Locky, ZCryptor en meer: de gevaarlijkste ransomware van het moment

Ransomware begint een ware plaag te worden. Verscheidene antivirusbedrijven merken op dat er telkens meer vormen van in het wild opduiken, waarbij ook veel slachtoffers worden gemaakt. Voor welke gijzelsoftware moet je momenteel het meest oppassen?

Locky

Wat: Locky is ransomware die in Nederland relatief vaak voorkomt en zich volgens ESET 'in snel tempo aan het verspreiden is'. Het virus is in staat verscheidene soorten bestanden te versleutelen, waaronder documenten, afbeeldingen en video's.
Hoe: Locky komt binnen via bijlagen in e-mails, die zich vaak voordoen als Word-document. Zodra deze wordt geopend, wordt gevraagd om Office-macro's in te schakelen. Zodra je dat doet, wordt de ransomware uitgevoerd en krijg je de boodschap dat je moet betalen.
Oplossing: Op moment van schrijven is er nog geen manier gevonden om Locky te omzeilen, wanneer een computer eenmaal geïnfecteerd is. 

UltraCrypter/CryptXXX

Wat: UltraCrypter is versie 3.0 van CryptXXX en is een afgeleide van CryptoWall. Bestanden worden versleuteld met het RSA-4096-algoritme en krijgen de .crypt-extensie mee. Daarnaast steelt de ransomware je wachtwoorden.
Hoe: UltraCrypter/CryptXXX komt binnen via bijlagen in e-mails, of via links naar websites die een Angler Exploit Kit distribueren. 
Oplossing: Wie getroffen is door CryptXXX-ransomware kan een tool van Kaspersky downloaden (.exe) om weer toegang te krijgen tot getroffen bestanden, zonder losgeld te betalen. Helaas werkt de decryptor niet meer sinds de ransomware is omgedoopt tot UltraCrypter.

ZCryptor

Wat: ZCryptor is een van de eerste vormen van ransomware die wordt aangeduid als 'cryptoworm'. Onder meer Microsoft waarschuwde hiervoor.
Hoe: De ransomware kan binnenkomen door macro-exploitatie, nep-installatiebestanden of geïnfecteerde mails, maar is daarnaast vooral notoir omdat het zichzelf kan kopiëren naar gekoppelde usb-apparaten. Op die manier heeft de gijzelsoftware een veel groter bereik dan we tot op heden gewend waren.
Oplossing: Voor de ZCryptor-worm zijn nog geen oplossingen voor handen. Voorkomen kan echter wel degelijk, bijvoorbeeld door antivirussoftware up-to-date te houden.

TeslaCrypt

Wat: TeslaCrypt was één van de meestvoorkomende vormen van ransomware, totdat de makers ervan opvallend genoeg zelf de handdoek in de ring gooien.
Hoe: Deze gijzelsoftware komt binnen via e-mailbijlagen in .zip-vorm, met daarin een JavaScript-bestand dat TeslaCrypt uiteindelijk binnenhaalt.
Oplossing: Omdat de cycbercriminelen de universele sleutel hebben vrijgegeven, kun je onder meer deze tool van ESET gebruiken om weer toegang te krijgen tot je bestanden.

Crysis

Wat: Crysis is een relatief nieuwe vorm van ransomware die veel verschillende bestanden op het oog heeft, en volgens ESET telkens vaker voorkomt.
Hoe: Crysis komt binnen via bijlagen in e-mails of verpakt als een installatiebestand voor ogenschijnlijk onschuldige software. Het kan zich daarnaast verspreiden naar netwerkdrives en verwisselbare schijven. De ransomware nestelt zich diep in het register, geeft zichzelf administrator-rechten en laat 'alleen strikt noodzakelijke systeembestanden ongeroerd'.
Oplossing: Voor Crysis zijn er nog geen oplossingen voor handen. Enkel door losgeld te betalen krijg je weer toegang tot versleutelde bestanden, tenzij het een verouderde variant betreft. Dan kan contact worden gezocht met ESET, zegt het bedrijf.

(Afbeelding via Kaspersky)

Deel dit artikel
Voeg toe aan favorieten