image

MBR-ransomware installeert tweede ransomware als back-up

vrijdag 13 mei 2016, 11:04 door Redactie, 2 reacties

Er is een nieuwe variant van de Petya-ransomware verschenen die een tweede ransomware-exemplaar als back-up installeert. Petya werd eind maart voor het eerst ontdekt en viel op omdat het de Master Boot Record (MBR) van harde schijven aanpast en de master file table (MFT) versleutelt.

Daardoor is het bestandssysteem niet te lezen en kan Windows niet meer worden gestart. Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is in werkelijkheid de malware. Zodra het bestand wordt geopend vraagt Petya om beheerdersrechten, zodat het de MBR kan aanpassen. Als de ransomware deze rechten niet verkrijgt, kan het de aanpassing niet doorvoeren en blijft het systeem gewoon werken.

De ontwikkelaars van Petya lijken hier een oplossing voor gevonden te hebben, namelijk het bundelen van een tweede ransomware-exemplaar genaamd Mischa. Als de beheerdersrechten niet worden bemachtigd, bijvoorbeeld omdat de gebruiker dit niet toestaat, dan wordt de Mischa-ransomware geïnstalleerd. Deze ransomware vereist namelijk geen beheerdersrechten. Net als andere ransowmare versleutelt de Mischa-ransomware bestanden voor losgeld. Voor het ontsleutelen wordt een bedrag van 1,93 bitcoin gevraagd, wat met 770 euro overeenkomt, zo meldt Lawrence Abrams van Bleeping Computer. Er is nog geen manier gevonden om de bestanden kosteloos te ontsleutelen.

Reacties (2)
13-05-2016, 13:10 door swake
Er is nog geen manier gevonden om de bestanden kosteloos te ontsleutelen.

En hier lees ik dan dat een onderzoeker in april 2016 al een tool zou beschikbaar gesteld hebben.
http://tweakers.net/nieuws/110187/onderzoeker-maakt-tool-voor-ontsleutelen-door-petya-ransomware-getroffen-pcs.html
16-05-2016, 17:25 door 0101
@swake dat er ooit een oplossing was betekent niet dat die nu nog werkt. Ransomware-makers blijven hun software ook doorontwikkelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.