image

Criminelen achter valse PostNL-mail besmetten duizenden pc's

dinsdag 21 oktober 2014, 15:30 door Redactie, 11 reacties

De criminelen die achter de valse PostNL-mail van vorige week en andere kwaadaardige e-mails zitten hebben duizenden computers met de TorrentLocker-ransomware weten te infecteren, waarvan 653 slachtoffers ook het gevraagde losgeld hebben betaald. Dat laat het Delftse beveiligingsbedrijf Fox-IT aan de hand van eigen onderzoek weten. Eerder werd bekend dat 123 Nederlanders het losgeld zouden hebben betaald.

De in totaal 4180 waargenomen besmettingen zijn afkomstig van over de hele wereld en niet alleen Nederland. In totaal werden infecties in 44 verschillende landen geteld. Zodra een computer besmet is versleutelt TorrentLocker allerlei bestanden op het systeem. Slachtoffers moeten vervolgens 400 euro losgeld in bitcoin betalen om hun bestanden terug te krijgen. Daarnaast gebruiken de criminelen speciale betaaltemplates voor zestien landen, waaronder ook Nederland.

Campagne

De campagne met de kwaadaardige e-mails zou op 16 september van dit jaar zijn begonnen. Om nieuwe e-mailadressen te vinden verzamelen de aanvallers op geïnfecteerde systmen contactgegevens uit Thunderbird, Outlook en Windows Live Mail. Inmiddels zouden meer dan 2,6 miljoen e-mailadressen op deze manier zijn verzameld. Ook zou de malware op besmette computers inloggegevens voor IMAP, POP3 en SMTP zoeken om zo nieuwe e-mailberichten te kunnen versturen. Volgens Fox-IT zijn inmiddels 1746 accountgegevens gestolen.

De 653 slachtoffers die de afgelopen weken betaalden maakten in totaal 862 bitcoins over, wat overeenkomt met 257.000 euro. Als alle slachtoffers 400 euro hadden betaald zouden de criminelen 1,6 miljoen euro hebben opgehaald.

Reacties (11)
21-10-2014, 17:24 door Anoniem
Ik neem aan dat als men gebruik maakt van externe harde schijf dat men daar ook de belangrijke bestanden als backup op bewaard. Kleine kans tot geen kans dat men dan betaald. Je trekt gewoon de internetstekker eruit, doet format C, D, etc... en plaatst de backups terug en hebt weer een les geleerd.
21-10-2014, 18:12 door [Account Verwijderd]
[Verwijderd]
21-10-2014, 18:57 door Anoniem
1)
De 653 slachtoffers die de afgelopen weken betaalden maakten in totaal 862 bitcoins over, wat overeenkomt met 257.000 euro. Als alle slachtoffers 400 euro hadden betaald zouden de criminelen 1,6 miljoen euro hebben opgehaald.

257.000 euro/653 = 393,57 euro gemiddeld per persoon
Een aantal personen zouden dan wat minder dan 4oo euro hebben betaald in de veronderstelling zijnde dat dat ook wel zou werken? Wisselkoers issue?

2) Wat in het cijfertjes nieuws mist is 'opnieuw' het verhaal of betalen nu heeft geholpen bij het terugkrijgen van de bestanden of niet.

Niet onbelangrijk.

Er moeten toch op zijn minst 653 personen dubbel boos, deels nogal opgelucht danwel met sterke gevoelens verdeeld over beide categorieën zijn.
In een tijd als deze waar elke mentale oprisping als een onbedwingbare scheet direct in 140 tekens digitaal gelaten wordt, is het dan wel op zijn minst zeer opmerkelijk te noemen dat of betalen wel of niet helpt de media en het nieuws niet heeft gehaald.

