image

Onderzoekers verslaan encryptie CryptoLocker-ransomware

woensdag 6 augustus 2014, 10:59 door Redactie, 16 reacties

Onderzoekers van het Nederlandse beveiligingsbedrijf Fox-IT en het Amerikaanse FireEye zijn erin geslaagd om de privésleutels van de CryptoLocker-ransomware te achterhalen, waardoor alle slachtoffers van deze ransomware hun versleutelde bestanden kosteloos kunnen terugkrijgen.

CryptoLocker is ransomware die bestanden op besmette computers versleutelt en vervolgens een bedrag eist dat slachtoffers moeten betalen om weer toegang te krijgen. De gebruikte encryptie is zo sterk dat het terugkrijgen van versleutelde bestanden, tenzij er betaald werd of slachtoffers over een back-up beschikten, zo goed als onmogelijk was. Voor het versleutelen werd voor elke besmette computer een aparte privésleutel gebruikt, die zich op de servers van CryptoLocker bevond. Alleen met deze privésleutel konden de bestanden worden ontsleuteld. De criminelen achter de ransomware hadden de locatie van deze server echter goed verborgen.

CryptoLocker werd onder andere via de GameOver Zeus Trojan verspreid. Een botnet dat in eerste instantie voor fraude met internetbankieren werd gebruikt. De botnetbeheerders besloten het botnet ook in te zetten voor het verspreiden van CryptoLocker. In totaal zouden 545.000 computers met GameOver Zeus ook met CryptoLocker besmet zijn geraakt. Een klein deel van het GameOver Zeus-botnet, aangezien bankfraude nog altijd het hoofddoel was.

Toeval

Onlangs voerde de FBI een grote operatie tegen GameOver Zeus uit, waarbij het botnet werd uitgeschakeld. Dit zorgde ervoor dat de botnetbeheerders in actie kwamen en probeerden om de infrastructuur te redden, zegt Eward Driehuis van Fox-IT tegenover Security.NL. Daarbij werden ook de privésleutels verstuurd via een deel van de infrastructuur die door Fox-IT en FireEye werd gemonitord. Het was dan ook "stom toeval" dat de privésleutels werden opgevangen, aldus Driehuis. Hij benadrukt dat het echter ook een kwestie is van het juiste moment op de juiste plek zijn.

Via de website decryptcryptolocker.com die beide beveiligingsbedrijven lanceerden, kunnen slachtoffers van CryptoLocker hun e-mailadres invullen en een versleuteld bestand uploaden. Daarbij wordt geadviseerd om een bestand te uploaden dat geen gevoelige informatie bevat. Aan de hand van het geuploade bestand wordt vervolgens de privésleutel teruggestuurd waarmee gebruikers de overige bestanden kunnen ontsleutelen.

Het is natuurlijk de vraag hoeveel slachtoffers van CryptoLocker nog van de gevonden privésleutels kunnen profiteren. De kans is groot dat veel mensen hun computer hebben vervangen of opnieuw geïnstalleerd. Op het moment dat de FBI GameOver Zeus uit de lucht haalde waren nog steeds 155.000 computers met CryptoLocker besmet. Daarnaast is het ook mogelijk dat mensen hun versleutelde bestanden nog steeds op een harde schijf hebben bewaard. Ook in deze gevallen kunnen de bestanden worden gered.

Schade

Slachtoffers van CryptoLocker konden voor het ontsleutelen van hun betalen via Bitcoin of een prepaid betaalvoucher van Moneypak, uKash of Paysafecard. In totaal werden gedurende de 9 maanden dat CryptoLocker actief zo'n 1400 Bitcoins overgemaakt, wat met de huidige wisselkoers ruim 600.000 euro is. De meeste betalingen verliepen echter via Monepak. De onderzoekers schatten dat CryptoLocker de criminelen zo'n 2,2 miljoen euro opleverde. Veel minder dan de 24 miljoen dollar die door de FBI werd genoemd. Uit de statistieken blijkt dat uiteindelijk 1,3% van de besmette internetgebruikers het gevraagde losgeld ook betaalde.

Image

Reacties (16)
06-08-2014, 11:17 door Anoniem
Ook al was het 'stom toeval' goed werk Fox-it!
Misschien een domme vraag, ze hebben nu een aantal privé sleutels 'afgeluisterd', wat houd de criminelen tegen een nieuwe set privé sleutels te genereren en gebruiken?
06-08-2014, 11:53 door Anoniem
Het was dan ook "stom toeval" dat de privésleutels werden opgevangen, aldus Driehuis. Hij benadrukt dat het echter ook een kwestie is van het juiste moment op de juiste plek zijn.

Zie de pragmatische roep vanuit 'het veld' om meer bevoegdheden rondom crimefighting al aankomen.
Want als dit geen gelegenheid biedt voor het ultieme argument voortaan alle 'wires' te tappen en er deep packet inspection op los te laten
Tijd voor verfrissendde nieuwe politieke .. argumenten nu, kom op, terrorisme en prono weten we nu wel.
Met belangstelling uitkijkend naar alle nieuwe 'frisse' politieke data inzichten na het zomerreces.

