Nieuwe Ongewone Android Ransomware

Recente onderzoeken door Check Point Software Technologies tonen aan dat deze malware verschillend is van alle andere mobiele ransomware, door z’n singuliere methode van communicatie met servers. Het gebruikt Extensible Messaging en Presence Protocol om te communiceren met C&C servers.

Hier is wat onderzoekers hebben ontdekt:

Ons Ransomware voorbeeld gebruikt een andere methode om z’n communicaties uit te voeren. Het gebruikt een veelgebruikt instant messaging protocol genaamd XMPP (Extensible Messaging and Presence Protocol) om informatie te zenden van het geïnfecteerde toestel en commando’s te verkrijgen zoals het encrypteren van gebruikersbestanden met een gegeven versleuteling, het zenden van een SMS, het bellen van een telefoonnummer en dergelijke. Het gebruiken van XMPP zorgt ervoor dat het moeilijker is voor beveiligingstoestellen om het C&C verkeer van de malware te traceren en het te onderscheiden van ander legitiem XMPP verkeer. Het wordt zo ook onmogelijk om verkeer te blokkeren door het monitoren van verdachte URL’s. Daarenboven heeft de malware geen additionele applicatie nodig die is geïnstalleerd op het toestel, aangezien de techniek externe ‘library’ functies gebruikt om de communicatie uit te voeren. XMPP ondersteunt TLS, de communicatie tussen de cliënt en de server is ook geëncrypteerd.

Het is niet heel moeilijk om zelf in deze situatie te geraken – wanneer u deze valse Flash Player downloadt en installeert (akkoord gaat met al z’n algemene voorwaarden, alle nodige toestemmingen geeft en dergelijke), dan zal een groot deel van de gegevens opgeslagen op uw mobiel toestel meteen worden geëncrypteerd.

Hoe te weten of uw toestel is geïnfecteerd? Eerst en vooral zal u een afbeelding zien zoals deze (zie de afbeelding hieronder):

{{image::http://www.2-viruses.com/wp-content/uploads/2015/09/ANDROID-RANSOMWARE-NSA-180×300.png::180::300::ANDROID-RANSOMWARE-NSA}}

Daarnaast zal u een SMS krijgen met de melding dat de afkoopsom verdrievoudigd zal worden als u de som niet betaalt in de volgende 48 uren. Dit is een klassieke bedreiging om gebruikers schrik aan te jagen en hen aan te zetten tot het betalen.

De meeste toestellen geïnfecteerd door deze ransomware, bevinden zich in de Verenigde Staten. Maar het komt ook voor in Europa en Azië. Tot nu toe heeft bijna 10 procent van de slachtoffers betaald voor de ransomware. De laagste afkoopsom is $200 maar dat bedrag kan stijgen tot $500.

Als uw toestel is geïnfecteerd door deze ransomware, raden we u niet aan om de afkoopsom te betalen. Zelfs als u betaalt, is er geen garantie dat uw bestanden zullen worden ontsleuteld.

   

Nieuwe Ongewone Android Ransomware schermafbeeldingen

 
     
 
     
september 17, 2015 12:51, september 17, 2015 12:51
   

Een gedachte over “Nieuwe Ongewone Android Ransomware

1 Comment

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *