Nieuwe ransomware communiceert via Telegram
Een nieuwe vorm van ransomware blijkt de versleutelde communicatiedienst Telegram te gebruiken voor Command en Control (C&C)-verkeer. Het gaat om de ransomware Telecrypt, die voornamelijk Russische sprekende gebruikers aanvalt.
De ransomware is ontdekt door onderzoekers van Kaspersky Lab. Opvallend aan de ransomware is dat alle communicatie tussen de ransomware en de cybercriminelen achter Telecrypt verloopt via Telegram. Vooraf aan de infectie maken de cybercriminelen een ‘Telegram bot’ aan, die aan de ransomware wordt gekoppeld via een uniek ID die in de malware wordt opgenomen. Zodra de ransomware zich in een systeem heeft genesteld neemt de malware allereerst contact op met deze Telegram bot. Vervolgens verstuurt de malware allerlei informatie naar de bot, waaronder:
- de naam van de geïnfecteerde machine
- de ID van de infectie
- het nummer dat is gebruikt als basis om de encryptiesleutel te creëren
Bestanden gijzelen
Nadat deze informatie is afgeleverd gaat de ransomware op zoek naar bestanden om te versleutelen. De malware probeert alle Word- en Excel-documenten, JPG-, JPEG- en PNG-afbeeldingen, database bestanden (DBF) en PDF-documenten te gijzelen. Vervolgens wordt een grafische module gedownload, die wordt geladen en 5.000 roebel losgeld eist van slachtoffers die hun data weer toegankelijk willen maken.
Kaspersky Lab adviseert slachtoffers overigens nooit dit losgeld betalen. Getroffen gebruikers zouden contact op moeten nemen met hun systeembeheerder, zodat bijvoorbeeld een back-up kan worden teruggeplaatst indien deze beschikbaar is.
Meer over
Lees ook
Ransomware Reveton breidt activiteiten uit van gijzeling naar diefstal
Reveton is een vorm van ransomware die ook wel bekend staat als het 'politievirus'. De malware heeft een update gekregen waardoor deze niet langer alleen computers in gijzeling neemt, maar ook wachtwoorden en bankgegevens probeert te stelen. De ransomware stelt dat het slachtoffer een misdrijf heeft begaan en claimt eigendom te zijn van een politiekorps. Dit korps zou de PC van het slachtoffer hebben vergrendeld. Door een boete te betalen kunnen slachtoffers hun PC weer ontgrendelen. In werkelijkheid hebben politiekorpsen echter niets met de malware te maken. Aan deze werkwijze heeft de malwa1
Fortinet waarschuwt voor ransomware op mobiele apparaten
Fortinet geeft vandaag een waarschuwing af en adviseert gebruikers van mobiele apparaten waakzaam te zijn voor mobiele ransomware, dat de afgelopen maanden flink in opkomst is. Ransom betekent ‘losgeld’ en ransomware is een vorm van malware die cybercriminelen op apparaten weten te installeren. Nadat het apparaat hiermee besmet is, kunnen gebruikers er nagenoeg niets meer mee doen. De cybercriminelen eisen betaling van gebruikers om de controle over hun apparaat terug te krijgen. Tot voor kort kwam ransomware hoofdzakelijk voor op desktop- en laptopcomputers, maar de laatste tijd richten de1
Beveiligingsspecialist ontgrendelt door ransomware gegijzelde bestanden met recoverytool
Ransomware is malware die bestanden in gijzeling neemt en losgeld eist. Versleutelde data is doorgaans niet meer te herstellen, tenzij de encryptiesleutel wordt achterhaald. Een beveiligingsonderzoeker is er echter in geslaagd bestanden die door de Cryptowall-ransomware zijn versleuteld met behulp van een recoverytool te herstellen. Cryptowall is1