Kirk-ransomware met Star Trek-thema vermomt zichzelf als ddos-tool

Avast-beveiligingsonderzoeker Jakub Kroustek heeft een ransomwarevariant ontdekt die zich voordoet als een ddos-tool. De kwaadaardige software is voorzien van een Star Trek-thema en is de eerste ransomware die betaling vraagt in de Monero-valuta.

kirk ransomwareHoewel de ransomware volgens Bleeping Computer nog geen slachtoffer gemaakt schijnt te hebben, heeft de malware enkele opvallende eigenschappen. Zo doet deze variant zich voor als een ddos-tool met de naam 'low orbit ion cannon', oftewel Loic, die in het verleden werd ingezet om ddos-aanvallen uit te voeren. De voornaamste gebruiker van de tool was de groepering Anonymous, die mensen in het gebruik van de tool instrueerde. Later zou blijken dat Loic de identiteit van de gebruiker prijsgaf, die zijn computer gebruikte als onderdeel van een aanval.

Daarnaast vraagt de Kirk-ransomware betaling via de Monero-cryptovaluta. Normaal gesproken is bitcoin het aangewezen betaalmiddel bij ransomware, maar de ontwikkelaars van deze variant gingen daar niet in mee. Het is onduidelijk waarom voor deze optie is gekozen, omdat slachtoffers vaak al moeite hebben om een betaling via bitcoin uit te voeren, merkt Bleeping Computer op. Een ander opvallend element is dat de ransomware vermeldt dat vooral bestanden die gerelateerd zijn aan games worden versleuteld. Zo richt de malware zich bijvoorbeeld op wotreplay- en unity3d-bestandsextensies.

Het Star Trek-thema komt op verschillende manieren terug in de ransomware. Zo worden versleutelde bestanden voorzien van de bestandsextensie 'kirked', als verwijzing naar het personage Kirk. Het decryptieprogramma draagt dan weer de naam 'Spock'.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 17-03-2017 17:40 21

17-03-2017 • 17:40

21

Lees meer

Star Trek-actrice Nichelle Nichols (89) overleden
Star Trek-actrice Nichelle Nichols (89) overleden .Geek van 1 augustus 2022
Gerucht: Quentin Tarantino en JJ Abrams maken samen nieuwe Star Trek-film
Gerucht: Quentin Tarantino en JJ Abrams maken samen nieuwe Star Trek-film .Geek van 5 december 2017
'Nederland staat in Europese top drie van ransomware-infecties'
'Nederland staat in Europese top drie van ransomware-infecties' Nieuws van 26 april 2017
Antiransomwareproject politie breidt aantal leden en decryptietools uit
Antiransomwareproject politie breidt aantal leden en decryptietools uit Nieuws van 4 april 2017
Onderzoekers ontwikkelen ransomware voor industriële controlesystemen
Onderzoekers ontwikkelen ransomware voor industriële controlesystemen Nieuws van 14 februari 2017
Ransomware versleutelde politiecamerasystemen in Amerikaanse hoofdstad
Ransomware versleutelde politiecamerasystemen in Amerikaanse hoofdstad Nieuws van 30 januari 2017
Charger-ransomware verschijnt in Play Store-app
Charger-ransomware verschijnt in Play Store-app Nieuws van 25 januari 2017
Minstens vier ziekenhuizen in Verenigd Koninkrijk getroffen door malware
Minstens vier ziekenhuizen in Verenigd Koninkrijk getroffen door malware Nieuws van 14 januari 2017
Spora-ransomware heeft geavanceerd betaalsysteem en werkt offline
Spora-ransomware heeft geavanceerd betaalsysteem en werkt offline Nieuws van 11 januari 2017
Kaspersky brengt decryptor uit voor nieuwste versie CryptXXX-ransomware
Kaspersky brengt decryptor uit voor nieuwste versie CryptXXX-ransomware Nieuws van 20 december 2016
Universiteit Twente: Anonymous-ddos'ers helemaal niet anoniem
Universiteit Twente: Anonymous-ddos'ers helemaal niet anoniem Nieuws van 11 december 2010
Meer producten en artikelen
Netwerk en systeembeheer Ddos Malware Ransomware Security

Reacties (21)

-Moderatie-faq
21
21
8
2
0
3
Wijzig sortering
TJRef 17 maart 2017 18:11
Eerlijk gezegd vind ik dit dan een relatief constructieve manier van malware, namelijk voor mensen die zelf de intentie hebben om vervelende dingen uit te halen. Ik denk ook wel dat dit soort dingen misschien nog wel beter werken dan zo veel mogelijk servers inzetten om een DDOS aanval af te slaan. (uiteraard moet het allebei, maar het kan een stap zijn richting het verminderen van dit soort aanvallen door aanvallers zelf erg kwetsbaar te maken, vooral diegene die te weinig kennis van zaken hebben (en ook te weinig inzicht hebben in de impact van hun daden).
Ik besef dat je daarmee niet alles oplost, maar als je al een groot gedeelte van roekeloze DDOSers kunt uitschakelen blijven er meer doelgerichte acties over waardoor het misschien makkelijker is om vanuit het perspectief motief te kunnen onderzoeken. Maar misschien ben ik wel naief. Het is in ieder geval "inventief" en niet een traditionele manier van achter de feiten aanlopen.
Mocro_Pimp® @TJRef17 maart 2017 19:12
Je kan een dergelijke tool ook zonder verkeerde intentie gebruiken, bijv om je eigen systemen te testen.
sIRwa3 @Mocro_Pimp®17 maart 2017 22:22
Ik neem aan dat je dergelijke testen ook met test-ddos machines doet.. in deze situatie in ieder geval eentje zonder game bestanden. :)

