Op Windows-beveiligings-pdates lijkende bestanden installeren de Magniber ransomware-trojan en versleutelen je bestanden. De daders eisen een losgeld van 2600 dollar.
Zogenaamde Windows-update is trojan
Verschillende nietsvermoedende gebruikers zijn het slachtoffer geworden van encryptie-trojans door het installeren van zogenaamde beveiligingsupdates voor Windows 10.
De installatiebestanden bevatten echter de ransomware Magniber, die sinds ongeveer 2017 actief en verder ontwikkeld is. Hij versleutelt de bestanden van gebruikers en eist losgeld voor het ontsleutelen.
Het losgeld bedraagt aanvankelijk ongeveer 2600 dollar in bitcoins, maar verdubbelt na vijf dagen. Dat meldt de website BleepingComputer.
Door de opeenstapeling van hulpverzoeken, gingen de auteurs daar op zoek naar de oorzaak. Hoe de malwarecampagne precies werd geadverteerd, bleef onduidelijk.
Blijf op de hoogte en ontvang gratis meer nieuws over updates en malware!
Schrijf je in voor de nieuwsbrief:
Trojan lijkt op Windows-update
Wat wel duidelijk is, is dat de gebruikers de encryptie-trojan installeerden in de veronderstelling dat het om een cumulatieve Windows-update of een beveiligingsupdate voor Windows 10 ging. Sinds 8 april zijn de bestanden wereldwijd al vele malen gedistribueerd.
De cybercriminelen achter Magniber kozen de bestandsnamen zodanig dat die leken op echte Windows-updates. Dit zijn de bestandsnamen die het meest gevonden werden:
- Win10.0_System_Upgrade_Software.msi
- Security_Upgrade_Software_Win10.0.msi
- System.Upgrade.Win10.0-KB<number>.msi
Het eerstgenoemde bestand wordt inmiddels inderdaad door de meest populaire virusscanners gedetecteerd, zoals blijkt uit de huidige Virustotal-resultaten. Slechts 32 van de 61 daar gebruikte virusscanners doen dat echter.
Bestanden krijgen andere extensie
Na de encryptie krijgen bestanden willekeurig gegenereerde extensies als . gtearevf en wordt een readme.html bestand in de map gezet, met instructies hoe via de Magniber Tor paymentsite het losgeld te betalen.
De malware, vermomd als een Windows-update, werd verspreid via Warez-Cracks-sites. Ervaren IT-deskundigen zijn zich er meestal van bewust dat dergelijke sites regelmatig malware verspreiden. Onervaren computergebruikers trappen echter vaker in die valstrik omdat ze er gewoon niet van op de hoogte zijn.
Slachtoffers van de ransomware
Naar verluidt waren vooral scholieren, studenten en particuliere gebruikers het slachtoffer van de ransomware. Die hebben vaak – althans in vergelijking met bedrijven – een vrij beperkt budget tot hun beschikking.
Dat is waarschijnlijk ook een van de redenen waarom ze de Warez-Cracks-sites bezochten. In de regel kunnen ze het gevraagde losgeld niet betalen.
Er is ook nauwelijks gratis ontcijferingssoftware voor met Magniber versleutelde bestanden en het lijkt geen zwakke plekken te hebben. Alleen een programma van het Koreaanse Internet & Security Agency kan worden gevonden voor versies die verscheidene jaren oud zijn. Dat betekent dat de persoonlijke bestanden meestal verloren gaan door de infectie als er geen back-up is.
Download Windows-updates van Microsoft
Waar mogelijk moet je software downloaden van de website van de maker. Dat geldt met name voor (beveiligings-)updates. Warez-Cracks-sites staan bekend om het verspreiden van malware, ook al is het alleen maar als extra onderdeel van echt werkende programma’s. Daarnaast moeten particuliere gebruikers ook regelmatig een back-up maken van hun belangrijke bestanden op externe media zoals usb-sticks.
Vreemd hoor, want als je enkel via Windows Update de updates ophaalt, kan dit je volgens mij nooit overkomen….