Gebruikers die overwegen toch te betalen komen van een koude kermis thuis. Zij hoeven geen snelle reactie te verwachten, als zij er al eentje krijgen. Volgens verschillende beveiligingsexperts geeft WannaCrypt zelfs nadat er betaald is niet automatisch je data vrij.

Handmatig proces

Slachtoffers zullen moeten wachten en hopen dat de WannaCry-ontwikkelaars de computers op afstand weer vrij geven. Het is een volledig handmatig proces en bevat een groot gebrek: De malafide hackers kunnen niet zien wie er wel en niet betaald heeft.

"De kans dat je je bestanden terug krijgt is erg klein, het is beter voor de slachtoffers om hun geld te houden en hun systemen opnieuw op te bouwen," aldus Vikram Thakur van Symantec.

Bestanden gewist

De Wannacrypt-malware (ook bekend als WannaCry, WanaDecryptor en WanaCrypt0r 2.0) besmet al sinds vrijdag duizenden computers via internet. Meer dan 300.000 machines in 150 landen werden afgelopen weekend besmet.

De malware versleutelt alle bestanden na besmetting en toont een melding waarin ongeveer 300 tot 600 dollar in bitcoin moet worden betaald. Na zeven dagen worden de versleutelde bestanden, als er niet wordt betaald, gewist.

Het betalen van het losgeld heeft echter geen zin, zegt Matthew Hickey van Hacker House. "De criminelen kunnen alleen handmatig de systemen van slachtoffers herstellen door de decryptiesleutel te versturen naar elke computer waarvoor betaald is. Dit kost ontzettend veel tijd. "Je bent afhankelijk van een echt persoon, iemand aan de andere kant van de lijn die de moeite wilt nemen een sleutel voor je te genereren en terug te sturen."

Daarnaast heeft WannaCrypt geen mechanisme om te bepalen wie er wat betaald heeft en om welke computer het precies gaat.

Slachtoffers krijgen slechts uitgelegd hoe zij hun bitcoin-betaling moeten doen en aan welke van de drie bitcoin-wallets. Na betaling moeten zij wachten op de sleutel. In tegenstelling tot de meeste andere ransomware heeft WannaCrypt geen proces dat precies kan identificeren welke betaling bij welke computer hoort. Gebruikers krijgen slechts een melding op hun scherm met de optie "check payment," zegt Maya Horowitz van beveiligingsbedrijf Check Point.

"Betaling niet ontvangen"

"Gebruikers krijgen vaak een melding waarin staat dat de betaling niet is ontvangen. De beste tijd om dat opnieuw te proberen is van maandag tot vrijdag tussen 9 en 11 uur," aldus Horowitz.

Zowel Hickey als Horowitz zeggen nog geen gevallen te hebben gehoord waarin slachtoffers hun bestanden hebben terug gekregen na betaling van het losgeld.

Mikko Hipponen van F-Secure, liet gisteren via Twitter weten dat sommige slachtoffers uiteindelijk wel hun bestanden terugkregen na betaling. Verdere details zijn echter niet gegeven.

De malafide hackers achter WannaCry hebben al meer van 56.000 dollar binnengeharkt als we de informatie van twitterbot Actual Ransom moeten geloven. De inefficiëntie van het betaalmodel laat Hickey denken dat het de criminelen niet om het geld gaat. "Als dit is gedaan om snel geld te verdienen, dan is dit zeker geen slimme manier om dat voor elkaar te krijgen."

Drempelverlaging

De criminelen hadden meer geld innen kunnen krijgen als zij het bedrag hadden verlaagd (en daarmee de drempel. Een softwarepakket dat meer dan 300.000 machines besmet had met een tientje per besmetting veel meer kunnen binnen krijgen. Het slechte betaalproces maakt het nog moeilijker voor gebruikers om te betalen en spoort gebruikers niet aan te betalen, zegt Hickey.

Het is nog niet duidelijk wie WannaCrypt heeft gebouwd, of dat nou amateurs zijn of malafide hackers die weten wat ze doen. Het feit dat er een killswitch in de ransomware zit, welke door een beveiligingsonderzoeker is geactiveerd, heeft het aantal besmettingen in elk geval doen afnemen. Dit laat zien dat de coders behoorlijk slordig zijn.

Alsnog gered

WannaCrypt doet één ding in elk geval heel goed, het versleutelt alle belangrijke bestanden op de machine erg goed. Verschillende beveiligingsonderzoekers onderzoeken de ransomware om te kijken of besmette computers alsnog gered kunnen worden.

"De implementatie van het versleutelingsproces zit zeer goed in elkaar, wij hebben nog geen zwakke plekken gevonden die wij kunnen gebruiken om versleutelde bestanden te redden," aldus Thakur van Symantec.

Terugkeer

Ondertussen waarschuwen veel onderzoekers dat WannaCrypt waarschijnlijk in een andere vorm zal toeslaan. De kans is zeer groot dat criminelen de software aanpassen en (zonder killswitch) verspreiden.

De beste manier om jezelf te beschermen tegen deze malware kan je hier lezen.