image

Advertenties verspreiden gesigneerde Cryptowall-ransomware

maandag 29 september 2014, 13:10 door Redactie, 9 reacties

Aanvallers zijn erin geslaagd om op een aantal, met name in India, populaire websites advertenties te krijgen die de Cryptowall-ransomware verspreiden. De advertenties wijzen naar verschillende websites met exploitkits. Welke exploitkits het precies zijn laat beveiligingsbedrijf Barracuda Labs niet weten.

In het geval bezoekers van onder andere de Hindustan Times, Bollywood Hungama en Coding Forums, de browser of browserplug-ins niet up-to-date hadden raakten ze besmet met Cryptowall. Dit is een vorm van ransomware die bestanden op computers voor losgeld versleutelt en al meer dan 625.000 machines zou hebben besmet. De versie die werd verspreid was gesigneerd met een geldig digitaal certificaat.

Het signeren van malware met een digitaal certificaat heeft verschillende voordelen voor cybercriminelen. Gebruikers kunnen denken dat het om een legitiem bestand gaat, daarnaast kan het ook worden gebruikt om beveiligingssoftware en systeeminstellingen te omzeilen. Op het moment dat de besmette advertenties rondgingen werd de malware door geen van de 55 virusscanners op VirusTotal herkend.

Reacties (9)
29-09-2014, 13:26 door spatieman
daarom dus weer, ADD blockers !
29-09-2014, 13:37 door Anoniem
Er zijn site' s die het verbieden om een add blocker te gebruiken, je kunt dan dood eenvoudig niet verder. Is hier overigens een oplossing voor?
29-09-2014, 13:44 door Anoniem
"Het signeren van malware met een digitaal certificaat heeft verschillende voordelen voor cybercriminelen. "

Een voordeel is dat er vaak wordt geroepen dat je aan een geldig certificaat kan zien dat een website betrouwbaar is, terwijl dit zoals je hier ziet helemaal niet het geval hoeft te zijn.

In een ander artikel van vandaag wordt ook weer gesuggereerd dat je de betrouwbaarheid van een online banking website kan verifieren door te kijken of je een ''slotje'' ziet. Velen denken daardoor dat het slotje aantoont dat de website veilig is.
29-09-2014, 14:15 door Anoniem
Door Anoniem: Er zijn site' s die het verbieden om een add blocker te gebruiken, je kunt dan dood eenvoudig niet verder. Is hier overigens een oplossing voor?

Die site niet meer bezoeken! Let maar op, dan is het zo afgelopen met zo'n verbod!
29-09-2014, 15:59 door vimes - Bijgewerkt: 29-09-2014, 16:00
Ik weet niet of Engelfriet hier meeleest, maar is het niet mogelijk het betreffende banner-bedrijf aansprakelijk te stellen voor de geleden schade alsgevolge van zo'n virusbesmetting?
29-09-2014, 16:44 door johanw
Door Anoniem: Er zijn site' s die het verbieden om een add blocker te gebruiken, je kunt dan dood eenvoudig niet verder. Is hier overigens een oplossing voor?
Je hebt in AddBlock Plus de "Addblock Warning Removal List", die veel van dat soort onzin (vaak scripts) tegenhoudt. Als generieke oplossing zou Noscript vaak wel moeten helpen maar dat is voor leken natuurlijk wel erg ingewikkeld.
29-09-2014, 21:10 door Emphyrio
Uit betreffende artikel van Barracuda Labs https://barracudalabs.com/2014/09/signed-cryptowall-distributed-via-widespread-malvertising-campaign/ :
Those results have since improved, with additional tools now identifying the program as malicious. With any luck, the certificate used to sign the executable will be revoked soon.
29-09-2014, 22:24 door [Account Verwijderd] - Bijgewerkt: 29-09-2014, 22:28
[Verwijderd]
11-10-2014, 11:46 door Anoniem
Ik raakte in de weken voor deze nieuwspost besmet met deze trojan via buitenlandse (VS/Canadese) sites (waarschijnlijk ook via ads). De virusscanner zag hem wel, uiteindelijk... maar het was al gebeurd voordat de virusscanner en ik het doorhadden... Dat ding was volgens de 'bestand-gewijzigd data' rond een kwartier m'n schijf aan het encrypten. MS Security Essentials zag het dus pas toen er een of andere executable was gegenereerd die zichzelf in een of andere opstart folder had geplaatst. Had ik maar UAC aan staan als ik diverse sites mag geloven, dan was ik niet zwaar besmet geraakt. Gelukkig maak ik wel backups, maar niet alles was te redden.
Heeft iemand al van een decrypt tool gehoord? De eerdere Cryptowall uitbraak in juni als ik me niet vergis kan inmiddels gedecrypt worden, voorzover die werkt. Maar voor mijn variant van dit trojan werkt het niet helaas. Maar ik ga die idioten achter deze trojan toch echt geen geld geven. Laat ze maar eerlijk werk doen! Misschien nog maar even wachten voordat de heksenjacht op deze verwenste lui afgerond is en de decrypt keys bekend worden...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.