Uit een onderzoek (pdf) van beveiligingsbedrijf Secure Science Corporation (SSC) blijkt een opvallende gelijkenis tussen de broncode van de eerder deze maand opgedoken Trojan Gpcode.ai en een eerdere versie die in 2006 verscheen.

Gpcode.ai is zogenoemde ransomware. Nadat de malware is geïnstalleerd op een pc, versleutelt het programma een groot aantal bestanden. Het gaat daarbij onder meer om files met extensies als .pdf, .ppt en .zip. Een volledige lijst met getroffen extensies staat op de site van Viruslist.com.

Via een tekstbestand maken de makers van Gpcode.ai vervolgens hun eisen kenbaar. "Je bestanden zijn versleuteld met het RSA-4096 algoritme. Om de files te 'decrypten', heb je ten minste een paar jaar nodig. Om de encryptie ongedaan te maken, heb je dus onze software nodig. De prijs daarvan is 300 dollar."

SSC vermoedt dat Gpcode.ai het werk is van dezelfde groep die vorig jaar een sterk gelijkende Trojan verspreidde. Gezien de overeenkomsten in de functies concludeert SSC dat de makers van de eerste versie hun broncode hebben gemodificeerd óf hebben verkocht aan een andere groep die nu verantwoordelijk is voor de malware.

Het beveiligingsbedrijf verwacht dat er daarom in de toekomst nieuwe aanvallen zullen komen. Degenen die de broncode in handen hebben, zullen de code vroeg of laat opnieuw aanpassen om zo herkenning door virusscanners te voorkomen.

Bron: Techworld