Malwarebytes har släppt ett gratis dekrypteringsverktyg för att hjälpa offer för en nyligen ransomware-attack att återhämta sina data från cyberbrottslingar som använder en tekniskt support-bluffteknik. Den nya ransomware-varianten heter VindowsLocker dök upp förra veckan. Det fungerar genom att ansluta offer till falska Microsoft-tekniker för att få sina filer krypterade med en Pastebin API.
Bedrägerier med teknisk support har riktat sig till intet ont anande internetanvändare under ett tag. En kombination av socialteknik och bedrägeri, den skadliga taktiken har utvecklats från kalla samtal till falska varningar och senast skärmlås. Tekniska supportbedrägerier har nu lagt till ransomware i deras attackarsenal.
Jakub Kroustek, en AVG-säkerhetsforskare, upptäckte först VindowsLocker-ransomware och namngav hotet baserat på filtillägget .vindor det bifogas alla krypterade filer. VindowsLocker-ransomware använder AES-krypteringsalgoritmen för att låsa filer med följande tillägg:
Text, dok, docx, xls, xlsx, ppt, pptx, odt, jpg, png, csv, kvm, mdb, sln, php, asp, aspx, html, xml, psd
VindowsLocker efterliknar bedrägeri med teknisk support
Ransomware använder en taktik som är typisk för de flesta tekniska supportbedrägerier genom att offren ombeds ringa det angivna telefonnumret och prata med en teknisk supportpersonal. Däremot frågade ransomware-attacker tidigare om betalningar och hanterade dekrypteringsnycklar med en mörk webbportal.
detta inte Microsoft ger stöd
vi har låst dina filer med zeusviruset
gör en sak och ring nivå 5 för Microsoft supporttekniker på 1-844-609-3192
du kommer tillbaka filer för en engångsavgift på $ 349,99
Malwarebytes tror att bedragarna fungerar baserat i Indien och efterliknar Microsofts tekniska supportpersonal. VindowsLocker använder också en till synes legitim Windows-supportsida för att ge ett felaktigt intryck av att teknisk support är redo att hjälpa offren. På supportsidan ber vi dig om offrets e-postadress och bankuppgifter för att behandla betalningen på $ 349,99 för att låsa upp en dator. Att betala lösenpengarna hjälper dock inte användare att återställa sina filer enligt Malwarebytes. Detta beror på att VindowsLocker-utvecklare nu inte kan dekryptera en infekterad dator automatiskt på grund av vissa kodfel.
Malwarebytes förklarar att VindowsLocker-ransomwarekodare har slog en av API-nycklarna avsedda för användning i korta sessioner. Följaktligen upphör API-nyckeln efter en kort period och de krypterade filerna går online, vilket hindrar VindowsLocker-utvecklarna från att tillhandahålla AES-krypteringsnycklarna till offren.
Läs också:
- Identifiera ransomware som krypterade dina data med detta gratisverktyg
- Hur man tar bort Locky ransomware för gott
- Malwarebytes släpper gratis dekrypterare för Telecrypt ransomware
- Locky ransomware sprider sig på Facebook klädd som .svg-fil
