image

Ransomware vermijdt computers met bepaalde namen

donderdag 25 februari 2016, 14:21 door Redactie, 4 reacties

Het kiezen van een bepaalde computernaam kan helpen bij het voorkomen van een ransomware-infectie, althans, in het geval van de PadCrypt-ransomware. Deze ransomware blijkt namelijk computers met bepaalde computernamen te vermijden, wat onderzoek door onderzoekers moet bemoeilijken.

PadCrypt werd onlangs ontdekt en kwam in het nieuws omdat het over een chatfunctie beschikt, zodat slachtoffers met de makers kunnen communiceren. Een andere eigenschap waardoor PadCrypt het nieuws haalde is het aanbieden van een uninstaller, wat een unicum voor ransomware zou zijn. Via het verwijderprogramma kan de ransomware van de computer worden verwijderd. De versleutelde bestanden blijven echter versleuteld.

De makers van PadCrypt hebben een nieuwe versie uitgebracht, die allerlei "verbeteringen" bevat. Zo is de chatfunctie aangepast, alsmede de decryptietool als het losgeld van 300 euro is betaald. Daarnaast is er een blacklist van computernamen toegevoegd. Volgens het forum Bleeping Computer is dit bewust gedaan om onderzoek door onderzoekers te voorkomen. Zodra de malware de computernamen "PLACEHOL-", "MALTEST", "TEST-PC", "BEA-CHI", "BRBRB" en "VMSCAN" tegenkomt, zal de malware stoppen met werken.

Het vermijden van computers met bepaalde namen is niet nieuw. In 2009 vermeed de Bredolab Trojan computers met de computernaam "SANDBOX". Ook werden systemen niet besmet als er een gebruiker met de gebruikersnaam USER, user, CurrentUser of Sandbox werd aangetroffen. In het geval van een CryptoLocker-variant die vorig jaar werd ontdekt ging het in totaal om 13 computernamen, waaronder ook "SANDBOX", waardoor de malware de infectie staakte. Een jaar eerder was het de Neutrino-worm die bij de computernaam "SANDBOX", alsmede "MALTEST", "TEQUILABOOMBOOM", "VIRUS" en "MALWARE" stopte met werken.

Reacties (4)
25-02-2016, 16:35 door Anoniem
zet je toch aan het denken of dit niet bewust is. straks gebruikt iedereen hetzelfde computernaam en ja hoor al deze systemen worden besmet...
25-02-2016, 16:49 door Anoniem
Denk eerder dat het transparanter is, en dat de ontwikkelaars van het virus die namen zelf gebruiken als computernaam. Waardoor hun eigen omgeving veilig blijft in het geval van een programmeerfout.
25-02-2016, 17:27 door Anoniem
Of zijn namen (geweest) van zgn Honeypots. Computers die antivirus uitgevers gebruiken met speciaal geïnstalleerde software om virussen te 'vangen'.
26-02-2016, 11:20 door Vicktor
Grappig, ik heb altijd een "TEST-PC" in mijn netwerk hangen, zowel op mijn werk als thuis...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.