Clown-ransomware
Infosec-onderzoekers stuitten op een nieuwe ransomware genaamd Clown. Na verdere analyse ontdekten we dat dit bedreigende programma gebaseerd is op Chaos Ransomware . Na verder onderzoek werd ontdekt dat de ransomware bestanden op gehackte systemen versleutelt en hun bestandsnamen wijzigt door een nieuwe extensie toe te voegen, '.clown'. Een bestand met de naam '1.doc' zou nu bijvoorbeeld verschijnen als '1.doc.clown' na het versleutelingsproces. De ransomware liet vervolgens een losgeldbrief achter op het bureaublad in de vorm van een bestand met de naam 'read_it.txt'.
Clown Ransomware eist duizenden dollars als losgeld
Het ransomware-bericht dat door de aanvallers naar de slachtoffers is gestuurd, informeert hen dat hun bestanden zijn versleuteld en dat de enige manier om hun gegevens te herstellen is door de decoderingssoftware van de aanvallers te kopen. De losgeldprijs die in het bericht wordt vermeld, is 2,1473766 BTC (Bitcoin-cryptocurrency), die in het bericht onjuist is omgezet naar $ 24.622,70 USD. De werkelijke waarde van 2,1473766 BTC op het moment van schrijven is echter ongeveer 50 duizend USD, die onderhevig is aan constante schommelingen als gevolg van veranderende wisselkoersen.
Onze ervaring met het analyseren en onderzoeken van duizenden ransomware-infecties leidt ons tot de conclusie dat het ontsleutelen van versleutelde bestanden doorgaans onmogelijk is zonder de tussenkomst van cybercriminelen. Er kunnen enkele zeldzame uitzonderingen zijn, zoals aanvallen die zeer gebrekkige ransomware gebruiken of programma's die zich nog in de ontwikkelingsfase bevinden.
Volg niet de eisen van cybercriminelen
Slachtoffers die het slachtoffer zijn geworden van ransomware-aanvallen, waaronder de Clown Ransomware, ontvangen mogelijk niet altijd de beloofde decoderingssleutels of software, zelfs niet nadat aan de losgeldeisen is voldaan. Als gevolg hiervan raden beveiligingsexperts ten zeerste af om het losgeld te betalen, omdat dit het herstel van de versleutelde gegevens niet garandeert en ook de illegale activiteiten van cybercriminelen in stand houdt.
Om verdere versleuteling van bestanden door de Clown Ransomware te voorkomen, moet de malware volledig van het getroffen besturingssysteem worden verwijderd. Het verwijderen van de ransomware leidt echter niet tot het automatisch herstellen van de reeds versleutelde bestanden. De enige oplossing om de versleutelde bestanden te herstellen, is ze te herstellen vanaf een back-up (indien beschikbaar).
Om de veiligheid van de gegevens te waarborgen, wordt gebruikers ten zeerste aanbevolen om regelmatig back-ups te maken van de benodigde bestanden en deze op meerdere locaties op te slaan, zoals externe servers en niet-aangesloten opslagapparaten, om het risico te verkleinen dat gegevens verloren gaan als gevolg van een ransomware-aanval of elke andere catastrofale gebeurtenis.
De volledige tekst van de losgeldbrief achtergelaten door de Clown Ransomware is:
'Al je bestanden zijn versleuteld
Uw computer is geïnfecteerd met een ransomware-virus. Uw bestanden zijn versleuteld en u niet
in staat zijn om ze te decoderen zonder onze hulp. Wat kan ik doen om mijn bestanden terug te krijgen? U kunt onze special kopen
decoderingssoftware, met deze software kunt u al uw gegevens herstellen en de
ransomware van uw computer. De prijs voor de software is $ 24.622,70. U kunt alleen in Bitcoin betalen.
Hoe betaal ik, waar krijg ik Bitcoin?
Het kopen van Bitcoin varieert van land tot land, u kunt het beste even snel op Google zoeken
zelf om erachter te komen hoe u Bitcoin kunt kopen.
Veel van onze klanten hebben gemeld dat deze sites snel en betrouwbaar zijn:
Coinmama - hxxps://www.coinmama.com Bitpanda - hxxps://www.bitpanda.comBetalingsinformatieBedrag: 2.1473766 BTC
Bitcoin-adres: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV'
