NotPetya ransomware verspreidt zich via specifieke toetsenbordlayouts

Volgers van de ontwikkelingen op het gebied van security zal het niet ontgaan zijn dat er nieuwe ransomware opgedoken is. We hebben er hier op Techzine uiteraard ook al over geschreven. Deze malware werd in eerste instantie aangezien voor Petya, maar blijkt nu toch anders te zijn. Vandaar dat het door het leven gaat als NotPetya. CyberArk Labs heeft nu een opvallend kenmerk ontdekt. Het hangt af van de toetsenbordindeling die je gebruikt of je besmet wordt of niet.

De ransomware verspreidt zich zoals bij eerdere aanvallen via verouderde Microsoft systemen. Volgens CyberArk Labs is iedere organisatie of individu met een gedateerde versie van Windows kwetsbaar voor de malware. Gebruik je een systeem met alleen een EN-US layout, dan lijk je op dit moment veilig te zijn.

Een van de redenen waarom NotPetya zoveel potentiële schade kan aanrichten is vanwege het feit dat het de Master Boot Record (MBR) besmet. Dit zorgt ervoor dat de gebruiker het systeem niet kan rebooten. Desondanks hebben specialisten al een potentiële oplossing bedacht, althans. Het aanmaken van een specifieke map kan de aanval namelijk stoppen. Let wel, dit is geen kill switch, dus het virus kan zich alsnog verder verspreiden. De computerwetenschapper Alan Woodward vertelde hierover het volgende aan de BBC:

“Hoewel dit een computer ‘immuun’ maakt, blijft hij een drager. De computer zal nog steeds gebruikt worden als een platform om de ransomware naar andere computers op hetzelfde netwerk te verspreiden.”

Losgeld

Het blijkt dat de mensen achter NotPetya slechts 300 dollar aan losgeld vragen per pc. Betalen lukt overigens niet, want het adres is niet langer in gebruik. Ter vergelijking, het Zuid-Koreaanse hostingbedrijf Nayana heeft onlangs bijna een miljoen euro betaald nadat ze geïnfecteerd raakten met de ransomware van Erebus.