Malwarebytes heeft een gratis decoderingstool uitgebracht om slachtoffers van een recente ransomwareaanval te helpen hun gegevens te herstellen van cybercriminelen met behulp van een scamtechniek voor technische ondersteuning. De nieuwe ransomware-variant genaamd VindowsLocker dook vorige week op. Het werkt door slachtoffers te verbinden met valse Microsoft-technici om hun bestanden te versleutelen met een Pastebin API.
Oplichters op het gebied van technische ondersteuning richten zich al een tijdje op nietsvermoedende internetgebruikers. Een combinatie van social engineering en misleiding, de kwaadaardige tactiek is geëvolueerd van ongevraagde oproepen naar nepwaarschuwingen en, meest recent, schermvergrendelingen. Scammers voor technische ondersteuning hebben nu ransomware aan hun aanvalsarsenaal toegevoegd.
Jakub Kroustek, een AVG-beveiligingsonderzoeker, ontdekte eerst de VindowsLocker-ransomware en noemde de dreiging op basis van de bestandsextensie .betuigt het wordt toegevoegd aan alle gecodeerde bestanden. De VindowsLocker ransomware gebruikt het AES-coderingsalgoritme om bestanden met de volgende extensies te vergrendelen:
tekst, doc, docx, xls, xlsx, ppt, pptx, odt, jpg, png, csv, sql, mdb, sln, php, adder, aspx, html, xml, psd
VindowsLocker bootst technische ondersteuning na
De ransomware gebruikt een tactiek die typerend is voor de meeste technische ondersteuningszwendel, namelijk dat slachtoffers wordt gevraagd een opgegeven telefoonnummer te bellen en met een technisch ondersteuningspersoneel te praten. Daarentegen vroegen ransomware-aanvallen in het verleden om betalingen en behandelden ze decoderingssleutels met behulp van een Dark Web-portal.
dit niet Microsoft rechtvaardigt ondersteuning
we hebben uw bestanden vergrendeld met het zeus-virus
doe één ding en bel de Microsoft-ondersteuningstechnicus van niveau 5 op 1-844-609-3192
u dient bestanden terug voor een eenmalig bedrag van $ 349,99
Malwarebytes gelooft dat de oplichters vanuit India opereren en het technische ondersteuningspersoneel van Microsoft nabootsen. VindowsLocker gebruikt ook een schijnbaar legitieme Windows-ondersteuningspagina om de verkeerde indruk te wekken dat de technische ondersteuning klaar staat om de slachtoffers te helpen. De ondersteuningspagina vraagt om het e-mailadres en de bankgegevens van het slachtoffer om de betaling van $ 349,99 te verwerken om een computer te ontgrendelen. Het betalen van losgeld helpt gebruikers echter niet om hun bestanden te herstellen, aldus Malwarebytes. Dit komt doordat VindowsLocker-ontwikkelaars nu niet in staat zijn om een geïnfecteerde computer automatisch te decoderen vanwege enkele coderingsfouten.
Malwarebytes legt uit dat VindowsLocker-ransomwarecoders een van de API-sleutels hebben verknoeid die bedoeld zijn voor gebruik in korte sessies. Bijgevolg vervalt de API-sleutel na een korte periode en gaan de gecodeerde bestanden online, waardoor de VindowsLocker-ontwikkelaars de AES-coderingssleutels niet aan de slachtoffers kunnen verstrekken..
Lees ook:
- Identificeer de ransomware die uw gegevens heeft gecodeerd met deze gratis tool
- Hoe de Locky ransomware voorgoed te verwijderen
- Malwarebytes brengt een gratis decryptor uit voor Telecrypt-ransomware
- Locky ransomware verspreidt zich op Facebook verhuld als .svg-bestand
- Malwarebytes-problemen
- Ransomware