Nieuwe ransomware versleutelt bestanden van surfers en eist 50€
April 2012
De oplichters beschuldigen internetgebruikers ervan illegale programma’s te gebruiken en wijzigen vervolgens hun extensies en iconen.
Een nieuwe scareware valt personen aan die films, muziek en andere bestanden op filesharing platforms downloaden. Volgens een studie uitgevoerd door onderzoekers van Bitdefender, versleutelt de scareware computerbestanden en vraagt vervolgens aan de gebruikers om 50 euro te betalen in ruil voor een code om de bestanden te recupereren.
De scareware, opgespoord en geïdentificeerd door Bitdefender onder de naam Trojan.Ransom.HM werd ontdekt op filesharing netwerken die vaak illegale versies van muziek, films en andere bestanden bevatten. Na een aantal niet-uitvoerbare bestanden versleuteld te hebben op de PC van de slachtoffers, doet het alsof het illegale bestanden ontdekt heeft op de PC en vraagt het een som geld (50€)die opgestuurd moet worden via een Gmail adres.
Eenmaal geïnstalleerd op een nieuwe host, versleutelt het alle extensies van films, muziek files, foto’s, snelkoppelingen alsook PDF-, tekst- en HTML-bestanden door er ".EnCiPhErEd” aan toe te voegen. De scareware vervangt ook de standaard iconen van alle bestanden waarvan de extensies vervangen werden, door een roze icoon.
In ieder dossier van de geïnfecteerde systemen, voegt de scareware een bestand toe met de naam “HOW TO DECRYPT FILES.txt” met de volgende waarschuwing:
«Opgelet ! Al uw bestanden werden versleuteld ! U gebruikt programma’s zonder licentie ! Om uw bestanden te herstellen en er opnieuw toegang toe te krijgen, stuurt u een Ukash of Paysafecard code ter waarde van 50€ naar het e-mail adres [email protected]. U krijgt dan dezelfde dag de code toegestuurd. U heeft recht op 5 pogingen om deze code in te voeren. Als u deze limiet overschrijdt, worden al uw gegevens definitief beschadigd. Wees voorzichtig als u de code invult!”
De gebruikers moeten een bewijs van betaling doorsturen naar het aangegeven Gmail adres. Diezelfde dag krijgen de slachtoffers een antwoord met een code die ze moeten intypen in het vakje “ontsleutelen”. Als de gebruikers hun code verkeerd intypen, zullen hun gegevens definitief verloren gaan.
De oplichter rechtvaardigt de niet geautoriseerde encryptie door middel van zijn waarschuwing over het gebruik van programma’s zonder licentie. Hij volgt de tendens van de afgelopen maanden waarbij een honderdtal personen zich voordoen als ordehandhavers die op zoek zijn naar gebruikers die illegale tools downloaden en gebruiken.
De verwarring omtrent de pictogrammen en de bestandextensies is bedoeld om de gebruikers te laten panikeren en hen 50€ af te persen. Termen als “ongelicentieerde programma’s”, “encryptie” en “opgelet” zijn bedoeld om mensen aan te sporen tot betaling, zonder dat ze de tijd nemen om zich te informeren. Hun PC werkt nog steeds perfect, maar het grootste deel van de gebruikers zijn te druk op zoek naar hun persoonlijke gegevens om hier aandacht aan te besteden.
Een functie van de scareware lijkt de slachtoffers toe te laten om hun bestanden te ontsleutelen als ze een code gebruiken die de oplichter per e-mail doorstuurde.
Wat te doen? Om dit soort problemen te vermijden, dient men aandachtig te zijn voor de bestanden die men op peer-to-peer netwerken downloadt en moet men beschikken over een krachtig antivirusprogramma.
Om Bitdefender online te volgen en op de hoogte te blijven van het nieuws op het gebied van e-bedreigingen:
Business Insights
- Bitdefender Threat Debrief | August 2023
- CTI and Its Frameworks: Unpacking the Diamond Model
- Emerging Cyber Threats and Innovations: Key Highlights from Black Hat 2023
HOTforSecurity
Bitdefender Lab
IoT Insights
