Door het wijzigen van de taal- en toetsenbordinstellingen van een computer kunnen infecties door ransomware worden voorkomen, zo stellen experts. Het is al jaren bekend dat verschillende malware-exemplaren, voordat ze een systeem infecteren, eerst de taal- en toetsenbordinstellingen controleren. Wanneer op het systeem de taalinstelling van bijvoorbeeld voormalige Sovjet-landen wordt aangetroffen schakelt de malware zichzelf uit.
Deze controle voeren de aanvallers volgens beveiligingsonderzoekers uit om vervolging door de Russische autoriteiten te voorkomen. "Dit is voor hun juridische bescherming", zegt Allison Nixon van Unit221B tegenover it-journalist Brian Krebs. "Het installeren van een Cyrillisch toetsenbord, of het wijzigen van een registersleutel naar "RU" kan genoeg zijn om malware te overtuigen dat je Russisch bent en niet moet worden aangevallen. Dit is als een 'vaccin' tegen Russische malware te gebruiken."
Het wijzigen van taal- en toetsenbordinstellingen is weer actueel geworden naar aanleiding van de aanval met de DarkSide-ransomware op de Colonial Pipeline Company in de Verenigde Staten. Een onderzoeker had eerder al ontdekt dat deze ransomware geen systemen in landen uit de voormalige Sovjet-Unie infecteert, zoals Security.NL vorige week berichtte. Verschillende experts stellen op Twitter dat het toevoegen van een Russisch toetsenbord of taalinstelling vaak voldoende is om ransomware te misleiden.
"Uiteindelijk zullen Russische hackers met hetzelfde probleem te maken krijgen waar verdedigers in het westen mee te maken hebben - het feit dat het zeer lastig is om een binnenlandse van een buitenlandse machine te onderscheiden die zich als binnenlandse voordoet", aldus Nixon.
Het aanpassen van deze instellingen biedt geen honderd procent zekerheid. Onlangs liet securitybedrijf FireEye nog weten dat het een exemplaar van de DarkSide-ransomware had aangetroffen die de systeemtaal niet controleerde.
Deze posting is gelocked. Reageren is niet meer mogelijk.