Een ransomware-variant die bestanden via een opensourceprogramma versleutelt gebruikt vervolgens een tool van Microsoft om de onversleutelde originele bestanden permanent te wissen. Het gaat om de Ransomcrypt-ransomware die in augustus voor het eerst werd ontdekt en zich op Russisch sprekende gebruikers richtte. De nieuwste variant heeft het echter op Engelstalige gebruikers voorzien.
Ransomcrypt verspreidt zich via e-mails met als bijlage een zip-bestand. Het zip-bestand lijkt een Word-document te bevatten, maar dit is in werkelijkheid een JavaScript-bestand. Als de gebruikt dit bestand opent worden verschillende programma's gedownload, namelijk het opensourceprogramma GnuPG voor het versleutelen van bestanden, Microsoft SDelete voor het permanent wissen van de originele bestanden, een Windows commandscript dat de encryptie uitvoert en een bericht voor de gebruiker achterlaat en een Adclicker Trojan die in de achtergrond continu op advertenties klikt.
GnuPG is een opensource-implementatie van de OpenPGP-standaard. Bij het versleutelen van de bestanden met GnuPG bewaart de ransomware de decryptiesleutel in twee versleutelde bestanden op de computer. Om de bestanden te ontsleutelen moeten slachtoffers deze twee bestanden naar een e-mailadres sturen. De ransomwareschrijver kan deze bestanden vervolgens ontsleutelen en zo de decryptiesleutel naar het slachtoffer terugsturen, die hiermee de bestanden op zijn computer kan terugkrijgen.
Volgens Lawrence Abrams van het computerforum Bleeping Computer is de Ransomcrypt zeer gevaarlijk omdat de ransomware zo mobiel is. Er wordt bijvoorbeeld geen Command & Control-server gebruikt die autoriteiten uit de lucht kunnen halen. De ransomwareschrijver hoeft slechts één encryptiesleutel bij zich te dragen voor het ontsleutelen van de decryptiesleutels van besmette computers. En deze decryptiesleutels worden weer per e-mail verstuurd.
Het zou op dit moment niet mogelijk zijn om versleutelde bestanden te herstellen, tenzij slachtoffers over een back-up beschikken. Verder adviseert Abrams Symantec's Norton Script Disabler/Disabler, dat de Windows scriptinghost op computers uitschakelt, zodat JS-bestanden niet meer kunnen worden geladen.
Deze posting is gelocked. Reageren is niet meer mogelijk.