Cryptoware...

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28276
Lid geworden op: 28 Okt 2003
Bedankt: 1862 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 349 keer

Cryptoware...

Berichtdoor r2504 » 16 Mei 2016, 22:14

Bingo... was eigenlijk niets speciaals aan het doen op de PC (is wel een oude XP in een VM) tot ik plots dit kreeg;

Ransom.jpg

ub4b
Elite Poster
Elite Poster
Berichten: 3382
Lid geworden op: 12 Jan 2006
Bedankt: 302 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 52 keer

Re: Cryptoware...

Berichtdoor ub4b » 16 Mei 2016, 22:38

En ze zijn zo slim om het achter een tor-only onion site te zetten, en te laten betalen met bitcoins.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28276
Lid geworden op: 28 Okt 2003
Bedankt: 1862 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 349 keer

Re: Cryptoware...

Berichtdoor r2504 » 16 Mei 2016, 22:59

Blijkbaar heeft Kaspersky een decryption tool maar hiervoor moet je het origineel hebben van de file.

Nu heb ik er wel enkele maar nu komt de tool zeuren dat de filesize niet overeen komt ?

Blijkbaar zijn de encrypted files dus allemaal iets groter.

Gebruikersavatar
Patje
Elite Poster
Elite Poster
Berichten: 3280
Lid geworden op: 03 Sep 2003
Locatie: (Ledegem)West vlaanderen
Bedankt: 68 keer
Uitgedeelde bedankjes: 164 keer

Re: Cryptoware...

Berichtdoor Patje » 16 Mei 2016, 23:15

Welk AV stond er op de machine ?
Intel® i3-4150 Dual-Core @3,5 GHZ. Ram: 16 GB. HD 1 TB || Windows 10 Home X64 || GSM Huawei Y6 4G Mobile Vikings
Afbeelding Afbeelding
Pro⌘imus Familus. BBOX 3V+. 85/30. Zone 2. http://www.speedtest.net/result/7139693110.png

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28276
Lid geworden op: 28 Okt 2003
Bedankt: 1862 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 349 keer

Re: Cryptoware...

Berichtdoor r2504 » 16 Mei 2016, 23:20

Patje schreef:Welk AV stond er op de machine ?


Zoals ik al schreef was het een outdated PC met Windows XP zonder iets van anti-virus.

Is eerder een "speel/test" omgeving voor nogal specifieke dingen... ga er dus niet flauw over doen dat de security veel beter kon.

Gebruikersavatar
Patje
Elite Poster
Elite Poster
Berichten: 3280
Lid geworden op: 03 Sep 2003
Locatie: (Ledegem)West vlaanderen
Bedankt: 68 keer
Uitgedeelde bedankjes: 164 keer

Re: Cryptoware...

Berichtdoor Patje » 16 Mei 2016, 23:24

Dan is het idd normaal.
Intel® i3-4150 Dual-Core @3,5 GHZ. Ram: 16 GB. HD 1 TB || Windows 10 Home X64 || GSM Huawei Y6 4G Mobile Vikings
Afbeelding Afbeelding
Pro⌘imus Familus. BBOX 3V+. 85/30. Zone 2. http://www.speedtest.net/result/7139693110.png

ub4b
Elite Poster
Elite Poster
Berichten: 3382
Lid geworden op: 12 Jan 2006
Bedankt: 302 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 52 keer

Re: Cryptoware...

Berichtdoor ub4b » 16 Mei 2016, 23:52

r2504 schreef:
Patje schreef:Welk AV stond er op de machine ?


Zoals ik al schreef was het een outdated PC met Windows XP zonder iets van anti-virus.

Is eerder een "speel/test" omgeving voor nogal specifieke dingen... ga er dus niet flauw over doen dat de security veel beter kon.


Ik heb ook een XP vm, waar ik nog een oude corel draw op draai. Geen zin om de laatste versie te leren, en de oude ken ik vanbuiten en maak er affiches van A5 tot 2M rollup banner formaat mee.

Nu gebruik ik die vm ook om af en toe eens bepaalde utils te testen.

Dus alvorens ik iets nieuws download, maak ik snapshot, test het ding, doet het raar, dan doe ik revert to snapshot en klaar ......... met de vm surf ik niet omdat mijn risico met XP erg groot is.

Nu zou je voor de gein ook eens zo'n fake support dienst kunnen bellen, hun ip traceren en de video sharen ... je hebt nu de ideale omgeving ....

