Onderzoekers hebben weer een ransomware-variant ontdekt die zowel lokale bestanden voor losgeld versleutelt als bestanden op niet-gemounte netwerkschijven. Locky, zoals de ransomware wordt genoemd, verspreidt zich via Word-bestanden die middels e-mail worden verstuurd.

Het gaat volgens de e-mail om een zogenaamde rekening die de ontvanger moet betalen. Het meegestuurde Word-document vraagt de gebruiker vervolgens om macro's in te schakelen, omdat de tekst van het document niet goed kan worden weergegeven. Macro's staan standaard als beveiligingsmaatregel uitgeschakeld, omdat malware hier in het verleden vaak misbruik van maakte. Gebruikers worden dan ook gewaarschuwd als ze macro's willen inschakelen.

Zodra de gebruiker macro's toch inschakelt wordt de ransomware op de computer gedownload. Eenmaal actief versleutelt Locky bestanden en verandert de bestandsnamen. Daarnaast zoekt de ransomware naar bestanden op netwerkschijven die niet aan een schijfletter zijn gekoppeld. Recentelijk werd er ook al een ransomware-variant ontdekt die deze tactiek toepast. Dit kan grote gevolgen voor organisaties hebben, omdat zo bestanden versleuteld kunnen worden waar alle werknemers gebruik van maken.

"Zoals voorspeld komt dit steeds vaker voor en moeten systeembeheerders alle open netwerkshares beveiligen met zo min mogelijk rechten", zegt Lawrence Abrams van het computerforum Bleeping Computer, dat voor de ransomware waarschuwt. In het geval van Locky moeten slachtoffers een halve bitcoin betalen voor het ontsleutelen van hun bestanden, wat overeenkomt met 190 euro.