Nieuwe ransomware Zenis vernietigt backups
Een nieuwe vorm van ransomware genaamd Zenis versleutelt niet alleen data op getroffen systemen, maar probeert ook gericht backups van slachtoffers te vernietigen. De ransomware heeft al meerdere slachtoffers gemaakt.
Zenis is ontdekt door MalwareHunterTeam, dat de ransomware samen met Bleeping Computer heeft geanalyseerd. MalwareHunterTeam heeft twee versies van Zenis ontdekt: een vroege variant die gebruik maakt van een op maat gemaakte encryptiemethode en een latere versie die AES inzet. Op het moment van schrijven is er nog geen manier gevonden om versleutelde data te ontsleutelen. Michael Gillespie van MalwareHunterTeam is de ransomware echter aan het analyseren om kwetsbaarheden op te sporen die decryptie mogelijk maken. De partijen adviseren slachtoffers het geëiste losgeld dan ook niet te betalen.
Remote Desktop Services
Het is niet zeker hoe Zenis wordt verspreid. MalwareHunterTeam en Bleeping Computer melden echter dat de ransomware mogelijk via gehackte Remote Desktop Services wordt verspreid. Zodra de ransomware zich op een systeem heeft genesteld, verwijdert de malware Volume Shadow Copies, schakelt het Startup Repair uit en worden logbestanden gewist. Vervolgens stopt de ransomware verschillende processen, waaronder task manager en backup-processen.
Nadat het systeem op deze wijze is voorbereid begint Zenis met het versleutelen van bestanden. Hierbij richt de ransomware zich op een breed scala aan bestanden, variërend van foto’s, video’s en muziekbestanden tot tekstdocumenten, spreadsheets en presentaties. Ook worden cryptowallets versleuteld. Bij het versleutelen van een bestand wordt de bestandsnaam van bestanden gewijzigd om identificatie van specifieke bestanden te bemoeilijken. Hierbij wordt de volgende bestandsnaam gehanteerd: Zenis-[twee willekeurige karakters].[twaalf willekeurige karakters]. Als voorbeeld noemt Bleeping Computer een bestand genaamd test.jpg, dat door de ransomware de bestandsnaam Zenis-4Q.4QDV9txVRGh4 toegewezen kan krijgen.
Backups vernietigen
Bij het versleutelen van data zoekt Zenis gericht naar bestanden die gerelateerd zijn aan backups. Deze bestanden worden door de ransomware driemaal overschreven en vervolgens verwijderd. Dit maakt het voor slachtoffers moeilijker data uit een backup terug te halen.
MalwareHunterTeam en Bleeping Computer adviseren gebruikers waakzaam te zijn voor verdachte bestanden en daarnaast zeker te stellen dat Remote Desktop Services correct is geconfigureerd. De partijen adviseren zeker te stellen dat computers die Remote Desktop Services draaien niet direct verbonden zijn met internet en bij voorkeur achter een VPN zijn geplaatst. Ook raden de partijen aan Remote Desktop Services correct te configureren om brute force aanvallen te bemoeilijken en beveiligingssoftware te installeren die het gedrag van bestanden analyseert om onder meer ransomware vroegtijdig op te merken. Tot slot wordt gebruikers geadviseerd zeker te stellen dat hun systeem volledig up-to-date is om zeker te stellen dat aanvallers geen misbruik kunnen maken van bekende en gepatchte beveiligingsproblemen.
Meer over
Lees ook
Miljard dollar gestolen in grootste digitale bankroof aller tijden
Een groep cybercriminelen heeft in twee jaar tijd maar liefst een miljard dollar weten buiten te maken bij banken en financiële instellingen. Kaspersky Lab spreekt van de allergrootste digitale bankroof aller tijde. De aanvallen zouden zijn uitgevoerd door Carbanak, een hackersgroep die wereldwijd actief is. Leden zouden onder andere uit China, Ru1
Des pirates détournent les données médicales de dizaines de millions d'Américains
Des pirates viennent à nouveau de mettre la main sur d'énormes quantités de données personnelles. En effet, des cybercriminels se sont introduits par effraction chez Anthem, l'un des plus gros assureurs médicaux des Etats-Unis pour y dérober les données clients de dizaines de millions d'Américains. Anthem a reconnu cette cyberattaque dans une déclaration. Des pirates se seraient introduits dans les systèmes IT de l'assureur pour y copier des informations personnelles de dizaines de millions de clients. Il s'agit notamment de noms, dates de naissance, numéros de sécurité sociale, ID médicales,1
Facebook lanceert platform om informatie over cybercrime uit te wisselen
Facebook wil bedrijven helpen cyberaanvallen effectiever en efficiënter aan te pakken door een platform op te zetten voor het delen van informatie over cybermisdaad. Bedrijven kunnen allerlei data over cyberaanvallen waarmee zij zijn geconfronteerd delen met andere bedrijven, die deze data kunnen inzetten om cyberaanvallen eerder op te sporen en beter aan te kunnen pakken. Het nieuwe platform heet ThreatExchange. Bedrijven die doelwit worden van cybercriminelen, kunnen data die zij over de aanval verzamelen op het platform delen met andere bedrijven. Denk hierbij aan malafide URL’s die worden1