Pluim voor de hopelijk overheids onafhankelijk blijvende researchers.
06-08-2014, 12:07 door Anoniem
Door Anoniem: Ook al was het 'stom toeval' goed werk Fox-it!
Misschien een domme vraag, ze hebben nu een aantal privé sleutels 'afgeluisterd', wat houd de criminelen tegen een nieuwe set privé sleutels te genereren en gebruiken?

Niks, maar dit zou dan alleen van toepassing zijn op nieuwe besmettingen. Zie het als een zip-archief met wachtwoord. Als ik jou dat bestand stuur met wachtwoord "1234", en hierna pas ik het aan naar '4567" dan ontsleutel jij het bestand nogsteeds met wachtwoord "1234".
Hopelijk zijn er mensen die hier nog wat aan hebben! Ik moet vooral denken aan de groep die een nieuwe pc heeft gekocht en nog niks met de oude (besmette) heeft gedaan.
06-08-2014, 12:28 door Erik van Straten
Door Anoniem: Misschien een domme vraag, ze hebben nu een aantal privé sleutels 'afgeluisterd', wat houd de criminelen tegen een nieuwe set privé sleutels te genereren en gebruiken?
Niets.

Ze zouden privésleutels ook meteen weg kunnen gooien na het genereren en dus nooit uitleveren aan betalende "klanten".

Die "business case" afweging zullen ze nu wel maken na deze publicatie: de kans bestaat dat minder slachtoffers zullen betalen in de hoop ooit de sleutel gratis in handen te krijgen. Aan de andere kant: zodra bekend wordt dat betalende slachtoffers nooit een sleutel krijgen zouden de inkomsten ook kunnen teruglopen.

Weet iemand statistieken te vinden van hoeveel betalende slachtoffers daadwerkelijk een werkende decryptiesleutel ontvangen?
06-08-2014, 13:02 door Anoniem
Door Erik van Straten:

Weet iemand statistieken te vinden van hoeveel betalende slachtoffers daadwerkelijk een werkende decryptiesleutel ontvangen?

De berichtgeving en de overtuigende feiten suggererende waarschuwingen rondom ransomeware worden in de lage landen helaas zelden tot helemaal niet onderbouwd met accurate gegevens.
Jammer want dan lijkt het meer op gemakzucht en bangmakerij, daarnaast zijn de adviezen nog wel eens wat minder genuanceerd en aangezet.

Artikelen doorgespit en wat linkjes opgezocht de cijfers vraag is in variatie namelijk vaker gesteld

Minder Nederlanders betalen losgeld bij ransomware
https://www.security.nl/posting/374796#posting374831

Politievirus besmette 5.600 Nederlandse computers
https://www.security.nl/posting/376853#posting376933

Plaatje bij de vraag
https://www.security.nl/image/view/6975

Discrepanties in adviezen
https://www.security.nl/posting/381055/Politie+waarschuwt+MKB+en+overheid+voor+cryptoware
06-08-2014, 13:32 door Anoniem
Door Anoniem:
Door Anoniem: Ook al was het 'stom toeval' goed werk Fox-it!
Misschien een domme vraag, ze hebben nu een aantal privé sleutels 'afgeluisterd', wat houd de criminelen tegen een nieuwe set privé sleutels te genereren en gebruiken?

Niks, maar dit zou dan alleen van toepassing zijn op nieuwe besmettingen.

Dan is de crypto-ware toch niet verslagen? Ze hebben alleen een tijdelijke terugloop van klanditie. Maar tot nu toe heeft aandacht voor deze ransome ware niets opgeleverd. Er zijn nog steeds regelmatig mensen die op links in emails klikken of besmette attachments openen. Dus de criminelen hoeven alleen maar door te gaan met wat ze doen, en dan krijgen ze van zelf wel weer geld (als je target groep maar groot genoeg is).

Dat is in mijn ogen niet verslagen, dat is een tgjd (typisch gevalletje jammer dan)
06-08-2014, 13:46 door Anoniem
Door Erik van Straten: Weet iemand statistieken te vinden van hoeveel betalende slachtoffers daadwerkelijk een werkende decryptiesleutel ontvangen?
Natuurlijk weet niemand dat!

Ten eerste heb je te maken met verschillende malware-families die ongetwijfeld beheerd worden door verschillende partijen.

Daarnaast zijn er ongetwijfeld slachtoffers die wel bekend maken dat ze zijn geïnfecteerd en dat ze hebben betaald, maar niet of die betaling daadwerkelijk nut heeft gehad. Ik kan me een paar berichten herinneren van een politiebureau of 2 uit de VS; wel betaald maar niet duidelijk of het heeft gewerkt.

Dan heb je nog de overheid/politie/beveiligingsindustrie die mensen afraadt om te betalen (= ook mijn visie!) zodat het verdienmodel onderuit wordt gehaald. Deze partijen hebben al vaker gelogen 'in het belang van...' en zijn dus ook niet betrouwbaar.

