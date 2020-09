Onderzoekers hebben een ransomware-exemplaar ontdekt dat naast het versleutelen van data ook de Master Boot Record (MBR) van de harde schijf probeert te overschrijven, maar door het weergeven van een enkele quote hier niet in slaagt. De variant van de Thanos-ransomware werd bij twee overheidsinstanties in het Midden-Oosten en Noord-Afrika aangetroffen, zo meldt securitybedrijf Palo Alto Networks.

Hoe de malware de organisaties kon infecteren is onbekend. Zodra de ransomware actief is op een systeem versleutelt die allerlei data. Een verschil met veel andere ransomware-exemplaren is dat de gevonden Thanos-varianten ook de MBR van de harde schijf proberen te overschrijven, waardoor het besturingssysteem niet meer kan starten. Een methode die niet vaak voorkomt, aldus de onderzoekers. De ontwikkelaars maakten hierbij een fout waardoor de MBR niet werd overschreven.

De ransomware probeert de MBR te vervangen door een boodschap met instructies voor het slachtoffer. Deze boodschap bevat de drie bytes "xe2\x80\x99", waarmee een enkele quote voor het woord don't wordt weergegeven. De ransomware probeert deze karakters om te zetten maar maakt hierbij een fout door één byte in de boodschap te vervangen, terwijl er drie bytes zijn opgegeven. Dit zorgt voor een fout waardoor het overschrijven van de MBR niet wordt uitgevoerd. In het geval de apostrof uit de boodschap wordt verwijderd blijkt het overschrijven wel gewoon te werken, zo merken de onderzoekers op.