Malwarebytes heeft een gratis decoderingstool uitgebracht om slachtoffers van een recente ransomware-aanval te helpen hun gegevens te herstellen van cybercriminelen met behulp van een oplichtingstechniek voor technische ondersteuning. De nieuwe ransomware-variant genaamd VindowsLocker vorige week opgedoken. Het werkt door slachtoffers te verbinden met nep Microsoft-technici om hun bestanden te laten versleutelen met een Pastebin API.
Technische ondersteuning oplichters richten zich al geruime tijd op nietsvermoedende internetgebruikers. Een combinatie van social engineering en bedrog, de kwaadaardige tactiek is geëvolueerd van cold calls naar nepwaarschuwingen en, meest recentelijk, schermvergrendelingen. Oplichters met technische ondersteuning hebben nu ransomware aan hun aanvalsarsenaal toegevoegd.
Jakub Kroustek, een AVG-beveiligingsonderzoeker, ontdekte voor het eerst de VindowsLocker-ransomware en noemde de dreiging op basis van de bestandsextensie .vindows het wordt toegevoegd aan alle versleutelde bestanden. De VindowsLocker-ransomware gebruikt het AES-coderingsalgoritme om bestanden met de volgende extensies te vergrendelen:
tekst, doc, docx, xls, xlsx, ppt, pptx, odt, jpg, png, csv, sql, mdb, sln, php, adder, aspx, html, xml, psd
VindowsLocker bootst oplichting met technische ondersteuning na
De ransomware maakt gebruik van een tactiek die typerend is voor de meeste oplichtingspraktijken op het gebied van technische ondersteuning, waarbij slachtoffers wordt gevraagd een opgegeven telefoonnummer te bellen en met technisch ondersteuningspersoneel te praten. Daarentegen vroegen ransomware-aanvallen in het verleden om betalingen en verwerkten ze decoderingssleutels met behulp van een Dark Web-portal.
dit niet Microsoft vindt ondersteuning
we hebben uw bestanden vergrendeld met het zeus-virus
doe één ding en bel Microsoft-ondersteuningstechnicus niveau 5 op 1-844-609-3192
u zult bestanden terugsturen voor een eenmalige vergoeding van $ 349,99
Malwarebytes gelooft dat de oplichters vanuit India opereren en het technische ondersteuningspersoneel van Microsoft nabootsen. VindowsLocker gebruikt ook een schijnbaar legitieme Windows-ondersteuningspagina om de valse indruk te wekken dat de technische ondersteuning klaar staat om de slachtoffers te helpen. De ondersteuningspagina vraagt om het e-mailadres en bankgegevens van het slachtoffer om de betaling van $ 349,99 te verwerken om een computer te ontgrendelen. Het betalen van het losgeld helpt gebruikers echter niet om hun bestanden te herstellen volgens Malwarebytes. Dit komt omdat VindowsLocker-ontwikkelaars nu niet in staat zijn om een geïnfecteerde computer automatisch te decoderen vanwege enkele codeerfouten.
Malwarebytes legt uit dat VindowsLocker ransomware-codeerders een van de API-sleutels die bedoeld zijn voor gebruik in korte sessies hebben verprutst. Bijgevolg verloopt de API-sleutel na een korte periode en gaan de versleutelde bestanden online, waardoor de VindowsLocker-ontwikkelaars de AES-versleutelingssleutels niet aan slachtoffers kunnen verstrekken.
Lees ook:
- Identificeer de ransomware die uw gegevens heeft versleuteld met deze gratis tool
- Hoe de Locky ransomware voorgoed te verwijderen
- Malwarebytes geeft gratis decryptor vrij voor Telecrypt ransomware
- Locky ransomware verspreidt zich op Facebook verhuld als .svg-bestand
