De makers van een schadelijk ransomware-exemplaar dat ervoor zorgt dat Windows niet meer gestart kan worden zijn een partnerprogramma gestart. Het gaat om de Petya-ransomware, waarvan één van de ontwikkelaars gisteren nog duizenden decryptiesleutels van een concurrent op internet plaatste.

De Petya-ranmsomware past de Master Boot Record (MBR) van harde schijven aan en versleutelt de master file table (MFT). Daardoor is het bestandssysteem niet te lezen en kan Windows niet meer worden gestart. Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is in werkelijkheid de malware.

Zodra het bestand wordt geopend vraagt Petya om beheerdersrechten, zodat het de MBR kan aanpassen. Als de ransomware deze rechten niet verkrijgt, kan het de aanpassing niet doorvoeren en blijft het systeem gewoon werken. De ontwikkelaars van Petya besloten als oplossing een tweede ransomware-exemplaar genaamd Mischa te bundelen. Als de beheerdersrechten niet worden bemachtigd, bijvoorbeeld omdat de gebruiker dit niet toestaat, dan wordt de Mischa-ransomware geïnstalleerd, die deze rechten niet vereist.

De ontwikkelaars van Petya besloten een aantal maanden geleden een "Ransomware as a Service" te starten. Partners krijgen de ransomware, maar moeten een deel van de inkomsten aan de ontwikkelaars afstaan. Het partnerprogramma is de laatste tijd onder een aantal afnemers getest, maar nu voor iedereen opengesteld. "Dit zal waarschijnlijk voor meer campagnes zorgen waarbij deze ransomware wordt verspreid", zegt Lawrence Abrams van Bleeping Computer. Hij vreest dat het RaaS-model meer mensen zal aanmoedigen om ransomware te verspreiden.