Ransomware verspreidt zich op geniepige wijze via usb-sticks

[Captain Kirk]

Onderzoekers waarschuwen voor een nieuw ransomware-exemplaar dat zich op geniepige wijze via usb-sticks verspreidt. Het gaat om de Spora-ransomware die recentelijk al in het nieuws kwam. De methode die Spora gebruikt om usb-sticks en externe harde schijven te infecteren was nog niet genoemd.

In eerste instantie maakt Spora gebruik van e-mailbijlagen om internetgebruikers te infecteren, zo meldde anti-virusbedrijf Emsisoft vorige week. Eenmaal actief gebruikt de ransomware dezelfde truc als verschillende computerwormen om zich verder te verspreiden, namelijk lnk-bestanden. Deze extensie gebruikt Windows voor snelkoppelingen, maar is ook te gebruiken voor het uitvoeren van code.

Zowel op usb-sticks, externe harde schijven als de systeemschijf maakt de ransomware bestanden en mappen onzichtbaar. Vervolgens vervangt het deze mappen en bestanden met een gelijknamig lnk-bestand dat de originele map of bestand opent, zodat de gebruiker niets vermoedt, en tegelijkertijd in de achtergrond de malware uitvoert. De worm verwijdert tevens een waarde in het Windows-register, zodat het snelkoppeling-icoon niet meer het bekende pijltje bevat. Zodoende ziet de gebruiker niet dat er iets mis is, tenzij hij de detailweergave van mappen heeft ingeschakeld.

"Alleen door de mappen op je systeem via dubbelklik te doorlopen activeert de worm. Via deze strategie verspreidt de worm zich niet alleen naar verwijderbare schijven zoals usb-sticks, maar zal het ook nieuwe bestanden op het systeem versleutelen. Dit maakt het systeem onbruikbaar voor het opslaan van of werken aan foto's en documenten totdat de ransomware is verwijderd", zegt Karsten Hahn van het Duitse anti-virusbedrijf G Data.

Hahn laat verder weten dat Spora de User Account Control (UAC) maatregel van Windows niet omzeilt. Dit houdt in dat de gebruiker een dialoogvenster van Windows krijgt te zien waarin de malware vraagt om aanpassingen aan de computer te maken. In dit geval is het verzoek van de "Windows Command Processor" afkomstig die als gecontroleerde uitgever Microsoft zelf heeft. Verder verwijdert de ransomware schaduwvolumes en schakelt Windows foutherstel uit. Voor het ontsleutelen van de data vraagt de ransomware bedragen tussen de 79 en 280 dollar.

 

 

bron: security.nl