Pas op! Deze nieuwe Trojan versleutelt alle gegevens!

Nieuwe ransomware RAPID ontdekt

Wat is RAPID?

Het gaat om een versleutelings- of cryptotrojan. Het begrip ransomware is terug te leiden naar het Engelse ransom (losgeld). Het principe, waarmee de ransomware RAPID werkt, is op zich niet nieuw.

Als een cryptotrojan zich eenmaal op de computer heeft genesteld, versleutelt hij volgens een uitsluitend hem bekend algoritme alle bestanden, die zich op de harde schijf bevinden. Of “Office”-documenten, foto’s of e-mail, voor deze rotzakken is geen formaat veilig. Binnen korte tijd verschijnt er een chantagebrief op het beeldscherm, die het slachtoffer tot het betalen van losgeld op een anonieme rekening via Paypal of Bitcoin dwingt – zo bestaat er geen mogelijkheid het spoor van de chanteurs te volgen. De tot nu toe bekende varianten verwijderen zichzelf na de volbrachte “daad” van het systeem.

Tot nu toe kon je bij dit soort malware door het gebruiken van back-ups tenminste enkele bestanden herstellen of nieuw maken.

RAPID gaat echter nog een stap verder, bericht BleepingComputer.

Het “infectiepad” van RAPID is momenteel niet precies bekend. Normaal gesproken komt ransomware op dezelfde manier in het systeem terecht als de meeste schadelijke programma’s: Door geïnfecteerde e-mail bijlagen of veiligheidslekken in de browser. Het verraderlijke aan RAPID: Heeft hij alle grijpbare bestanden versleuteld, nestelt hij zich, in plaats van zichzelf te verwijderen, in de autostart-bestanden van Windows, start dus quasi bij elke herstart van de computer mee op en zet zijn verwoestende werk meteen weer voort.

Dat houdt in, dat RAPID elk nieuw aangemaakte bestand direct weer versleutelt en zo het werken met de geïnfecteerde computer onmogelijk maakt. De trojan verwijdert back-ups en herstelpunten, beëindigt databankprocessen en vervangt elke bestandsextentie door „.rapid“, waardoor het bestand onleesbaar wordt. Daarna wordt in elke nieuwe map en op de “desktop” een bestand met de naam How Recovery Files.txt gemaakt, die de “losgeldmodaliteiten” bevat.

Hoe verspreid is RAPID?

Sinds het eerst gemelde geval, begin januari, werden rond de 300 geïnfecteerde systemen gemeld. De precieze manier van verspreiden is tot nu toe nog niet bekend.

Wat kan ik doen?

Als eerste alle veiligheidsadviezen opvolgen, die voor elke verantwoordelijke gebruiker verplicht zijn en tegen elke soort malware werkzaam zijn: Verdachte bestanden niet uitvoeren; e-mail bijlagen van onbekende afkomst direct verwijderen in plaats van ze te openen. Een goede malwarescanner aanschaffen, die ook aanvallen door ransomware kan detecteren en alle updates meteen installeren. Back-ups maken.

Bestaat de verdenking, dat RAPID zich al op het systeem bevindt, dan moet je proberen, het proces rapid.exe in de taskmanager te beëindigen, terwijl hij zich voorbereidt het systeem aan te vallen en bestanden te versleutelen.

Verder moet elk onbekend, niet absoluut benodigd bestand in de autostart uitgezet worden.

Als je de taskmanager niet meer kunt openen, bestaat er alleen nog maar de mogelijkheid de computer meteen uit te zetten en moet je een specialist opzoeken en om raad vragen.

Je moet in GEEN GEVAL de computer zelf weer opstarten, omdat RAPID dan meteen met de versleuteling doorgaat en de schade heel veel groter wordt.

Ingaan op de losgeldeis wordt dringend afgeraden door specialisten, omdat er geen garantie bestaat, dat de bestanden weer vrijgegeven zullen worden. Zo kan man conclusies trekken over de “betalingsbereidheid” van de gebruiker, wat tot nieuwe losgeldeisen kan leiden. Buiten dat kunnen op die manier gevoelige gegevens in de handen van de chanteurs vallen.

Auteur: Dagmar, mimikama.org
Vertaling: Petra, mimikama.nl