Onderzoekers hebben een nieuwe ransomware-variant ontdekt die sterke encryptie gebruikt om bestanden te versleutelen, maar doordat de originele bestanden niet grondig worden gewist kunnen slachtoffers hun gegevens terugkrijgen zonder het gevraagde losgeld te betalen.
OphionLocker, zoals de ransomware door Trojan7Malware wordt genoemd, verspreidt zich via gehackte websites en maakt gebruik van bekende lekken die niet door internetgebruikers zijn gepatcht om hun computer te infecteren. Eenmaal actief maakt de ransomware een uniek hardware-id aan, gebaseerd op het serienummer van de eerste harde schijf, het serienummer van het moederbord en andere informatie.
Vervolgens wordt er met een Tor-website verbinding gemaakt om te controleren of het specifieke hardware-id al versleuteld is. Hierna zoekt OphionLocker naar allerlei bestanden. Daarbij wordt er echter alleen naar bestanden met bestandsextensies in kleine letters gezocht. Een bestand zoals foto.jpg zal de ransomware versleutelen, terwijl foto.JPG wordt overgeslagen.
Voor het versleutelen gebruikt OphionLocker elliptische-kromme-encryptie (ECC). Voor zover bekend is het pas de tweede ransomware die deze encryptiemethode gebruikt. De meeste ransomware gebruikt een combinatie van AES- en RSA-encryptie om de bestanden van slachtoffers te versleutelen. Hierbij genereert de server een sleutelpaar, RSA-public en RSA-privé, voor RSA. De privésleutel blijft op de server, terwijl de publieke sleutel naar de ransomware wordt gestuurd. Bij OphionLocker bevindt de publieke sleutel zich al in de malware. Daardoor kunnen ook op computers die niet met internet verbonden zijn bestanden worden versleuteld.
De malware laat na de versleuteling een bericht zien waarin een bedrag van 1 bitcoin wordt gevraagd, wat met de huidige wisselkoers 290 euro is. Slachtoffers hoeven echter niet te betalen om hun bestanden terug te krijgen, zo meldt het forum Bleeping Computer. De ransomware blijkt het origineel van de bestanden die het versleutelt niet veilig te wissen en laat ook de shadow volume copies ongemoeid. Daardoor is het mogelijk om de bestanden via een programma als Shadow Explorer te herstellen.
Deze posting is gelocked. Reageren is niet meer mogelijk.