Locky beslaat het overgrote merendeel van alle ransomware. Van de gevonden gijzelsoftware lijkt bijna 97% een variant van Locky te zijn, volgens een onderzoeksrapport van Proofpoint. Daarmee overschaduwt Locky de andere bekende ransomware zoals TeslaCrypt en Coinvault. En belangrijker: Voor Locky zijn geen sleutels beschikbaar.
Dat zegt het onderzoeksbedrijf Proofpoint in een rapport.
97%
Van alle onderzochte ransomware in het derde kwartaal van 2016 bleek 96,8% een variant van Locky te zijn. Locky is een vorm van gijzelsoftware die wordt verstuurd in een .zip-bestandje of een document waar macro’s in zitten. Locky wordt in grote hoeveelheden verstuurd naar grote groepen gebruikers, vaak door gebruik te maken van emailadressen die ooit gestolen zijn bij een hack.
Ransomware as a service
Het is voor hackers relatief simpel om Locky zelf te verspreiden. De malware kan namelijk makkelijk worden gekopieerd en worden verstuurd via een bestand. Dat betekent dat er niet één persoon achter de ransomware zit, maar dat iedereen het kan verspreiden.
Dat past binnen en groeiende trend in ransomware waar antivirusbedrijven voor waarschuwen, wat ‘ransomware-as-a-service’ wordt genoemd. Dat betekent dat ransomware steeds goedkoper wordt en voor weinig geld wordt verhandeld op ondergrondse internetmarktplaatsen.
Lees ook: ‘Politie: “Kans op ontsleuteling bij betalen van ransomware relatief groot”‘
Niet effectief
Hoewel het aantal verstuurde ransomware voor het grootste deel van Locky komt, wil dat niet zeggen dat Locky ook het meest effectief is. Relatief weinig mensen betalen het losgeld voor die ransomware, terwijl andere vormen van gijzelsoftware zich op ziekenhuizen of het bedrijfsleven richten omdat daar wél voor wordt betaald.
Moeilijk te ontsleutelen
Omdat er zoveel verschillende versies van Locky bestaan, is het haast onmogelijk om de bestanden te ontsleutelen. Dat komt omdat de sleutels voor de encryptie voor iedere aanval anders zijn, en alleen bij de verspreiders bekend zijn. Omdat Locky niet vanuit één plek wordt verspreid, zijn die sleutels bijna niet na te trekken.
No More Ransom
De Nederlandse en Europese politie werken samen met beveiligingsbedrijven zoals Kaspersky om ransomware tegen te gaan, maar Locky is daarbij een opvallende ontbrekende naam. Via het project No More Ransom kunnen slachtoffers van ransomware hun bestanden gratis ontsleutelen. Dat gebeurt met sleutels die eerder in beslag zijn genomen door de opsporingsdiensten, maar Locky-sleutels zitten daar zelden bij.