image

"Slapende" ransomware maakt wereldwijd slachtoffers

donderdag 28 mei 2015, 11:30 door Redactie, 4 reacties

Deze week zijn wereldwijd computers met een nieuwe ransomware-variant geïnfecteerd geraakt die systemen stilletjes infecteerde en plotseling op 25 mei actief werd. Het gaat om de Locker-ransomware die net als andere ransomware-exemplaren allerlei bestanden op het systeem versleutelt.

Volgens Bleeping Computer is een groot aantal mensen wereldwijd door de malware getroffen. Na de versleuteling krijgen gebruikers een melding te zien dat ze 0,1 bitcoin moeten betalen. Dat komt met de huidige wisselkoers overeen met 22 euro. Een bedrag dat een tiende is van wat veel andere ransomware-exemplaren vragen. In de waarschuwing die gebruikers krijgen te zien staat verder vermeld dat ze de Locker-ransomware niet mogen onderzoeken of verwijderen, omdat dan de privésleutel zal worden vernietigd en de data niet meer zijn te ontsleutelen.

Experts stellen echter dat dit alleen een manier is om mensen bang te maken zodat ze het gevraagde bedrag betalen. Naast het forum van Bleeping Computer zijn ook op sociale nieuwssite Reddit inmiddels verschillende berichten van slachtoffers verschenen die het bedrag ook hebben betaald. Daarbij wordt het lage bedrag van 22 euro als reden gegeven om te kijken of door te betalen de bestanden zijn terug te halen. Verschillende slachtoffers laten daarbij weten dat ze na het betalen ook hun bestanden konden ontsleutelen en zo weer terugkregen.

Hoe de Locker-ransomware zich precies verspreidt is nog niet bevestigd, maar mogelijk gaat het om een gekraakte versie van Minecraft of sport-streamingsites, hoewel ook e-mailbijlagen en exploits worden genoemd. De ransomware zou alleen de Shadow Volume Copies op de C-schijf wissen. Daardoor zou het via de Shadow Volume Copies van andere schijven mogelijk zijn om de bestanden die daar zijn versleuteld zonder te betalen terug te halen.

Image

Reacties (4)
28-05-2015, 14:07 door Anoniem
Ik zou graag in kaart gebracht hebben welke antivirus deze besmette apparaten gebruikten.Zijn er bepaalde merken antivirus die deze en soortgelijke ransomware over het hoofd zien? Pc gebruikers hebben er recht op om te weten welke antivirus-merken hun pc/tablet/smartphone wel beschermen tegen ransomware en welke niet.De antivirusboeren die geen afdoende (preventieve) bescherming bieden tegen deze malware-vorm kunnen wat mij betreft wel inpakken en wegwezen.
29-05-2015, 10:41 door Anoniem
Probleem is dat de Ransomware gebruikt maakt van instellingen op je Windows computer die gewoon niet geactiveerd of toegestaan zouden mogen zijn. Maar alle thuis gebruikers zijn default beheerder (is toch makkelijk). De Ransomware komt binnen door internet en email. Pas aan: geen uitvoerbare bestanden te starten vanuit de tmp directory's en ga als gewone begruiker aan het werk. Update Windows (ook ms Office), Adobe produnten en je virusscanner. De-installeer Java!
29-05-2015, 14:17 door SurfRight - Bijgewerkt: 29-05-2015, 14:20
Door Anoniem: Ik zou graag in kaart gebracht hebben welke antivirus deze besmette apparaten gebruikten.
Over het algemeen is geen enkele virusscanner in staat om de nieuwste ransomware te blokkeren. De aanvallers verhaspelen de code en testen of antivirussoftware de nieuwe bedreiging weet te blokkeren, alvorens het rond te sturen. Antivirus lost dit probleem totaal niet op want je hebt early-life detectie nodig op basis van gedrag (die bestaat maar ik zal geen reclame maken). Dit probleem geldt overigens niet alleen voor ransomware maar voor alle bedreigingen. Heb geen illusie, AV werkt totaal niet tegen malware dat maar een window of opportunity van enkele seconden of minuten nodig heeft. Het maken, testen en uitbrengen van een nieuwe detectie-definitie duurt veel langer dan dat dus wat je ook aan antivirus hebt, of wat makers van antivirussoftware ook beloven: het werkt niet! De aanvaller is de verdediger altijd te snel af. Aanvallers hebben oneindig veel mogelijkheden om hun malware te vermommen terwijl antivirus maar uitkijkt naar wat het kent.

Door Anoniem:Probleem is dat de Ransomware gebruikt maakt van instellingen op je Windows computer die gewoon niet geactiveerd of toegestaan zouden mogen zijn. Maar alle thuis gebruikers zijn default beheerder (is toch makkelijk). De Ransomware komt binnen door internet en email.
Totale onzin. Veel bedrijven waar gebruikers zeer beperkte rechten hebben lopen al maanden flinke schade op en dat zal niet veranderen. Het beperken van de rechten van de gebruiker op zijn computer is een illusie. Vooral ransomware geeft daar niet om en draait gewoon ondanks de beperkte rechten (net als digitale bankrovers, die lopen ook onder beperkt gebruikersaccount). Alles waar de gebruiker toegang tot heeft (documenten) zal de ransomware versleutelen.

Overigens valt ransomware de laatste tijd veel op omdat het impact heeft. De infectiegraad was vroeger niet anders, alleen de payload valt nu meer op.

Er is een uitstekende oplossing tegen dit soort malware beschikbaar maar ik kan geen reclame maken. ^Mark
01-06-2015, 14:30 door Anoniem
Helaas is mijn splinter nieuwe Samsung S6 Edge ( 2 weken) oud nu ook besmet met dit virus.
Hij draait op Android standaard. Maar heb wel problemen nu.
Wat kan ik hier aan doen?
mvg René
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.