Antivirusleverancier G Data heeft een nieuw type ransomware ontdekt dat volledige harde schijven op slot zet. Gewoonlijk richt dit soort malware zich op individuele bestanden of bestandtypes.


Hoe heeft technologie een impact op je business?
Ontvang elke week het zakelijk IT-nieuws rechtstreeks in je inbox!



 
De Petya-ransomware, zoals de kwaadaardige software werd gedoopt, lijkt zich met name op bedrijven te richten en wordt al zeker in Duitsland ingezet in malwarecampagnes, zo weet G Data. De ransomware vermomt zich als een Dropbox-downloadlink die naar HR-afdelingen wordt gestuurd en zogezegd een portfolio voor een sollicitatie bevat.
 
In plaats van een portfolio wordt echter een exe-bestand gedownload dat de computer doet crashen en herstarten wanneer je het uitvoert. De software manipuleert het Master Boot Record van de computer, waardoor Petya controle krijgt over het opstartproces.
 
Tijdens het opstarten verschijnt een melding van een systeemcontrole, maar in realiteit worden op dat moment alle bestanden op de pc ontoegankelijk gemaakt voor de gebruiker. G Data voert nog verder onderzoek uit, maar gaat er momenteel van uit dat niet de bestanden zelf worden geëncrypteerd, maar alleen de file access wordt geblokkeerd.
 
Nadat de ‘systeemcontrole’ is uitgevoerd, toont de ransomware zijn ware kleuren en worden instructies op het scherm getoond om een encryptiesleutel aan te kopen waarmee je weer toegang krijgt tot je harde schijf. Om hun sporen te verbergen, maken de aanvallers gebruik van het anonieme Tor-netwerk.
 

 
Voorkomen is beter dan genezen
Petya wordt gedetecteerd als “Win32.Trojan-Ransom.Petya.A” en wordt momenteel al geblokkeerd door de antivirussoftware van G Data. Wellicht zullen ook andere antiviruspakketten de ransomware snel genoeg opnemen in hun lijst. Een eerste bescherming bestaat er dus in om je antivirussoftware up-to-date te houden.
[related_article id=”166406″]
 
Verder doe je er goed aan om op geregelde tijdstippen een back-up van je bestanden te maken. Kijk ook altijd goed naar de aard van een bestand alvorens je het downloadt. In het geval van Petya vermomt de ransomware zich als een portfolio. Het bestand dat je krijgt voorgeschoteld is echter een exe in plaats van een verzameling documenten, zoals je van een portfolio zou verwachten.
 
Ben je toch geïnfecteerd, koppel je computer dan onmiddellijk los van het netwerk. Het is nog niet duidelijk of Petya je bestanden versleutelt, dan wel alleen de toegang ertoe. Verder onderzoek is daarvoor nog aan de gang, maar mogelijk valt er dus nog iets te redden zonder dat je moet betalen.