{"id":24184,"date":"2019-09-24T12:18:27","date_gmt":"2019-09-24T10:18:27","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=24184"},"modified":"2020-08-05T16:19:16","modified_gmt":"2020-08-05T14:19:16","slug":"ransomware-in-fortnite-cheats","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/ransomware-in-fortnite-cheats\/24184\/","title":{"rendered":"Syrk-ransonware verstopt in Fortnite-cheatpakket"},"content":{"rendered":"<p>Cybercriminelen proberen hun voordeel te doen met alles wat door het grote publiek wordt gebruikt, inclusief populaire games. Malware lijkt vaak simpelweg een <a href=\"https:\/\/www.kaspersky.com\/blog\/how-pirates-hook-gamers\/25634\/\" target=\"_blank\" rel=\"noopener nofollow\">illegale kopie<\/a> of <a href=\"https:\/\/www.kaspersky.com\/blog\/fortnite-security\/23685\/\" target=\"_blank\" rel=\"noopener nofollow\">mobiele versie<\/a> van een game te zijn, zeker als deze laatste <a href=\"https:\/\/www.kaspersky.nl\/blog\/apex-legends-mobile-fakes\/23917\/\" target=\"_blank\" rel=\"noopener\">nog niet officieel beschikbaar is<\/a>.<\/p>\n<p>Onlangs is er een ransomware-encryptor Syrk genaamd opgedoken. <a href=\"https:\/\/threatpost.com\/fortnite-ransomware-masquerades-as-an-aimbot-game-hack\/147549\/\" target=\"_blank\" rel=\"noopener nofollow\">Het werd vrijgegeven als een cheat-pakket<\/a> voor Fortnite \u2014 een spel dat in de afgelopen twee jaar 250 miljoen gebruikers heeft gekregen \u2014 Syrk belooft spelers van deze game twee cheats in \u00e9\u00e9n pakket: aimbot (een tool die automatisch richt) en WH (oftwel ESP, een cheat waarmee je de locatie van andere spelers in het spel kan ontdekken). Maar wat dit pakket echt doet, is het versleutelen van de bestanden van het slachtoffer en vervolgens geld vragen om deze weer vrij te geven.<\/p>\n<h2>Hoe de Syrk-ransomware werkt<\/h2>\n<p>Volgens onderzoekers van Cyren, is Syrk in principe een intacte kopie van open-source ransomware. Eenmaal uitgevoerd, maakt de software verbinding met een command-and-control-server en schakelt het de volgende programma\u2019s uit:<\/p>\n<ul>\n<li>Windows Defender,<\/li>\n<li>UAC (het systeem dat de gebruiker toestemming vraagt om handelingen als administrator uit te voeren),<\/li>\n<li>apps voor procesbewaking die worden gebruikt om de infectie op te sporen, zoals Taakbeheer, Process Monitor en Process Hacker.<\/li>\n<\/ul>\n<p>De cryptor voegt zichzelf ook toe aan de lijst automatisch laden, zodat de gebruiker hem niet kan verwijderen door simpelweg de computer opnieuw op te starten. Als er eventuele usb-drives met de computer zijn verbonden, probeert Syrk om ook deze te infecteren.<\/p>\n<p>De malware begint vervolgens met het zoeken naar en versleutelen van mediabestanden, tekstdocumenten, spreadsheets en presentaties, ZIP- en RAR-bestanden en Photoshop- en Microsoft Visual Studio-bestanden. Dit geeft de daaruit voortkomende wirwar met de .SYRK-extensie.<\/p>\n<p>De monitor toont vervolgens een verzoek om losgeld te betalen, dat niet kan worden afgesloten.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Syrk Ransomware seems inspired by a Fortnite Hacktool, terminates task manager, process hacker, really good at being persistent and annoying. Does encrypt but might still be in development. 30\/67 in VT<a href=\"https:\/\/t.co\/x7Y6Tz4NB1\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/x7Y6Tz4NB1<\/a> <a href=\"https:\/\/t.co\/6e9wI8XTQR\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/6e9wI8XTQR<\/a><\/p>\n<p>\u2014 Leo (@leotpsc) <a href=\"https:\/\/twitter.com\/leotpsc\/status\/1156875558174769152?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 1, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>De tekst met het Guy Fawkes-masker op de achtergrond zegt dat de enige manier om de bestanden terug te krijgen is door contact op te nemen met de criminelen via een e-mail en ze te betalen. Het slachtoffer krijgt beperkte tijd omdat te doen: Syrk detecteert elke twee uur versleutelde bestanden. Eerst in de map met foto\u2019s, vervolgens op het bureaublad en ten slotte de documenten van de gebruiker.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-ransomware\">\n<h3><strong>\u00a0<\/strong>Herstel gratis uw bestanden<\/h3>\n<p>Het goede nieuws is dat u niet hoeft te betalen, zelfs niet als Syrk uw computer heeft aangetast en uw documenten heeft versleuteld. De huidige versie slaat de sleutel die nodig is om de bestanden te decoderen namelijk op de ge\u00efnfecteerde computer op. De sleutel vindt u in de map C:UsersDefaultAppDataLocalMicrosoft, in een bestand met de naam -pw+.txt of +dp-.txt.<\/p>\n<p>Om uw bestanden te herstellen:<\/p>\n<ul>\n<li>Kopieer de sleutel.<\/li>\n<li>Druk in het venster met het verzoek om losgeld op <em>Toon mijn<\/em><em> ID<\/em> om een pagina te openen die uw ID weergeeft plus een uitnodiging: <em>Voer sleutel in om uw Bestanden te Decoderen<\/em>.<\/li>\n<li>Plak de sleutel in het juiste veld en druk op <em>Decodeer mijn Bestanden<\/em>.