Wat zijn de karakteristieken van ransomware?

Ransomware mikt tegenwoordig meer op bedrijven (bijvoorbeeld ziekenhuizen) dan op personen. Bedrijven hebben immers data die veel meer waarde heeft en beschikken ook nog eens over meer geld en zijn dus lucratiever af te persen. Tegenwoordig vragen afpersers ruwweg 500 euro per computer tot 15.000 euro voor het gehele bedrijf. Om je een idee te geven wat er allemaal binnen kan komen heeft het beveiligingsbedrijf Cyphort verschillende varianten van ransomware bekeken, en we geven hier enkele karakteristieken ervan.

Jigsaw

Deze variant wist met regelmaat bestanden om meer druk te zetten om te betalen. Jigsaw werkt als volgt: elk uur dat voorbij gaat waarin het slachtoffer nog niet heeft betaald, wordt een versleuteld bestand gewist, waardoor het niet meer terug te halen is, zelfs als het losgeld wordt betaald of als bestanden (ook) op een andere manier zijn versleuteld. De malware wist ook een extra 1000 bestanden bij elke nieuwe opstart van de computer en een nieuwe inlog op Windows.

Petya

Versleutelt gehele harddisks door het versleutelen van de Master File Table. Deze tabel bevat alle informatie over hoe bestanden en mappen zijn gerangschikt.

RansomWeb, Kimcilware

RansomWeb en Kimcilware zijn familietypen die een ongewone route nemen in het versleutelen, ze pakken namelijk de data van webservers. In plaats van de computer van de gebruiker aan te vallen, infecteren ze de webserver via kwetsbaarheden in de software en versleutelen databases en bestanden van websites, waardoor de website niet meer te gebruiken is totdat er losgeld is betaald.

DMA Locker, Locky, Cerber en CryptoFortress

Versleutelt data op netwerkschijven, zelfs die niet zichtbaar zijn in de mappenstructuur. DMA Locker, Locky, Cerber en CryptoFortress zijn ransomwarefamilies die proberen alle open gedeelde netwerk SMB's in kaart te brengen en die te versleutelen.

Maktub

Maktub pakt eerst bestanden in om zo sneller het versleutelproces te kunnen doorvoeren.


Niet veilig in de cloud

Veel ransomware wist cloudbackups of overschrijft deze, In het verleden was het backuppen van data naar cloudopslag een extra beveiliging. Maar nieuwe versies van ransomware zijn in staat die cloudopslag te bereiken via de gedeelde file systems.

Cerber

Deze gebruikt de speakers van de computer om geluidsboodschappen aan het slachtoffer te laten horen. Cerber genereert een VBScript, genaamd "# DECRYPT MY FILES #.vbs," dat de geluidsboodschappen van de afperser produceert. Het spreekt overigens alleen Engels, maar de website waar vanaf de sleutel te halen is, kan 12 talen aan. Het slachtoffer krijgt de volgende boodschap te horen: "Attention! Attention! Attention!" "Your documents, photos, databases and other important files have been encrypted!"

SimpleLocker

Ook non-Windows-systemen zijn niet veilig,.SimpleLocker versleutelt bestanden op Android, terwijl Linux.Encode.1 bestanden op Linux versleutelt en KeRanger op OSX.

Tox

Ransomware-as-a-service is een model dat aangeboden wordt op het dark web in fora. Het geeft de code en de infrastructuur waarop de geldstromen worden verwerkt en de sleutel voor het slachtoffer.