Zie https://www.youtube.com/watch?v=fsgMty37n0k

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28276
Lid geworden op: 28 Okt 2003
Bedankt: 1862 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 349 keer

Re: Cryptoware...

Berichtdoor r2504 » 17 Mei 2016, 08:13

Patje schreef:Dan is het idd normaal.


Het risico is inderdaad groot... maar was toch even verbaast zo zonder op iets te klikken.

Ben eigenlijk wel nieuwsgierig hoe het binnen gekomen is... Java, Flash, IE, ... ?

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 5735
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 422 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 306 keer

Re: Cryptoware...

Berichtdoor heist_175 » 17 Mei 2016, 08:20

ub4b schreef:Ik heb ook een XP vm

Idem hier.
Ik gebruik die image niet, maar maak altijd een kopie om mee te werken. Als die dan in de soep draait, heb ik de originele image nog.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28276
Lid geworden op: 28 Okt 2003
Bedankt: 1862 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 349 keer

Re: Cryptoware...

Berichtdoor r2504 » 17 Mei 2016, 08:29

Gelukkig kon het ding niet aan m'n andere servers aan... maar ga het toch ook eens in een aparte VLAN duwen.

ub4b
Elite Poster
Elite Poster
Berichten: 3382
Lid geworden op: 12 Jan 2006
Bedankt: 302 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 52 keer

Re: Cryptoware...

Berichtdoor ub4b » 17 Mei 2016, 10:29

r2504 schreef:
Patje schreef:Dan is het idd normaal.


Het risico is inderdaad groot... maar was toch even verbaast zo zonder op iets te klikken.

Ben eigenlijk wel nieuwsgierig hoe het binnen gekomen is... Java, Flash, IE, ... ?


Ik heb in een lang verleden ook eens prijs gehad. Ik surfte met de laatste firefox naar een site die normaal geen malware bevat, maar de images van de users hun avatar kwamen van een andere host. Toen ik op die andere host naar meer images zocht, had ik prijs, plots zo'n fake politie scherm dat ik kinderporno had staan ...... het ging om onnozele dingen zoals een vrouw die eens goed met haar boobies shaked. Geen illegale dingen dus.

En dan een ander geval waar ik plots een virus had door naar een psychologie site te surfen, windows security essentials had het virus pas gevonden nadat het reeds draaide. Dus linux opgestart, alle data van de hdd weggehaald en restore image from backup .....

Om die reden draai ik tegenwoordig enkel nog firefox met noscript, sindsdien ben ik van al dat soort onzin verlost. De grootste attack vector is javascript en alle dynamische dingen die in je browser lopen, langs die wegen komt malware mee binnen.

Ik heb recent mijn pc met meerdere scanners gechecked en ze konden niks vinden.

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 5735
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 422 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 306 keer

Re: Cryptoware...

Berichtdoor heist_175 » 17 Mei 2016, 10:48

Ik heb alle ad-brol in mijn hosts file staan, dan kan ik alvast niet via die weg allerhande rommel importeren :).
Noscript heb ik ook een tijdje gebruikt, maar zorgde soms voor gekke resultaten op sommige websites

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28276
Lid geworden op: 28 Okt 2003
Bedankt: 1862 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 349 keer

Re: Cryptoware...

Berichtdoor r2504 » 17 Mei 2016, 11:42

Is er in Belgie trouwens nog een instantie waar je je kan melden als slachtoffer (al zal het louter voor de statistiekjes zijn) ?

Gebruikersavatar
iceke
Elite Poster
Elite Poster
Berichten: 4693
Lid geworden op: 11 Jun 2010
Bedankt: 552 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 187 keer

Re: Cryptoware...

Berichtdoor iceke » 17 Mei 2016, 12:10

Aangifte doen bij de smurfen.
De meeste crypto lockers zie ik hier via de mail binnenkomen. Heb ze eigenlijk nog nooit gezien via gehackte sites.

Gebruikersavatar
petrol242
Elite Poster
Elite Poster
Berichten: 1972
Lid geworden op: 17 Sep 2012
Locatie: Brasschaat
Bedankt: 174 keer
Recent bedankt: 13 keer
Uitgedeelde bedankjes: 51 keer

Re: Cryptoware...

