'Nieuwe virustrend voor 2007: Ransomware'

Leverancier van anti-virussoftware Kaspersky waarschuwt voor een gevaarlijke trend in 2007: ransomware. Dit is een vorm van malware die gegevens op de computer van het slachtoffer onbereikbaar maakt; na betaling van 'losgeld' krijgen de gebruikers weer toegang.

Deze vorm van afpersing is niet heel nieuw. Al in 2004 dook het eerste ransomware-virus op. Deze malware, onder de naam GPCode, werd in mei van het daaropvolgende jaar voor het eerst in het wild gezien. GPCode, dat in verschillende varianten uit zou komen, versleutelde bestanden op de computer van het slachtoffer. Op de besmette computer werd een melding achtergelaten dat tegen betaling de bestanden weer vrijgegeven zouden worden. De meest recente versie van de malware maakte gebruik van een 660-bit RSA-encryptie, normaal gesproken voldoende om de code niet binnen enkele jaren te kunnen kraken. De schrijver van het virus had echter een fout gemaakt, waardoor medewerkers van Kaspersky de code relatief eenvoudig konden breken.

Een jaar later was het de beurt aan Cryzip, een trojan die ook bestanden op de computer versleutelde. Onder meer .doc-, .zip- en .xls-bestanden werden door de malware in een zipbestand met wachtwoordbeveiliging geplaatst. Ook hier waren aanwijzingen hoe de bestanden terug te krijgen op de computer achtergelaten: daartoe moesten slachtoffers 300 dollar betalen via een 'online portemonnee' zodat het volgen van het geld om de daders te krijgen erg moeilijk zou worden. Medewerkers van Kaspersky konden echter ook deze malware relatief eenvoudig onschadelijk maken. Door de encryptor te reverse-engineren kon het statische wachtwoord voor de zipbestanden achterhaald worden.

Een gedeelte van de tekst van Cryzip met instructies.

Een groot gevaar van ransomware is het feit dat er een gerichte aanval op een bepaald persoon of bedrijf mee kan worden uitgevoerd. De aanvaller kan tijd steken in een plausibel e-mailbericht dat de malware bevat, en het programma kan zich ongemerkt over het bedrijfsnetwerk verspreiden. Na verloop van tijd treedt de encryptieroutine in werking, en ziet het bedrijf zich met een enorme strop geconfronteerd. Als we een stapje verder kijken, zou een scenario kunnen zijn dat de bestanden gedurende lange tijd bij het openen on-the-fly worden gedecrypt. De gebruikers merken niets van het feit dat hun bestanden in feite allemaal versleuteld zijn. Dit kan ertoe leiden dat backups ook niet meer afdoende zijn, deze bevatten immers ook slechts de versleutelde bestanden.

Gezien de potentieel grote bedragen die in deze schimmige markt omgaan, is de verwachting dat dit soort malware alleen maar zal toenemen; het heeft inmiddels volop de aandacht van de georganiseerde misdaad. Gemiddeld is 80 procent van de nieuw ontdekte virussen in de categorie 'crimeware' te scharen: software geschreven voor financieel gewin. Ransomware is niet de enige vorm van crimeware. Er zijn bijvoorbeeld vormen bekend die de werking van de pc vertragen, ook hier wordt een bepaald bedrag geëist om de computer weer normaal te laten functioneren. Daarnaast komen trojans die bankgegevens of logincodes van online games onderscheppen ook steeds meer voor.

Hoewel tot op heden het ransomwareprobleem zich voornamelijk in Rusland afspeelde wordt ook het westen hier steeds meer door bedreigd. Roel Schouwenberg, medewerker van Kaspersky Lab Benelux, benadrukt daarom nog maar eens het belang van goede backups die ook regelmatig worden gecontroleerd, het liefst op een ander systeem. Hij roept verder op niet te gaan betalen, maar contact op te nemen met een anti-virusbedrijf. De meeste zullen hun uiterste best doen het slachtoffer te helpen. Dit gebeurt vaak - uit het oogpunt van service - zonder kosten. Tot op heden is het nog steeds gelukt de bestanden zonder betaling terug te krijgen. Het lijkt echter een kwestie van tijd dat een virusschrijver wel een fatsoenlijke encryptieroutine schrijft die het voor anti-virusbedrijven onmogelijk maakt nog iets voor het slachtoffer te kunnen beteken.