Een vorm van ransomware die de browser vergrendelt gebruikt kwaadaardige porno-advertenties om onder andere bij Nederlandse internetgebruikers toe te slaan. Ransomlock, zoals de ransomware heet, verschilt van andere ransomware doordat het alleen de browser vergrendelt.

Daarnaast is de ransomware vrij eenvoudig ongedaan te maken, in tegenstelling tot andere ransomware zoals CryptoLocker, die allerlei bestanden versleutelt. Op pagina's waar Ransomlock actief is verschijnt een melding dat de gebruiker verboden pornografische content heeft bekeken. De melding wordt afgestemd op de locatie van de gebruiker.

Nederlandse internetgebruikers krijgen dan ook een bericht te zien dat zogenaamd van de Nederlandse Politie afkomstig is. Het bericht stelt dat de gebruiker een boete moet betalen om strafvervolging te voorkomen. Door middel van JavaScript voorkomt Ransomlock dat gebruikers de tab sluiten waarin de pagina is geopend. Het is echter nog steeds mogelijk voor gebruikers om de browser te sluiten, waardoor ook de ransomware verdwijnt, aldus Symantec.

Advertenties

Om internetgebruikers naar pagina's met Ransomlock te lokken gebruikt de bende achter de ransomware kwaadaardige advertenties, ook bekend als malvertising. Hierbij worden advertenties op legitieme advertentienetwerken geplaatst die de gebruiker naar de de pagina met Ransomlock doorsturen. Het gaat hierbij voornamelijk om advertentienetwerken die op pornosites actief zijn.

Ook de advertentie die de Ransomlock-bende gebruikt doet zich voor als een advertentie voor een pornosite, maar stuurt de gebruiker door naar de Ransomlock-pagina, waar de browser vergrendeld wordt. In totaal zou Symantec in november en de eerste twee weken van december 1,8 miljoen verbindingen naar de Ransomlock-pagina's hebben geblokkeerd. 3% (54.000) van die verbindingen waren van Nederlandse gebruikers afkomstig.