Sophos heeft onderzoek gedaan naar malware die niet wordt onderhouden, maar nog wel slachtoffers afperst. Mamba is schijfversleutelende ransomware die een recoverymethode op de MBR wegschrijft. Bij moderne schijven is die niet aanwezig en zo zorgt de ransomware ervoor dat alle data verloren gaat.

Alleen MBR ondersteund

De partitietabellen van oude schijven kunnen maximaal 2,2 terabyte groot zijn, wat vorige eeuw geen probleem was. Met de komst van steeds grotere schijven, begon dat krap te worden en daarom is de oude Master Boot Record (MBR) tegenwoordig vervangen door nieuwe tabelindeling GUID Partition Table (GPT). Dat is ontwikkeld als onderdeel van Intel's EFI - wat uiteindelijk BIOS-opvolger UEFI werd.

Daarom hebben veel moderne systemen - een pc met Windows 8 of hoger bijvoorbeeld of een Mac van de huidige generatie - een GPT-schijf. De bootloader van versleutelingsprogramma DiskCryptor ondersteunt die indeling niet en laat dat nou net het programma zijn dat de ransomware gebruikt.

Data vaarwel zeggen

Het gevolg is dat de versleuteling niet meer ongedaan gemaakt kan worden. Er is geen recoverymogelijkgheid en ook de losgeldeis wordt niet gestart. Kortom, Mamba is voor echt helemaal niemand leuk.

Sophos stelt dat het nooit een goed plan is om softwaregijzelnemers te betalen, maar in dit geval kun je je gegevens helaas helemaal vaarwel zeggen. Ook vraagt het beveiligingsbedrijf zich af hoe betrouwbaar deze gijzelnemers zijn als ze hun malware niet eens fatsoenlijk onderhouden.