Concurrenten van Chimera-ransomware publiceren 3500 decryptiesleutels

Volgens beveiligingsbedrijf Malwarebytes heeft de auteur van de Petya- en Mischa-ransomware 3500 sleutels van concurrent Chimera online gezet. Het bedrijf onderzoekt nog of de sleutels inderdaad werken.

 

Ook laat Malwarebytes weten dat het bezig is met het ontwikkelen van een decryptietool op basis van de uitgelekte sleutels, maar dat dit enige tijd in beslag kan nemen. De sleutels werden gedeeld via een bericht op Pastebin, waarin de auteur van de Mischa-variant claimt dat zijn team toegang heeft weten te verkrijgen tot de ontwikkelingsomgeving van Chimera. Dat zou hen in staat hebben gesteld om delen van de broncode over te nemen en de rsa-sleutels in handen te krijgen. Er zou echter geen samenwerking tussen de twee varianten bestaan.

Uit een eerdere analyse door het beveiligingsbedrijf blijkt dat Chimera naast het versleutelen van bestanden ook dreigt de bestanden van slachtoffers te publiceren als betaling van het losgeld uitblijft. Dit blijkt echter alleen een manier te zijn om de druk op te voeren, omdat er in werkelijkheid geen bestanden worden gepubliceerd. De onderzoekers stellen verder in hun blogpost dat slachtoffers van Chimera hun versleutelde bestanden niet moeten verwijderen omdat deze mogelijk nog te redden zijn.

Eerder deze week kondigde Europol en samenwerking met de Nederlandse politie en twee beveiligingsbedrijven aan onder de naam 'no more ransom'. Op de site van het project kunnen slachtoffers van ransomware en andere gebruikers informatie krijgen over de verschillende varianten, en zijn er een beperkt aantal decyptietools te vinden. Ook zijn er tips voor preventie, zoals het maken van backups. De site heeft in de eerste 24 uur ongeveer 2,6 miljoen bezoekers weten aan te trekken, zo meldt Raj Samani van Intel Security.