Een nieuwe variant van ransomware gebruikt een populair opensource-encryptieprogramma om bestanden op besmette computers voor losgeld te versleutelen. De maker van Ransomcrypt, zoals de ransomware wordt genoemd, gebruikt namelijk GnuPG voor het gijzelen van bestanden.

Deze opensource-implementatie van de OpenPGP-standaard is vaker in ransomware aangetroffen, maar het laat volgens anti-virusbedrijf Symantec zien dat de auteur de gemakkelijke weg kiest. Er zou zelfs sprake van een trend zijn waarbij GnuPG het eenvoudiger voor cybercriminelen maakt om ransomware te maken en te beheren. "Hoewel ransomware complex kan zijn, heeft de maker van Ransomcrypt ervoor gezorgd dat de dreiging eenvoudig te ontwikkelen en beheren is."

Iets waar de maker zichzelf ook bewust van is, aangezien hij in de code de opmerkingen "special thanks for free source", "thx for opn source cryptor" en "Hey thx for free source, Ha Ha Ha, lol" heeft opgenomen.

Versleuteling

De hoofdmodule van de malware is een batchbestand waarmee de malware eenvoudig opdrachten kan uitvoeren voor het versleutelen van de bestanden op de computer. Eenmaal gestart downloadt de ransomware een 1024-bit RSA publieke sleutel en importeert die in GnuPG. Vervolgens wordt GnuPG gebruikt om de bestanden met de publieke sleutel te versleutelen.

Als de gebruiker de bestanden wil ontsleutelen heeft hij de privésleutel nodig, die in het bezit van de malwaremaker is. Zonder deze sleutel is het volgens Symantec lastig voor slachtoffers om de bestanden te ontsleutelen. Na het versleutelen van de bestanden wordt er een tekstbestand met instructies geopend, waarin staat dat de gebruiker 150 euro moet betalen als hij zijn bestanden terug wil. Hoe de ransomware, die vooral in Rusland actief lijkt te zijn, zich verspreidt is onbekend.