Syrk-ransonware verstopt in Fortnite-cheatpakket

Cybercriminelen proberen hun voordeel te doen met alles wat door het grote publiek wordt gebruikt, inclusief populaire games. Malware lijkt vaak simpelweg een illegale kopie of mobiele versie van een game te zijn, zeker als deze laatste nog niet officieel beschikbaar is.

Onlangs is er een ransomware-encryptor Syrk genaamd opgedoken. Het werd vrijgegeven als een cheat-pakket voor Fortnite — een spel dat in de afgelopen twee jaar 250 miljoen gebruikers heeft gekregen — Syrk belooft spelers van deze game twee cheats in één pakket: aimbot (een tool die automatisch richt) en WH (oftwel ESP, een cheat waarmee je de locatie van andere spelers in het spel kan ontdekken). Maar wat dit pakket echt doet, is het versleutelen van de bestanden van het slachtoffer en vervolgens geld vragen om deze weer vrij te geven.

Hoe de Syrk-ransomware werkt

Volgens onderzoekers van Cyren, is Syrk in principe een intacte kopie van open-source ransomware. Eenmaal uitgevoerd, maakt de software verbinding met een command-and-control-server en schakelt het de volgende programma’s uit:

• Windows Defender,
• UAC (het systeem dat de gebruiker toestemming vraagt om handelingen als administrator uit te voeren),
• apps voor procesbewaking die worden gebruikt om de infectie op te sporen, zoals Taakbeheer, Process Monitor en Process Hacker.

De cryptor voegt zichzelf ook toe aan de lijst automatisch laden, zodat de gebruiker hem niet kan verwijderen door simpelweg de computer opnieuw op te starten. Als er eventuele usb-drives met de computer zijn verbonden, probeert Syrk om ook deze te infecteren.

De malware begint vervolgens met het zoeken naar en versleutelen van mediabestanden, tekstdocumenten, spreadsheets en presentaties, ZIP- en RAR-bestanden en Photoshop- en Microsoft Visual Studio-bestanden. Dit geeft de daaruit voortkomende wirwar met de .SYRK-extensie.

De monitor toont vervolgens een verzoek om losgeld te betalen, dat niet kan worden afgesloten.

Syrk Ransomware seems inspired by a Fortnite Hacktool, terminates task manager, process hacker, really good at being persistent and annoying. Does encrypt but might still be in development. 30/67 in VThttps://t.co/x7Y6Tz4NB1 pic.twitter.com/6e9wI8XTQR

— Leo (@leotpsc) August 1, 2019

De tekst met het Guy Fawkes-masker op de achtergrond zegt dat de enige manier om de bestanden terug te krijgen is door contact op te nemen met de criminelen via een e-mail en ze te betalen. Het slachtoffer krijgt beperkte tijd omdat te doen: Syrk detecteert elke twee uur versleutelde bestanden. Eerst in de map met foto’s, vervolgens op het bureaublad en ten slotte de documenten van de gebruiker.

 Herstel gratis uw bestanden

Het goede nieuws is dat u niet hoeft te betalen, zelfs niet als Syrk uw computer heeft aangetast en uw documenten heeft versleuteld. De huidige versie slaat de sleutel die nodig is om de bestanden te decoderen namelijk op de geïnfecteerde computer op. De sleutel vindt u in de map C:UsersDefaultAppDataLocalMicrosoft, in een bestand met de naam -pw+.txt of +dp-.txt.

Om uw bestanden te herstellen:

• Kopieer de sleutel.
• Druk in het venster met het verzoek om losgeld op Toon mijn ID om een pagina te openen die uw ID weergeeft plus een uitnodiging: Voer sleutel in om uw Bestanden te Decoderen.
• Plak de sleutel in het juiste veld en druk op Decodeer mijn Bestanden.

Het programma herstelt nu de versleutelde foto’s en documenten en creëert vervolgens twee .exe-bestanden die worden uitgevoerd en de resten van de malware opruimen.

Er is een andere manier om uw bestanden te redden, maar deze manier is wat ingewikkelder. De malware bevat namelijk een decoderingscomponent dat de documenten herstelt, als het u lukt om dit component uit te pakken en uit te voeren. De infectie zelf moet echter wel handmatig worden verwijderd.

Bescherm uzelf tegen ransomware

Volgens de onderzoekers zijn bestanden die door Syrk worden verwijderd waarschijnlijk terug te krijgen, maar hier kan professionele hulp voor nodig zijn. Het herstellen van bestanden met gebruik van een lokaal opgeslagen sleutel werkt vooralsnog, maar de makers van de malware kunnen hun tool aanpassen om gebruikers de kans te ontnemen om hun bestanden te decoderen zonder te betalen. Het is zoals altijd het beste om te voorkomen dat u slachtoffer wordt van ransomware.

• Download nooit programma’s van onbetrouwbare bronnen, zelfs als die geweldige voordelen in games beloven. Vooral nietals deze geweldige voordelen in games beloven.
• Maak een back-up van uw bestanden en sla deze zo op zodat ze niet rechtstreeks toegankelijk zijn vanaf uw computer. Als u externe HDD’s of flash drives gebruikt, verbind deze dan alleen voor de duur van het maken van de back-up.
• Installeer een betrouwbaar beschermingssysteem. Kaspersky Internet Security detecteert Syrk als schadelijk object, wat betekent dat het nooit wordt toegestaan om uw bestanden te bereiken, zelfs niet als u het probeert te downloaden of uitvoeren.