image

CryptoWall-ransomware verhoogt losgeld naar 700 euro

vrijdag 6 november 2015, 14:24 door Redactie, 7 reacties

Er is een nieuwe versie van de CryptoWall-ransomware opgedoken die bestandsnamen versleutelt, slachtoffers op een denigrerende manier aanspreekt en het gevraagde losgeldbedrag heeft verhoogd naar 700 euro, zo hebben onderzoekers van het forum Bleeping Computer ontdekt.

CryptoWall is een vorm van ransomware die allerlei bestanden op de computer versleutelt. Voor het ontsleutelen moeten slachtoffers vervolgens betalen. De eerste variant werd vorig jaar mei ontdekt. Deze versie vroeg slachtoffers nog 500 euro voor het ontsleutelen. Als slachtoffers niet op tijd betaalden werd dit bedrag naar 1.000 euro verhoogd. Met CryptoWall 4.0 is dit bedrag nu 1400 euro geworden.

De nieuwe versie valt ook op doordat niet alleen de inhoud van bestanden wordt versleuteld, maar ook de bestandsnamen. Dit is waarschijnlijk gedaan om slachtoffers te frustreren en het lastiger te maken om te bepalen welke bestanden moeten worden hersteld, zo stelt Lawrence Abrams van Bleeping Computer. Net als voorgaande versies verwijdert CryptoWall 4.0 alle Shadow Volume copies, schakelt Systeemherstel uit alsmede Windows Startup Repair. Ook maakt het van de computer, aan de hand van besturingssysteem en processor, een uniek identificatienummer.

Een andere aanpassing in CryptoWall 4.0 is de tekst die slachtoffers van een versleutelde computer te zien krijgen. Die heeft namelijk een denigrerende toon gekregen. Zo worden slachtoffers aangesproken met "Gefeliciteerd!!! Je bent lid van de grote CryptoWall-gemeenschap geworden". Ook wordt er vanuit gegaan dat slachtoffers de uitleg over encryptie niet begrijpen. Verder stellen de makers dat CryptoWall niet kwaadaardig is en dat ze samen met slachtoffers het internet veilig maken. Hoe de nieuwe versie zich precies verspreidt is onbekend, maar vorige versies gebruikten voornamelijk e-mailbijlagen en ongepatchte software.

Reacties (7)
06-11-2015, 14:37 door Preddie
Dat gebeurt met alles zo rond de sinterklaas en kerstperiode...... ;)
06-11-2015, 15:03 door Anoniem
Zucht. Maar weer een backupje terug zetten dan?
06-11-2015, 16:11 door Anoniem
Welk OS dan ook.
Installeer alles wat nodig is en verbreek de internetverbinding.

Updates en scans zijn nu overbodig.
Schakel de (virus)scanner uit, scheelt in snelheid.

Gebruik voor al het internetten een goedkoop Chroombook.
Beveiliging gaat ongemerkt buiten de (on)kunde van de gebruiker om.
Is nauwelijks duurder dan een beveiligingspakket (Windows) maar wel eenvoudiger en effectiever.

Kans op internetnarigheid is minimaal.
06-11-2015, 18:12 door Anoniem
Iemand al eens opgevallen dat de cryptovirussen niet om kunnen gaan met DFS shares? Wij hebben dit ook op het werk gehad maar alleen de "normale" netwerkmapping waren geïnfecteerd. Wij hadden gelukkig "shadow copies" op serverniveau ingesteld. De normale gebruiker kan dit niet zelf waardoor we binnen 15 min. alweer up-and-running waren. :)
07-11-2015, 10:42 door [Account Verwijderd]
[Verwijderd]
07-11-2015, 16:00 door Anoniem
Kunnen ze dat virus niet reverse engineeren ???
09-11-2015, 15:08 door Plopeye
Door Anoniem: Iemand al eens opgevallen dat de cryptovirussen niet om kunnen gaan met DFS shares? Wij hebben dit ook op het werk gehad maar alleen de "normale" netwerkmapping waren geïnfecteerd. Wij hadden gelukkig "shadow copies" op serverniveau ingesteld. De normale gebruiker kan dit niet zelf waardoor we binnen 15 min. alweer up-and-running waren. :)

Helaas maar de meeste die ik op dit moment gezien heb kunnen gewoon DFS shares benaderen en heb ook al gezien dat de shadowcopy's ook allemaal weg waren...

Gewoon een goede backup is dus van levensbelang.

Wat wel opviel tot op heden is dat het alleen shares pakte die ook een driveletter mapping hadden. Maar het is natuurlijk gewoon wachten op een versie die gewoon elke share die hij vinden kan en toegang heeft gaat encrypten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.