Een nieuwe versie van één van de meest actieve ransomware op internet is voor de communicatie met besmette computers overgestapt naar het Tor-netwerk. Het gaat om de Cryptowall-ransomware, die nu als Cryptowall 2.0 door het leven gaat. Deze ransomware versleutelt bestanden voor losgeld.

Gebruikers moeten vervolgens honderden euro's betalen als ze hun bestanden willen ontsleutelen. De malware verscheen voor het eerst in mei en bleek in een paar maanden tijd 625.000 computers te hebben geïnfecteerd. Om het gevraagde losgeld te betalen moeten slachtoffers verbinding met een website op het Tor-netwerk maken.

De communicatie tussen besmette computers en de botnet-server verliep niet via Tor maar over HTTP. Daardoor konden onderzoekers de communicatie analyseren en de botnet-servers uit de lucht halen. Begin augustus werd er een exemplaar ontdekt dat wel via het Tor-netwerk communiceerde. Hierdoor is het veel lastiger geworden om de locatie van een botnetserver te achterhalen.

Test

Deze Tor-versies werden echter nauwelijks aangetroffen en de meeste Cryptowall-exemplaren communiceerden nog steeds via HTTP. Op 1 oktober verscheen er echter een exemplaar dat zich Cryptowall 2.0 noemt en alleen via Tor communiceert. Volgens het Finse anti-virusbedrijf F-Secure waren de eerste Tor-versies van Cryptowall 1.0 alleen als test bedoeld voordat er besloten werd om met Cryptowall 2.0 helemaal naar het Tor-netwerk over te stappen.

De virusbestrijder verwacht in de toekomst dan ook veel meer exemplaren van deze versie te zien. Cryptowall verspreidt zich onder andere via advertenties die misbruik van lekken in browsers en browserplug-ins maken die niet door gebruikers zijn gepatcht.