Er is een nieuwe vorm van ransomware ontdekt die bestanden versleutelt en voor losgeld gijzelt. Slachtoffers van de malware moeten 360 euro betalen als ze hun bestanden willen terugzien. Wordt er niet binnen vier dagen betaald, dan stijgt het te betalen bedrag naar 720 euro.
CryptoDefense, zoals de ransomware heet, werd voor het eerst eind februari aangetroffen. Het zoekt op de computer naar tekst-, foto-, video- en Officebestanden, die vervolgens worden versleuteld met een sterke vorm van encryptie. Daarna worden de Shadow Volume Copies verwijderd. Bij vorige versies van cryptoware, zoals dit soort ransomware ook wordt genoemd, waren bestanden soms nog via Shadow Volume Copies terug te krijgen.
De malware maakt tevens een screenshot van het actieve Windowsscherm en uploadt dit naar de Command & Control-server. Het screenshot verschijnt op de aparte betaalpagina waar het slachtoffer voor het ontsleutelen van zijn bestanden kan betalen. Om deze pagina te bereiken moet het slachtoffer eerst de Tor Browser installeren. De betaalpagina is namelijk een Tor-site die alleen via het Tor-netwerk toegankelijk is. Instructies voor het gebruik van Tor worden in twee aparte HTML en TXT-bestanden op de computer duidelijk gemaakt.
Het betalen zelf gebeurt via de digitale valuta Bitcoin. CryptoDefense vraagt 500 dollar in Bitcoins (360 euro), dat na vier dagen wordt verdubbeld. Als het slachtoffer binnen een maand niet betaalt wordt de privésleutel van de versleutelde bestanden verwijderd, waardoor slachtoffers geen toegang meer tot de bestanden kunnen krijgen. Aangezien er RSA-2048 bit encryptie wordt gebruikt is het zeer lastig om de versleuteling te kraken, zo laat Bleeping Computer in een analyse van de ransomware weten.
Politie roept slachtoffers van ransomware op om nooit te betalen. Het is niet zeker of de criminelen de bestanden ook weer ontsleutelen. Daarnaast moedigt het criminelen aan om met de ransomware door te gaan. Internetgebruikers kunnen zich tegen cryptoware beschermen door beveiligingsupdates te installeren, geen ongevraagde e-mailbijlagen te openen en software alleen van de officiële website van de leverancier te downloaden. Om de impact van een eventuele infectie te beperken wordt aangeraden om over actuele en geteste back-ups te beschikken.
Deze posting is gelocked. Reageren is niet meer mogelijk.