Onderzoekers hebben een nieuwe vorm van ransomware ontdekt die naast het versleutelen van bestanden en het vergrendelen van de computer zich ook als virus gedraagt en allerlei bestanden op de computer infecteert. VirRnsm, zoals anti-virusbedrijf Sophos de malware noemt, infecteert exe-bestanden, maar ook databestanden als zip, doc en jpg. Vervolgens worden deze databestanden versleuteld en in een exe-bestand veranderd.

Windows laat de .exe-bestandsextensie niet zien. Standaard staat het weergeven van bestandsextensies in Windows namelijk uitgeschakeld, maar zelfs als dit op het systeem is ingeschakeld, zal de malware dit weer uitschakelen. Daarnaast gebruikt de malware voor het aangemaakte exe-bestand het icoon dat het bestand voor de infectie had. Als gebruikers het exe-bestand openen installeert de malware zichzelf permanent op de harde schijf, maakt registeraanpassingen en activeert zichzelf.

Om gebruikers niets te laten vermoeden wordt het oorspronkelijke bestand wel gewoon gestart. Als gebruikers het versleutelde bestand, wat bijvoorbeeld eerst een jpg-afbeelding was, via een editor willen openen gebeurt er niets, aangezien de inhoud nog steeds versleuteld is. Daardoor ontstaat er de situatie dat gebruikers de data in de versleutelde bestanden kunnen bekijken door het exe-bestand te openen, maar hierdoor wordt wel de malware geladen.

Losgeld

Zodra de malware actief is zoekt die naar andere bestanden op de computer die kunnen worden geïnfecteerd. Ook start het twee processen die elkaar in de gaten houden. Wordt het ene proces uitgeschakeld, dan kan het andere proces het weer herstarten. Als laatste vergrendelt de ransowmare de computer en vraagt een bedrag van 0,619 bitcoin, wat met de huidige wisselkoers 189 euro is. Onderzoekers stellen dat dit een interessante eigenschap van het virus is.

Naast het versleutelen van bestanden vergrendelt het ook de computer. Er bestaan namelijk tal van ransomware-varianten die of bestanden versleutelen of de computer vergrendelen, maar exemplaren die beide doen komen zelden voor. In tegenstelling tot sommige cryptografische ransomware die bestanden versleutelt hoeven gebruikers in het geval van VirRnsm niet voor hun bestanden te vrezen.

Omdat de encryptie slechts een secondair onderdeel van de malware is en de malware zelf de encryptiesleutel bevat voor het automatisch ontsleutelen van de bestanden, kunnen de bestanden door virusscanners tijdens het schoonmaakproces weer worden ontsleuteld. Onderzoekers stellen dan ook dat slachtoffers het gevraagde losgeld niet hoeven te betalen. Ze waarschuwen wel dat als gebruikers hun computer niet goed opschonen na een besmetting, de infectie via een gemist bestand weer eenvoudig kan terugkeren.