Geteisterde Nederlanders bevrijd van WildFire ransomware dankzij No More Ransom project

Medusa

Vorige maand zag het No More Ransom project het licht. Een online-portal ter bestrijding van ransomware op initiatief van de Nederlandse politieEuropolIntel Security en Kaspersky Lab. Inmiddels blijkt de samenwerking zijn vruchten af te werpen. Kaspersky Lab wees de politie en het Openbaar Ministerie (OM) op de locatie van de WildFire command and control-server, waarna de politie en het OM het offline haalden. Hierbij werden bijna 5.800 sleutels bemachtigd, waarvan ca. 3.000 voor Nederlandse en ca. 2.100 voor Belgische infecties. In totaal betaalden 236 slachtoffer. De cybercriminelen verdienden in een maand 135.9 Bitcoins (bijna 70.000 euro). Met de ontwikkelde decryptietools kunnen slachtoffers hun geïnfecteerde bestanden nu ontgrendelen zonder losgeld te betalen. Naar verwachting zullen er binnenkort nog meer sleutels aan de tools worden toegevoegd.

 

WildFire

De ransomware WildFire lijkt vooralsnog vooral op Nederland en België te zijn gericht. De afgelopen weken is zeker 50% van de infecties in ons land geregistreerd en 36% in België. WildFire’s infection vector vertoont overeenkomsten met Zyklon en GNLocker. Vanaf gehackte servers wordt namens een transportbedrijf een spam-e-email gestuurd met de mededeling dat een levering niet is nagekomen. Het verzoek is om, middels een te downloaden Word-bestand, een nieuwe afspraak te maken.
Zodra de ontvanger het Word-bestand opent en de macro-functionaliteit is ingeschakeld, wordt de malware gedownload en geïnstalleerd. Daarna versleutelt WildFire de bestanden op de computer. Het gevraagde losgeld bedraagt zo’n 300 euro per slachtoffer. Als dit niet binnen 8 dagen betaald is, wordt dit bedrag verdrievoudigd. In totaal hebben 236 slachtoffers betaald, wat de cybercriminelen in een maand 135.9 Bitcoins – omgerekend 69.322,75 euro – opleverde.
De Nederlandse politie en het OM hebben er inmiddels voor gezorgd dat de WildFire-server offline is. Er worden dus geen nieuwe slachtoffers meer gemaakt. Daarna zijn computers die besmet zijn met WildFire niet langer in staat om verbinding te maken met de servers van de criminelen. Slachtoffers worden gewaarschuwd met de boodschap dat het kwaadaardige domein in beslag is genomen door de Nederlandse politie en ze NoMoreRansom.org kunnen bezoeken om de decryptietool te downloaden en hun bestanden te ontgrendelen zonder losgeld te betalen.
Via de No More Ransom portal zijn reeds decryptietools te downloaden met daarin een kleine 1.600 sleutels beschikbaar om gegijzelde bestanden kosteloos te ontgrendelen en naar verwachting zullen er binnenkort nog meer toegevoegd worden. De portal bevat ook vijf decryptietools voor andere vormen van ransomware, waaronder de in juli 2016 ontwikkelde sleutels voor de Shade en Chimera ransomware. 

NoMoreRansom.org

Op de portal NoMoreRansom.org staan decryptietools voor diverse varianten van ransomware – malware die bestanden vergrendelt en vervolgens losgeld vraagt om ze te ontgrendelen – die gretig aftrek vinden. Ook is er veel informatie te vinden over de werking van ransomware en de voorzorgsmaatregelen die kunnen worden genomen om besmetting te voorkomen.John Fokker, Digital Team Coördinator van de National High Tech Crime Unit (NHTCU) van de Nederlandse politie: “De bemachtiging van WildFire decryptiesleutels bewijst nogmaals dat cybercrime, en met name ransomware, succesvoller bestreden kan worden door nauw met andere partijen samen te werken. De Nederlands politie streeft ernaar om slachtoffers van ransomware te helpen door malware-gerelateerde zaken te onderzoeken, criminele infrastructuren plat te leggen en decryptiesleutels beschikbaar te stellen. Het regelmatig back-uppen van persoonlijke bestanden blijft echter de beste strategie tegen ransomware.”“Het is van groot belang dat er meer partners uit zo veel mogelijk verschillende disciplines aansluiten om deze vorm van ransomware nóg voortvarender tegen te gaan”, zegt Jornt van der Wiel, Security Researcher bij het Global Research and Analysis Team van Kaspersky Lab. “We maken goede vorderingen, maar dit is slechts het begin en met een hechte samenwerking kunnen we zoveel meer bereiken.”

Gerelateerde berichten...