Threat Database Ransomware Ransomweb Ransomware

Ransomweb Ransomware

Ondanks zijn naam doet de Ransomweb Ransomware zich alleen voor als ransomware. Aanvankelijk lijkt het het typische gedrag van dit type malwarebedreiging te volgen - er werd waargenomen dat het de website van een slachtoffer infecteerde, de bestanden daar versleutelde, de originele bestandsnamen toevoegde met zijn eigen bestandsextensie - '.xploiter', en een losgeldbrief genereerde . Als je naar de tekst kijkt die door de cybercriminelen is achtergelaten, blijkt dat er iets niet klopt. Er zijn geen communicatiekanalen, zoals e-mails, waarmee de getroffen gebruikers voor details contact kunnen opnemen met de criminelen. De notitie vermeldt zelfs geen enkele betaling van losgeld - het belangrijkste doel van elke ransomware-operatie. In plaats daarvan lijken de hackers die verantwoordelijk zijn voor de Ransomweb Ransomware net na het veroorzaken van chaos en beweren dat alle getroffen bestanden niet kunnen worden hersteld tenzij het slachtoffer een geschikte back-up heeft.

De atypische boodschap zorgde ervoor dat de infosec-onderzoekers van Sucuri Labs wat dieper in de code en functionaliteit van de dreiging gingen graven. Ze vonden een PHP-bestand met de naam 'openeds.php' dat was versluierd en dus onleesbaar in zijn huidige staat. Nadat ze het bestand met succes hadden verduidelijkt en het in het Engels hadden vertaald uit de oorspronkelijke Indonesische tekst, ontdekten de onderzoekers een unlocker-bestand. In zijn code bevatte het de methode om alle bestanden te herstellen die door de Ransomweb Ransomware waren vergrendeld, omdat ze, zoals later bleek, alleen versleuteld leken te zijn terwijl de waarheid was dat de bestanden waren verduisterd. Uiteindelijk leveren beide processen het resultaat op dat de aangetaste bestanden ontoegankelijk en onbruikbaar zijn, maar door de verduistering heen werken is heel goed mogelijk, terwijl het kraken van mogelijke codering vrijwel onmogelijk is met de vereiste decoderingssleutels. De verduistering in kwestie die voor alle vergrendelde .xploiter- bestanden wordt gebruikt, wordt gzdeflate genoemd, en om het om te keren en te herstellen moet de tegenoverliggende data worden gebruikt - gzinflate.

Ondanks zijn naam doet de Ransomweb Ransomware zich alleen voor als ransomware. Aanvankelijk lijkt het het typische gedrag van dit type malwarebedreiging te volgen - er werd waargenomen dat het de website van een slachtoffer infecteerde, de bestanden daar versleutelde, de originele bestandsnamen toevoegde met zijn eigen bestandsextensie - '.xploiter', en een losgeldbrief genereerde . Als je naar de tekst kijkt die door de cybercriminelen is achtergelaten, blijkt dat er iets niet klopt. Er zijn geen communicatiekanalen, zoals e-mails, waarmee de getroffen gebruikers voor details contact kunnen opnemen met de criminelen. De notitie vermeldt zelfs geen enkele betaling van losgeld - het belangrijkste doel van elke ransomware-operatie. In plaats daarvan lijken de hackers die verantwoordelijk zijn voor de Ransomweb Ransomware net na het veroorzaken van chaos en beweren dat alle getroffen bestanden niet kunnen worden hersteld tenzij het slachtoffer een geschikte back-up heeft.

Er is echter nog een laatste hindernis, want voordat het verduidelijkingsproces kan worden gestart, moet een wachtwoord worden opgegeven. Toegang hebben tot het unlocker-bestand zelf, maakt het echter mogelijk om het zo aan te passen dat de wachtwoordcontrole volledig wordt verwijderd of het wachtwoord zelf wordt gewijzigd in iets dat de gebruiker al weet.

Trending

Meest bekeken

Bezig met laden...