Nieuwe ransomware maakt computer ontoegankelijk

[Captain Kirk]

Onderzoekers hebben een nieuwe ransomware-variant ontdekt die niet bepaalde bestanden versleutelt, zoals de meeste ransomware doet, maar de gehele harde schijf ontoegankelijk maakt. Bedrijven zijn daarbij het doelwit van de ransomware, die de naam Petya heeft gekregen.

Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is een exe-bestand. Zodra het bestand wordt geopend crasht de computer en zal die herstarten. Vervolgens krijgt de gebruiker een melding te zien dat er een schijfcontrole plaatsvindt. In werkelijkheid wordt de harde schijf echter versleuteld, aldus het Duitse anti-virusbedrijf G Data.

Het blijkt hier echter niet om versleuteling te gaan, maar het overschrijven van de master boot record (mbr), zo stelt anti-virusbedrijf Trend Micro. Na de schijfcontrole verschijnt er een doodshoofd en de melding dat de harde schijf is versleuteld. Via een website op het Tor-netwerk kunnen gebruikers voor 0,99 bitcoin (370 euro) een decryptiesleutel aanschaffen. De prijs hiervan wordt na een week verdubbeld.

Of de harde schijf inderdaad is versleuteld zoals G Data claimt is onduidelijk. De onderzoekers van het anti-virusbedrijf stellen in hun eigen analyse dat waarschijnlijk alleen de bestandstoegang is geblokkeerd, maar de bestanden zelf niet zijn versleuteld. Het onderzoek naar de Petya-ransomware loopt echter nog.

Update

Anti-virusbedrijf Trend Micro laat in een analyse weten dat Petya de master boot record (mbr) van een besmette harde schijf overschrijft. Er wordt echter niet gesproken over het versleutelen van de harde schijf zoals G Data doet.

Update 2

G Data laat in een reactie aan Security.NL weten dat het onderzoek nog loopt, maar dat uit de voorlopige resultaten blijkt dat alleen de mbr en systeembestanden worden aangepast. Andere bestanden laat de ransomware buiten beschouwing. De onderzoekers van het Duitse anti-virusbedrijf kunnen zich dan ook voorlopig in de conclusie van Trend Micro vinden dat Petya de mbr overschrijft en aanpast, maar de harde schijf zelf niet wordt versleuteld.

 

bron: security.nl