Tot slot heb je dan nog die malware-beheerders zelf, die er alles aan gelegen is het te laten voorkomen dat betaling wél nut heeft. Er zijn meerdere verhalen daarover te vinden, maar of die betrouwbaar zijn? Als ik op deze manier m'n geld zou willen verdienen zou ik ook zo veel mogelijk berichten de wereld insturen dat het nut heeft om mij geld te geven.

Kortom, niemand kan daar antwoord op geven, hooguit per individueel geval.
Het enige dat met zekerheid werkt is offline backups bijhouden, vooral van persoonlijke/belangrijke/gevoelige data.
06-08-2014, 13:56 door Anoniem
Door Erik van Straten:
Weet iemand statistieken te vinden van hoeveel betalende slachtoffers daadwerkelijk een werkende decryptiesleutel ontvangen?

Er is niemand die daar echte statistieken over heeft tenzij je de administratie van de bende weet te achterhalen. Gebruikersverhalen van mensen die niet een werkende code hebben ontvangen zijn iig zo schaars dat het vermoedelijk nauwelijks voorkomt.
06-08-2014, 15:42 door Vandy
Hoeveel bitcoin gaan ze rekenen om je te helpen? ;-)
06-08-2014, 16:17 door Anoniem
Door Anoniem:
Door Erik van Straten: Weet iemand statistieken te vinden van hoeveel betalende slachtoffers daadwerkelijk een werkende decryptiesleutel ontvangen?
Natuurlijk weet niemand dat!

Door Anoniem:
Door Erik van Straten:
Weet iemand statistieken te vinden van hoeveel betalende slachtoffers daadwerkelijk een werkende decryptiesleutel ontvangen?

Er is niemand die daar echte statistieken over heeft ..

Als niemand over die statistieken zou beschikken is het geven van officiële en minder officiële adviezen dat betalen nooit niet helpt van een zeer bedenkelijk allooi. Dat zou dan kletspraat verkopen of zelfs liegen zijn.

Omdat officiële instanties dat niet doen omdat ze zich dat vanwege hun imago niet kunnen veroorloven, moeten er dus wel in meer of mindere mate gegevens beschikbaar zijn om dergelijke adviezen op te baseren.
Het kan zijn dat de gegevens basis voor de adviezen een 'stukje' dunner-te-dun is dan de stelligheid van de adviezen zelf suggereren. Mogelijk door het te enthousiast propageren van het eigen standpunt ten opzichte van de oplossing van het probleem.

Om burgers nu zelf die keuze vrijheid te laten, een eerlijke eigen afweging te kunnen laten maken en desgewenst overtuigend te kunnen laten meegaan met het standpunt van 'de adviseerders vanuit de overheid' zou het goed zijn, nee is het essentieel, dat die gegevens boven tafel komen.
Laat burgers niet zelf maar zoeken naar gegevens om te kunnen controleren of wat beweerd wordt eigenlijk (naar verhouding) wel klopt.
Feiten bij de adviezen, en overtuigende graag!

Zelfde verhaal, maar nog veel schrijnender betreft de suggestieve 'discussie'/beeldvorming rondom kindermisbruik die op een nog onverteerbaarder wijze met tekort aan wat voor onderbouwing dan ook (niet) 'gevoerd' wordt.

Nieuwsberichten en adviezen steeds weer de pers in slingeren zonder overtuigende onderbouwing?
Op termijn, zeer, zeer slecht voor het vertrouwen dat je als overheid op een dag gewoon verspeelt en op punten 'helemaal' kwijt bent.
Dat mag toch niet gebeuren, zeker niet op bovenstaande onderwerp. Mag niet.

Feiten bij de discussie/adviezen/voorgestelde maatregelen, en overtuigende graag!
(geen media geknoei meer met marketing/spindoctors/congres promo praatjes)
06-08-2014, 16:52 door Anoniem
Door Anoniem:
Door Mij:
Door Erik van Straten: Weet iemand statistieken te vinden van hoeveel betalende slachtoffers daadwerkelijk een werkende decryptiesleutel ontvangen?
Natuurlijk weet niemand dat!
Als niemand over die statistieken zou beschikken is het geven van officiële en minder officiële adviezen dat betalen nooit niet helpt van een zeer bedenkelijk allooi. Dat zou dan kletspraat verkopen of zelfs liegen zijn.

Omdat officiële instanties dat niet doen omdat ze zich dat vanwege hun imago niet kunnen veroorloven, moeten er dus wel in meer of mindere mate gegevens beschikbaar zijn om dergelijke adviezen op te baseren.
...
Feiten bij de adviezen, en overtuigende graag!
...
Nieuwsberichten en adviezen steeds weer de pers in slingeren zonder overtuigende onderbouwing?
Op termijn, zeer, zeer slecht voor het vertrouwen dat je als overheid op een dag gewoon verspeelt en op punten 'helemaal' kwijt bent.
Dat mag toch niet gebeuren, zeker niet op bovenstaande onderwerp. Mag niet.

