Nieuwe Anatova-ransomware maakt opvallend veel Belgische slachtoffers

ransomware

Securityspecialist McAfee waarschuwt voor een nieuwe ransomwarefamilie die wereldwijd slachtoffers maakt. Na de Verenigde Staten worden vooral in België veel besmettingen vastgesteld.

McAfee heeft de nieuwe gijzelsoftware ‘Anatova’ gedoopt. De ransomware werd ontdekt op een privaat peer-to-peernetwerk en gebruikt doorgaans het icoon van een spel of populaire applicatie om een slachtoffer te misleiden tot het downloaden van het bestand.

“We zijn van mening dat Anatova een serieuze bedreiging kan vormen, omdat de code is voorbereid op modulaire uitbreiding”, waarschuwen de McAfee-onderzoekers in een blogpost. Dat betekent dat de ransomware later nog kan worden aangepast of uitgebreid met nieuwe mogelijkheden. Bovendien kan Anatova ook gedeelde netwerkmappen versleutelen, wat de impact van een besmetting nog groter maakt.

Hoewel Anatova relatief nieuw is, stelt McAfee toch al een wijdverspreide besmetting vast over de hele wereld. De meeste besmettingen gebeurden tot nu toe in de Verenigde Staten, maar België volgt op een opvallende tweede plaats, gevolgd door Duitsland en Frankrijk.

Ervaren auteurs

De onderzoekers menen dat Anatova is geschreven door ervaren malwarebouwers. Ze baseren die conclusie op de aanwezigheid van een aantal opvallende functies, die je bij de meeste andere ransomwarefamilies niet tegenkomt.

Zo gaat Anatova op zoek naar de gebruikersnaam van een ingelogde of actieve gebruiker en vergelijkt die met een lijst van typische gebruikersnamen die worden gebruikt door analisten, virtual machines en sandboxes. Als zo’n gebruikersnaam wordt aangetroffen, wordt de ransomware niet uitgevoerd om detectie te voorkomen.

Ook de systeemtaal wordt gecontroleerd, zodat de ransomware niet wordt uitgevoerd op systemen uit specifieke landen. Het gaat om alle CIS-landen (voormalige Sovjetstaten), Syrië, Egypte, Marokko, Irak en India. McAfee ziet naar eigen zeggen wel vaker dat de CIS-landen worden uitgesloten, wat vaak een indicator is dat de auteurs vanuit één van deze landen opereren. Waarom de andere landen worden uitgesloten, kan de securityspecialist niet verklaren.

Snelle encryptie

Na een check van de processen die actief zijn op het systeem, wordt overgegaan tot het aanmaken van de encryptiesleutel en het versleutelen van alle bestanden. Elke sample heeft zijn eigen unieke sleutel, wat volgens McAfee opnieuw de gedegen kennis en ervaring van de auteurs bewijst.

Systeembestanden worden met rust gelaten om de blijvende werking van het OS te garanderen en alleen bestanden met een maximumgrootte van 1 MB worden versleuteld om de encryptie te versnellen.

Wanneer het hele proces is afgelopen, worden alle sporen gewist om de ontwikkeling van een decryptietool te verhinderen. In hun losgeldbrief vragen de criminelen om 10 DASH losgeld, omgerekend zo’n 625 euro. Het slachtoffer krijgt bij het verzoek bovendien de kans om één jpg-bestand gratis te laten decrypteren, als bewijs dat de decryptie werkt.

Gerelateerd: Hackers verkopen slachtoffers security-advies

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.
terug naar home