Houden 653 personen zich nu plots vreselijk in en blijven muisstil?
Zijn het misschien minder besmettingen en drijft de Lockermaker het besmettings/betaal getal virtueel zelf op om besmette gebruikers te overtuigen dat betalen zin heeft? Immers hoe meer schaapjes zichtbaar over de dam hoe meer er hopelijk volgen.
Zit er nog een hele andere extra agenda achter dit eenzijdige cijfer nieuws?

Er mist nog wat essentiële informatie om de berichtgeving geheel geloofwaardig te maken.
21-10-2014, 19:20 door Anoniem
Hé, heb je het al gehoord? Er zitten criminelen achter de valse PostNL e-mails. Ik zou zweren dat hardwerkende, belastingbetalende burgers achter deze valse e-mails zaten. Goh...
21-10-2014, 19:56 door softwaregeek
Betaal NOOIT! Ga naar een specialist op computergebied, deze kan meestal de infectie verwijderen.
21-10-2014, 19:59 door Anoniem
En daarom geen account met adminrechten. Beperkt een hoop schade. Dan is een herinstallatie niet eens nodig.
21-10-2014, 21:33 door CSO.
Door softwaregeek: Betaal NOOIT! Ga naar een specialist op computergebied, deze kan meestal de infectie verwijderen.

En dan je data nog ontsleutelen...best lastig zonder sleutel. ;)
22-10-2014, 12:37 door Anoniem
Ik denk persoonlijk dat veel beveiligings bedrijven / anti-virus leveranciers zich weinig uitlaten over succesvolle betaligen. Een deel zal juist proberen een product te slijten om het virus te verwijderen, encryptie ongedaan maken is mits goed geimplementeerd bijna onmogelijk.Anderen zullen bang zijn voor copycats, het is makkelijk verdiend met een relatief laag risico. Al denk ik wel dat de huidige campagne in het vizier van diverse instanties is omdat deze zo omvangrijk is.

De malwaremaker heeft er juist alle belang bij om de data te ontgrendelen, het spoort andere mensen aan om te betalen. Weg rennen met het geld zonder ontgrendelen is de doodsteek voor deze soort malware.
22-10-2014, 12:50 door alexNL
Door softwaregeek: Betaal NOOIT! Ga naar een specialist op computergebied, deze kan meestal de infectie verwijderen.
Dat schijnt met deze nieuwste versie (vrijwel) onmogelijk te zijn, wellicht dat mensen dan toch eieren voor hun geld kiezen, aangezien de gegevens in de regel aanzienlijk meer waard zijn dan 400€ (of bijv de pc waarop deze bewaard worden). .

Voor het overzicht de hele 'maar je moet toch backups maken etc' remark maar achterwege gelaten. Neem aan dat mensen die dit wel betalen dat oa doen omdat ze géén (werkende) backup hebben.
22-10-2014, 13:50 door Anoniem
Door Anoniem: Ik neem aan dat als men gebruik maakt van externe harde schijf dat men daar ook de belangrijke bestanden als backup op bewaard. Kleine kans tot geen kans dat men dan betaald. Je trekt gewoon de internetstekker eruit, doet format C, D, etc... en plaatst de backups terug en hebt weer een les geleerd.

Geheel juist!

Wat ook kan, denk ik (leek):

Zet alle gegevens op een externe HD en ontkoppel die bij gebruik van het internet.
Draai de systeemschijf in een "Sandbox", bv. TimeFreeze.
Herstart zonder internet voordat de externe HD wordt aangekoppeld.

Voordeel:

Geen updates en (virus)scans nodig.
Zelfs Windows XP kan zo gebruikt worden.

Of zie ik het verkeerd?
23-10-2014, 05:03 door Anoniem
Voor de huidige threat is dat denk ik wel voldoende. Het is echter een kwestie van tijd voordat men uit de sandbox breekt. De huidige cryptoware heeft internet nodig om de asym pub key binnen te halen. Oudere varianten zoals gpcode hadden dit in de binary zitten. Dan ga je dus nog nat zonder internet verbinding. Dit was echter minder schaalbaar en dus minder lucratief.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.