Feiten bij de discussie/adviezen/voorgestelde maatregelen, en overtuigende graag!
(geen media geknoei meer met marketing/spindoctors/congres promo praatjes)
Je goedgelovigheid doet me deugd, fijn dat er nog waarden zijn die hun gasten op de juiste manier bejegenen.

Ik ben dat vertrouwen al LANG LANG geleden kwijtgeraakt; money talks...
Er zijn tientallen, nee honderden, nee waarschijnlijk duizenden voorbeelden van een niet volledig oprechte Nederlandse overheid, één voorbeeld: "De brand bij Shell leverde géén gevaar op voor de volksgezondheid..."
(De economie moet draaien hé...)

De media is nog véél erger, vergelijk voor de lol eens wat internationale berichtgeving over hetzelfde onderwerp.
Begin eens met de MH17 beginnen anders? Ik denk dat je schrikt van alle 'waarheden' die verteld worden, laat staan dat jij of ik in staat zijn ooit 'de waarheid' met zekerheid te kunnen bepalen.
Nee vriend, de 'waarheid' komt overeen met wat de meeste mensen geloven.

Lees mijn vorige reactie nog eens rustig door, feit is dat iedere betrokkene een eigen agenda heeft, al het andere is mening. Meestal ligt de waarheid ergens in het midden van alle meningen, en daar zul je dus inderdaad zelf naar op zoek moeten ;) - Heerlijk subjectief allemaal weer, da's een feit!

Kortom, gezien alle factoren: "Natuurlijk weet niemand dat!"
06-08-2014, 22:32 door Erik van Straten
Door Anoniem:
Door Anoniem:
Door Erik van Straten: Weet iemand statistieken te vinden van hoeveel betalende slachtoffers daadwerkelijk een werkende decryptiesleutel ontvangen?
Natuurlijk weet niemand dat!

Als niemand over die statistieken zou beschikken is het geven van officiële en minder officiële adviezen dat betalen nooit niet helpt van een zeer bedenkelijk allooi. Dat zou dan kletspraat verkopen of zelfs liegen zijn.
Het advies om niet te betalen heeft vermoedelijk niets te maken met het in individuele gevallen wel of niet kunnen herstellen van bestanden. Het idee erachter is dat als niemand betaalt, cybercriminelen geen inkomsten meer hebben en stoppen met het maken en verspreiden van ransomware.

Terzijde, dat werkt niet. Net als bij spam zijn cybercriminelen tevreden met een extreem laag succespercentage; door de enorme aantallen slachtoffers dekken de inkomsten ruimschoots hun kosten, en kennelijk is de pakkans laag genoeg. Dat er in korte tijd zoveel soorten ransomware is verschenen wijst erop dat het een succesvolle business is en toont aan dat het advies/verzoek om niet te betalen onvoldoende wordt opgevolgd. Dat notabene de politie soms besluit te betalen (zie https://www.security.nl/posting/392926/Ransomware+ontregelt+Amerikaans+politiebureau) helpt ook niet echt.

Door Anoniem: Kortom, gezien alle factoren: "Natuurlijk weet niemand dat!"
Onzin, kennelijk heeft niemand de moeite genomen om hier onderzoek naar te doen en de resutaten te publiceren.

Via http://en.wikipedia.org/wiki/CryptoLocker vond ik "Results of online survey by Interdisciplinary Research Centre in Cyber Security at the University of Kent in Canterbury": http://www.cybersec.kent.ac.uk/Survey2.pdf. In vraag 7 "Have you ever been affected by CryptoLocker, or other similar malware or virus demanding a ransom?" wordt gevraagd of daadwerkelijk is betaald. In dit geval hebben de onderzoekers helaas niet gevraagd "en, werkte het?" - maar dat had natuurlijk best gekund.

Antivirus- en securitybedrijven spenderen veel geld aan onderzoek om het nieuws te halen, en dit soort statistieken hebben (denk ik) nieuwswaarde. Indien slachtoffers aangifte doen van ransomware zou de politie kunnen vragen om later een enquete in te vullen of en hoe men uiteindelijk bestanden heeft kunnen redden. Synology zou getroffen gebruikers kunnen bevragen en security.nl zou er rechtsbovenaan deze pagina een poll aan kunnen wijden.

Kortom, ik zie geen fundamentele redenen waarom dit aspect niet onderzocht zou kunnen worden, ik kan er tot nu toe alleen geen resultaten over vinden. Vandaar mijn vraag.
07-08-2014, 00:55 door Anoniem
Vandaag, 22:32 door Erik van Straten
Het advies om niet te betalen heeft vermoedelijk niets te maken met het in individuele gevallen wel of niet kunnen herstellen van bestanden. Het idee erachter is dat als niemand betaalt, cybercriminelen geen inkomsten meer hebben en stoppen met het maken en verspreiden van ransomware.

