Malwarebytes har frigivet et gratis dekrypteringsværktøj til at hjælpe ofre for et nyligt ransomware-angreb med at gendanne deres data fra cyberkriminelle, der anvender en teknisk support-fidus-teknik. Den nye ransomware-variant, kaldet VindowsLocker, dukkede op i sidste uge. Det fungerer ved at forbinde ofre til falske Microsoft-teknikere for at få deres filer krypteret ved hjælp af et Pastebin API.

Teknisk support svindlere har været målrettet mod intetanende internetbrugere i ganske lang tid nu. En kombination af social engineering og bedrag, den ondsindede taktik har udviklet sig fra kolde opkald til falske alarmer og senest skærmlåse. Teknisk support svindlere har nu tilføjet ransomware til deres angrebsensenal.

Jakub Kroustek, en AVG-sikkerhedsforsker, opdagede først VindowsLocker-ransomware og navngav truslen baseret på filtypenavnet. Vinduer, den tilføjer til alle krypterede filer. Ransomware fra VindowsLocker bruger AES-krypteringsalgoritmen til at låse filer med følgende udvidelser:

VindowsLocker efterligner teknisk support-svindel

Ransomware anvender en taktik, der er typisk for de fleste tech support-svindel, idet ofrene bliver bedt om at ringe til et leveret telefonnummer og tale med et teknisk supportpersonale. I modsætning hertil bad ransomware-angreb i fortiden om betalinger og håndterede dekrypteringsnøgler ved hjælp af en Dark Web-portal.

dette ikke understøtter Microsoft

vi har låst dine filer med zeus-virus

gør en ting og ringe niveau 5 microsoft support tekniker på 1-844-609-3192

du arkiverer tilbage til en engangsafgift på $ 349.99

Malwarebytes mener, at svindlerne fungerer ud fra Indien og efterligner Microsofts teknologiske supportpersonale. VindowsLocker bruger også en tilsyneladende legit Windows support-side for at give det falske indtryk, at teknisk support er klar til at hjælpe ofrene. Support-siden beder om offerets e-mail-adresse og bankoplysninger til at behandle betalingen af ​​$ 349, 99 for at låse en computer op. Betaling af løsepenge hjælper dog ikke brugerne med at gendanne deres filer i henhold til Malwarebytes. Dette skyldes, at VindowsLocker-udviklere nu ikke er i stand til automatisk at dekryptere en inficeret computer på grund af nogle kodefejl.

Malwarebytes forklarer, at VindowsLocker-ransomware-kodere har nedlagt en af ​​API-nøglerne beregnet til brug i korte sessioner. Følgelig udløber API-nøglen efter en kort periode, og de krypterede filer går online, hvilket forhindrer VindowsLocker-udviklerne i at give AES-krypteringsnøglerne til ofrene.

Læs også:

• Identificer ransomware, der krypterede dine data med dette gratis værktøj
• Sådan fjernes Locky ransomware for godt
• Malwarebytes frigiver gratis dekryptering til Telecrypt ransomware
• Locky ransomware, der spreder sig på Facebook, er samlet som.svg-fil