Een tool waarmee versleutelde bestanden teruggehaald kunnen worden na een aanval van de Paradise-ransomware heeft een update gekregen. De update heeft een aantal extra functies toegevoegd waarmee dit terughalen voor gebruikers makkelijker wordt.
Paradise-ransomware verscheen in 2017, grotendeels via phishing-aanvallen waar een kwaadaardig bestand aan is bijgevoegd. Als dat bestand wordt uitgevoerd, worden de bestanden van de gebruiker direct versleuteld en wordt er losgeld, te betalen in bitcoin, geëist.
Volgens ZDNet zijn de extensies van bestanden die met Paradise zijn vergrendeld vaak “.paradise”, “.2ksys19”, “.p3rf0rm4”, en “.FC”. De ransomware kan ook back-ups versleutelen, een tactiek die is ontworpen om ervoor te zorgen dat het slachtoffer toegeeft en het losgeld betaalt.
Onderzoekers van Emsisoft hebben in november vorig jaar voor het eerst een gratis tool voor het decrypten van de Paradise-ransomware uitgebracht. Nu hebben ze de tool dus met extra mogelijkheden geüpdatet om nog effectiever te zijn. De tool kan namelijk nu ook vergrendelde bestanden decrypten met “.stub”, “.corp” en “.vacv2” extensies.
De tool kan rechtstreeks worden gedownload van Emsisoft. Sinds januari 2020 hebben er ondertussen meer dan 11.000 downloads plaatsgevonden. De Paradise- decryptor kan ook worden verkregen via het Europol-portal ‘No More Ransom‘.
Voormalige Sovjetblok
Het is opvallend dat de ransomware checkt of de toetsenbordtaal is ingesteld op Russisch, Kazachs, Wit-Rusland of Oekraïens wanneer de ransomware wordt uitgevoerd op een Windows-pc. Als dit het geval is, zal de ransomware geen bestanden versleutelen en het systeem verlaten. Dit wijst er zeer waarschijnlijk op dat de makers van de ransomware uit één van die regio’s komen.
De ransomware wordt verkocht aan potentiële gebruikers ‘as-a-service’, zodat ze een eenvoudig middel hebben om aanvallen uit te voeren en losgeld te verzamelen. De oorspronkelijke makers krijgen vervolgens een deel van het betaalde losgeld.
9 uur geleden
