De ProLock Ransomware-operators sturen defecte decryptors naar slachtoffers die het losgeld betalen

ProLock Ransomware Faulty Decryptor

Zoals de meesten van jullie waarschijnlijk weten, is niet alle ransomware gelijk gemaakt. Sommige families zijn geschreven door jonge, onervaren hackers die het grootste deel van hun code lenen uit open opslagplaatsen. Vaak maken ze fouten tijdens de implementatie van de afzonderlijke componenten en eindigen ze met ransomware-voorbeelden die niet zo'n grote bedreiging vormen. Andere malwarefamilies die bestanden versleutelen, worden daarentegen ontworpen en gebouwd door geavanceerde teams van hackers die over een vrijwel onbeperkte hoeveelheid middelen beschikken.

ProLock is een relatief nieuwe naam in de ransomware-scene. Het heeft de afgelopen maanden de krantenkoppen gehaald en het zal interessant zijn om te zien of het een van de meer geavanceerde bedreigingen is of dat het is samengesteld door een groep amateurs.

ProLock - een serieuze bedreiging voor organisaties in alle soorten en maten

Onderzoekers van Sophos hebben onlangs besloten om ProLock nader te bekijken nadat een van hun klanten erdoor getroffen was. Het werd meteen duidelijk dat dit niet het werk is van de zogenaamde scriptkiddies.

In het geval van de aanval die Sophos onderzocht, was het eerste toegangspunt een slecht geconfigureerde RDP-server die door de hackers werd misbruikt. Nadat ze het slachtoffer hadden gecompromitteerd, verzamelden ze wat meer informatie over het netwerk waarin ze zich bevonden, en later gebruikten ze een lijst met gestolen inloggegevens om eroverheen te gaan. De daadwerkelijke ransomware-operatie begint met het plaatsen van vier bestanden in de map% ProgramData% van de host.

Er is een BMP-afbeelding, een XML-bestand en een paar batchbestanden. Het eerste batchbestand stelt een geplande taak in met behulp van de parameters die zijn ingesteld in het XML-document. De geplande taak voert het tweede batchbestand uit, dat op zijn beurt de payload van ransomware extraheert die in de BMP-afbeelding is gecodeerd met behulp van steganografie.

Voordat ProLock de gegevens versleutelt, beëindigt het bepaalde processen om ervoor te zorgen dat er tijdens de versleutelingsfase minder bestanden worden geopend. Als het klaar is met het door elkaar halen van de informatie, laat ProLock een losgeldbrief achter, compleet met een gebruikers-ID en een link naar een door Tor gehoste website waar slachtoffers meer informatie kunnen krijgen over de eisen van de hackers.

Tot nu toe ziet alles er zeer professioneel en geavanceerd uit. Toen de onderzoekers echter naar een paar voorbeelden keken, zagen ze dat hoewel delen van de code waren toegesneden op individuele slachtoffers, de gebruikers-ID's hard gecodeerd waren en niet uniek waren. Dit was raar. Wat echter vreemder was, was de manier waarop ProLock bestanden versleutelt.

De decryptors van ProLock werken niet

ProLock codeert geen bestanden die kleiner zijn dan 8 KB. Voor degenen die groter zijn, start het het coderingsproces met de negende kilobyte. Als je een bestand opent dat de ransomware al heeft versleuteld, zul je zien dat de eerste delen ervan leesbaar blijven.

De onderzoekers van Sophos denken dat dit de reden is waarom de decryptors van ProLock niet werken. Er zijn al een tijdje meldingen van defecte decoderingsprogramma's van de ProLock-operators, maar dit is de eerste keer dat we een technische verklaring van het probleem zien. Het rapport van Sophos suggereert dat beveiligingsspecialisten de gegevens misschien net kunnen ophalen na het wijzigen van de defecte decryptor, maar ze wijzen erop dat het niet goedkoop zal zijn.

Het is weer een bewijs waarom u nooit zaken mag doen met cybercriminelen. Maar nu we allemaal weten waar het probleem ligt, hoe waarschijnlijk is het dan dat de ProLock-operators het zullen oplossen?

Zal de ProLock-bende hun decryptors repareren?

Vanaf nu weten potentiële slachtoffers die de moeite zouden kunnen nemen om een eenvoudige Google-zoekopdracht uit te voeren, dat zelfs als ze het losgeld betalen, ze hun gegevens mogelijk niet terugkrijgen. Ze zullen minder snel meewerken en u zou denken dat de ransomware-operators hierdoor hun versleutelingsmechanisme zouden kunnen bijwerken en het probleem zouden kunnen oplossen. Het punt is, of de decryptor werkt of niet, zou voor hen weinig verschil kunnen maken.

Omdat bedrijven nu een back-up van hun gegevens maken, is het betalen van losgeld niet langer de enige manier om het terug te halen in het geval van een ransomware-aanval. Vorig jaar realiseerden cybercriminele bendes die zich op organisaties richtten dat ze een tweede afpersingspunt nodig hadden en begonnen ze informatie te stelen voordat ze deze versleutelden. Op die manier kunnen de boeven, wanneer een slachtoffer weigert te betalen voor een decryptor, dreigen met het lekken van tonnen gevoelige gegevens. Veel ransomware-crews hebben het gedaan en we beginnen nu te zien dat het werkt.

Het rapport van Sophos zegt dat de ProLock-bende de strategie nog niet heeft aangenomen, maar het wees er wel op dat ze het op elk moment kunnen doen. Organisaties die het doelwit kunnen zijn van deze specifieke ransomware, moeten zich bewust zijn van de dreiging en moeten de nodige voorzorgsmaatregelen nemen om hun netwerken te versterken.

Tegen Duran
July 30, 2020
Ransomware
Nederlands
July 30, 2020
Ransomware

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.