De nieuwste versie van de Clop-ransomware, de ransomware waardoor ook de Universiteit Maastricht werd getroffen, schakelt in totaal 663 programma's en processen uit voordat met het versleutelen van bestanden wordt begonnen. Dat ontdekte beveiligingsonderzoeker Vitali Kremez. Het gaat onder andere om Windows Update, Microsoft Office, populaire teksteditors, WinRAR, Skype, Acrobat Reader en programmeertalen zoals Python en Ruby.
Het komt vaker voor dat ransomware software en processen voor het versleutelden van data probeert uit te schakelen. Dit moet voorkomen dat bestanden niet zijn te versleutelen omdat ze nog open staan. In het geval van de Clop-ransomware gaat het om een zeer groot aantal processen en programma's, zo meldt Bleeping Computer. Naast programma's waar de gebruiker mee werkt heeft Clop het ook voorzien op de beveiligingssoftware Malwarebytes en Windows Defender en probeert het die uit te schakelen.
Oudere versies van de Clop-ransomware maakten gebruik van een batch-bestand voor het uitschakelen van processen en programma's. In de nieuwste versie is deze functionaliteit direct aan de executable toegevoegd. Volgens Kremez laat dit een verdere ontwikkeling van de ransomware zien. "Deze verandering laat zien dat de makers hebben besloten om de "process killer" direct aan de ransomware toe te voegen, waardoor het een meer universeel Zwitsers zakmes wordt in plaats van afhankelijk te zijn van externe libraries", aldus de onderzoeker. Eerder liet de Franse overheid weten dat de Clop-ransomware via malafide e-mails wordt verspreid.
Deze posting is gelocked. Reageren is niet meer mogelijk.