image

Ransomware CryptoDefense laat decryptiesleutel achter op computer slachtoffer

dinsdag 1 april 2014, 14:05 door Redactie, 3 reacties

Ransomware CryptoDefense bevat een cruciale fout: het laat de decryptiesleutel achter op de computer van het slachtoffer.

Symantec analyseerde CryptoDefense. De ransomware maakt deel uit van uitgebreide familie van malwareprogramma's die bestanden van slachtoffers versleutelen tot er losgeld wordt betaald. CryptoDefense maakt gebruik van Microsoft en Windows API om de encryptie en decryptie sleutels te genereren.

Sleutel

CryptoDefense versleutelt bestanden met behulp van een 2048 bits RSA sleutel. De geheime sleutel die nodig is om de bestanden weer te de-crypten wordt teruggestuurd naar de server van de aanvaller totdat het losgeld betaald is. Blijkbaar wisten de ontwikkelaars niet dat deze geheime sleutel ook op de computer van het slachtoffer staat in een directory met applicatiegegevens. Met deze sleutel kan het slachtoffer zelf, zonder tussenkomst van de cybercriminelen, zijn gegevens weer ontsleutelen. Helaas zal de gemiddelde user niet over voldoende kennis bezitten om dit ook daadwerkelijk uit te voeren.

Succes

Symantec schat dat de cybercriminelen binnen een maand meer dan 34.000 dollar aan bitcoins hebben ontvangen, waaruit de effectiviteit van de scam blijkt.

Symantec heeft al 11.000 CryptoDefense infectiepogingen in meer dan 100 landen geblokkeerd. De meerderheid van de infectiepogingen waren in de VS, gevolgd door Engeland, Canada, Australië, Japan, India, Italië en Nederland.

Reacties (3)
01-04-2014, 15:21 door Anoniem
Met deze sleutel kan het slachtoffer zelf, zonder tussenkomst van de cybercriminelen, zijn gegevens weer ontsleutelen. Helaas zal de gemiddelde user niet over voldoende kennis bezitten om dit ook daadwerkelijk uit te voeren.

Daar is vast binnenkort wel een programmaatje voor beschikbaar, gratis of in een betaalvariant. En anders wel een computershop die daar met een service handig op inspringt.
Wacht maar even af.

Maar wie zou het nodig hebben, hoeveel mensen in Nederland?

De meerderheid van de infectiepogingen waren in de VS, gevolgd door Engeland, Canada, Australië, Japan, India, Italië en Nederland.

Kaartje van symantec erbij
Kleuren en percentages (bij benadering uit het document van Symantec) :

United States > 50%
United Kingdom > 20%
Canada > 10%
Australia > 5%
Japan > 10%

India > 0% (minder dan 0%?)
Italy > 0% (?)
Netherlands > 0% (?)
Overige landen / zeer groot deel van de rest van de wereld vallen in dezelfde lage categorie > 0% als Nederland.

Let op de dubbele factor : het besmettingspercentage van het aantal beschikbare computers.
Een laag percentage van weinig computers is dat in concreto een laag of zeer laag aantal?
Wat zou dan het concrete aantal besmettingen in aantallen zijn in Nederland?

Voorkomen is beter dan genezen, dat is waar en reden om hier aandacht aan te besteden.
Maar zijn er niet veel dreigender malware soorten die teveel onder de radar blijven en wel veel slachtoffers maken, in Nederland welteverstaan.
Want het meer feitelijk onderbouwde nieuws gaat eigenlijk altijd over de grote aantallen en dreigingen waargenomen in het buitenland.

Hoe ziet het dreigingslandschap er concreet, feitelijk echt in Nederland uit?

Kan er niet wat meer feitelijke security nieuws aandacht daarvoor komen?
Niet 'de bekende niet onderbouwde waarschuwingsberichten' maar echte feitelijke informatie : wat zijn de grootste serieuze dreigingen en meest voorkomende malware in Nederland in aantallen ?
01-04-2014, 17:04 door Anoniem
@Anoniem: daar ben ik dus ook wel benieuwd naar maar ik denk dat een antwoord hierop lastig is aangezien iedereen op verschillende manieren meet en veel aanvallen nooit gerapporteerd worden. Verder zou het wel eens negatief uit kunnen pakken voor de beveiligingsbranche. Stel dat er eigenlijk maar heel weinig is of een groot deel malware/aanvallen een lage impact hebben, dan kan dit bedrijven wel eens aan het denken zetten m.b.t de beveiligingsuitgaven ...
02-04-2014, 16:03 door Anoniem
Waar vind ik die sleutel dan?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.