Oorlog tegen ransomware

Het gijzelen van gegevens op computers door middel van zogenaamde ransomware is momenteel bijzonder populair. De afgelopen maanden moesten honderden slachtoffers van ransomware geholpen worden hun bestanden te ontsleutelen.  Via de website NoMoreRansom worden verschillende decryptietools aangeboden. Deze week werd er een decryptietool voor de op Nederland gerichte WildFire-ransomware toegevoegd.

 

No More Ransom is een initiatief van de high tech crime unit van de Nederlandse politie, Europol’s European Cybercrime Centre, Kaspersky Lab en Intel Security. De website werd een maand geleden gelanceerd en moet slachtoffers zowel helpen bij het ontsleutelen van bestanden als het voorkomen van infecties. Toch lijkt het dat, gezien het aantal (bekend geworden) slachtoffers, veel internetgebruikers de website nog niet weten te vinden en zich gedwongen zagen hun bestanden zelf via een back-upterug te zetten of het losgeld te betalen.

Via NoMoreRansom helpt slachtoffers van de ransomware-varianten Shade, Chimera, CoinVault, TeslaCrypt, Rannoh, Rakhni en nu dus ook Wildfire.

 

Shade maakte voor zover bekend ruim 160.000 slachtoffers. CoinVault besmette 15.000 systemen, het aantal infecties door TeslaCrypt is onbekend. De maker van dat laatste malware-programma besloot uiteindelijk zelf de decryptiesleutel online te zetten. Van de Chimera-ransomware werden 3500 decryptiesleutels door een concurrerende ransomwaremaker op internet gepubliceerd. De politie gebruikte deze sleutels vervolgens voor NoMoreRansom. Cijfers over Rannoh en Rakhni zijn ook onbekend.

 

WildFire maakte in Nederland al 5900 slachtoffers. Het dringt binnen via span-email in het Nederlands met als afzender een verzonnen transportbedrijf met een NL-webadres. Ook in het buitenland wekte Wildfire belangstelling, zie bijvoorbeeld het net verschenen 

artikel in Fortune.