Het onderzoeksteam van BlackBerry heeft een nieuwe vorm van ransomware gedetecteerd, genaamd LokiLocker.
In de Noorse mythologie was Loki de vijand van de goden die van gedaante kon veranderen. LokiLocker versleutelt eerst de bestanden van het slachtoffer op lokale schijven en netwerkshares. Vervolgens moeten slachtoffers per e-mail contact opnemen om instructies te krijgen over hoe het losgeld te betalen.
LokiLocker is een relatief nieuwe ransomware-familie die zich voornamelijk richt op Engelstalige slachtoffers en Windows-pc’s. Net als het gelijknamige mythologische figuur, verschijnt LokiLocker onuitgenodigd en probeert het direct kostbaar bezit buit te maken. BlackBerry kan bevestigen dat LokiLocker in bedrijfsomgevingen is gedetecteerd. Het begin van de ransomware is teruggeleid tot trojanized brute-checker hacking-tools voor populaire consumentendiensten, zoals Spotify en PayPal.
Deze vorm van ransomware kan ongelooflijk destructief en wraakzuchtig zijn: wanneer het slachtoffer niet betaalt binnen het door de aanvaller gespecificeerde tijdsbestek, worden alle data verwijderd. Daarnaast wordt het master boot record (MBR) overschreven, waarbij alle bestanden van het slachtoffer worden gewist en het systeem onbruikbaar raakt.
Enkele opvallende resultaten uit het onderzoek zijn:
- De slachtoffers van de malware zijn verspreid over de hele wereld met de grootste concentratie in Oost-Europese en Aziatische landen. De herkomst is onduidelijk, maar het is interessant om op te merken dat alle embedded debugging strings in het Engels zijn, en – in tegenstelling tot de meeste malware afkomstig uit Rusland en China – is de taal grotendeels vrij van fouten en spelfouten.
- De opname van de “Iran”-code zou een valstrik kunnen zijn – het is mogelijk dat we moeten aannemen dat de code is opgenomen in de hoop dat onderzoekers Iran de schuld zullen geven voor de creatie ervan.
- Momenteel is er geen gratis tool beschikbaar om bestanden te decoderen die zijn versleuteld door LokiLocker. Als je al geïnfecteerd bent met LokiLocker ransomware, is de aanbeveling van de meeste officiële veiligheidsinstanties om het losgeld niet te betalen.
Meer informatie over LokiLocker is te lezen via deze link