De ontwikkelaars van TeamViewer hebben maatregelen genomen tegen internetcriminelen die de software gebruiken om computers en servers met ransomware te infecteren. TeamViewer is een programma om op afstand computers te beheren. Gisteren werd bekend dat criminelen via TeamViewer toegang tot computers weten te krijgen en daar vervolgens de Surprise-ransomware installeren.

Deze ransomware versleutelt vervolgens allerlei bestanden voor losgeld en geeft ze de bestandsextensie .surprise. De aanvallers gebruikten twee TeamViewer-accounts om toegang tot de computers van slachtoffers te krijgen. Daarop heeft TeamViewer besloten deze accounts uit te schakelen, zodat ze niet langer meer met de software zijn te gebruiken. Het is nog altijd onduidelijk hoe de aanvallers via TeamViewer toegang wisten te krijgen, maar mogelijk gaat het om gebruikers die hun TeamViewer-wachtwoord ook op andere websites gebruikten die werden gehackt.

Volgens Lawrence Abrams van Bleeping Computer heeft meer dan de helft van de slachtoffers een account op één van de gehackte websites die via Haveibeenpwned.com worden bijgehouden. Uit analyse van de Surprise-ransomware blijkt dat het ransomware-bestand zelf geen encryptiefuncties bevat. In plaats daarvan wordt erin het geheugen van de computer een ander bestand geladen dat uiteindelijk de bestanden versleutelt. Op deze manier probeert de ransomware detectie door virusscanners te omzeilen. Zodra bestanden eenmaal zijn versleuteld is er geen manier om die kosteloos te ontsleutelen.