Ransomware Anatova gedetecteerd in Nederland en België

Onderzoekers van McAfee melden dat ze een nieuw type ransomware aangetroffen hebben. De ransomware richt zich op consumenten wereldwijd en krijgt de naam Anatova, gebaseerd op de naam die in de ransomware te vinden viel. Ook in Nederland en België is Anatova gespot.

Anatova werd aangetroffen in een privé peer-to-peer netwerk en richt zich op consumenten. Volgens de onderzoekers is aan de hand van de code vastgesteld dat het niet om malware ontwikkeld door ‘gewone’ hackers gaat, maar om ervaren ontwikkelaars. “We geloven dat Anatova een serieuze bedreiging kan worden, aangezien de code voorbereid is op modulaire uitbreiding”, aldus de onderzoekers van McAfee.

Modulaire malware

Anatova kan volgens de onderzoekers makkelijk aangepast worden. Dat zorgt ervoor dat de malware, als deze gedetecteerd wordt, aangepast kan worden om te voorkomen dat deze gevonden wordt. Net als zoveel andere vormen van ransomware versleutelt Anatova, als dit eenmaal op een apparaat staat, bestanden en eist het een betaling. Momenteel vraagt het 10 dash, een cryptovaluta die zo’n 68 dollar per stuk waard is. Het totale losgeldbedrag dat betaald moet worden is zo’n 680 dollar.

Volgens 2-Spyware brengt Anatova bepaalde wijzigingen in Windows aan om zo uitgebreide toegang tot de software te krijgen. Daarna zoekt het naar bepaalde bestandstypen, waaronder .jpg, .doc, .mp3, .avi, .pdf en vele anderen. De data worden daarna versleuteld met een sterk algoritme die de gegevens ook echt onbruikbaar maakt.

Uitgesloten landen

Degenen achter de ransomware hebben het tot nu toe breed weten te verspreiden en zetten daar allerlei methoden voor in. Niet alleen via spammails, maar ook brute-force aanvallen, gehackte websites, installers, downloads en nepupdates. De ransomware is tot nu toe het meest in de Verenigde Staten gedetecteerd, gevolgd door België. In Nederland zijn er een stuk minder detecties ten opzichte van die landen.

Opvallend genoeg is Anatova specifiek ontwikkeld om computers in bepaalde landen niet te infecteren. Het gaat om voormalig Sovjet-landen, maar ook Syrië, Egypte, Marokko, Irak en India. Volgens de onderzoekers van McAfee is dat vaak een aanwijzing dat een van de ontwikkelaars daar vandaan komt. “Maar in dit geval is het wel verrassend om ook andere landen te zien. We hebben geen duidelijke hypothese over waarom specifiek deze landen uitgesloten zijn.”

Er is op dit moment geen tool om versleutelde bestanden mee vrij te krijgen.