Onderzoekers hebben een algoritme van de zeer agressieve CryptoLocker-ransomware ontsleuteld en ontdekt dat er in minder dan een week tijd 12.000 pc's met de malware geïnfecteerd raakten. CryptoLocker versleutelt bestanden op computers en vraagt vervolgens losgeld voor het ontsleutelen ervan.

De gebruikte encryptie zorgt ervoor dat het zeer lastig is om de bestanden zelf te ontsleutelen. Slachtoffers kunnen daardoor hun gegevens alleen via een back-up, systeemherstel of een shadow copy terugkrijgen, aldus het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT).

Algoritme

De communicatie tussen besmette computers en de criminelen achter CryptoLocker verloopt via automatisch gegenereerde domeinnamen. Het Roemeense anti-virusbedrijf Bitdefender wist het domeingeneratiealgoritme dat CryptoLocker gebruikt te reverse-engineeren en kon daardoor de domeinen registreren die de criminelen zouden gaan registreren en gebruiken.

Doordat het anti-virusbedrijf deze domeinen eerder registreerde maakten alle besmette computers verbinding met een systeem van Bitdefender, dat zo het aantal besmette computers kon tellen. Tussen 27 oktober en 1 november werden 12.000 unieke machines geteld. De meeste infecties blijken zich in de Verenigde Staten te bevinden.

De ransomware biedt slachtoffers ook de mogelijkheid om het losgeld via de digitale valuta Bitcoin te betalen. Voor elk slachtoffer wordt een aparte Bitcoin-portemonnee aangemaakt, zo ontdekte Bitdefender ook. Slachtoffers wordt echter dringend afgeraden om te betalen.