Er is een kloon van de beruchte CryptoLocker-ransomware opgedoken die bestanden op computers voor losgeld versleutelt en ook Nederlandse computers heeft geïnfecteerd. CryptoLocker verscheen voor het eerst in september en gebruikt sterke encryptie voor het versleutelen van allerlei bestanden.

Slachtoffers die weer toegang tot hun bestanden willen moeten een bedrag van 300 euro betalen. Het succes van CryptoLocker lijkt andere cybercriminelen te inspireren, want security-starter IntelCrawler beweert dat het sinds begin december een grootschalige verspreiding van de nieuwe Locker-ransomware heeft ontdekt.

Locker verspreidt zich voornamelijk via gehackte websites en maakt gebruik van beveiligingslekken die niet door de gebruiker zijn gepatcht. Het zich voordoen als MP3-bestand is een andere manier waarop Locker zich verspreidt. De malware zou slachtoffers in de Verenigde Staten, Turkije, Rusland, Duitsland en Nederland hebben gemaakt.

Encryptie

Zodra Locker een computer infecteert voegt het een ".perfect" extensie aan bestanden toe en verwijdert vervolgens de originele data. Ook plaatst de ransomware in elke directory een bestand genaamd contact.txt, met contactgegevens van de maker. Het gaat meestal om een wegwerptelefoonnummer of een e-mailadres. Om weer toegang te krijgen moeten slachtoffers 150 dollar via Perfect Money of een QIWI VISA Virtual kaartnummer betalen.

Zoals eerder gezegd versleutelt ook Locker bestanden voor losgeld, maar in tegenstelling tot de encryptie van CryptoLocker is de encryptie van Locker wel te kraken. Voor de encryptie gebruikt Locker de TurboPower LockBox library, een cryptografische toolkit voor Delphi.

De onderzoekers van IntelCrawler stellen dat er bij het programmeren fouten zijn gemaakt, waardoor ze een "loper" kunnen ontwikkelen om bestanden op alle besmette computers te ontsleutelen. "We hebben een decryptiemethode en universele sleutel ontdekt voor het ontsleutelen van alle besmette clients", zo laat CEO Andrey Komarov tegenover The Register weten.