Neppe Windows 10-updates die via fake sites worden gedistribueerd, installeren de ransomware-variant Magniber.

Dat stelt Bleeping Computer. De techwebsite ontving de laatste tijd veel meldingen over valse Windows 10-updates die ransomware installeren. De lastig te bestrijden Magniber-variant manifesteert zich sinds 8 april. De valse bestanden doen zich voor als cumulatieve of security-updates.

De schadelijke updates worden aangebonden onder namen als Win10.0_System_Upgrade_Software.msi en Security_Upgrade_Software_Win10.0.msi. Andere benamingen zijn System.Upgrade.Win10.0-KB47287134.msi, System.Upgrade.Win10.0-KB82260712.msi, System.Upgrade.Win10.0-KB18062410.msi en System.Upgrade.Win10.0-KB66846525.msi.

Versleutelingstechniek

Wanneer de kwaadaardige bestanden worden geïnstalleerd, zorgt de ransomware ervoor dat shadow volume copies worden verwijderd en de bestanden op de getroffen bestanden worden versleuteld. Na de versleuteling verschijnen er bestanden met een willekeurige uit acht karakters bestaande extensie. Denk daarbij aan de extensie .gtearevf. Ook wordt aan iedere map een readme.txt-bestand toegevoegd die instructies bevat voor het betalen van het losgeld voor de ontsleuteling.

My Decryptor-site

De betaalsite heeft de naam My Decryptor en biedt slachtoffers aan een bestand gratis te ontsleutelen. Verder beschikt de pagina over contactinformatie voor ‘ondersteuning’, het losgeldbedrag en het bitcoin-adres waarnaar slachtoffers het geld moeten overmaken. De losgeldeisen zijn zo’n 0,068 bitcoin (ongeveer 2400 euro). Vooral consumenten zijn doelwit van de ransomware-aanval.

Tip: Ransomware is een APT, zo moet je het ook behandelen