Berichtdoor petrol242 » 17 Mei 2016, 12:25

Mijn broer zijn bedrijf in Duitsland doet aan "Daten Shutz" en krijgt er enorm veel mee te maken. Volgens de Duitse overheid is ransomware de grootste bedreiging geworden in de digitale wereld. De meeste aanvallen gebeuren vanuit Oekraïne en Rusland. Veel kan er voorlopig niet aan gedaan worden dan heel regelmatig op een onafhankelijk systeem back-ups te maken. Windows is zoals gewoonlijk het grootste slachtoffer.
De enige ransomware tot nu toe gekend voor Apple is via bittorrent. Voor linux en andere unices is voorlopig geen geval bekend, behalve dan de servers waar magento op draait en dan nog is de verspreiding beperkt tot de database.

Een infectie kan zelfs al optreden door het bezoek van een website gehost op een geïnfecteerde server. Zonder zelfs scripts of flash te gebruiken.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28276
Lid geworden op: 28 Okt 2003
Bedankt: 1862 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 349 keer

Re: Cryptoware...

Berichtdoor r2504 » 17 Mei 2016, 13:37

iceke schreef:Aangifte doen bij de smurfen.


Ik zal eens zien dat het elektronisch kan... tijd wil ik er nu ook niet veel aan verprutsen.

iceke schreef:De meeste crypto lockers zie ik hier via de mail binnenkomen.


Inderdaad... zo hoor ik het in vriendenkring ook... vaak "Pdf's" in mails.

petrol242 schreef:Een infectie kan zelfs al optreden door het bezoek van een website gehost op een geïnfecteerde server. Zonder zelfs scripts of flash te gebruiken.


De tijd dat je echt op iets moest klikken en het enkel voor domme gebruikers was is inderdaad voorgoed voorbij.

Ondanks dat sommige beweren dat de meest recente versie van de tool m'n files zou moeten kunnen decrypteren lukt het mij nog steeds niet (blijf melding krijgen dat de geencrypteerde en normale file een andere filesize hebben).

Tomby
Elite Poster
Elite Poster
Berichten: 3416
Lid geworden op: 01 Feb 2006
Bedankt: 230 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 331 keer

Re: Cryptoware...

Berichtdoor Tomby » 17 Mei 2016, 13:57

Beetje off-topic, maar waarom werkt die cryptolocker met asymetrische crypto ? Dat is toch pakken trager dan symmetrische algoritmes en hier totaal nutteloos.
Afbeelding

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6340
Lid geworden op: 28 Jan 2012
Bedankt: 476 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 92 keer

Re: Cryptoware...

Berichtdoor ITnetadmin » 17 Mei 2016, 18:09

Omdat je met symmetrische *mogelijks* de key zou kunnen terugvinden op het geinfecteerde systeem ;-)

R2504: snapshot terugzetten lijkt me het makkelijkst. Maar idd wel interessant om ns te zien.

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 5735
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 422 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 306 keer

Re: Cryptoware...

Berichtdoor heist_175 » 19 Mei 2016, 09:18


Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28276
Lid geworden op: 28 Okt 2003
Bedankt: 1862 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 349 keer

Re: Cryptoware...

Berichtdoor r2504 » 19 Mei 2016, 10:31

Teslacrypt is een andere variant... die van mij is vermoedelijk een zeer recente versie van CryptXXX (want de Kasperky tool van amper een week geleden werkt zelfs niet meer).

Ik hou de .vmdk wel apart... al staat er niet meteen iets op wat ik niet opnieuw kan downloaden.

tb0ne
Elite Poster
Elite Poster
Berichten: 829
Lid geworden op: 24 Aug 2012
Bedankt: 56 keer
Uitgedeelde bedankjes: 23 keer

Re: Cryptoware...

Berichtdoor tb0ne » 17 Aug 2016, 12:11

Beetje oud misschien maar gisteren gelukkig iemand kunnen helpen met volgende tool:
https://esupport.trendmicro.com/en-us/h ... 14221.aspx
Proberen waard?

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28276
Lid geworden op: 28 Okt 2003
Bedankt: 1862 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 349 keer

Re: Cryptoware...

Berichtdoor r2504 » 17 Aug 2016, 12:47

Nog een extra tool... Beveiligingsbedrijf stelt decryptietool voor Cerber-ransomware beschikbaar
https://tweakers.net/nieuws/114699/beve ... kbaar.html


Terug naar “Windows”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast