De malware is een variant van de GpCode ransomware. De snode code gijzelt gevoelige data, encrypteert het en vraagt vervolgens $120, ofwel zo’n €90, voor een tool om de data te decrypten. Wanneer er niet betaald wordt, is de data weg.

Vervaarlijke comeback kid

Volgens ee SecureList blogpost is deze ransomware “erg gevaarlijk, omdat de kans dat je je data terugziet bijzonder gering. Het is bijna hetzelfde als permanente verwijdering van de data van je harde schijf.”

De GpCode ransomware heeft de afgelopen jaren regelmatig een comeback gemaakt. De nieuwe variant laat een Kladblok popup zien waarin staat “Attention!!! All your personal files were encrypted with a strong algorithm RSA-1024 and you can't get an access to them without making of what we need!”.

Dislexies

Omdat de malwareschrijvers licht analfabetisch zijn (hoewel weer niet zo erg als sommige andere), is het extra moeilijk om erachter te komen hoe de data weer terug te kopen is. Wanneer de vage instructies echter opgevolgd worden, blijkt dat de enen en nullen pas terug zullen keren wanneer er $120 gelapt wordt.

Het grote verschil met voorgaande ransomware versies is cruciaal. Oudere versies maakten een kopie van bestanden en lieten het origineel in tact. Deze nieuwe versie encrypteert echter de originele bestanden, waardoor het herstellen van de data aanzienlijk bemoeilijkt of zelfs onmogelijk wordt.

Tip van de dag

Gebruikers wordt aangeraden om zo snel mogelijk de computer uit te schakelen na het verschijnen van de eerste ransom popup. Op dat moment is de ransomware namelijk nog bezig met het encrypten, waardoor (een deel van) de data wellicht gered kan worden.

Bron: Techworld