Ransomware bepaalt losgeld op basis van bestandsnaam

[Captain Kirk]

Onderzoekers hebben een nieuw ransomware-exemplaar ontdekt dat het gevraagde losgeld aan slachtoffers baseert op de eigen bestandsnaam. De meeste ransomware-exemplaren maken gebruik van een vast bedrag dat gebruikers moeten betalen om hun versleutelde gegevens te ontsleutelen.

In het geval van de nu ontdekte variant van de Fantom-ransomware wordt er een apart proces gebruikt om het losgeldbedrag te bepalen. Dit laat de ontwikkelaar met hetzelfde exemplaar verschillende campagnes uitvoeren, maar afhankelijk van de bestandsnaam verschillende bedragen vragen. Als de ransomware-ontwikkelaar thuisgebruikers als doelwit heeft geeft hij de ransomware een bestandsnaam die om een lager bedrag vraagt dan wanneer bedrijven of organisaties het doelwit zijn. Het aanpassen van de bestandsnaam is hiervoor voldoende, zo laat de website Bleeping Computer weten.

Zodra de Fantom-ransomware op een systeem wordt uitgevoerd controleert die de eigen procesnaam, die hetzelfde als de bestandsnaam is. Op basis hiervan wordt het losgeldbedrag bepaald. Ook wordt de procesnaam gebruikt voor vermelden van een specifiek e-mailadres om te betalen. De nieuwste versie van de Fantom-ransomware is daarnaast ook in staat om bestanden op systemen die het heeft geïnfecteerd, maar niet over een internetverbinding beschikken, te versleutelen en kan het netwerkmappen versleutelen.

 

 

bron: security.nl