image

Nieuwe Cryptoblocker-ransomware hanteert 100MB-limiet

donderdag 31 juli 2014, 15:07 door Redactie, 6 reacties

Onderzoekers hebben nieuwe crypto-ransomware ontdekt die bestanden op computers tegen losgeld versleutelt. Om weer toegang tot de bestanden te krijgen moeten slachtoffers een bepaald bedrag betalen. Opmerkelijk aan Cryptoblocker, zoals de ransomware heet, is dat het een 100MB-limiet hanteert.

Bestanden groter dan 100MB worden namelijk niet versleuteld. Daarnaast laat Cryptoblocker geen tekstbestanden achter met instructies om de bestanden te ontsleutelen, maar toont het een dialoogvenster waarin staat dat slachtoffers 1 Bitcoin moeten betalen. Met de huidige wisselkoers komt dat overeen met 429 euro.

Encryptie

Een andere opvallende eigenschap aan Cryptoblocker is de encryptieroutine. De ransomware gebruikt namelijk geen CryptoAPI's zoals andere ransomware wel doet. CryptoAPI's worden gebruikt om RSA-sleutels te genereren, waarmee de bestanden vervolgens worden versleuteld. Cryptoblocker gebruikt echter AES (advanced encryption standard)-encryptie om bestanden te versleutelen. Opmerkelijk, aldus anti-virusbedrijf Trend Micro. Het gebruik van RSA-sleutels maakt het namelijk lastiger om de bestanden te ontsleutelen.

Verder is opvallend dat de 'compiler notities' nog steeds aanwezig zijn bij het uitpakken van de code. "Dit is zeer interessant, aangezien compiler notities meestal worden verwijderd, omdat deze informatie door beveiligingsonderzoekers gebruikt kan worden om de malware-bestanden te detecteren en te blokkeren", zegt ingenieur Eduardo Altares. Hij merkt op dat de auteur van Cryptoblocker mogelijk een beginner is als het gaat om ransomware.

Hoe Cryptoblocker zich precies verspreidt laat Trend Micro niet weten. Ook het aantal slachtoffers blijft onbekend. Wel blijkt uit de statistieken dat de meeste infecties zich in de Verenigde Staten bevinden, gevolgd door Frankrijk en Japan.

Reacties (6)
31-07-2014, 15:32 door Anoniem
Kunnen ze niet het virus analyseren om te kijken hoe te decrypten ?
31-07-2014, 15:50 door Anoniem
Cryptolocker is het toch? en niet cryptoblocker
31-07-2014, 16:06 door Anoniem
Dit is een nieuwe variant die Cryptoblocker heet. Cryptolocker is een andere/oudere ransomware die wel RSA gebruikt.

Zie -> https://www.security.nl/posting/364131/CryptoLocker+gijzelt+bestanden+voor+300+euro+losgeld (is 2013)

Weet niet wie de naam cryptoblocker heeft verzonnen, maar volgens mij wordt er helemaal geen crypto geblokkeerd :-)
31-07-2014, 17:02 door Briolet - Bijgewerkt: 31-07-2014, 17:03
Ik zie niet direct waarom die limiet opmerkelijk is. De echte privé data is doorgaans kleiner dan 100 MB. Files boven die limiet komen vaak uit software pakketten die de gebruiker veel makkelijke kan vervangen. Door dan alleen de 'kleine' files te pakken ben je sneller klaar met versleutelen voordat je misschien ontdekt wordt.
31-07-2014, 21:15 door Anoniem
Door Briolet: Ik zie niet direct waarom die limiet opmerkelijk is. De echte privé data is doorgaans kleiner dan 100 MB. Files boven die limiet komen vaak uit software pakketten die de gebruiker veel makkelijke kan vervangen. Door dan alleen de 'kleine' files te pakken ben je sneller klaar met versleutelen voordat je misschien ontdekt wordt.
precies wat ik dacht ;-)
01-08-2014, 09:38 door Anoniem
Door Anoniem:
Door Briolet: Ik zie niet direct waarom die limiet opmerkelijk is. De echte privé data is doorgaans kleiner dan 100 MB. Files boven die limiet komen vaak uit software pakketten die de gebruiker veel makkelijke kan vervangen. Door dan alleen de 'kleine' files te pakken ben je sneller klaar met versleutelen voordat je misschien ontdekt wordt.
precies wat ik dacht ;-)
Niet helemaal. Mijn filmpjes op mijn computer zijn echter groter dan 100MB en ik zou ze toch niet graag kwijt willen raken. Daarnaast las ik laatst ook iets over ransomware die backups versleutlt. Natuurlijk moet je backups niet op je pc/phone hebben staan, maar veel mensen hebben dat toch. Dan hebben ze mazzel als de backup groter dan 100mb is en dus niet wordt versleutld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.