‘Australische firma claimt decryptie ransomware ten onrechte’

Stay tuned, abonneer!

Brett Callow, een researcher van Emsisoft, heeft ontdekt dat de Australische data recovery-firma Fast Data Recovery ten onrechte claimt dat ze de Dharma-ransomware kunnen decrypten. Dharma is berucht omdat het min of meer onmogelijk is om data terug te halen nadat er een infectie heeft plaatsgevonden.

Er is geen enkele methode bekend voor het ontsluiten van data die door de Dharma-ransomware is getroffen. Bill Siegel, de topman van data recovery-firma Coveware, stelt dat Fast Data Recovery met de bewering in feite zegt dat ze “…qua tools en rekenkracht capabeler zijn dan de NSA. Als dat echt het geval was hadden ze hun technologie al lang voor miljoenen verkocht, in plaats van het mkb te helpen.”

Brett Callow gebruikte voor de ontdekking het zakelijke e-mailadres van zijn vrouw, en contacteerde Fast Data Recovery. Hij stuurde een mail aan het Australische bedrijf en vroeg daarin of het mogelijk was Dharma-encryptie te breken. Het antwoord was een auto-reply, waarop Callow opnieuw een mail stuurde. Daarop kreeg Callow het antwoord dat er een zeer hoge kans was dat Fast Data Recovery de encryptie zou kunnen ‘reverse-engineeren’. Dit is echter met de Dharma-ransomware onmogelijk.

Emsisoft CTO Fabian Wosar vertelt: “Sinds de opkomst in 2016 is Dharma door de hele malware-onderzoeksgemeenschap continu blootgesteld aan reverse engineering. Als er echt een fout in de ransomware bestond die het mogelijk maakte om de encryptie te breken, dan zou deze vrijwel zeker al lang geleden ontdekt zijn.”

Frauduleuze firma’s

Volgens The Register is dit soort claims door data recovery-bedrijven een symptoom van een groter probleem, waarbij firma’s doen alsof ze bestanden kunnen terughalen die door ransomware versleuteld zijn. Wat er echter daadwerkelijk gebeurt is dat die firma’s heimelijk gewoon het losgeld betalen aan cybercriminelen, maar winst maken door daarna de betaling van hun klanten te ontvangen. Het enige wat er dan dus effectief gebeurt is dat er meer geld verloren gaat, namelijk zowel aan de cybercriminelen in kwestie als aan de valse data recovery-firma.