Test

Dit is een popup

Goedkopere variant van Cryptolocker-malware duikt op

Een nieuwe variant van de gijzelmalware Cryptolocker eist 150 dollar om de digitale bestanden van slachtoffers opnieuw toegankelijk te maken. Onderzoekers maken zich echter sterk dat ze de malware kunnen kraken.

De Cryptolocker-malware die begin september opdook, heeft er al een goedkopere rivaal bij.

Waar Cryptolocker nog 300 dollar eiste om de bestanden die geëncrypteerd werden opnieuw te ontketenen, is de nieuweling al tevreden met de helft.

[related_article id=”161920″]

De nieuwe, voorlopig naamloze software werd ontdekt door het nieuwe securitybedrijf IntelCrawler. Volgens het bedrijf is de verspreiding van het programma op 5 december op grote schaal begonnen. Volgens Andrey Komarov, de baas van IntelCrawler, zijn er vijftig builds van het programma die op ondergrondse digitale markten verkocht worden. Eén build had volgens Komarov net geen 6.000 pc’s geïnfecteerd. De meeste besmette machines staan in Rusland, gevolgd door de VS en Nederland.

De nieuwe software controleert eerst of zijn gastheer een internetverbinding heeft door contact te maken met adobe.com. Daarna maakt hij versleutelde kopieën van de bestanden op de pc en wist hij de originelen. De versleutelde kopieën hebben .perfect als bestandsextensie. De aanvallers zetten ook een contact.txt-bestandje in elke map, met daarin contactinformatie en de manieren om de aanvallers te betalen.

Geen Bitcoins
In tegenstelling tot Cryptolocker kan er ditmaal niet betaald worden met Bitcoins. De criminelen eisen een betaling via peer-to-peer-betalingsdienst Perfect Money of het Russische QIWI Visa.

Het nieuwe programma heeft ook geen centrale commando-server,  zoals gebruikelijk is bij botnets. De geïnfecteerde machines worden gemanaged door speciaal geschreven decryptie-software. Op die manier proberen de criminelen zichzelf zoveel mogelijk onzichtbaar te maken.

Om pc’s te besmetten worden verschillende methodes ingezet. Soms wordt de infectie verspreid via spam, een andere manier is via nep-muziekbestanden. Eentje daarvan was een nummer van Tina Turner: babyBaby.mp3.exe.

Vergeleken met Cryptolocker is deze nieuwe variant een stuk minder gesofisticeerd. Cryptolocker gebruikt bijvoorbeeld een combinatie van 256-bit AES- en 2048-bit RSA-versleuteling om de geïnfecteerde bestanden te gijzelen. De masterkey daarvan staat op de servers van de criminelen.

TurboPower Lockbox
Deze nieuwe variant is gebouwd met de vrij verkrijgbare TurboPower Lockbox-bibliotheek, die gebruikmaakt van AES-CTR om bestanden te versleutelen.

IntelCrawler raadt aan om de extensies van versleutelde bestanden niet te wijzigen en ook de hostnaam van de besmette pc niet te veranderen. Het bedrijf werkt naar eigen zeggen aan een tool die de gegijzelde bestanden van zijn digitale ketens kan ontdoen. 

De Cryptolocker-malware die begin september opdook, heeft er al een goedkopere rivaal bij.

Waar Cryptolocker nog 300 dollar eiste om de bestanden die geëncrypteerd werden opnieuw te ontketenen, is de nieuweling al tevreden met de helft.

[related_article id=”161920″]

De nieuwe, voorlopig naamloze software werd ontdekt door het nieuwe securitybedrijf IntelCrawler. Volgens het bedrijf is de verspreiding van het programma op 5 december op grote schaal begonnen. Volgens Andrey Komarov, de baas van IntelCrawler, zijn er vijftig builds van het programma die op ondergrondse digitale markten verkocht worden. Eén build had volgens Komarov net geen 6.000 pc’s geïnfecteerd. De meeste besmette machines staan in Rusland, gevolgd door de VS en Nederland.

De nieuwe software controleert eerst of zijn gastheer een internetverbinding heeft door contact te maken met adobe.com. Daarna maakt hij versleutelde kopieën van de bestanden op de pc en wist hij de originelen. De versleutelde kopieën hebben .perfect als bestandsextensie. De aanvallers zetten ook een contact.txt-bestandje in elke map, met daarin contactinformatie en de manieren om de aanvallers te betalen.

Geen Bitcoins
In tegenstelling tot Cryptolocker kan er ditmaal niet betaald worden met Bitcoins. De criminelen eisen een betaling via peer-to-peer-betalingsdienst Perfect Money of het Russische QIWI Visa.

Het nieuwe programma heeft ook geen centrale commando-server,  zoals gebruikelijk is bij botnets. De geïnfecteerde machines worden gemanaged door speciaal geschreven decryptie-software. Op die manier proberen de criminelen zichzelf zoveel mogelijk onzichtbaar te maken.

Om pc’s te besmetten worden verschillende methodes ingezet. Soms wordt de infectie verspreid via spam, een andere manier is via nep-muziekbestanden. Eentje daarvan was een nummer van Tina Turner: babyBaby.mp3.exe.

Vergeleken met Cryptolocker is deze nieuwe variant een stuk minder gesofisticeerd. Cryptolocker gebruikt bijvoorbeeld een combinatie van 256-bit AES- en 2048-bit RSA-versleuteling om de geïnfecteerde bestanden te gijzelen. De masterkey daarvan staat op de servers van de criminelen.

TurboPower Lockbox
Deze nieuwe variant is gebouwd met de vrij verkrijgbare TurboPower Lockbox-bibliotheek, die gebruikmaakt van AES-CTR om bestanden te versleutelen.

IntelCrawler raadt aan om de extensies van versleutelde bestanden niet te wijzigen en ook de hostnaam van de besmette pc niet te veranderen. Het bedrijf werkt naar eigen zeggen aan een tool die de gegijzelde bestanden van zijn digitale ketens kan ontdoen. 

Beveiligingbeveiligingcryptolockercryptowareencryptiegijzelmalwaremalwarenieuwsransomwareversleutelen

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!