Nieuwe ransomware vernietigt backups om herstel te bemoeilijken

Een nieuwe vorm van ransomware genaamd Zenis versleutelt niet alleen data op getroffen systemen, maar probeert ook gericht backups van slachtoffers te vernietigen. De ransomware heeft al meerdere slachtoffers gemaakt.

Zenis is ontdekt door MalwareHunterTeam, dat de ransomware samen met Bleeping Computer heeft geanalyseerd. MalwareHunterTeam heeft twee versies van Zenis ontdekt: een vroege variant die gebruik maakt van een op maat gemaakte encryptiemethode en een latere versie die AES inzet. Op het moment van schrijven is er nog geen manier gevonden om versleutelde data te ontsleutelen. Michael Gillespie van MalwareHunterTeam is de ransomware echter aan het analyseren om kwetsbaarheden op te sporen die decryptie mogelijk maken. De partijen adviseren slachtoffers het geëiste losgeld dan ook niet te betalen.

Remote Desktop Services

Het is niet zeker hoe Zenis wordt verspreid. MalwareHunterTeam en Bleeping Computer melden echter dat de ransomware mogelijk via gehackte Remote Desktop Services wordt verspreid. Zodra de ransomware zich op een systeem heeft genesteld, verwijdert de malware Volume Shadow Copies, schakelt het Startup Repair uit en worden logbestanden gewist. Vervolgens stopt de ransomware verschillende processen, waaronder task manager en backup-processen.

Nadat het systeem op deze wijze is voorbereid begint Zenis met het versleutelen van bestanden. Hierbij richt de ransomware zich op een breed scala aan bestanden, variërend van foto’s, video’s en muziekbestanden tot tekstdocumenten, spreadsheets en presentaties. Ook worden cryptowallets versleuteld. Bij het versleutelen van een bestand wordt de bestandsnaam van bestanden gewijzigd om identificatie van specifieke bestanden te bemoeilijken. Hierbij wordt de volgende bestandsnaam gehanteerd: Zenis-[twee willekeurige karakters].[twaalf willekeurige karakters]. Als voorbeeld noemt Bleeping Computer een bestand genaamd test.jpg, dat door de ransomware de bestandsnaam Zenis-4Q.4QDV9txVRGh4 toegewezen kan krijgen.

Backups vernietigen

Bij het versleutelen van data zoekt Zenis gericht naar bestanden die gerelateerd zijn aan backups. Deze bestanden worden door de ransomware driemaal overschreven en vervolgens verwijderd. Dit maakt het voor slachtoffers moeilijker data uit een backup terug te halen.

MalwareHunterTeam en Bleeping Computer adviseren gebruikers waakzaam te zijn voor verdachte bestanden en daarnaast zeker te stellen dat Remote Desktop Services correct is geconfigureerd. De partijen adviseren zeker te stellen dat computers die Remote Desktop Services draaien niet direct verbonden zijn met internet en bij voorkeur achter een VPN zijn geplaatst. Ook raden de partijen aan Remote Desktop Services correct te configureren om brute force aanvallen te bemoeilijken en beveiligingssoftware te installeren die het gedrag van bestanden analyseert om onder meer ransomware vroegtijdig op te merken. Tot slot wordt gebruikers geadviseerd zeker te stellen dat hun systeem volledig up-to-date is om zeker te stellen dat aanvallers geen misbruik kunnen maken van bekende en gepatchte beveiligingsproblemen.