Nep Windows-updates installeren Magniber ransomware-trojan

Redactie
1

Op Windows-beveiligings-pdates lijkende bestanden installeren de Magniber ransomware-trojan en versleutelen je bestanden. De daders eisen een losgeld van 2600 dollar.


windows updates trojan


Zogenaamde Windows-update is trojan

Verschillende nietsvermoedende gebruikers zijn het slachtoffer geworden van encryptie-trojans door het installeren van zogenaamde beveiligingsupdates voor Windows 10.

De installatiebestanden bevatten echter de ransomware Magniber, die sinds ongeveer 2017 actief en verder ontwikkeld is. Hij versleutelt de bestanden van gebruikers en eist losgeld voor het ontsleutelen.

Het losgeld bedraagt aanvankelijk ongeveer 2600 dollar in bitcoins, maar verdubbelt na vijf dagen. Dat meldt de website BleepingComputer.

Door de opeenstapeling van hulpverzoeken, gingen de auteurs daar op zoek naar de oorzaak. Hoe de malwarecampagne precies werd geadverteerd, bleef onduidelijk.


Blijf op de hoogte en ontvang gratis meer nieuws over updates en malware!

Schrijf je in voor de nieuwsbrief:

Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.


Trojan lijkt op Windows-update

Wat wel duidelijk is, is dat de gebruikers de encryptie-trojan installeerden in de veronderstelling dat het om een cumulatieve Windows-update of een beveiligingsupdate voor Windows 10 ging. Sinds 8 april zijn de bestanden wereldwijd al vele malen gedistribueerd.

De cybercriminelen achter Magniber kozen de bestandsnamen zodanig dat die leken op echte Windows-updates. Dit zijn de bestandsnamen die het meest gevonden werden:

  • Win10.0_System_Upgrade_Software.msi
  • Security_Upgrade_Software_Win10.0.msi
  • System.Upgrade.Win10.0-KB<number>.msi

Het eerstgenoemde bestand wordt inmiddels inderdaad door de meest populaire virusscanners gedetecteerd, zoals blijkt uit de huidige Virustotal-resultaten. Slechts 32 van de 61 daar gebruikte virusscanners doen dat echter.

Bestanden krijgen andere extensie

Na de encryptie krijgen bestanden willekeurig gegenereerde extensies als . gtearevf en wordt een readme.html bestand in de map gezet, met instructies hoe via de Magniber Tor paymentsite het losgeld te betalen.

De malware, vermomd als een Windows-update, werd verspreid via Warez-Cracks-sites. Ervaren IT-deskundigen zijn zich er meestal van bewust dat dergelijke sites regelmatig malware verspreiden. Onervaren computergebruikers trappen echter vaker in die valstrik omdat ze er gewoon niet van op de hoogte zijn.

Slachtoffers van de ransomware

Naar verluidt waren vooral scholieren, studenten en particuliere gebruikers het slachtoffer van de ransomware. Die hebben vaak – althans in vergelijking met bedrijven – een vrij beperkt budget tot hun beschikking.

Dat is waarschijnlijk ook een van de redenen waarom ze de Warez-Cracks-sites bezochten. In de regel kunnen ze het gevraagde losgeld niet betalen.

Er is ook nauwelijks gratis ontcijferingssoftware voor met Magniber versleutelde bestanden en het lijkt geen zwakke plekken te hebben. Alleen een programma van het Koreaanse Internet & Security Agency kan worden gevonden voor versies die verscheidene jaren oud zijn. Dat betekent dat de persoonlijke bestanden meestal verloren gaan door de infectie als er geen back-up is.

Download Windows-updates van Microsoft

Waar mogelijk moet je software downloaden van de website van de maker. Dat geldt met name voor (beveiligings-)updates. Warez-Cracks-sites staan bekend om het verspreiden van malware, ook al is het alleen maar als extra onderdeel van echt werkende programma’s. Daarnaast moeten particuliere gebruikers ook regelmatig een back-up maken van hun belangrijke bestanden op externe media zoals usb-sticks.


 

Meer nieuws in c’t 10/2024

Meer over

Malware

Deel dit artikel

Lees ook

Eerste Linux malware in Windows opgedoken – draait onder WSL

Wat vier jaar geleden nog een theorie was, is nu werkelijkheid: de eerste Linux malware in Windows is opgedoken en draait onder WSL. Linux ELF binarie...

Malware onder Android opsporen en verwijderen

Smartphones zijn populaire aanvalsobjecten: er staan veel gevoelige data op en ze zijn nonstop online. De kans is dus groot dat jouw mobieltje ook een...

1 Praat mee
avatar
  Abonneer  
nieuwsteoudste
Laat het mij weten wanneer er
Frits
Lezer
Frits

Vreemd hoor, want als je enkel via Windows Update de updates ophaalt, kan dit je volgens mij nooit overkomen….