Nieuwsoverzicht

CryptoDefense, TorrentLocker, nieuwe virus uitbraak in de vorm van ransomware!

Ongetwijfeld heeft u hier iets van gehoord, op het nieuws, op internet of via de radio.
Is uw  bedrijf binnenkort slachtoffer?
Dit is een typisch voorbeeld van ransomware, wat u een hoop kopzorgen en stress kan bezorgen.
Kort gezegd zorgt dit virus er voor dat al uw bestanden die te bereiken zijn vanaf uw computer/werkplek voorzien worden van een code zodat ze niet meer geopend kunnen worden. U krijgt bij elke map een HTML bestand waarin staat dat u een bepaald bedrag moet betalen. Dit kan oplopen van een paar honderd tot een paar duizend euro!
Deze vorm heet momenteel TorrentLocker, maar is ook bekend onder namen als CryptoDefense, CryptoLocker, Cryptowall, et cetera.
Blijft u alert!

Ontstaan

Sinds 20 oktober is dit virus actief. U krijgt het vooral via de mail, waarin een bijlage zit van PostNL, of DHL, of iets dergelijks. Het kan ook zijn dat u een link krijgt, waarbij het betreffende bestand gedownload zal worden. Als u deze gaat openen en ook daadwerkelijk uit gaat voeren, dan is er een zeer groot besmettingsgevaar.

Het doet zich over komen alsof er een pakketje op u staat te wachten.
Het typische is dat u met voor én achternaam aangesproken wordt. Vermoedelijk is er ergens een database beschikbaar gekomen, want vaak kunt u uit uw eigen mail adres niet uw voornaam of achternaam halen, zeker niet als uw e-mail adres een cryptische variant is.

tracktrace2

Wij hebben de logo’s verwijderd omdat dit niets met bovengenoemde post en/of andere bedrijven te maken heeft!

 

Als het virus actief is, zal het e-mail adressen vergaren uit de volgende mail clients:

  • Thunderbird
  • Outlook
  • Windows Live Mail

Na onderzoek is gebeleken dat er inmiddels 2.614.109 mail adressen in omloop zijn. Ook is het mogelijk om uw IMAP/POP3/SMTP gebruikersnaam/wachtwoord te achterhalen om ook via die weg mails te versturen.

Hoe te handelen

Indien u een besmetting vermoed, zet u dan meteen de computer uit, het liefst meteen de stekker er uit. Als u verbonden bent met het bedrijfsnetwerk, zorgt u er dan in elk geval voor dat uw netwerk verbinding verbroken wordt.
Neem ook meteen contact op met onze SupportDesk, zodat wij meteen kunnen handelen. We hebben engineers stand-by staan welke u direct van dienst kunnen zijn. Wij doen er alles aan om verdere verspreiding te voorkomen.
Inmiddels is de door ons aangeboden virusscanner Webroot bekend met dit virus en zal hier u én ons een melding over geven. Mocht er een verdacht bestand zijn zullen wij dit zien.
Helaas zijn deze virus definities pas sinds gisteren beschikbaar. Bij een dergelijke uitbraak zijn virus definities helaas niet meteen beschikbaar.

Hoe ziet het er uit

U kan het herkennen aan dat bestanden hernoemd worden naar bestandsnaam.ENCRYPTED, dit gaat razendsnel. U zal een HTML bestand zien, als u deze opent krijgt u deze melding:

warning

 

 

Al deze bestanden zijn encrypted wat wil zeggen dat u een code nodig heeft om ze te decrypten. Deze code kost u geld. Het is op dit moment niet mogelijk deze code te achterhalen. Bij een vorige variant, CryptoDefense (kan andere namen hebben) is dit wel gelukt. Deze bevat echter een geheel ander algoritme dat nog niet bekend is.

Herkenningspunten

  • Tot nu toe is het vermoeden dat het bestand wat u geopend heeft, te vinden is in/als C:\WINDOWS\[a-z]{8}.exe, indien u geen installatierechten heeft op uw systeem, zal dit te vinden zijn in C:\PROGRAMDATA\[a-z]{8}.exe
  • U kan de Windows tool msconfig gebruiken om te achterhalen of een dergelijk bestand gestart wordt bij het starten van uw computer.
  • Een extra proces “explorer.exe” zal geactiveerd worden/zijn.

Any-iT zal u hier bij helpen door u informatie te geven, voor te lichten; inmiddels zijn wij bij klanten pro actief voorzorgsmaatregelen aan het treffen.

Voorzorgsmaatregelen

  • Klanten die spam filtering/mail relay van Any-iT hebben zullen deze mails in de regel niet ontvangen, .exe bestanden worden namelijk geblokkeerd. Alleen een beheerder kan deze bestanden vrij geven.
  • Webroot is voorzien van de laatste virus definities.
  • Any-iT rolt een nieuwe GPO uit op servers die verdere uitbraak zou moeten voorkomen.