Antivirusbedrijf Avast heeft een gratis decryptietool voor slachtoffers van de FunkSec-ransomware beschikbaar gemaakt. De FunkSec-ransomware, ook bekend als FunkLocker, verscheen eind vorig jaar voor het eerst. De ransomwaregroep versleutelt in gecompromitteerde omgevingen bestanden en steelt allerlei data. Vervolgens dreigt de groep gestolen gegevens openbaar te maken als slachtoffers niet betalen.

Net als andere ransomwaregroepen maakt FunkSec gebruik van een eigen website waarop het de namen van vermeende slachtoffers noemt. Vorig jaar december verschenen op deze website voor het eerst namen van verschillende getroffen organisaties. Afgelopen maart werd het laatste slachtoffer waargenomen, aldus Avast. In totaal zou de ransomwaregroep in deze periode 113 slachtoffers hebben gemaakt.

FunkSec was actief als Ransomware-as-a-Service (Raas). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Hoe partners van FunkSec dit deden laat Avast niet weten.

Onderzoekers van Avast ontdekten een cryptografische kwetsbaarheid in de ransomware waardoor het mogelijk was een decryptietool te ontwikkelen. Daardoor kunnen slachtoffers nu zonder losgeld te betalen hun bestanden terugkrijgen. De tool is ook te vinden op website van No More Ransom, een project van de Nederlandse politie, Europol en securitybedrijven waarop allerlei decryptietools worden aangeboden.