Fænomenet kaldes ransomware og har været kendt i flere år. Men der er gået relativt lang tid fra sidste bølge af angreb, som i følge Virus Bulletin var for et par år siden. Ransomware blev dengang spået til at blive en af de større trusler mod internetbrugerne i fremtiden.
Og profetien holder tilsynelande stik. Det pågældende stykke software, af typen trojansk hest, inficerer brugerens computer og krypterer personlige filer og arkiver. Efter gort arbejde bliver der lagt en readme-fil på skrivebordet, som lyder således:
Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.
To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.
If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.
Glamorous team
Ifølge Kaspersky er der i et vist omfang tale om varm luft. For eksempel bruger programmet ikke den nævnte algoritme, som regnes for ubrydelig, men en anden, der lettere kan knækkes. Påstanden om, at trojaneren har sendt personlige data til hackerne, er også falsk.
Kaspersky har mærket trojaneren som Virus.Win32.Gpcode.ai, og påpeger, at de indtil videre har haft held med at låse de krypterede filer op. Så ingen grund til panik, hvis uheldet skulle være ude.
PandaLabs skriver på deres blog, at trojaneren udspringer af Trj/Sinowal-familien. Ifølge dem er der lidt over 1.000 inficerede maskiner derude, så problemet er ikke udbredt indtil videre.
