Ransomware die stilletjes slachtoffers maakte ontwaakt plotseling

Cybercriminelen hebben met de Locker-ransomware een verrassingsaanval opgezet. Systemen zouden door de aanvallers zijn geïnfecteerd met malware, die enige tijd inactief en stil is gebleven. Op 25 mei werd de ransomware zonder waarschuwing actief, waarna slachtoffers hun data versleuteld zagen worden.

Bleeping Computer meldt dat de cybercriminelen wereldwijd een groot aantal slachtoffers hebben gemaakt. Opvallend is dat de aanvallers een relatief laag bedrag als losgeld vragen van slachtoffers. Waar veel andere ransomware-aanvallers al snel honderden dollars eisen, vragen de cybercriminelen achter deze aanval 0,1 bitcoin. Dit komt neer op ongeveer 22 euro.

Intimidatie

De aanvallers waarschuwen in de boodschap die slachtoffers te zien krijgen niet te proberen te data zelf te ontsleutelen. Dit zou ertoe leiden dat de privé-encryptiesleutel wordt vernietigd en de data niet meer ontsleuteld kan worden. Experts stellen echter dat dit vooral bedoeld is als intimidatie in een poging slachtoffers te overtuigen het gevraagde losgeld te betalen.

Bleeping Computer merkt op dat de ransomware alleen de Shadow Volume Copies van de C-schijf verwijderd. Indien data op andere schijven staat opgeslagen kunnen de Shadow Volume Copies dan ook worden gebruikt om data te herstellen. Daarnaast zou de ransomware er niet in alle gevallen in slagen de Shadow Volume Copies te verwijderen. De website adviseert slachtoffers dan ook altijd te proberen via Shadow Explorer bestanden te herstellen. De website legt hier uit hoe dit in zijn werk gaat.