MBR-ransomware installeert tweede ransomware als back-up

[Captain Kirk]

Er is een nieuwe variant van de Petya-ransomware verschenen die een tweede ransomware-exemplaar als back-up installeert. Petya werd eind maart voor het eerst ontdekt en viel op omdat het de Master Boot Record (MBR) van harde schijven aanpast en de master file table (MFT) versleutelt.

Daardoor is het bestandssysteem niet te lezen en kan Windows niet meer worden gestart. Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is in werkelijkheid de malware. Zodra het bestand wordt geopend vraagt Petya om beheerdersrechten, zodat het de MBR kan aanpassen. Als de ransomware deze rechten niet verkrijgt, kan het de aanpassing niet doorvoeren en blijft het systeem gewoon werken.

De ontwikkelaars van Petya lijken hier een oplossing voor gevonden te hebben, namelijk het bundelen van een tweede ransomware-exemplaar genaamd Mischa. Als de beheerdersrechten niet worden bemachtigd, bijvoorbeeld omdat de gebruiker dit niet toestaat, dan wordt de Mischa-ransomware geïnstalleerd. Deze ransomware vereist namelijk geen beheerdersrechten. Net als andere ransowmare versleutelt de Mischa-ransomware bestanden voor losgeld. Voor het ontsleutelen wordt een bedrag van 1,93 bitcoin gevraagd, wat met 770 euro overeenkomt, zo meldt Lawrence Abrams van Bleeping Computer. Er is nog geen manier gevonden om de bestanden kosteloos te ontsleutelen.

 

 

bron: security.nl