security Scene Team
Door spatieman:
Door Anoniem: Ik snap niet dat de Echte Politie dit gajes oppakt ?
te druk met bonnen uit delen natuurlijk..

jullie denken dus écht dat het 123 appeltje eitje is om die ransomwares gangs te pakken?
Beetje raar, de politie doet op dit gebied extra zijn best omdat hun naam word besmeurd.
dit is relatief nieuw, en de politie kan vaak de infectie bron niet meer achterhalen, dus bijna onmogelijk die dan nog te traceren. (omdat de politie maar weinig reverse engineers indienst hebben met enige ervaring op dit gebied)
aangezien de gebruikers zelf te laks en te lui (of naïef) zijn om hierop te letten.

er word veelste veel vertrouwd op de huidige antivirussen, terwijl dit allang achterhaald is.

laat staan dat ze uberhaupt aangifte doen (niet dus.)

ook is het raar dat er mensen zijn die denken dat er veel andere mensen zijn die hierin trappen? (naïef)

voor beiden geld dat het tegendeel waar is, omdat vaak de eerste 24 bytes worden "versleuteld".
al verwijder je de trojan met succes, de bestanden hebje er niet mee terug in de meeste gevallen, dus betalen mensen maar om hun bestanden terug te krijgen. vaak zijn dit mensen die zelf nog nooit zo'n live infectie hebben meegemaakt, maar ach de beste kapiteins staan op wal ist niet?

mensen hoeven ook niet erin te intrappen, meestal word het gedaan via blackhole of andere exploitkits. dus n infectie is zomaar gedaan. (zonder dat zij dit dus weten) in dit geval van het artikeltje is het dus eens anders.

en dat het soms om een beroerd gespelde ransomware gaat geeft aan dat het om buitenlandse ransomware gangs gaat.
ook dat gebeurt niet altijd er zijn zelfs mensen in nederland die Winlocker hebben gemaakt (zelfs nederlanders die 'n Spyeye of ZeuS of Zeusclone aka Citadel botnet draaien. (raar maar waar in dit boeren kikkerlandje) 't is heel simpel zoiets op te zetten, de gekraakte Builders kan je zo via google vinden, en op zetten. 't enige watje zelf moet doen is zo'n template te ontwerpen, 'n beetje photoshopper kan dit heel simpel doen, (zelfs computer leken) of een bestaande downloaden en die aanpassen naar eigen wensen.

't zou me dus ook echt niet verbazen als hier op security.nl mensen (members) rond surfen die dergelijke botnetjes hebben draaien. besef je wel dat er véél geld in om gaat. 't enige watje moet hebben zijn Ezels, Geld-ezels.
security.nl is namelijk een gewilde plaats waar het laatste nieuws op dit gebied is te vinden, en vaak ook nog links naar sites waar dit soort troep te vinden is, of waar zij verbeteringen kunnen maken voor hun botnetjes.

daarom raad ik dit eens aan om te lezen, "inside a reveton aka winlocker gang"

http://krebsonsecurity.com/2012/08/inside-a-reveton-ransomware-operation/
11-02-2013, 18:31 door Security Scene Team
Door Anoniem: Belachelijk is dit gewoon, maar helaas zijn er nog veel mensen die erin trappen.
Werk zelf voor een Nederlandse ISP, krijg dagelijks dit soort telefoontjes binnen.

Typfouten en de artikelen die ze erin zetten, 202 en 210 gaan niet over boete hoogte, en de 212? die bestaat al niet meer sinds 1932.
http://www.wetboek-online.nl/wet/Wetboek%20van%20Strafrecht/212.html

welke ISP werk je dan? als ik daar toevallig ben, hebben ze wel erg onkundige mensen rondlopen, en zou ik onmiddelijk mijn abbo opzeggen.. t zou me dus ook niet verbazen als je die mensen niet kunt helpen, en af doet met een zinnetje als "tja menneer of mevrouw, dom dat u er bent in getrapt."

als ISPs, ITers en andere vaklui op dit gebied zouden samen werken, zouden we hier niet eens zon last van hebben.

daarom ben ik nog steeds van mening dat wat de politie meldde op het NCSC conferentie dat, nederland hét veiligste cyberland word in 2017, zinloos is en nooit n keer gehaald word als ook de ITers en ICTers en ISPs niet bijgeschoold worden. ze staan stil, maar de techniek groeit en evolueert met de dag steeds ingewikkelder, en zij staan stil, omdat ze denken alles wel zon beetje te weten.

Hulde dus voor de PC reparatie winkel eigenaren die ik de afgelopen week hier heb zien reageren die in iedergeval proberen dit te begrijpen en verwijderings methodes aan het leren zijn, laat maar komen die pctjes das n lekkere boterham verdienen voor ons. :) laat de -1 's maar komen hoor! rofl
11-02-2013, 23:47 door _____
Door Anoniem: Belachelijk is dit gewoon, maar helaas zijn er nog veel mensen die erin trappen.
Werk zelf voor een Nederlandse ISP, krijg dagelijks dit soort telefoontjes binnen.

En wat zeg je dan, meneer de ISP?
13-02-2013, 21:05 door Anoniem
Pak ook Ukash en Paysafe aan daar zij hun medewerking verlenen. En wat te denken van al die logo's van bedrijven?
Pleegt men geen inbreuk? Wat doen die bedrijven er tegen???
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.