<\/li>\n<\/ul>\n<p>Het programma herstelt nu de versleutelde foto\u2019s en documenten en cre\u00ebert vervolgens twee .exe-bestanden die worden uitgevoerd en de resten van de malware opruimen.<\/p>\n<p>Er is een andere manier om uw bestanden te redden, maar deze manier is wat ingewikkelder. De malware bevat namelijk een decoderingscomponent dat de documenten herstelt, als het u lukt om dit component uit te pakken en uit te voeren. De infectie zelf moet echter wel handmatig worden verwijderd.<\/p>\n<h3>Bescherm uzelf tegen ransomware<\/h3>\n<p>Volgens de onderzoekers zijn bestanden die door Syrk worden verwijderd waarschijnlijk terug te krijgen, maar hier kan professionele hulp voor nodig zijn. Het herstellen van bestanden met gebruik van een lokaal opgeslagen sleutel werkt vooralsnog, maar de makers van de malware kunnen hun tool aanpassen om gebruikers de kans te ontnemen om hun bestanden te decoderen zonder te betalen. Het is zoals altijd het beste om te voorkomen dat u slachtoffer wordt van ransomware.<\/p>\n<ul>\n<li>Download nooit programma\u2019s van onbetrouwbare bronnen, zelfs als die geweldige voordelen in games beloven. <em>Vooral niet<\/em>als deze geweldige voordelen in games beloven.<\/li>\n<li>Maak een back-up van uw bestanden en sla deze zo op zodat ze niet rechtstreeks toegankelijk zijn vanaf uw computer. Als u externe HDD\u2019s of flash drives gebruikt, verbind deze dan alleen voor de duur van het maken van de back-up.<\/li>\n<li>Installeer een betrouwbaar beschermingssysteem. <a href=\"https:\/\/www.kaspersky.nl\/advert\/internet-security?icid=nl_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_lnk____kismd___\" target=\"_blank\" rel=\"noopener\">Kaspersky Internet Security<\/a>\u00a0detecteert Syrk als schadelijk object, wat betekent dat het nooit wordt toegestaan om uw bestanden te bereiken, zelfs niet als u het probeert te downloaden of uitvoeren.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-ransomware\">\n","protected":false},"excerpt":{"rendered":"<p>Syrk-ransomware is uit, vermomd als Fortnite-cheatpakket. Leer wat het is en hoe u uw bestanden kunt herstellen.<\/p>\n","protected":false},"author":2484,"featured_media":24185,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[28],"tags":[548,547,322,546,486,32,162],"class_list":{"0":"post-24184","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-cheats","9":"tag-cryptoware","10":"tag-dreigingen","11":"tag-fortnite","12":"tag-games","13":"tag-ransomware","14":"tag-veiligheid"},"hreflang":[{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/ransomware-in-fortnite-cheats\/24184\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ransomware-in-fortnite-cheats\/16558\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/13950\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/6454\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/18497\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ransomware-in-fortnite-cheats\/16590\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/15221\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ransomware-in-fortnite-cheats\/19135\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ransomware-in-fortnite-cheats\/17850\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ransomware-in-fortnite-cheats\/23449\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ransomware-in-fortnite-cheats\/6367\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/28104\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ransomware-in-fortnite-cheats\/12156\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-in-fortnite-cheats\/12265\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ransomware-in-fortnite-cheats\/11103\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ransomware-in-fortnite-cheats\/19999\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/ransomware-in-fortnite-cheats\/10155\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ransomware-in-fortnite-cheats\/23971\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ransomware-in-fortnite-cheats\/18920\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ransomware-in-fortnite-cheats\/23267\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ransomware-in-fortnite-cheats\/23190\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.nl\/blog\/tag\/fortnite\/","name":"Fortnite"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/24184","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/users\/2484"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/comments?post=24184"}],"version-history":[{"count":9,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/24184\/revisions"}],"predecessor-version":[{"id":25795,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/24184\/revisions\/25795"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media\/24185"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media?parent=24184"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/categories?post=24184"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/tags?post=24184"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}