vind het sowieso raar om game bestanden aan te vallen, enige wat je niet kan vervangen met een herinstallatie is je savegame.. hoeveel monero is die je waard??
Douweegbertje @sIRwa318 maart 2017 01:25
test-ddos machines. Mkay.
Je wilt in vele gevallen niet perse de load testen, maar soms ook daadwerkelijk de beschikbare tools die gebruikt worden. Vooral als je gewoon niet weet wat voor type requests het zijn of dat je de exacte signature van zo'n aanval wilt weten.
the-dark-force @Douweegbertje18 maart 2017 14:25
Ja, want onbekende tools test je in een test omgeving in plaats van hersenloos te installeren op je pc.

Loic testen is pure tijdsverspilling, loic is kinderspeelgoed in vergelijking met tools als Txxxxxi of Sxxxxm stelt loic geen ene reet voor en is volgens mij puur uitgebracht om backdoors te verspreiden onder "hackers"

Als je per sé iets als loic wil testen kun je ook een VM aanmaken en wireshark o.i.d. gebruiken om het verkeer te analyseren, kun je nat het testen ook de troep verwijderen zonder je OS te verpesten.
L0g0ff @TJRef18 maart 2017 11:25
Daar komt nog eens bij dat het gros van de script kiddies die deze tooling gebruikt zijn virusscanner uitgeschakeld heeft. Het is dus geniaal om juist daar ransomware in te stoppen.
Qwerty-273 17 maart 2017 18:52
Waarom Monero? Nou onder andere doordat het "anoniemer" is dan Bitcoin. Je kan namelijk niet een transactie volgen via de blockchain dat A een bepaald "bedrag" aan B geeft omdat men CryptoNote heeft ingezet. Daarnaast kan je er wel gewoon mee betalen op een aantal darknet plekken...
https://www.deepdotweb.co...ccepting-monero-payments/
Flagg 17 maart 2017 17:46
Stiekem vind ik het wel grappig, zo'n boze puber die met een ddos tooltje zijn vmbo site wil platleggen... Karma can be quick. :)
HMC @Flagg17 maart 2017 17:50
Pubers met Kirk-Kennis. Elaborate. Unpossible. Does not compute.
Pim0377 @HMC17 maart 2017 18:04
Unpossible ja?? :9 dat is pas impossible :D

[Reactie gewijzigd door Pim0377 op 26 juli 2024 22:33]

HMC @Pim037718 maart 2017 07:19
[video] https://www.youtube.com/watch?v=KzyCi1BFATA [/video]
Pim0377 @HMC18 maart 2017 09:58
LOL....ya got me there _/-\o_ _/-\o_
Blokker_1999
@HMC17 maart 2017 18:06
It's life Jim, but not as we know it.
Vondelpark @Blokker_199918 maart 2017 11:45
It's worse Jim, it's dead!
Flagg @HMC17 maart 2017 18:08
Die krijgen ze ook pas als ze dit "tooltje" willen gebruiken. :)
Loekino @Flagg17 maart 2017 17:51
Dat deed ik vroeger ook, ik was erg boos maar kon nog niet ddossen dus toen heb ik ze maar ouderwets geddos'd en heel veel pakketjes onder rembours besteld.
Joboy 17 maart 2017 18:36
Op zich worden er dan toch geen belangrijke (onvervangbare) bestanden versleuteld?
Dan is het wel zeer geinig: het is ofwel veel werk om alles te herinstalleren of kostelijk om te laten ontsleutelen. En 90% van de mensen die deze tool willen draaien, zullen dit met opzet en slechte bedoelingen doen.

Ik ga het niet toejuichen, maar als dat het doel is van het hele programma, dan ga ik er ook niet tegen protesteren :+
Sonicsurfer 17 maart 2017 19:25
Dit is puur een reclame stunt van Monero niks anders.

(niet perse van het team maar iemand die wat coins heeft.)

[Reactie gewijzigd door Sonicsurfer op 26 juli 2024 22:33]

afraca 18 maart 2017 22:02
Ik snap deze zin niet zo goed:
. Een ander opvallend element is dat de ransomware vermeldt dat vooral bestanden die gerelateerd zijn aan games worden versleuteld. Zo richt de malware zich bijvoorbeeld op wotreplay- en unity3d-bestandsextensies.
Bestanden worden versleuteld of niet toch, er is niet iets van "dat bestand wordt extra hard versleuteld". Of gaat het erom dat deze bestanden normaal niet versleuteld worden (alleen .doc enzo) en nu wel?
RoffaboyS 18 maart 2017 22:33
Waarom geen Star Wars? Darth Vader lijkt mij slechter of niet haha!
Anoniem: 899889 22 maart 2017 15:21
https://malwareless.com/kirk-ransomware-virus-remove/

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq