Nieuwe ransomware Zenis vernietigt backups

encryptie

Een nieuwe vorm van ransomware genaamd Zenis versleutelt niet alleen data op getroffen systemen, maar probeert ook gericht backups van slachtoffers te vernietigen. De ransomware heeft al meerdere slachtoffers gemaakt.

Zenis is ontdekt door MalwareHunterTeam, dat de ransomware samen met Bleeping Computer heeft geanalyseerd. MalwareHunterTeam heeft twee versies van Zenis ontdekt: een vroege variant die gebruik maakt van een op maat gemaakte encryptiemethode en een latere versie die AES inzet. Op het moment van schrijven is er nog geen manier gevonden om versleutelde data te ontsleutelen. Michael Gillespie van MalwareHunterTeam is de ransomware echter aan het analyseren om kwetsbaarheden op te sporen die decryptie mogelijk maken. De partijen adviseren slachtoffers het geëiste losgeld dan ook niet te betalen.

Remote Desktop Services

Het is niet zeker hoe Zenis wordt verspreid. MalwareHunterTeam en Bleeping Computer melden echter dat de ransomware mogelijk via gehackte Remote Desktop Services wordt verspreid. Zodra de ransomware zich op een systeem heeft genesteld, verwijdert de malware Volume Shadow Copies, schakelt het Startup Repair uit en worden logbestanden gewist. Vervolgens stopt de ransomware verschillende processen, waaronder task manager en backup-processen.

Nadat het systeem op deze wijze is voorbereid begint Zenis met het versleutelen van bestanden. Hierbij richt de ransomware zich op een breed scala aan bestanden, variërend van foto’s, video’s en muziekbestanden tot tekstdocumenten, spreadsheets en presentaties. Ook worden cryptowallets versleuteld. Bij het versleutelen van een bestand wordt de bestandsnaam van bestanden gewijzigd om identificatie van specifieke bestanden te bemoeilijken. Hierbij wordt de volgende bestandsnaam gehanteerd: Zenis-[twee willekeurige karakters].[twaalf willekeurige karakters]. Als voorbeeld noemt Bleeping Computer een bestand genaamd test.jpg, dat door de ransomware de bestandsnaam Zenis-4Q.4QDV9txVRGh4 toegewezen kan krijgen.

Backups vernietigen

Bij het versleutelen van data zoekt Zenis gericht naar bestanden die gerelateerd zijn aan backups. Deze bestanden worden door de ransomware driemaal overschreven en vervolgens verwijderd. Dit maakt het voor slachtoffers moeilijker data uit een backup terug te halen.

MalwareHunterTeam en Bleeping Computer adviseren gebruikers waakzaam te zijn voor verdachte bestanden en daarnaast zeker te stellen dat Remote Desktop Services correct is geconfigureerd. De partijen adviseren zeker te stellen dat computers die Remote Desktop Services draaien niet direct verbonden zijn met internet en bij voorkeur achter een VPN zijn geplaatst. Ook raden de partijen aan Remote Desktop Services correct te configureren om brute force aanvallen te bemoeilijken en beveiligingssoftware te installeren die het gedrag van bestanden analyseert om onder meer ransomware vroegtijdig op te merken. Tot slot wordt gebruikers geadviseerd zeker te stellen dat hun systeem volledig up-to-date is om zeker te stellen dat aanvallers geen misbruik kunnen maken van bekende en gepatchte beveiligingsproblemen.

Lees ook
FixMeStick aide les consommateurs à éliminer eux-mêmes le malware tenace

FixMeStick aide les consommateurs à éliminer eux-mêmes le malware tenace

FixMeStick lance une solution éponyme, un stick USB qui détecte les virus et les logiciels malveillants et les élimine. La solution se veut simple et facile à utiliser. FixMeStick tourne sur son propre système d’exploitation et peut de ce fait également éliminer des virus qui s’attaquent au ‘master boot’. Dès que le système d’exploitation est déma1

Des milliards de dollars dérobés dans le plus grand casse numérique de tous les temps

Des milliards de dollars dérobés dans le plus grand casse numérique de tous les temps

Un groupe cybercriminels a réussi à détourner pas moins d'un milliard de dollars en deux ans au détriment de banques et d'organismes financiers. Kaspersky Lab  parle du plus gros casse numérique de tous les temps. Les attaques auraient été perpétrées par Carbabak, un groupe de hackers actifs à l'échelle mondiale. Ses membres proviendraient notamme1

FixMeStick helpt consumenten hardnekkig malware zelfstandig te verwijderen

FixMeStick helpt consumenten hardnekkig malware zelfstandig te verwijderen

FixMeStick introduceert de gelijknamige oplossing, een USB-stick die virussen en malware detecteert en verwijderd. Eenvoud en gebruiksgemak staat bij de USB-stick centraal. De FixMeStick draait op zijn eigen besturingssysteem en kan hierdoor ook virussen verwijderen die de master boot record aantasten. Zodra het eigen besturingssysteem is opgestar1