Welkom op ons forum!

Heb je een computerprobleem of een algemene vraag? Registreer een account op het forum, wij helpen je dan graag verder om het probleem vakkundig op te lossen.

Gebruikersavatar
OB1
Lid
Berichten: 102
Lid geworden op: 15 sep 2013 10:08

Onderzoekers van het Nederlandse beveiligingsbedrijf Fox-IT en het Amerikaanse FireEye zijn erin geslaagd om de privésleutels van de CryptoLocker te achterhalen, waardoor alle slachtoffers van deze ransomware hun versleutelde bestanden kosteloos kunnen terugkrijgen.

CryptoLocker is ransomware die bestanden op besmette computers versleutelt en vervolgens een bedrag eist dat slachtoffers moeten betalen om weer toegang te krijgen. De gebruikte encryptie is zo sterk dat het terugkrijgen van versleutelde bestanden, tenzij er betaald werd of slachtoffers over een back-up beschikten, zo goed als onmogelijk was. Voor het versleutelen werd voor elke besmette computer een aparte privésleutel gebruikt, die zich op de servers van CryptoLocker bevond. Alleen met deze privésleutel konden de bestanden worden ontsleuteld. De criminelen achter de ransomware hadden de locatie van deze server echter goed verborgen.
CryptoLocker werd onder andere via de GameOver Zeus Trojan verspreid. Een botnet dat in eerste instantie voor fraude met internetbankieren werd gebruikt. De botnetbeheerders besloten het botnet ook in te zetten voor het verspreiden van CryptoLocker. In totaal zouden 545.000 computers met GameOver Zeus ook met CryptoLocker besmet zijn geraakt. Een klein deel van het GameOver Zeus-botnet, aangezien bankfraude nog altijd het hoofddoel was.

Toeval

Onlangs voerde de FBI een grote operatie tegen GameOver Zeus uit, waarbij het botnet werd uitgeschakeld. Dit zorgde ervoor dat de botnetbeheerders in actie kwamen en probeerden om de infrastructuur te redden, zegt Eward Driehuis van Fox-IT tegenover Security.NL. Daarbij werden ook de privésleutels verstuurd via een deel van de infrastructuur die door Fox-IT en FireEye werd gemonitord. Het was dan ook "stom toeval" dat de privésleutels werden opgevangen, aldus Driehuis. Hij benadrukt dat het echter ook een kwestie is van het juiste moment op de juiste plek zijn.
Via de website decryptcryptolocker.com die beide beveiligingsbedrijven lanceerden, kunnen slachtoffers van CryptoLocker hun e-mailadres invullen en een versleuteld bestand uploaden. Daarbij wordt geadviseerd om een bestand te uploaden dat geen gevoelige informatie bevat. Aan de hand van het geuploade bestand wordt vervolgens de privésleutel teruggestuurd waarmee gebruikers de overige bestanden kunnen ontsleutelen.
Het is natuurlijk de vraag hoeveel slachtoffers van CryptoLocker nog van de gevonden privésleutels kunnen profiteren. De kans is groot dat veel mensen hun computer hebben vervangen of opnieuw geïnstalleerd. Op het moment dat de FBI GameOver Zeus uit de lucht haalde waren nog steeds 155.000 computers met CryptoLocker besmet. Daarnaast is het ook mogelijk dat mensen hun versleutelde bestanden nog steeds op een harde schijf hebben bewaard. Ook in deze gevallen kunnen de bestanden worden gered.

Schade

Slachtoffers van CryptoLocker konden voor het ontsleutelen van hun betalen via Bitcoin of een prepaid betaalvoucher van Moneypak, uKash of Paysafecard. In totaal werden gedurende de 9 maanden dat CryptoLocker actief zo'n 1400 Bitcoins overgemaakt, wat met de huidige wisselkoers ruim 600.000 euro is. De meeste betalingen verliepen echter via Monepak. De onderzoekers schatten dat CryptoLocker de criminelen zo'n 2,2 miljoen euro opleverde. Veel minder dan de 24 miljoen dollar die door de FBI werd genoemd. Uit de statistieken blijkt dat uiteindelijk 1,3% van de besmette internetgebruikers het gevraagde losgeld ook betaalde.
Afbeelding
Naar Security.nl.

Terug naar “Software en Algemene vragen”