Een Russische worm verspreidt zich de afgelopen weken steeds sneller over het internet. Dat meldt beveiligingsbedrijf Trend Micro. Het virus met de codenaam Worm_Rixobot.A verspreidt zich in principe via besmette pornosites. Toch zijn er ook gevallen bekend waarbij computers via Instant Messagingclients en via USB-sticks werden besmet.

8,50 euro om de computer te unlocken

De worm is typische ransomware. Als het virus een computer eenmaal besmet heeft, blokkeert het een aantal onderdelen van Windows, maakt het beveiligingsprogramma’s onklaar en blokkeert het de toegang tot verschillende websites. De worm houdt de computer dan gegijzeld.

Als de gebruiker van een geïnfecteerde computer één van de geblokkerde programma’s wil starten of een geblokkeerde site wil bezoeken, krijgt hij een waarschuwingsscherm te zien. Daarin meldt het virus dat de blokkade op de computer voor omgerekend 8,50 euro wordt opgeheven. De gebruiker kan dat geld betalen door middel van een sms-bericht naar een duur nummer.

Succesvolle oplichtingspraktijken

Trend Micro meent dat die oplichtingspraktijken redelijk succesvol zijn omdat er maar een klein bedrag wordt gerekend en omdat de gebruiker via een toegankelijk platform kan betalen. Het beveiligingsbedrijf wist een server van de criminelen achter de worm te hacken en kwam er zo achter dat de afgelopen maand ruim 2500 mensen al betaald hadden. Dat komt neer op zo’n 21.000 euro.

Het echte aantal slachtoffers is waarschijnlijk veel hoger dan die 2500. De softwareproducent vond namelijk ook uit dat het virus in december alleen al 137.000 keer was gedownload. In eerste instantie alleen door Russen, maar later ook in West-Europese landen. Zo’n 3.000 Britten zijn bijvoorbeeld al besmet met de worm. Het aantal Nederlandse besmettingen is onbekend.

In tegenstelling tot andere voorbeelden van ransomware is Rixobot relatief ongevaarlijk. In tegenstelling tot bijvoorbeeld varianten van het bekende GPCode virus gebruikt de nieuwe worm geen zeer sterke encryptie om bestanden te versleutelen. Ook vernietigt het geen bestanden als er niet betaald wordt. Omdat het bedrag erg laag is zullen veel mensen waarschijnlijk eerder betalen.