Niet om een discussie aan te gaan, wel voor nogmaals de (al eens eerder gegeven) toelichting. Omdat het een principieel punt betreft.
En er een klein beetje rekening mee houdende dat je ten dele de inhoud van gegeven links (13:02 door Anoniem) wellicht gemist hebt, hier nog een/het origineel erbij, lees een/de originele adviestekst er maar op na op de website zelf :

http://www.politie.nl/onderwerpen/ransomware.html

Waarom blijft deze ransomware bestaan?

Ook digitale afpersers worden gedreven door geld. Zolang computergebruikers blijven betalen als zij slachtoffer zijn geworden van ransomware, blijft dit probleem bestaan. De criminelen achter de ransomware spelen slim in op het schaamtegevoel door te refereren aan het bezit van illegale bestanden of het downloaden van porno. Veel mensen schrikken van dit bericht en hopen er snel vanaf te zijn na betaling. Niets is minder waar! De politie adviseert met klem om nooit te betalen. Deze blokkade is niet afkomstig van de politie en uw computer blijft geblokkeerd, ook als u betaalt.

De (vet geaccentueerde onderstreepte) passage lijkt mij toch stellig genoeg om een goede, sterke en op feiten gebaseerde basis te veronderstellen voor een advies dat toch sterk aanstuurt om het vooral toch feitelijk als voor waarheid aan te nemen.
Althans dat suggereert het wel.
Wanneer je dat niet kunt onderbouwen of het niet (zo erg) waar is dan is het .. ?
Dan lijkt dat op .. ?
Dat wekt dat weinig .. ?

Quote uit opgegeven link reactie m.i. nog steeds van toepassing op gemiste feiten
https://www.security.nl/posting/374796#posting374831
Als jij je bestanden terug wil (Cryptolocker?) is dat ook logisch.
Wanneer je wel besluit te betalen is dat jouw keuze en daar is als je daarvoor kiest dan waarschijnlijk een hele goede reden voor, je wil je bestanden terug!.
Dat kan je ontmoedigen of afraden maar doe niet geheimzinnig over de werkelijke feiten.
Er wordt nu nergens aangetoond dat betalen niet helpt, in welke gevallen wel of niet?
Als je als overheid iets beweert moet je met cijfers komen. Toon maar met cijfers en specifiek per malware soort aan dat betalen geen zin heeft, dat is uiteindelijk het meest overtuigend en wie weet steekt de computergebruiker er ook nog iets van op.
Bestrijden van malware moet je doen bij de basis, niet aan het einde van de lijn; van de slachtoffers maar verlangen het leed 'nobel' te dragen. Al staat vragen altijd vrij en een beroep doen op nobelheid natuurlijk ook.
Een sterke aanpak van het probleem is het niet, het past wel weer erg goed in het participatiedenken.
&
De aanpak van ransomware verdient serieuze aandacht, simplificatie van het probleem en suggestie op basis van vage aantallen en percentages helpen niet bij het overtuigen van mensen om medewerking te verlenen aan de gewenste oplossing.

Wat is de simplificatie van het probleem?
De aanname dat als we er allemaal maar niet aan meewerken dat het probleem dan is opgelost.
Gezien het offer dat je van slachtoffers vraagt (vooral niet proberen je bestanden terug te krijgen) is dat dus geen realistische aanname en ook volkomen voorstelbaar. Wat zullen we nou krijgen?

Met een dergelijke oplos-redenatie hadden we inmiddels wel vele andere maatschappelijke problemen kunnen oplossen, vul maar in; alles wat ongezond is laten en ploep zo een veelheid aan problemen in de zorg opgelost, niet te veel geld uitgeven geen tekorten meer, nooit meer iemand boos einde huiselijk geweld en geweldsmisdrijven, en de klassieker (ken je hem nog van Loesje?); "stel je voor, er is oorlog en niemand gaat ernaar toe". Die laatste vond ik altijd mooi, maar zo werkt het niet hebben we pas toch weer goed in woord en beeld kunnen zien.

Well, zo zit de maatschappij dus niet in elkaar, basta en punt komma; er zijn grenzen aan wat je van mensen kan vragen, grenzen in redelijkheid en verwachtingen. Niet iedereen is even sterk en de meerderheid is geen held.
De politie is er om zaken op te lossen en niet om het probleem aan de burgers zelf over te laten en er op een dergelijke manier mee te laten zitten.
Kan je het niet oplossen of heb je de cijfers niet, wees daar dan eerlijk over en geef mensen een eerlijke overweging mee.

"..en uw computer blijft geblokkeerd, ook als u betaalt"
Bewijs het maar en nu eindelijk een keer met overtuigende cijfers graag, om mee te beginnen.
(gaan we daarna door naar wat andere wringende maatschappelijke onderwerpen waarvan verlangd word dat we er grote offers voor brengen en of flink voor moeten inleveren).

Vandaag, 22:32 door Erik van Straten
Kortom, ik zie geen fundamentele redenen waarom dit aspect niet onderzocht zou kunnen worden, ik kan er tot nu toe alleen geen resultaten over vinden. Vandaar mijn vraag.

