Onderzoekers hebben een nieuwe variant van een bijzondere ransomware ontdekt die zich nu ook specifiek op Nederlandse internetgebruikers richt. Het gaat om CTB-Locker, wat staat voor Curve-Tor-Bitcoin, die halverwege juli voor het eerst verscheen en bestanden voor losgeld versleutelt.
CTB-Locker, door Microsoft Critroni genoemd, valt op vanwege de gebruikte werkwijze. Zo gebruikt de ransomware het Tor-netwerk om met besmette computers te communiceren. In plaats van het bestand Tor.exe te gebruiken, zoals door andere malware wordt gedaan, heeft de maker van CTB-Locker de code van Tor onderdeel van de ransomware-code gemaakt.
Waar de ransomware ook een ander pad inslaat is bij de gebruikte encryptie. De meeste ransomware gebruikt een combinatie van AES- en RSA-encryptie om de bestanden van slachtoffers te versleutelen. CTB-Locker gebruikt een asymmetrisch cryptografisch protocol bekend als ECDH (Elliptic curve Diffie-Hellman). Een andere nieuwe ontwikkeling die voor het eerst bij de CoinVault-ransomware werd gezien is het gratis ontsleutelen van bestanden. Liet CoinVault slachtoffers één bestand kosteloos ontsleutelen, CTB-Locker ontsleutelt gratis vijf bestanden.
De ransomware wordt onder andere verspreid via gehackte WordPress-sites. Op de websites wordt kwaadaardige code geplaatst die gebruik maakt van beveiligingslekken. Het is echter onbekend om welke kwetsbaarheden het precies gaat. In het geval de aanval succesvol is wordt CTB-Locker op het systeem geplaatst en zal de ransomware aanwezige bestanden versleutelen. Beveiligingsonderzoeker 'Kafeine' van het blog Malware Don't Need Coffee ontdekte de nieuwste variant, die naast het Nederlands ook Italiaans ondersteunt.
Deze posting is gelocked. Reageren is niet meer mogelijk.