In het geval van een ransomware-infectie kan het helpen om de internetverbinding te verbreken, om zo het versleutelen van bestanden te voorkomen, maar onderzoekers hebben een variant ontdekt die ook werkt bij computers die offline zijn. Het gaat om ransomware gericht op Russische internetgebruikers.
De ransomware versleutelt bestanden en verandert de wallpaper van de computer. "Hoewel de meeste ransomware een internetverbinding vereist en een succesvolle verbinding met de C&C-servers voordat de encryptie begint, vereist dit exemplaar geen internetverbinding om bestanden te versleutelen en de gijzelboodschap te tonen", aldus beveiligingsbedrijf Check Point.
Volgens de onderzoekers houdt dit in dat er geen encryptiesleutel tussen de besmette computer en aanvaller wordt uitgewisseld, wat één mogelijkheid om de aanval te stoppen voorkomt. De ransomware vraagt een losgeldbedrag van 290 euro op de eerste dag van de infectie. Een dag later moeten slachtoffers al 360 euro voor de decryptiesleutel betalen. Voor de encryptie worden er twee niveaus van RSA-encryptie gebruikt. Zoals gezegd kan de ransomware lokaal de bestanden versleutelen zonder eerst de C&C-server te benaderen.
Om de bestanden te ontsleutelen moet de aanvaller wel eerst een bestand van de besmette machine ontvangen. Daarbij is het niet haalbaar om de RSA-encryptie zonder de privésleutel van de aanvaller te ontsleutelen. Dit zou volgens Check Point naar schatting 2 jaar in beslag nemen een veel computers vereisen. Het betalen van het losgeld is dan ook de enige manier om de versleutelde bestanden terug te krijgen, zo stelt het bedrijf. Hoewel het beveiligingsbedrijf nu pas bericht over de ransomware blijkt die al sinds vorig jaar juni te bestaan en vooral in Rusland actief te zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.