image

Cryptolocker-ransomware maakt encryptieblunder

maandag 23 juni 2014, 11:11 door Redactie, 5 reacties

Een variant van de Cryptolocker-ransomware laat gebruikers geloven dat hun bestanden met RSA-encryptie versleuteld zijn, maar dat blijkt helemaal niet het geval te zijn. Sterker nog, de malware bevat ook de sleutel om de bestanden te ontsleutelen, zo ontdekte beveiligingsonderzoeker 'Fakebit'.

De malware in kwestie verspreidt zich via e-mails die een kwaadaardige bijlage bevatten. Zodra een gebruiker het bestand opent worden allerlei documenten en mediabestanden van een .cryptolocker-extensie voorzien. Daarna verschijnt er een waarschuwing dat de bestanden met een RSA 2048-bit encryptiesleutel zijn versleuteld.

Gebruikers moeten vervolgens via de Tor Browser een website op het Tor-netwerk bezoeken, waar ze een bedrag kunnen betalen om weer toegang tot de gegevens te krijgen. Verder wordt er een ID in de waarschuwing vermeld. Dit ID-nummer blijkt 'hardcoded' in de malware te staan en is waarschijnlijk alleen bedoeld om gebruikers te laten geloven dat er een unieke encryptiesleutel is gebruikt.

Encryptie

De onderzoeker ontdekte namelijk dat deze ransomware helemaal geen RSA-encryptie gebruikt maar het Tiny Encryption Algorithm (TEA). TEA is symmetrische encryptie, wat inhoudt dat de versleutelde data met dezelfde sleutel is te ontsleutelen als waarmee het versleuteld werd. De onderzoeker testte dit door de malware zo aan te passen dat in plaats van de encryptie- de decryptiefunctie werd aangeroepen. En zoals verwacht zorgde dit ervoor dat de versleutelde bestanden inderdaad ontsleuteld werden.

Volgens de onderzoeker maakt deze ransomware misbruik van de CryptoLocker-naam en beperkte kennis bij veel gebruikers en systeembeheerders over de ransomware. Gebruikers zouden omdat ze de naam CryptoLocker zien er automatisch vanuit gaan dat de bestanden onherstelbaar zijn versleuteld, tenzij het geëiste losgeld wordt betaald. Iets waar de makers van deze ransomware handig op inspelen.

Reacties (5)
23-06-2014, 11:48 door Whacko - Bijgewerkt: 23-06-2014, 12:04
Tsjah... slim. Ik denk dat als je simpelweg de computer hijackt, en bij opstarten altijd een ransom-scherm laat zien, dat je dan ook al 90% van de gevallen betaald krijgt.
Encryptie is een manier om zeker van te zijn, maar voor de meeste leken niet eens nodig.
23-06-2014, 12:20 door Britec09
Ransomware is niet zo moeilijk te verwijderen, maar als je de werkende versie van Crypto hebt, dan ben je wel genakt
23-06-2014, 21:23 door Anoniem
Da's wel Robin Hood-stijl, iedereen die een beetje geeft om z'n data is niets kwijt en luie mensen met geld te veel hoeven die paar centen toch niet te missen, hoe "nobel" hahahahahaha ;)
23-06-2014, 22:42 door Anoniem
@Britec09 Je weet dat 'genakt' Gestolen betekent he?
24-06-2014, 12:23 door Anoniem
Extenties eraf, de boel opnieuw infecteren, weer alle extenties eraf en je hebt je spul weer terug.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.