2min

Ransomware die bekend staat als Jigsaw leek zijn beste tijd wel gehad te hebben. Maar een onbekende partij heeft malware, nadat de broncode online verscheen, nu opnieuw vormgegeven en een nieuwe functie gegeven. Jigsaw richt zich nu op relatief effectieve wijze op het stelen van bitcoin.

Onderzoekers van Fortinet melden het bestaan van de vernieuwde malware. Volgens de onderzoekers vindt deze daadwerkelijk zijn oorsprong in Jigsaw – malware die in april 2016 voor het eerst online verscheen. Deze staat erom bekend het gezicht van de antagonist van de horrorfilmreeks Saw te tonen.

Herschreven broncode

De broncode van Jigsaw is al enige tijd bekend en online breed beschikbaar. Dat betekent dat de vernieuwde malware vermoedelijk niet afkomstig is van de oorspronkelijke ontwikkelaar van Jigsaw. Iedereen die kennis heeft van de C#-code die hieraan ten grondslag ligt, kan deze immers gebruikt hebben om de malware opnieuw vorm te geven.

De voornaamste gedachte achter de malware, is dat als een gebruiker content van zijn bitcoin-wallet kopieert, die content in het klembord van Windows veranderd wordt. Doordat de eerste drie symbolen aan het begin van de code hetzelfde zijn, valt het niet zo snel op dat het adres veranderd is.

Al iets buitgemaakt

Ondanks dat de malware op zichzelf dus niet zo heel veel doet, lijkt deze wel redelijk effectief. De nieuwe versie van Jigsaw heeft volgens de onderzoekers van Fortinet al zo’n 8,4 bitcoin gestolen. Dat is op dit moment zo’n 62.000 dollar waard. Verder stellen de onderzoekers van Fortinet dat ze soortgelijke malware gevonden hebben op fora waar hackers en ontwikkelaars van malware actief zijn.

Er is overigens opmerkelijk weinig van de broncode van Jigsaw gewijzigd, waardoor de malware nog altijd opgepikt kan worden door de meeste up-to-date virusscanners. Vermoedelijk zal je virusscanner, indien deze Jigsaw detecteert, aangeven dat het om file-locking malware gaat.