Een nieuwe ransomware-variant die sinds begin dit jaar in ontwikkeling is hanteert een heus stappenplan om slachtoffers de situatie uit te leggen waarin ze zich bevinden, waarbij gebruikers ook wordt duidelijk gemaakt dat de infectie hun eigen schuld is. De ransomware werd ontdekt door de Nederlandse beveiligingsonderzoeker Yonathan Klijnsma, die bij het Delftse Fox-IT werkzaam is.

CryptoApp, zoals de ransomware wordt genoemd, versleutelt bestanden met 162 verschillende bestandsextensies, zoals .docx, .avi en .xslx. Opvallend is volgens Klijnsma dat ook bestanden van de QuickBooks accountancy-software worden versleuteld. Eenmaal actief op een computer zoekt de ransomware niet alleen op lokale schijven naar bestanden om te versleutelen, maar worden ook netwerkschijven afgegaan. Net als bij andere ransomware-varianten moet er vervolgens een bedrag worden betaald om de bestanden te ontsleutelen.

Het gaat in dit geval om een bedrag van 1 bitcoin, wat met de huidige wisselkoers 231 euro is. Op de website van de ransomware-maker wordt gebruikers hun situatie uitgelegd. Daar stelt de auteur dat slachtoffers besmet zijn geraakt omdat ze niet hebben opgelet. Ook is de computer van de gebruiker volgens de ransomware-maker slecht beveiligd en kunnen de bestanden alleen door te betalen worden teruggekregen. Daarbij krijgen betalende slachtoffers het advies om hun virusscanner uit te schakelen.

De tool voor het ontsleutelen van de bestanden kan namelijk als malware worden beschouwd en door de virusscanner worden verwijderd. In dat geval zullen gebruikers al hun bestanden verliezen, aldus de waarschuwing. Volgens Klijnsma is de ransomware niet wijdverspreid en waarschijnlijk nog in ontwikkeling. De website van de ransomware-maker, die op het Tor-netwerk werd gehost, is begin augustus verdwenen. Het kan zijn dat de auteur het project heeft gestopt of een nieuwe locatie heeft gezocht om zijn operatie voort te zetten, waarbij de oude website een testopstelling was, aldus de onderzoeker.