Nieuwe ransomware-worm gijzelt bestanden en eist losgeld
Cybercriminelen blijken een nieuwe manier te hebben gevonden om data op machines in gijzeling te nemen en losgeld te kunnen eisen: cryptoworms. Deze worm verspreidt zich door zichzelf automatisch te kopiëren naar alle apparaten waarmee een besmet apparaat in verbinding staat. Hier neemt de worm vervolgens data in gijzeling, waarna de cybercriminelen losgeld eisen van slachtoffers.
Kaspersky Lab waarschuwt voor deze nieuwe dreiging. De eerste cryptoworm dook in april op en wordt SamSam genoemd. Inmiddels is een nieuwe variant verschenen: ZCryptor. Deze worm wordt gepresenteerd als een update van Adobe Flash of zit verstopt in malafide macro’s in Microsoft Office-bestanden. Zodra deze update wordt geïnstalleerd is de machine echter besmet met ZCryptor. Eenmaal op het systeem verspreidt de worm zich naar zoveel mogelijk verbonden apparaten.
Data versleutelen
Zodra de worm zich heeft verspreidt gaat de worm aan de slag met het versleutelen van data, waarbij bestanden met tientallen extensies worden versleuteld. Kaspersky Lab houdt het zelf op 80 extensies, maar wijst erop dat anderen zelfs spreken over 120 extensies. Slachtoffers krijgen vervolgens een pagina te zien waarin hen wordt medegedeeld dat hun data is versleuteld.
#Microsoft Warns of ZCryptor #Ransomware with Self-Propagation Features https://t.co/Iuwsv8hxxl #malware pic.twitter.com/QBSMGxtSgg
— Catalin C. (@campuscodi) 27 mei 2016
Om weer toegang te krijgen tot deze data moet losgeld worden betaald, dat in dit geval 1,2 bitcoins (ruim 625 euro) bedraagt. Indien niet binnen vier dagen wordt betaald loopt dit bedrag op tot 5 bitcoins (ruim 2.600 euro). Kaspersky Lab waarschuwt dat er op dit moment geen mogelijkheid is de versleuteling door ZCryptor te omzeilen om data weer toegankelijk te maken. De enige realistische optie is volgens het beveiligingsbedrijf op dit moment dan ook extra alert zijn en infecties met ZCryptor voorkomen.