30 april 2006

Het Trojaanse paard Troj/Ransom-A komt op gebruikelijke wijze via bijlagen bij e-mails of via 'malicious' websites binnen. Het is een opmerkelijk virus, eentje die behoort tot een nieuwe soort van kwaadwillende software: 'ransomware', gijzel-software. In dit geval: indien de eigenaar van de geïnfecteerde computer niet snel $ 10,99 overmaakt via de betaalservice van Western Union, dreigt het virus iedere 30 minuten een van de in een ontoegankelijk geëncrypteerd bestand weggeschreven bestanden te wissen. ALs een computer geïnfecteerd is, blijkt dat uit de pornografische beelden die worden getoond plus een scheldpartij van de maker van het virus in een overigens abominabel taalgebruik. De virusschrijver beweert dat het virus niet te verwijderen is en dat de enige manier om er vanaf te komen het verwerven van een 'CIDN-nummer' is door overboeking van het losgeld. Met het invoeren van de code zou het Trojaanse Paard verwijderd worden en de toegang hersteld. Wat de waarde van die uitspraak van een crimineel waard is, is natuurlijk nog maar de vraag. Helaas laat het virus zich niet eenvoudig verwijderen: de toetscombinatie CNTRL-ALT-DEL wordt door de virus uitgeschakeld.

Beveiligingsexperts zeggen dat dit soort virussen uitgebreid in gebruik zijn in Rusland. De virusschrijver gaat zelfs zover dat hij 'service' biest: hij heeft een e-mail-adres bekendgemaakt waar een slachtoffer zich kan melden indien de geïnfecteerde computer na het invoeren van de toegezonden code niet goed blijkt te werken. Anti-virusbedrijf Sophos maakte de trojan bekend en geeft aan dat het het tweede geval is in vijf weken tijd. Eerder in maart eisten twee gelijksoortige virussen, Cryzip en Zippo.a een losgeld van $ 300 in ruil voor een wachtwoord dat een kwaadaardige zip-file weer toegankelijk maakte. Het bericht dat de eigenaar van de geïnfecteerde computer te lezen krijgt is: 'Listen up muthafucka. is this computer valuable. it better not be. is this a business computer. it better not be. do you keep important company records or files on this computer. you'd better hope not. because there are files scattered all over it tucked away in invisible hidden folders undetectable by antivirus software the only way to remove them and this message is by a CIDN number'. Graham Cluley van Sophos zegt dat 'the trojan does not appear to be the smartest tool in the box'. Cluley is vooral bevreesd dat dit een nieuwetrend kan zijn in het afpersen van geld. Advies is om altijd de meest recente anti-virusbestanden te draaien en voorzichtig te zijn met de e-mail-bijlagen. Zoals altijd dus….