Security
Het signaal dat de pc gekaapt is

Project No More Ransom maakt Wildfire ransomware onschadelijk

Geteisterde Nederlanders en Belgen worden bevrijd met gratis tool

24 augustus 2016

Geteisterde Nederlanders en Belgen worden bevrijd met gratis tool

Mensen die slachtoffer zijn van de Wildfire ransomware kunnen sinds kort terecht op een online portal, dat ze van hun besmetting kan afhelpen. De site is opgezet door de Nederlandse politie, Europol, Intel Security en Kaspersky Lab. De oprichters claimen, dat het initiatief binnen een maand bijna 5800 sleutels heeft opgespoord.

Met die sleutels kunnen de getroffenen hun versleutelde bestanden weer vrij krijgen. Van de gevonden sleutels waren er zo'n 3000 geschikt voor het oplossen van Nederlandse en ongeveer 2100 voor Belgische infecties. Kaspersky Lab wees de politie en het Openbaar Ministerie (OM) op de locatie van de WildFire command and control-server, die vervolgens offline kon worden gehaald.

Vooral Benelux

Het blijkt, dat Wildfire vooral is gericht op computerbezitters in Nederland en België. De afgelopen weken zijn zeker 50 procent van alle infecties in ons land geregistreerd en 36 procent in België. De twee landen zijn dus goed voor 86 procent van het totaal. In totaal betaalden 236 slachtoffers en verdienden de cybercriminelen in een maand 135,9 Bitcoins (omgerekend bijna 80.000 euro).

Volgens Kaspersky vertoont WildFire’s infection vector overeenkomsten met Zyklon en GNLocker: vanaf gehackte servers wordt namens een transportbedrijf een spam-mail gestuurd met de mededeling dat een bepaalde levering niet is nagekomen. Bij het bericht zit een te downloaden Word-bestand, dat kan worden gebruikt om een nieuwe afspraak te maken. Zodra de ontvanger het Word-bestand opent en de macro-functionaliteit is ingeschakeld, wordt de malware gedownload en geïnstalleerd.

Onschadelijk gemaakt

De Nederlandse politie en het OM hebben er inmiddels voor gezorgd dat de WildFire-server offline is, waardoor geen nieuwe slachtoffers meer kunnen worden gemaakt. De computers die zijn besmet met WildFire kunnen niet langer verbinding te maken met de servers van de criminelen. In plaats daarvan krijgt het slachtoffer de boodschap dat het kwaadaardige domein in beslag is genomen door de Nederlandse politie en ze NoMoreRansom.org kunnen bezoeken om de decryptietool te downloaden

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.