Zelfde ervaring, helemaal mee eens.
Daarom nog eens het punt verduidelijkt om het belang van een antwoord op de vraag te onderschrijven.
07-08-2014, 12:48 door Erik van Straten
Door Anoniem: http://www.politie.nl/onderwerpen/ransomware.html

Waarom blijft deze ransomware bestaan?

Ook digitale afpersers worden gedreven door geld. Zolang computergebruikers blijven betalen als zij slachtoffer zijn geworden van ransomware, blijft dit probleem bestaan. De criminelen achter de ransomware spelen slim in op het schaamtegevoel door te refereren aan het bezit van illegale bestanden of het downloaden van porno. Veel mensen schrikken van dit bericht en hopen er snel vanaf te zijn na betaling. Niets is minder waar! De politie adviseert met klem om nooit te betalen. Deze blokkade is niet afkomstig van de politie en uw computer blijft geblokkeerd, ook als u betaalt.

De (vet geaccentueerde onderstreepte) passage lijkt mij toch stellig genoeg om een goede, sterke en op feiten gebaseerde basis te veronderstellen voor een advies dat toch sterk aanstuurt om het vooral toch feitelijk als voor waarheid aan te nemen.
Je hebt helemaal gelijk, dit vind ik onverstandig van de politie.

Het zou kunnen dat in het specifieke geval van het "politievirus" van destijds betalen niet helpt, maar in https://www.security.nl/posting/36874/Nederlander+betaalt+100+euro+boete+aan+%27politievirus%27 wordt beschreven dat betalen hielp, en dat dit zelfs zou blijken uit de aangifte (dus de politie zou ervan moeten weten).

Wat ik mij wel kan voorstellen is dat de politie namens jou zo'n betaling doet om daarmee sporen naar de aanvallers te verzamelen, maar op http://www.politie.nl/onderwerpen/ransomware.html zie ik (zo snel) niet eens het advies om aangifte te doen (dat gebeurt wel in bijv. http://www.politie.nl/onderwerpen/cybercrime.html).
07-08-2014, 17:59 door Anoniem
Waar / Niet Waar : "en uw computer blijft geblokkeerd, ook als u betaalt."


Vandaag, 12:48 door Erik van Straten

Je hebt helemaal gelijk, dit vind ik onverstandig van de politie.

Het zou kunnen dat in het specifieke geval van het "politievirus" van destijds betalen niet helpt

Het had gekund,.. Helaas 'is' dat niet het geval.
Onderstaand het 'helaas' nog verder geïllustreerd voor wie dit uberhaubt nog leest of interesseert.
(waarschuwing : nog meer lange tekst ;-)


Ransomeware : you name it / give it a name

Ransomeware / Cryptoware, Politievirus / Politie ransomeware / Cryptolocker / Crypto Defense / Crypto Blocker / Synolocker / ..

Volg jij de varianten nog? Doet het ertoe? Maakt het verschil?
Volgens mij is de algemene term Ransomeware op zijn minst voor de huis tuin en keuken gebruiker / huis tuin en keuken MKB-er, in de volksmond dus, een term waarmee in algemene zin de 'opslot' virussen en malware worden bedoeld.

Het simpele beeld dus van die computer'virussen' die zorgen dat er betaald moet worden om je computer of bestanden van het slot te krijgen, zeg maar weer werkend te krijgen.

Het advies "en uw computer blijft geblokkeerd, ook als u betaalt." had alleen op het politievirus kunnen slaan, maar doet het niet.
Het advies staat namelijk op een pagina over ransomeware waarbij de algemene lezer denkt aan 'dat virus' dat je computer of bestanden op slot gooit.
Dat er meer varianten zijn met verschillende eigenschappen doet er pas toe als je dat onderscheid dan in je uitleg ook precies verder gaat maken en uitleggen. Dat gebeurt niet erg en dus kan het advies opgevat worden als een algemeen geldend advies voor al die 'op-slot-ware'.
Mijn indruk is dat dit ook zeer gewenst is en dat daarom op dit algemene beeld wordt aangestuurd en dat ook bewust in stand wordt gehouden.
Wanneer dat zo is heb ik bij die suggestieve aanpak sterke moeite die ik hieronder geïllustreerd dan ook verder uiteen zal zetten.

In het stuk "Bestuurlijk advies: backup tegen cryptoware" wordt dat wel een beetje gedaan, het is echter meer een stuk voor organisaties of 'beleidsvoerders op ict gebied' en niet voor de gewone consument.

Ook in dit stuk komen de algemeenheden weer langs en kan denk ik worden gesteld dat er een beeld is opgeroepen dat standhoudt, wordt gerecycled en door-gecommuniceerd zonder dat dat verder goed onderbouwd is door feiten materiaal.

