No More Ransom project bestrijdt WildFire ransomware

Vorige maand zag het No More Ransom project het licht, een online-portal ter bestrijding van ransomware op initiatief van de Nederlandse politie, Europol, Intel Security en Kaspersky Lab.

Trefwoorden: #bitcoins, #decryptie, #decryption, #encryptie, #encryption, #No More Ransom project, #ransomware, #WildFire ransomware

Lees verder

Nieuws

( Foto: screenshot No More Ransom )

ENGINEERINGNET - Inmiddels blijkt de samenwerking zijn vruchten af te werpen: Kaspersky Lab wees de politie en het Openbaar Ministerie (OM) op de locatie van de WildFire command and control-server, waarna de politie en het OM het offline haalden.

Hierbij werden bijna 5.800 sleutels bemachtigd, waarvan ca. 3.000 voor Nederlandse en ca. 2.100 voor Belgische infecties. In totaal betaalden 236 slachtoffers en verdienden de cybercriminelen in een maand 135.9 Bitcoins (bijna 70.000 euro).

Met behulp van de speciaal ontwikkelde decryptietools kunnen slachtoffers hun geïnfecteerde bestanden nu ontgrendelen zonder losgeld te betalen. Naar verwachting zullen er binnenkort nog meer sleutels aan de tools worden toegevoegd.

De ransomware WildFire lijkt vooralsnog vooral op Nederland en België te zijn gericht, aangezien de afgelopen weken zeker 50% van de infecties in Nederland is geregistreerd en 36% in België.

WildFire’s infection vector vertoont overeenkomsten met Zyklon en GNLocker: vanaf gehackte servers wordt namens een transportbedrijf een spam-e-email gestuurd met de mededeling dat een levering niet is nagekomen en het verzoek om, middels een te downloaden Word-bestand, een nieuwe afspraak te maken. (Ook op onze redactie kwam een gelijkaardige e-mail binnen)

Zodra de ontvanger het Word-bestand opent en de macro-functionaliteit is ingeschakeld, wordt de malware gedownload en geïnstalleerd, waarna WildFire de bestanden op de computer versleutelt.

Het gevraagde losgeld bedraagt zo’n 300 euro per slachtoffer, maar als dit niet binnen 8 dagen betaald is, wordt dit bedrag verdrievoudigd.

De WildFire-server werd ondertussen offline gehaald. Als een slachtoffer nu op de link klikt, wordt deze gewaarschuwd met de boodschap dat het kwaadaardige domein in beslag is genomen en ze NoMoreRansom.org kunnen bezoeken om de decryptietool te downloaden en hun bestanden te ontgrendelen zonder losgeld te betalen.