In een fractie van een seconde gebeurt het, gewoon tijdens het Googelen en surfen naar legitieme sites op een willekeurige Windows-pc. Over het scherm buitelen eindeloze tekstschermen met mededelingen als 'Hard drive boot sector reading error' of 'error 0x00000024 - NTFS_FILE_SYSTEM'. Kort daarna verschijnt een harde schijf-scanner in beeld - genaamd Smart of S.M.A.R.T HDD - waarvan je zeker weet dat je die nooit zelf hebt geïnstalleerd.

Bestanden weg, bootsector kapot

Intussen is het bureaubladscherm op zwart gegaan en zijn allerlei menu's en folders spoorloos verdwenen. De virusscanner (McAfee, AVG en Microsoft Security Essentials) heeft de Trojan niet tijdig kunnen onderscheppen. Bovendien levert een poging tot schonen achteraf geen resultaat op: na de herstart blijft alles bij het oude. Soms is de situatie dan nog erger: de pc start domweg niet meer op, aangezien de bootsector is beschadigd.

De Smart HDD trojan is niet nieuw. De eerste versies dateren van 2010, maar die waren minder vernietigend dan de nieuwste varianten, die zo rond afgelopen februari zijn opgedoken. De verspreiding van de allernieuwste variant gaat enorm snel, getuige honderden klachten in forums. Ook in Nederland houdt de Trojan flink huis.

“We zien door heel Europa een verhoogde activiteit", zegt Toralv Dirro, specialist van McAfee Labs in Duitsland, tegen Webwereld. “De truc is om zo snel mogelijk nieuwe varianten uit te brengen die niet door virusscanners worden onderschept."

Ransomware

De gebruikers van deze malware verdienen volgens Dirro op verschillende manieren aan hun malafide werk. De software vraagt onder meer geld voor een licentiesleutel. Zodra die betaalde ontgrendeling is ingevoerd, wordt de bestandssabotage weer ongedaan gemaakt. Allerlei verwijzingen en folders die stiekem zijn opgeslagen in een %Temp%\smtmp folder worden dan teruggezet.

“Alle ransomware komt bijna per definitie uit Rusland en de Oekraïne", vertelt Dirro. “Deze criminelen werken met affiliates die betaald krijgen voor het plaatsen van het virus op een website. Wij hebben een aantal jaren geleden zo'n groep in de Oekraïne gevolgd en gezien dat ze in elf maanden 180 miljoen dollar omzet genereerden. Dan begrijp je ook dat ze alle reden hebben om in hoog tempo nieuwe versies te distribueren."

Omslachtige verwijdering

Er zijn diverse middelen en methoden om het virus te verwijderen, maar die zijn omslachtig voor de gemiddelde gebruiker. Diverse sites hebben een actievatiecode gepubliceerd (15801587234612645205224631045976), die in combinatie met een niet bestaand e-mailadres kan worden gebruikt. Getroffen gebruikers kunnen daarmee hun bestanden weer terugkrijgen, maar zij moeten daarna nog wel de Trojan verwijderen.

In de afgelopen maanden zijn er trouwens nog ergere vormen van ransomware opgedoken. In één geval wordt de bootsector van de harde schijf gegijzeld en moet het slachtoffer 90 euro betalen om met behulp van een code de computer weer op gang te krijgen. Een andere Trojan beperkt zich tot de versleuteling van foto's op de harde schijf. Wie vijftig euro betaalt via Ukash of Paysafecard krijgt een code toegestuurd.

In diverse Europese landen vellen op maat gemaakte gevallen van ransomware slachtoffers. Deze gijzelingssoftware is vertaald en zogenaamd afkomstig van de landelijke politie, of van Buma/Stemra.

Uitgebreide uitleg over de SMART HDD-malware: Update: De link naar middelen en methoden gefixt.