Het lijkt er steeds meer op dat het advies, hoe goed bedoeld ook, hoe ergens boeren-slimmig-logisch bedacht ook, een eigen leven is gaan leiden zonder bijbehorende overtuigende feiten.
Ik meen mij zelfs een zinsnede te herinneren dat de politie doorverwees naar de antivirus industrie voor het verkrijgen van de cijfers omdat zij vermoedelijk een heel exact beeld zouden hebben van het aantal besmettingen.
een tijd daarna kwam inderdaad een rapport vanuit (jawel helemaal) Roemenië met cijfers.
Cijfers die hier niet kennelijk beschikbaar waren, Cijfers over unlocken na betaling nog steeds niet, nergens beschikbaar ?



* Flatteren, suggestie, conclusies bouwen op aannames zonder feiten

In het onderstaande rapport worden conclusies iets voorzichtiger gesteld maar is er nog steeds sprake van suggesties die niet onderbouwd zijn door cijfers : Zelden, Soms, .. . En diverse aannames op aannames leidend tot welbekende gecommuniceerde conclusies.

Conclusies roepen een beeld op, dat beeld wordt gecommuniceerd, het beeld wordt groter en is vervolgens een publiek beeld wat roept om actie en maatregelen van de politiek.
Maar waar is de bron?
Waar zijn de onderbouwende analyses en harde overtuigende cijfers ?


Uit : Bestuurlijk advies: backup tegen cryptoware

https://www.politie.nl/binaries/content/assets/politie/nieuws/2013/bestuurlijk-advies-cryptolocker-docx.pdf

Nummer paragrafen niet geheel gequoted, anders zou ik het hele stuk immers ongeveer pasten.

1. Inleiding

Ransomware; inmiddels een bekend probleem
Het Team High Tech Crime doet al enkele jaren onderzoek naar ransomware. Dit is malware (kwaadaardige software) waarmee de computer van een slachtoffer ontoegankelijk wordt gemaakt. De computer toont een melding dat deze alleen zal worden ontgrendeld als het slachtoffer geld betaalt.
Naar schatting 5% van alle slachtoffers betaalt, al leidt dit zelden tot ontgrendeling. Door de malware te verwijderen is de computer wel weer toegankelijk te maken. Deze vorm van cybercrime loont en het aantal criminele organisaties dat zich hiermee bezighoudt stijgt. Tegelijkertijd groeit het maatschappelijk bewustzijn dat men niet moet betalen, maar de computer dient te ‘desinfecteren’.

Opmerkingen
- Naar schatting? 5% waarvan waar en hoe?
- Zelden? ; conclusie op basis van welke cijfers? Kwantificeren dan.
- Zomaar vanzelf? Denk dat het maatschappelijk bewustzijn niet geheel vanzelf groeit maar sterk en bewust via deze weg op eenduidige wijze wordt gepushed/opgedrongen, niets mis met onrecht willen bestijden (ik ben namelijk ook tegen malware) behalve dan dat je de als feiten gebrachte constateringen met cijfermateriaal zou moeten onderbouwen.
Als je de onderbouwing weglaat roept dat vraagtekens op, we hadden toch niets te verbergen (of geldt dat alleen voor burgers?)


3. Knelpunten

Businessmodel
Wanneer een computer besmet is met cryptoware en de bestanden versleuteld zijn, zijn deze niet te ontsleutelen door iemand anders dan de dader. De versleuteling is onomkeerbaar. Na tijdige betaling worden de bestanden soms ontgrendeld. Daders dreigen echter ook om de ontsleutelcodes binnen enkele dagen weg te gooien. Hierna is ontgrendeling niet meer mogelijk. De meeste slachtoffers zijn financieel wel in staat om de betaling te voldoen en betalen soms dan ook. De doelgroep maakt zichzelf voor de toekomst aantrekkelijker door het criminele businessmodel succesvol te maken.

Opmerkingen
- Soms? ; conclusie op basis van welke cijfers? Kwantificeren dan.
- Na overschrijding deadline ontgrendelen niet meer mogelijk = Een dreiging vooraf garandeert nog niet het gevolg, gevolg moet je dan ook controleren of inkaart brengen. Bewijzen graag, cijfers graag.
- Soms wordt betaald, die cijfers zijn er dan weer wel? waarom die personen dan niet gevraagd of het dan ook geholpen heeft?
- De doelgroep maakt zich aantrekkelijk? Wie is de doelgroep, het MKB? Dit is een pure algemene aanname, de target groep lijkt an sich aantrekkelijk en kan daarom 'heel simpel en niet te moeilijk doen' als target zijn gekozen.
Het MKB is als groep niet homogeen en criminelen zijn dat ook niet, daarmee is zelf speculeren over beoordelingscriteria een slag in de lucht.

Maar inderdaad, als niemand ergens aan meewerkt werkt het niet; heel zwart wit en een vrij onrealistisch scenario. Het communiceert wel heel gemakkelijk, zelfs kort genoeg voor twitter.


4. Maatschappelijke relevantie
Het risico om slachtoffer te worden van cryptoware lijkt, afhankelijk van de mate van beveiliging van de ICT-­?structuur, groot. Bij slachtoffers kan besmetting leiden tot aanzienlijke schade. Bestanden raken ontoegankelijk en bedrijfsprocessen kunnen in gevaar komen. Voor organisaties kan dit leiden tot ernstige imagoschade en financiële schade.

