Malwarebytes har släppt ett gratis dekrypteringsverktyg för att hjälpa offren för en ny ransomware-attack att återställa sina data från cyberbrottslingar som använder en teknisk support-scam-teknik. Den nya ransomware-varianten som kallas VindowsLocker dök upp förra veckan. Det fungerar genom att ansluta offer till falska Microsoft-tekniker för att få sina filer krypterade med ett Pastebin API.

Svindlare för teknisk support har riktat sig mot intetanande Internetanvändare sedan länge. En kombination av social teknik och bedrägeri, den skadliga taktiken har utvecklats från kalla samtal till falska varningar och senast skärmlås. Svindlare med teknisk support har nu lagt till ransomware i sitt attackarsenal.

Jakub Kroustek, en AVG-säkerhetsforskare, upptäckte först VindowsLocker ransomware och namngav hotet baserat på filtillägget.vindows det lägger till alla krypterade filer. Ransomware från VindowsLocker använder AES-krypteringsalgoritmen för att låsa filer med följande tillägg:

VindowsLocker efterliknar teknisk supportbedrägeri

Ransomware använder en taktik som är typisk för de flesta tekniska supportbedrägerier genom att offren ombeds ringa ett tillhandahållet telefonnummer och prata med en teknisk supportpersonal. Däremot begärde ransomware-attacker tidigare att få betalningar och hanterade dekrypteringsnycklar med hjälp av en Dark Web portal.

detta inte stödjer Microsoft

vi har låst dina filer med zeus-viruset

gör en sak och ring nivå 5 microsoft supporttekniker på 1-844-609-3192

du arkiverar tillbaka för en engångsavgift på $ 349, 99

Malwarebytes anser att svindlarna fungerar baserat från Indien och efterliknar Microsofts tekniska supportpersonal. VindowsLocker använder också en till synes legitim stödsida för Windows för att ge ett falskt intryck av att teknisk support är redo att hjälpa offren. Stödssidan ber om offrets e-postadress och bankuppgifter för att behandla betalningen av $ 349, 99 för att låsa upp en dator. Att betala lösenpengar hjälper dock inte användare att återställa sina filer enligt Malwarebytes. Detta beror på att VindowsLocker-utvecklare nu inte kan avkoda automatiskt en infekterad dator på grund av vissa kodfel.

Malwarebytes förklarar att VindowsLocker ransomware-kodare har böjt en av API-nycklarna avsedda att användas i korta sessioner. Följaktligen löper API-nyckeln ut efter en kort period och de krypterade filerna går online, vilket hindrar VindowsLocker-utvecklarna från att tillhandahålla AES-krypteringsnycklar till offer.

Läs också:

• Identifiera ransomware som krypterade dina data med detta gratis verktyg
• Hur man tar bort Locky ransomware för gott
• Malwarebytes släpper gratis dekrypterare för Telecrypt ransomware
• Locky ransomware sprids på Facebook cloaked som.svg-fil