Onderzoekers hebben nieuwe varianten van de WannaCry-ransomware ontdekt, waaronder één die geen killswitch bevat maar door een programmeerfout niet blijkt te werken. Deze versie verspreidt zich ook via het SMB-lek in Windows, maar versleutelt door de programmeerfout geen bestanden op de computer.
Daarnaast werd er ook een andere versie gevonden die net als de eerste versie over een killswitch beschikt, zo meldt beveiligingsbedrijf Wordfence. De killswitch zorgt ervoor dat de ransomware stopt met werken als er verbinding met een domein gemaakt kan worden. Net als bij de eerste versie hadden de aanvallers ook dit domein niet geregistreerd. Doordat een goedwillende partij dit domein registreerde stopte ook deze nieuwe versie met werken. Mark Maunder van Wordfence verwacht dat er deze week nog allerlei andere varianten zullen verschijnen.
Ook de eerste versie lijkt niet goed te werken. De meeste bekende ransomware-exemplaren geven slachtoffers die het gevraagde losgeld betalen hun bestanden terug. Tot nu toe zijn er echter geen berichten van WannaCry-slachtoffers die na het betalen hun bestanden ook daadwerkelijk hebben teruggekregen. Volgens beveiligingsbedrijf Check Point komt dit doordat WannaCry geen manier heeft om een betaling te koppelen aan de persoon die hem verricht.
De meeste ransomware genereert voor elk slachtoffer een uniek ID en bitcoinadres zodat duidelijk is naar wie de decryptiesleutels moeten worden gestuurd. WannaCry vraagt slachtoffers alleen om een betaling, maar de vervolgens benodigde decryptietool is nog niet gesignaleerd. Onderzoekers van Check Point vragen zich daarnaast af of de WannaCry-makers wel in staat zijn om bestanden te ontsleutelen. De ransomware biedt slachtoffers wel een demonstratie, maar hiervoor wordt een aparte encryptieroutine gebruikt. Slachtoffers krijgen dan ook het advies om niet te betalen.
Deze posting is gelocked. Reageren is niet meer mogelijk.