Onderzoekers van Kaspersky Lab hebben twee nieuwe gijzelvirussen ontdekt die vertrouwelijke documenten en het master boot record (MBR) van de harde schijf voor losgeld gijzelen. De Seftad Trojan overschrijft de MBR van de harde schijf en toont vervolgens een tekst met instructies en vraagt om een code. Wordt de code drie keer verkeerd ingevuld, dan herstart het systeem zich en verschijnt de tekst weer.

Slachtoffers moeten naar de website safe-data.ru om daar 75 euro aan de malwaremaker over te maken, waarna ze de vereiste code krijgen. In tegenstelling tot wat de malwaremaker beweert, is niet de hele harde schijf versleuteld, maar alleen de MBR aangepast. Seftad wordt door een ander Trojaans paard op het systeem geïnstalleerd. Kaspersky Lab slaagde erin de code te kraken. Slachtoffers die ‘aaaaaaciip’ invoeren krijgen hun originele MBR weer terug.

RSA-1024
Naast Seftad is er ook een nieuwe versie van het GpCode-virus ontdekt. Deze ransomware is al jaren actief, maar gebruikte nooit een sterk algoritme, waardoor beveiligingsonderzoekers door het virus versleutelde bestanden altijd wisten te herstellen. Die kans is nu een stuk kleiner geworden, want de nieuwste variant gebruikt AES-256 en RSA-1024 encryptie.

"In tegenstelling tot vorige varianten, verwijdert deze de bestanden niet na het versleutelen. In plaats daarvan overschrijft het de data in de bestanden, wat het onmogelijk maakt om dataherstelsoftware zoals PhotoRec te gebruiken, wat we tijdens de laatste aanval adviseerden", zegt Vitaly Kamluk van Kaspersky.

Eerder waarschuwde ook Sophos al voor deze nieuwe variant, die zich onder andere via drive-by downloads verspreidt en negentig euro losgeld eist.