- Inzicht in het infectieproces
Een nieuwe ransomware maakt rondes nadat de populaire externe desktop-tool, AnyDesk, werd benut. De ransomware, ook wel BlackRouter genoemd, verspreidt zich samen met kwaadaardige lading om enorme schade aan te richten.
Net als Teamviewer (dat ook eerder werd geëxploiteerd), biedt AnyDesk gebruikers bidirectionele controle tussen besturingssystemen zoals Linux, macOS, FreeBSD en Linux. Het is echter niet beperkt tot alleen desktop-gebaseerd besturingssysteem en biedt ook ondersteuning voor iOS en Android.
Omdat BlackRouter is gebundeld met AnyDesk, wat een vertrouwde tool is, slaagt het erin om detectie te ontwijken.
Inzicht in het infectieproces
Hoe de ransomware werkt, is dat het moet worden gedownload met AnyDesk van de verschillende sites van derden die er zijn.
Eenmaal gedownload en geïnstalleerd, kopieert BlackRouter twee andere bestanden op de computer om kwaadaardige processen uit te voeren, die als volgt zijn:
- % Gebruikerstemp% \ BLACKROUTER.exe
- % Gebruikerstemp% \ ANYDESK.exe
AnyDesk.exe geeft toegang tot client tot clientchat, voert bestandsoverdracht uit en registreert ook sessies. Maar dit is beperkt tot een oudere versie van AnyDesk, en niet een nieuwe. Wat BLACKROUTER.exe betreft, codeert de ransomware systemen in verschillende soorten extensies, bijvoorbeeld .xks, .gif, .pdf, enz.
Zodra de ransomware doet wat het moet doen, vereist het $ 50 aan Bitcoin, waarna toegang blijkbaar wordt verleend via Telegram. Bovendien waarschuwt het gebruikers om hun computers niet af te sluiten, om te voorkomen dat de gecodeerde bestanden voor altijd vergrendeld worden.
Voor nu is het raadzaam om uit de buurt te blijven van alle vergelijkbare toepassingen voor extern bureaublad delen. Hoe problematisch het ook is, het is de enige oplossing voor nu. Zorg er ook voor dat u een VPN gebruikt om veilig en anoniem online te blijven, tenzij u door de verkeerde menigte wilt worden gevolgd. Nee? Dacht het niet.
