Een onlangs ontdekte Trojan die bestanden codeert en gijzelt, is gekraakt. Daarmee is de gegijzelde informatie weer te decoderen.
De enkele weken geleden opgedoken Trojan Archiveus-A sloot gebruikersdata achter slot en grendel. Om de bestanden weer vrij te krijgen, moesten gebruikers medicijnen via een Russische site bestellen. Onderzoekers van de Lurhq Technology Group hadden echter al snel door dat het benodigde wachtwoord met zeer eenvoudige reverse-engineering kon worden opgespoord.
Eén van de slachtoffers van Archiveus-A was een veertigjarige Engelse verpleegkundige die vermoedelijk heeft gereageerd op een pop-up die haar waarschuwde voor een virus. Roel Schouwenaar, onderzoeker van Kaspersky Labs denkt dat we de komende tijd wel vaker last zullen krijgen van dit soort ransomware. “Het is gewoon weer een nieuwe manier om geld los te krijgen van onbeschermde gebruikers. Lastig. Maar bij een normaal beschermd systeem en surfen met gezond verstand, zijn de kansen op besmetting niet zo groot. Verder zijn de gebruikte encryptietechnieken vooralsnog vrij eenvoudig. Als we de executables hebben, blijken deze via reverse-engineering meestal wel weer te ontcijferen.”
Deze aanvalsmethode laat goed zien wat het belang is van backups, het up-to-date houden van antivirus software en vooral van verstandig gebruik van Internet. In de recente gevallen van ransomware was het wachtwoord voor de ontcijfering relatief eenvoudig terug te vinden. Zou sterke cryptografie met een public key zijn gebruikt dan wordt dit heel wat minder gemakkelijk, waarschuwen antimalware-experts.
Anderzijds is het voor de crimineel steeds lastiger om een niet te traceren geldstroom te creëren. Bij de Cryzip-malware werd een E-Gold account gebruikt maar deze accounts werden al heel snel ontmanteld en onbruikbaar.
