Vorige maand ontdekten mensen dat een ransomware-variant onder de naam DXXD circuleerde, gerichte servers en gecodeerde bestanden erop. Voor de gemoedsrust van degenen die getroffen zijn, slaagde Michel Gillespie, die werkt als beveiligingsonderzoeker, echter om de malware te analyseren en met software te komen die de bestanden decodeerde.

Desondanks hebben de ontwikkelaars van de ransomware, nadat hij dit voor elkaar had gekregen, snel geantwoord, het algoritme aangepast en het onmogelijk gemaakt om te decoderen.

Er is echter niets bijzonders aan de DXXD-ransomware. Wanneer een systeem is geïnfecteerd, voegt het een "dxxd" -extensie toe aan elk van de bestanden waarop het betrekking heeft. Als u bijvoorbeeld een bestand met de naam picture.jpg hebt, wordt de naam picture.jpgdxxd nadat het is gecodeerd. De ransomware zal zoveel mogelijk bestanden op uw computer vergrendelen, inclusief de netwerkshares. U ziet alleen een ReadMe.TxT-bestand dat u instructies geeft over hoe u via e-mail contact kunt opnemen met de ontwikkelaars en hen geld kunt sturen om uw computer te ontgrendelen.

Wat echter anders is dan de andere crypto-malwareprogramma's die er zijn, is het feit dat deze een instelling in Windows Registry wijzigt. De specifieke instelling wordt vervangen door één losgeldbrief, in plaats van de juridische kennisgeving die meestal wordt weergegeven wanneer een gebruiker zich aanmeldt op de computer.

Helaas lijkt het erop dat de ransomware-ontwikkelaars van DXXD nog niet klaar zijn. Ze registreerden een account bij de Bleeping Computer, een website voor computerbeveiliging, en gebruiken deze om hun slachtoffers te plagen, met name de paar beveiligingsonderzoekers die een oplossing voor de ontcijfering van de malware proberen te vinden. Onderzoekers hebben al bevestigd dat de ontwikkelaars van DXXD een nieuwere versie van de malware, die nog moeilijker te kraken is, en ze vertrouwden op een zero-day kwetsbaarheid om dat te doen.