Malwarebytes har gitt ut et gratis dekrypteringsverktøy for å hjelpe ofre for et nylig ransomware-angrep med å gjenvinne dataene fra cyberkriminelle som bruker en teknisk support-svindelteknikk. Den nye ransomware-varianten kalt VindowsLocker dukket opp forrige uke. Det fungerer ved å koble ofre til falske Microsoft-teknikere for å få filene deres kryptert ved hjelp av et Pastebin API.

Svindlere for teknisk support har vært rettet mot intetanende internettbrukere en god stund nå. En kombinasjon av sosial ingeniørfag og bedrag, har den ondsinnede taktikken utviklet seg fra kalde anrop til falske varsler og sist skjermlåser. Svindlere av teknisk støtte har nå lagt til ransomware i angrepsarsenalet.

Jakub Kroustek, en AVG sikkerhetsforsker, oppdaget først VindowsLocker ransomware og navngav trusselen basert på filtypen. Vinduer den gjelder alle krypterte filer. Ransomware fra VindowsLocker bruker AES-krypteringsalgoritmen for å låse filer med følgende utvidelser:

VindowsLocker etterligner teknisk support-svindel

Ransomware bruker en taktikk som er typisk for de fleste teknisk support svindel ved at ofrene blir bedt om å ringe et gitt telefonnummer og snakke med et teknisk supportpersonell. Derimot ba ransomware-angrep i fortiden om betalinger og håndterte dekrypteringsnøkler ved hjelp av en Dark Web-portal.

dette ikke støtte fra Microsoft

vi har låst filene dine med zeus-viruset

gjør en ting og ring nivå 5 microsoft support tekniker på 1-844-609-3192

du vil filene tilbake for en engangsavgift på $ 349, 99

Malwarebytes mener svindlerne opererer basert fra India og etterligner Microsofts teknologiske supportpersonell. VindowsLocker bruker også en tilsynelatende legitim Windows-støtteside for å gi det falske inntrykket at teknisk støtte er klar til å hjelpe ofrene. Støttesiden ber om offerets e-postadresse og legitimasjon for banker for å behandle betaling av $ 349, 99 for å låse opp en datamaskin. Å betale løsepengene hjelper imidlertid ikke brukere å gjenopprette filene i henhold til Malwarebytes. Dette er fordi VindowsLocker-utviklere nå ikke klarer å dekryptere en infisert datamaskin automatisk på grunn av noen kodefeil.

Malwarebytes forklarer at VindowsLocker ransomware-kodere har fått en av API-nøklene som er ment for bruk i korte økter. Følgelig utløper API-nøkkelen etter en kort periode, og de krypterte filene går online, noe som hindrer VindowsLocker-utviklerne i å gi AES-krypteringsnøkler til ofrene.

Les også:

• Identifiser løseprogramvaren som krypterte dataene dine med dette gratis verktøyet
• Slik fjerner du Locky ransomware for godt
• Malwarebytes gir ut gratis dekrypteringsprogram for Telecrypt ransomware
• Locky løseprogram som sprer seg på Facebook, var tildekket som.svg-fil