Een variant van de Cryptolocker-ransomware laat gebruikers geloven dat hun bestanden met RSA-encryptie versleuteld zijn, maar dat blijkt helemaal niet het geval te zijn. Sterker nog, de malware bevat ook de sleutel om de bestanden te ontsleutelen, zo ontdekte beveiligingsonderzoeker 'Fakebit'.

De malware in kwestie verspreidt zich via e-mails die een kwaadaardige bijlage bevatten. Zodra een gebruiker het bestand opent worden allerlei documenten en mediabestanden van een .cryptolocker-extensie voorzien. Daarna verschijnt er een waarschuwing dat de bestanden met een RSA 2048-bit encryptiesleutel zijn versleuteld.

Gebruikers moeten vervolgens via de Tor Browser een website op het Tor-netwerk bezoeken, waar ze een bedrag kunnen betalen om weer toegang tot de gegevens te krijgen. Verder wordt er een ID in de waarschuwing vermeld. Dit ID-nummer blijkt 'hardcoded' in de malware te staan en is waarschijnlijk alleen bedoeld om gebruikers te laten geloven dat er een unieke encryptiesleutel is gebruikt.

Encryptie

De onderzoeker ontdekte namelijk dat deze ransomware helemaal geen RSA-encryptie gebruikt maar het Tiny Encryption Algorithm (TEA). TEA is symmetrische encryptie, wat inhoudt dat de versleutelde data met dezelfde sleutel is te ontsleutelen als waarmee het versleuteld werd. De onderzoeker testte dit door de malware zo aan te passen dat in plaats van de encryptie- de decryptiefunctie werd aangeroepen. En zoals verwacht zorgde dit ervoor dat de versleutelde bestanden inderdaad ontsleuteld werden.

Volgens de onderzoeker maakt deze ransomware misbruik van de CryptoLocker-naam en beperkte kennis bij veel gebruikers en systeembeheerders over de ransomware. Gebruikers zouden omdat ze de naam CryptoLocker zien er automatisch vanuit gaan dat de bestanden onherstelbaar zijn versleuteld, tenzij het geëiste losgeld wordt betaald. Iets waar de makers van deze ransomware handig op inspelen.