De Ransomwared Ransomware vraagt om naaktfoto's in plaats van Bitcoins

Een ransomware-familie genaamd Ransomwared heeft de laatste tijd het nieuws gemaakt, en er zijn minstens twee zeer goede redenen hiervoor. Ten eerste is het gericht op individuele gebruikers in plaats van op grote organisaties, wat tegenwoordig ongebruikelijk is. Misschien nog opmerkelijker zijn de eisen die de boeven stellen. Het lijkt erop dat het niet meer alleen om de bitcoins gaat.

Niet veel details over de recente Ransomwared-campagne

Hoewel heel veel mensen lijken te praten over de nieuw ontdekte Ransomwared-monsters, zijn de feitelijke details rond de distributie en de werking van de dreiging dun ter plaatse. De experts die het hebben onderzocht, hebben niets gezegd over hoe ze het zijn tegengekomen. Er is geen informatie over de distributiemethoden en de sociale techniek die wordt gebruikt om slachtoffers te misleiden om de ransomware te installeren, en we kunnen alleen raden hoeveel mensen zijn getroffen.

Wat we zeker weten is dat de boeven nooit geld wilden verdienen met de huidige campagne.

Crooks coderen gebruikersbestanden en eisen expliciete afbeeldingen in ruil voor de decryptor

Eenmaal geïmplementeerd versleutelt Ransomwared de bestanden die het op de geïnfecteerde computer vindt en voegt in de meer recente versies de bestandsextensie.iwanttits toe. Het ontbreken van technische analyse betekent dat we niet zeker kunnen zijn welke bestanden Ransomwared doelen, maar de screenshots die beveiligingsonderzoekers hebben gedeeld suggereren dat het alleen de gegevens codeert die het in de volgende mappen vindt:

  • C:\Users\[Username]\Documents\
  • C:\Users\[Username]\Pictures\
  • C:\Users\[Username]\Videos\
  • C:\Users\[Username]\Music\

In tegenstelling tot de meeste malwarefamilies van dit type, laat Ransomwared geen losgeldbrief. In plaats daarvan geeft het, zodra het klaar is met de codering, een pop-upvenster weer met het volgende bericht:

"Bestanden zijn gecodeerd. Laat me je tieten zien om het te decoderen."

Als u op de knop OK klikt, wordt een ander venster geopend waarin wordt aangegeven dat de bestanden in de bovengenoemde vier mappen zijn gecodeerd. Er is een veld voor de herstelsleutel en een tweede bericht:

"Je bent losgeld! Om je bestanden te herstellen, mail ons je tieten naar: sashagrey@blurred.credit"

Emsisoft-onderzoekers hebben de nieuwe monsters nader bekeken en ze hebben er terecht op gewezen dat de boeven vergaten te vermelden naar wat voor soort tieten ze op zoek waren. De experts stelden voor dat in plaats van naaktfoto's van zichzelf te maken en ze te e-mailen naar een adres vernoemd naar een voormalige pornoster, slachtoffers misschien proberen om foto's van kleine zangvogels te sturen en kijken of dat de verlangens van de criminelen zal bevredigen. Zelfs dat zal echter niet nodig zijn, omdat bestanden gecodeerd met Ransomwared gemakkelijk kunnen worden gedecodeerd.

Voor het herstellen van gegevens hoeven geen naaktfoto's te worden gemaakt

Het vragen van slachtoffers voor naaktfoto's in ruil voor het ontgrendelen van hun bestanden kan een relatief recente techniek zijn die wordt gebruikt door de Ransomwared-operators, maar de malware zelf is helemaal niet nieuw. Een paar minuten op Google zullen je vertellen dat de soort eind 2018 de eerste ronde deed, en hoewel de eisen destijds een beetje meer traditioneel waren, was de ransomware-operatie vrijwel identiek. Toen ze het voor het eerst zagen, analyseerden beveiligingsonderzoekers de ransomware-familie en realiseerden zich snel dat het niet erg geavanceerd was.

Het coderingsmechanisme van Ransomwared is gebaseerd op DES (afkorting van Data Encryption Standard), een coderingsalgoritme met symmetrische sleutels dat in de jaren zeventig is ontwikkeld. Het is een zwak algoritme op de beste tijden, en om het allemaal af te ronden, technische analyse van de recente Ransomwared monsters bleek dat de sleutel die bestanden van unlocks mensen is opgeslagen in de broncode van de malware in platte tekst.

U hoeft de code echter niet door te prikken om uw bestanden te decoderen. Aan het begin van de maand bracht Emsisoft een gratis decoderingstool uit die bestanden kan ontgrendelen die zijn gecodeerd door nieuwe en oude versies van Ransomwared.

Ransomware-slachtoffers maken vaak de fout van het geweer springen en toegeven aan de eisen van de boeven zonder na te denken over de gevolgen. Zoals je echter vaak kunt zien, is een paar minuten onderzoek genoeg om je een paar cryptomunten te besparen of, in dit geval, een heleboel verlegenheid. Het genoemde onderzoek kan je ook een idee geven van hoe belangrijk back-ups zijn.

February 14, 2020

Laat een antwoord achter