Cybercriminelen maken steeds vaker gebruik van een agressieve vorm van ransomware die belangrijke bestanden op computers versleutelt en honderden euro's aan het slachtoffer vraagt als die weer toegang tot zijn gegevens wil. In juli was er een 200% toename van het aantal detecties ten opzichte van de eerste zes maanden van dit jaar.

De malware genaamd Filecoder verspreidt zich op verschillende manieren, zoals drive-by downloads, e-mailbijlagen, het Remote Desktop Protocol van Windows of wordt door al aanwezige malware geïnstalleerd. Eenmaal actief op de computer gebruikt de ransomware verschillende encryptiemethodes zoals Blowfish, AES, RSA en TEA om bestanden te versleutelen.

Om slachtoffers te laten weten dat ze losgeld moeten betalen, worden tijdens het encryptieproces alle afbeeldingen en documenten overschreven met de waarschuwing. Het gevraagde bedrag varieert van 100 tot 200 euro, hoewel er ook varianten bekend zijn die om 3.000 euro vroegen.

Encryptie

De aanvallers hebben het vooral op bedrijven voorzien, vandaar ook de hogere bedragen die worden gevraagd dan bij ransomware voor eindgebruikers het geval is. Onderzoekers van anti-virusbedrijf ESET stellen dat Filecoder in sommige gevallen een zwakke cipher of verkeerde implementatie gebruikt, of de encryptiesleutel op een plek bewaart waar die te achterhalen is.

"HeIaas hebben de aanvallers in de meeste gevallen geleerd om dit soort fouten te voorkomen en is het terughalen van de versleutelde bestanden zonder de encryptiesleutel in de meeste gevallen bijna onmogelijk", stelt analist Robert Lipovsky. De ransomware is vooral actief in Rusland, op afstand gevolgd door Italië, Spanje, Oekraïne, Roemenië, Verenigde Staten en een aantal andere landen.