Nieuwe Anatova-ransomware in Nederland en België gedetecteerd

[Captain Kirk]

In Nederland en België is er een nieuw ransomware-exemplaar met de naam Anatova gedetecteerd. Of de ransomware ook slachtoffers heeft gemaakt is onbekend, maar dit wordt niet uitgesloten, zo laat Christiaan Beek, lead scientist en senior principal engineer bij McAfee, aan Security.nl weten.

McAfee publiceerde een blogposting over Anatova, waarin ook het aantal detecties in verschillende landen wordt getoond. De meeste detecties werden in de Verenigde Staten aangetroffen, gevolgd door België. Het gaat hier niet om infecties, maar om gevallen waarbij de anti-virussoftware van McAfee de ransomware detecteerde en stopte. Beek merkt op dat het hier alleen om de detecties van McAfee gaat en er niet kan worden uitgesloten dat er in Nederland of België systemen besmet zijn geraakt.

De virusbestrijder ontdekte de ransomware op een private p2p-website waar gebruikers allerlei bestanden uitwisselen. Waarschijnlijk zijn er meer manieren waarop de ransomware wordt verspreid, maar die zijn nog niet bekend. Beek denkt dat de verspreiding via de p2p-website een testrun betreft om te kijken hoe succesvol de ransomware is. Net als andere ransomware versleutelt Anatova allerlei bestanden voor losgeld, waarbij er ook naar bestanden op netwerkmappen wordt gezocht.

Om bestanden zo snel mogelijk te versleutelen versleutelt Anatova alleen bestanden van 1MB of kleiner. Voor het ontsleutelen moeten slachtoffers zo'n 630 euro betalen. Bij slachtoffers wordt er een tekstbestand in de mappen van versleutelde bestanden achtergelaten. Slachtoffers kunnen daarnaast één jpg-bestand kosteloos laten ontsleutelen.

Opvallend aan de ransomware is dat die systemen in bepaalde landen niet versleutelt. Naast GOS-landen, wat vaker voorkomt, gaat het ook om Syrië, Egypte, Marokko, Irak en India. Een reden waarom deze specifieke landen worden vermeden kan McAfee niet geven. Onlangs besloten makers van de bekende GandCrab-ransomware om Syrische slachtoffers kosteloos hun bestanden terug te geven nadat een Syrische man liet weten dat hij door de ransomware foto's en video's van zijn omgekomen zoons was kwijtgeraakt.

 

 

bron: security.nl