image

Buma/Stemra-malware verspreidt zich over Europa

maandag 7 mei 2012, 12:22 door Redactie, 14 reacties

Malware die in naam van Buma/Stemra Windows-computers gijzelt, verspreidt zich over Europa. De malware zegt dat de computer is vergrendeld omdat de gebruiker illegaal muziek zou hebben gedownload. Volgens de malware is dit een strafbaar feit, ook al is het downloaden van muziek en films in Nederland nog steeds legaal. Om weer toegang tot de computer te krijgen, moeten slachtoffers een vergoeding van 50 euro betalen. Dit kan via een Paysafecard, die bij verschillende benzinestations te koop is.

De ransomware verspreidt zich via de Blackhole exploit-kit. Zodra een internetgebruiker met een niet recente Adobe Reader, Flash Player of Java-versie een gehackte website bezoekt, wordt de malware vanaf het domein pampa04.com geïnstalleerd. Vervolgens wordt er naar de landinstelling gekeken om een gelokaliseerde versie van de ransomware aan te bieden.

Aldi-Bot
Naast de Nederlandse versie zijn er ook versies in het Zwitsers, Duits, Oostenrijks, Engels en Frans actief. Bij analyse van de gebruikte URL's, komt naar voren dat ze allemaal in het Duits zijn. "Dus het lijkt alsof de cybercrimineel achter deze ransomware-campagne een Duits sprekend persoon is", zegt de Zwitserse beveiligingsonderzoeker Roman Huessy De crimineel zou daarnaast informatie hebben uitgezocht waar het slachtoffer in zijn of haar land de Paysafecard kunnen kopen.

Huessy ontdekte verder dat de ransomware van een aanvullend Trojaans paard wordt voorzien, namelijk de Aldi-Bot. De Aldi-Bot steelt inloggegevens voor internetbankieren, zoals Zeus en SpyEye, en kan DDoS-aanvallen uitvoeren. Op deze pagina staat uitleg om de Buma/Stemra-ransomware te verwijderen.

Reacties (14)
07-05-2012, 12:40 door Anoniem
gelukkig maakt iedereen knap backups van hun systeem en testen ze deze zodat ze in dit soort gevallen gewoon een oude backup terug kunnen zetten....

toch?
07-05-2012, 13:38 door [Account Verwijderd]
[Verwijderd]
07-05-2012, 13:49 door Duck-man
Ik heb al gehoord dat "BREIN" een bod op deze malware heeft uit gebracht. Tim Kuik noemt het een mooi middel om aan te tonen wat (illegale) downloads voor problemen kunnen veroorzaken, zo wel voor artiest als gebruiker.


knip
Op deze pagina staat uitleg om Buma/Stemra te verwijderen. ;)
07-05-2012, 14:25 door Anoniem
Het lijkt wel heel echt, precies zoals BUMA/Brein/Thuiskopie het zou doen:
1) Gebruik van malware - check
2) Afperspraktijken - check
3) Wets-teksten creatief bewerken - check
08-05-2012, 13:44 door Anoniem
Door Duck-man: Ik heb al gehoord dat "BREIN" een bod op deze malware heeft uit gebracht. Tim Kuik noemt het een mooi middel om aan te tonen wat (illegale) downloads voor problemen kunnen veroorzaken, zo wel voor artiest als gebruiker.

Sterker nog, ze innen de auteursrechten voor de ransomware schrijver ...
05-06-2012, 23:57 door Anoniem
ik kreeg gisteravond dus ook dit virus, inmiddels is het losgeld verhoogd naar €100,- weet iemand misschien waar dit virus vandaan komt en waar het in kan zitten?
07-06-2012, 20:33 door Anoniem
[admin] verwijderd wegens spam [/admin]
08-06-2012, 13:53 door Anoniem
oplossing:
1. Browse to C:\Windows\
2. Type *.exe in the File name field
3. Select explorer.exe
4. Copy the file by pressing Ctrl-C (the right mouse button doesn’t work very well in this window)
5. Browse to the “Application Data” directory of the current user
(for Administrator user: C:\Documents and Settings\Administrator\Application Data\ )
6. Paste the copied explorer.exe file by pressing Ctrl-V
7. Rename the malware file, just adding an underscore behind is will be enough
8. Rename the explorer.exe file to the malware file name
9. Reboot
10. Enable registry:
WScript.CreateObject("WScript.Shell").RegWrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", 0, "REG_DWORD"
11. Using RegEdit, DELETE the following keys:
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\VX2bt1oYNKCLnkO
• HKEY_USERS\Administrator\Software\Microsoft\Windows\Current Version\Policies\Explorer\NoDesktop
• HKEY_USERS\Administrator\Software\Microsoft\Windows\Current Version\Policies\System\DisableTaskMgr
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\VX2bt1oYNKCLnkO
12. Then CHANGE the following keys:
• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\Winlogon
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon
13. Change the value of “Userinit” to “C:\Windows\System32\Userinit.exe,”
14. Change the value of “Shell” to “Explorer.exe”
11-06-2012, 00:48 door Anoniem
Als je in de veilige modus met internetverbinding kan opstarten f6, is het simpel op te lossen door naar microsoft safety scanner te gaan, is gratis en scant de ransomware eruit.

In de veilige modus configuratie scherm dan systeemherstel lukt ook bij sommige infecties.

Ron
14-06-2012, 20:24 door Anoniem
het blijkt dat dit virus op 1 directory al mijn bestanden (.doc. jpg. xls pdf etc.) heeft zitten klooien.
al deze bestanden hebben nu een andere naam:
er staat nu "locked-" voor.
en na de herkenningsextentie staat nog een punt en dan at random voor tekens.
de PC herkent dus niets meer.
geprobeert de bestandsnaam te renamen door de toevoegingen te verwijderen.
resultaat: de icoontjes verschijnen weer maar het bestand is ontoegankelijk.
alle bestanden (duizenden) hebben dezefde bestandsdatum precires van dat tijdstip dat het buma venster in beeld was.
dikke shit dus.

de virus zelf is vorige week al verwijderd door een inhuurspecialist maar wat moet ik hier in hemelsnaam mee aan ?

NB op deze PC staat uberhaupt geen muziek (althans nooit wat gedownload)
die vent verdient een levenslange opsluiting
16-06-2012, 08:01 door Anoniem
gelukkig kon ik de 15.0000 bestanden laten decrypten met kaspersky omdat ik nog een backup had
24-07-2012, 23:14 door Anoniem
Dacht even dat ik gek werd want ik download geen illegale bestanden, overigens als het echt van de overheid was geweest dan was er het een en ander de lucht in gegaan.

Maar idd met een veiligheids scan is het zo opgelost!
09-08-2012, 10:26 door Anoniem
Altijd je Adobe PDF reader, Flash Player en Java up to date houden.
Of: Google Chrome browser gebruiken: daar zit Flash en PDF in meegeleverd en update zichzelf automatisch en stilletjes. Alleen dan zelf Java updaten (meeste mensen weten niet wat dat oranje icoontje naast de klok inhoudt).

Als je de tekst goed doorleest zie je aan de grammaticale fouten dat dit met een computer vertaald is, of dan toch wel door iemand die de Nederlandse taal niet volledige beheerst. Dat moet op zich al de alarmbellen doen laten rinkelen. (zelfde geldt voor spam berichten van de diverse banken die vragen om in te loggen, vrijwel zonder uitzondering met fouten)
29-08-2012, 12:51 door Anoniem
Ik heb m ook gehad,ik heb t heel makkelijk opgelost,gewoon opnieuw setuppen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.