Betaling van het losgeld kan voor slachtoffers een oplossing lijken. Maar ontsleuteling van bestanden is niet gegarandeerd. Betaling trekt ook nieuwe aanvallen aan. Dit betekent voor alle potentiele slachtoffers een toename van het risico.

Kortom: als er geen voorzorgmaatregelen worden genomen tegen dit fenomeen, is de kans aanwezig dat Nederland hiervan schade zal ondervinden. Wanneer organisaties in een vicieuze cirkel van besmetting en betaling terecht komen, is de kans groot dat het fenomeen sterk zal toenemen.

Opmerkingen
- Besmettings gevaar ; 'lijkt groot'. Op basis waarvan (b)lijkt dat dan?
- Ontsleuteling is niet gegarandeerd ; we weten het eigenlijk niet, een beetje of helemaal niet (?).
- Risico toename voor alle slachtoffers? Aanname of bewezen en op basis waarvan dan?

- Kortom: ; kort door de bocht op basis van niet bewezen stellingen en aannames, wat overblijft is enig gezond boeren verstand dat gevoelsmatig aangeeft oplossingen in deze richting te zoeken. Dat mag en daar is niets op tegen maar doe niet alsof het feiten zijn zonder die daarbij te overleggen.

- Vervolgens vliegt het boerenverstand daarna geheel uit de bocht; er worden aannamen gebruik om daarop weer aannames te baseren zodat de conclusie van een vicieuze cirkel gerechtvaardigd lijkt.
Als lezer zie ik hier een redenering met zichzelf voorspellende conclusies, het bewust creëren van een schrikbeeld om beleid en eigen conclusies te rechtvaardigen.

'Slim' opgebouwd : Stapelen van argumenten op argumenten. Helaas, de basis, namelijk de feiten (lijken ;-) te) ontbreken!
Het lijkt een kleinigheid, gebrek aan wat feitenmateriaal, maar is een nogal belangrijke principiële principe kwestie. (geldend voor meer van dit soort rapporten? wie voelt hem aankomen?) :

Let wel
Op 'dit soort' niet goed onderbouwde, vol algemeenheden, zichzelf versterkende en voorspellende conclusies worden verdere adviezen gegeven, zij worden overgenomen en herhaald, er wordt beleid op gebaseerd en daarmee nieuwe waarheden gecreëerd.

Niemand die zich ooit of nog afvroeg, klopt het eigenlijk wel en waarop baseert men zich dan?


6. Afsluitend

Als uw organisatie slachtoffer is geworden van cryptoware kunt u hiervan aangifte doen bij de politie.
Aangifte zal niet leiden tot een oplossing voor uw probleem, maar geeft de politie en het Nationaal Cyber Security Centrum wel meer inzicht in de omvang van het probleem.

Opmerkingen
En toen pas kwamen de goede adviezen, eigenlijk had dit de inleiding van het rapport moeten zijn.

- Aangifte doen svp
- De politie is niet in staat het probleem van cryptoware besmettingen op te lossen (de eerlijkheid toch nog aangeboden)
- Het is goed voor ons inzicht
Helaas stellen wij bij deze gelegenheid (kennelijk) de juiste vragen niet en doen daarmee geen gedegen inhoudelijk onderzoek naar het probleem wat ons er verder niet van doet weerhouden om met stellige uitspraken te komen die de suggestie geeft dat gedegen feitelijk cijfer en statistisch inzicht er wel is. (??)

Voor het derde punt geldt dat het een aanname mijnerzijds is, aangescherpt om het punt te verduidelijken of het in een iets bredere context met conclusie samen te vatten.

-----------------------------------------------------------------------------------------------------------------------------------------------------------------
knip knip knip in eigen reactie (Maatschappelijke negatieve consequenties van dit soort 'algemene' belangen en beeldvorming communicatie) voor een andere keer te bewaren. ;-)
-----------------------------------------------------------------------------------------------------------------------------------------------------------------

Dan ter afsluiting en wederom bij herhaling :

Simpele principiële wens : vertrouwen s.v.p.

Kunnen beschikken over feiten en een juiste weergave van de feiten zijn uiteindelijk een essentiële voorwaarde voor communicatie en vertrouwen tussen burger en overheid.
Vertrouwen krijg je niet, dat moet je wel verdienen (en zeker niet verspillen, weder-opbouwen duurt altijd langer)

"Daarom nog eens het punt verduidelijkt om het belang van een antwoord op de vraag te onderschrijven."
06-10-2014, 21:35 door Brittmats1
Hallo, ik heb het ransom virus ook op mijn PC en veel files zijn encrypted en voorzien van de CTB2 extensie.
Het lukt mij niet om de files te decrypten mbv de website decryptcryptolocker.com , de file die ik meegestuurd heb wordt niet als malware herkend. Heeft iemand dat ook ervaren? Kan iemand mij helpen?

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.