Nieuwe ransomware geeft je bestanden pas terug als je PUBG speelt
De meeste ransomware-aanvallen volgen hetzelfde scenario. De ransomware sluipt binnen op je systeem, versleutelt (een deel van) je bestanden, en de aanvallers eisen losgeld als je weer toegang wil tot je gegevens. Meestal in de vorm van één of andere cryptocurrency. Wat als de gijzelaars creatiever worden?
De vraag naar losgeld is immers geen intrinsiek aspect van de ransomware. De cybercriminelen kunnen eender wat vragen in ruil voor je bestanden. De auteurs van de recent ontdekte “PUBG Ransomware” geven je gegevens alleen weer vrij als je het populaire battle royale game “PlayerUnknown’s Battlegrounds” speelt.
Another top quality ransomware that asks you to play a game to decrypt files: "PUBG Ransomware".
Sample: https://t.co/qyEHMG2orL
Extension: .PUBG
This sample only encrypts files on desktop (including subdirectories)…@BleepinComputer @demonslay335 pic.twitter.com/5406DPbwmX— MalwareHunterTeam (@malwrhunterteam) April 9, 2018
Amateuristisch
Erg professioneel is de ransomware evenwel niet. Alleen mappen en bestanden op je bureaublad worden versleuteld. Vervolgens wordt een scherm getoond dat je twee opties geeft: je kan simpelweg de decryptiesleutel ingeven die open en bloot op het scherm wordt getoond, of een uur lang PlayerUnknown’s Battlegrounds spelen.
In praktijk hoef je het spel zelfs niet zo lang te spelen en volstaat het om de executable gedurende een drietal seconden te laten draaien. De ransomware begint je bestanden automatisch te decrypteren van zodra het proces “TslGame.exe” – waarmee PUBG wordt opgestart – wordt gedetecteerd.
Er wordt bovendien alleen gekeken naar de naam van het proces. Je kan dus even goed zelf een executable met de naam “TslGame.exe” maken en die opstarten om je bestanden terug te krijgen.
Flauwe grap, maar…
De PUBG Ransomware is duidelijk een flauwe grap, maar zet wel aan tot nadenken. Er is niets dat hackers met slechtere bedoelingen tegenhoudt om af te stappen van de klassieke vraag om losgeld en in plaats daarvan te eisen dat je een kwaadaardige plug-in of programma installeert, die op zijn beurt heel wat meer schade op je systeem kan aanrichten.
Ook andere vormen van internetfraude kunnen voordeel halen uit een dergelijke aanpak om onrechtstreeks geld te verdienen aan ransomware. Wanneer je mensen rechtuit om geld vraagt, zullen ze daar doorgaans terughoudender tegenover staan. Ze zijn wellicht sneller geneigd om in te gaan op de vraag om een YouTube-video te bekijken in ruil voor hun bestanden, waarna de aanvaller de advertentie-inkomsten opstrijkt.
De meeste ransomware-aanvallen volgen hetzelfde scenario. De ransomware sluipt binnen op je systeem, versleutelt (een deel van) je bestanden, en de aanvallers eisen losgeld als je weer toegang wil tot je gegevens. Meestal in de vorm van één of andere cryptocurrency. Wat als de gijzelaars creatiever worden?
De vraag naar losgeld is immers geen intrinsiek aspect van de ransomware. De cybercriminelen kunnen eender wat vragen in ruil voor je bestanden. De auteurs van de recent ontdekte “PUBG Ransomware” geven je gegevens alleen weer vrij als je het populaire battle royale game “PlayerUnknown’s Battlegrounds” speelt.
Another top quality ransomware that asks you to play a game to decrypt files: "PUBG Ransomware".
Sample: https://t.co/qyEHMG2orL
Extension: .PUBG
This sample only encrypts files on desktop (including subdirectories)…@BleepinComputer @demonslay335 pic.twitter.com/5406DPbwmX— MalwareHunterTeam (@malwrhunterteam) April 9, 2018
Amateuristisch
Erg professioneel is de ransomware evenwel niet. Alleen mappen en bestanden op je bureaublad worden versleuteld. Vervolgens wordt een scherm getoond dat je twee opties geeft: je kan simpelweg de decryptiesleutel ingeven die open en bloot op het scherm wordt getoond, of een uur lang PlayerUnknown’s Battlegrounds spelen.
In praktijk hoef je het spel zelfs niet zo lang te spelen en volstaat het om de executable gedurende een drietal seconden te laten draaien. De ransomware begint je bestanden automatisch te decrypteren van zodra het proces “TslGame.exe” – waarmee PUBG wordt opgestart – wordt gedetecteerd.
Er wordt bovendien alleen gekeken naar de naam van het proces. Je kan dus even goed zelf een executable met de naam “TslGame.exe” maken en die opstarten om je bestanden terug te krijgen.
Flauwe grap, maar…
De PUBG Ransomware is duidelijk een flauwe grap, maar zet wel aan tot nadenken. Er is niets dat hackers met slechtere bedoelingen tegenhoudt om af te stappen van de klassieke vraag om losgeld en in plaats daarvan te eisen dat je een kwaadaardige plug-in of programma installeert, die op zijn beurt heel wat meer schade op je systeem kan aanrichten.
Ook andere vormen van internetfraude kunnen voordeel halen uit een dergelijke aanpak om onrechtstreeks geld te verdienen aan ransomware. Wanneer je mensen rechtuit om geld vraagt, zullen ze daar doorgaans terughoudender tegenover staan. Ze zijn wellicht sneller geneigd om in te gaan op de vraag om een YouTube-video te bekijken in ruil voor hun bestanden, waarna de aanvaller de advertentie-inkomsten opstrijkt.