Ransomware ‘Kirk’ eist losgeld in digitale valuta Monero

Een nieuwe vorm van ransomware is opgedoken die wordt vermomd als een Low Orbital Ion Cannon (LOIC). Dit is een tool die kan worden gebruikt om websites te stresstesten, maar ook kan worden ingezet door gebruikers die deel willen nemen aan een Distributed Denial of Service (DDoS)-aanval. Zodra de ransomware een machine in gijzeling heeft genomen, wordt losgeld geëist in de digitale valuta Monero.

De ransomware is ontdekt door Jakub Kroustek, onderzoeker bij beveiligingsbedrijf Avast, die meldt dat de malware een Star Trek-thema heeft. Op basis hiervan wordt de ransomware ‘Kirk’ genoemd. Kirk wordt vermomd als het bestand ‘loic_win32.exe’ en wordt aangeboden als LOIC. Wie deze tool probeert te gebruiken krijgt de boodschap “The LOIC is initializing for your system … This may take some time”. Deze boodschap doet vermoeden dat de LOIC-tool gereed voor gebruik wordt gemaakt. In werkelijkheid versleutelt de ransomware op dit moment echter de data van het slachtoffer.

RSA-4096 codering

Kirk zoekt gericht naar bestanden met 625 verschillende bestandstypes en neemt deze data in gijzeling. Hierbij wordt gebruik gemaakt van de RSA-4096 codering, waarvan de encryptiesleutel wordt opgeslagen in een bestand genaamd ‘pwd’. Beveiligingsexpert Lawrence Abrams van Bleeping Computer benadrukt dat gebruikers die betaling overwegen die bestand niet moeten verwijderen, aangezien dit bestand nodig is om gegijzelde data weer te ontsleutelen.

Opvallend is dat de cybercriminelen achter Kirk losgeld eisen in de digitale valuta Moreno. Hiermee wijken de aanvallers af van de trend om losgeld in bitcoins te eisen. In eerste instantie wordt 50 Monero, omgerekend zo’n 1.100 dollar, aan losgeld geëist. Indien het slachtoffer na twee weken niet heeft betaald, wordt dit bedrag verhoogd naar 500 Monero (zo’n 11.000 dollar). Na een maand wordt de encryptiesleutel verwijderd, wat het decoderen van de data onmogelijk maakt.