Nieuwe ransomware versleutelt volledige harde schijf

Samenvatting:Ransomware gijzelt gewoonlijk individuele bestanden, maar een nieuw stukje malware ontzegt je meteen de toegang tot je hele harde schijf.

csm_Petya-RansomSite_8ebf23a247

 

Antivirusleverancier G Data heeft een nieuw type ransomware ontdekt dat volledige harde schijven op slot zet. Gewoonlijk richt dit soort malware zich op individuele bestanden of bestandtypes.

De Petya-ransomware, zoals de kwaadaardige software werd gedoopt, lijkt zich met name op bedrijven te richten en wordt al zeker in Duitsland ingezet in malwarecampagnes, zo weet G Data. De ransomware vermomt zich als een Dropbox-downloadlink die naar HR-afdelingen wordt gestuurd en zogezegd een portfolio voor een sollicitatie bevat.

In plaats van een portfolio wordt echter een exe-bestand gedownload dat de computer doet crashen en herstarten wanneer je het uitvoert. De software manipuleert het Master Boot Record van de computer, waardoor Petya controle krijgt over het opstartproces.

Tijdens het opstarten verschijnt een melding van een systeemcontrole, maar in realiteit worden op dat moment alle bestanden op de pc ontoegankelijk gemaakt voor de gebruiker. G Data voert nog verder onderzoek uit, maar gaat er momenteel van uit dat niet de bestanden zelf worden geëncrypteerd, maar alleen de file access wordt geblokkeerd.

Nadat de ‘systeemcontrole’ is uitgevoerd, toont de ransomware zijn ware kleuren en worden instructies op het scherm getoond om een encryptiesleutel aan te kopen waarmee je weer toegang krijgt tot je harde schijf. Om hun sporen te verbergen, maken de aanvallers gebruik van het anonieme Tor-netwerk.

Voorkomen is beter dan genezen

Petya wordt gedetecteerd als “Win32.Trojan-Ransom.Petya.A” en wordt momenteel al geblokkeerd door de antivirussoftware van G Data. Wellicht zullen ook andere antiviruspakketten de ransomware snel genoeg opnemen in hun lijst. Een eerste bescherming bestaat er dus in om je antivirussoftware up-to-date te houden.

Verder doe je er goed aan om op geregelde tijdstippen een back-up van je bestanden te maken. Kijk ook altijd goed naar de aard van een bestand alvorens je het downloadt. In het geval van Petya vermomt de ransomware zich als een portfolio. Het bestand dat je krijgt voorgeschoteld is echter een exe in plaats van een verzameling documenten, zoals je van een portfolio zou verwachten.Ben je toch geïnfecteerd, koppel je computer dan onmiddellijk los van het netwerk. Het is nog niet duidelijk of Petya je bestanden versleutelt, dan wel alleen de toegang ertoe. Verder onderzoek is daarvoor nog aan de gang, maar mogelijk valt er dus nog iets te redden zonder dat je moet betalen.

Ransomware neemt toe in Benelux

Ransomware is de laatste tijd aan een opmars toe, zeker in België en Nederland. Dat blijkt uit cijfers van Trend Micro. In februari van dit jaar trof 6 procent van alle ransomware-infecties wereldwijd organisaties in de Benelux, waar dat normaal rond 1 à 2 procent schommelt.

Credit: Trend Micro

Credit: Trend Micro

Opvallend is ook dat crypto-ransomware in opmars is. Dat is een meer hardnekkige vorm van ransomware, waar ook Petya onder valt. Waar ‘gewone’ ransomware enkel je scherm blokkeert en zo de toegang tot je computer ontzegt, blokkeert crypto-ransomware de toegang tot je bestanden door deze te versleutelen.

In 2014 was 20 procent van de ransomware-besmettingen van de crypto-variant, terwijl dat aantal in 2015 al was gestegen naar 83 procent. In de eerste twee maanden van 2016 schommelde het aandeel zelfs rond 98 procent.