Hitler-ransomware vraagt om geld en verwijdert toch alle bestanden

Bij het gros van de ransomware krijg je jouw bestanden terug als je betaalt. Behalve bij deze Hitler-ransomware.

De nieuwe Windows-ransomware, ontdekt door malware-analist Jakub Kroustek van beveiligingsbedrijf AVG, toont een foto van Hitler met de tekst 'This is the Hitler-Ransonware' (sic). Op het scherm, dat de computer overneemt, staat dat je bestanden zijn versleuteld en dat je een Vodafone-kaart van 25 euro moet kopen om weer toegang te krijgen. 

De computer laten crashen

Maar de ransomware versleutelt helemaal geen bestanden, het verwijdert alleen de bestandsextensie, zoals .jpg of .doc. Op het scherm wordt afgeteld vanaf één uur: zo lang heb je de tijd om de Vodafone-kaart te kopen. Na dat uur crasht de ransomware automatisch de computer, waarna alle bestanden in de folder van de gebruiker zijn verwijderd. Weg zijn je bestanden.

De Hitler-ransomware wordt geïnstalleerd via een malafide .exe-bestand dat met gratis software wordt gebundeld. Het virus is volgens IT-website Bleeping Computer nog niet helemaal af: het zou een soort testversie zijn die als proef wordt verspreid.

Oplossing

Een oplossing is om, zodra de Hitler-ransomware is geactiveerd, de computer opnieuw op te starten in de veilige modus, om vervolgens een antivirusprogramma te draaien. Dat betekent wel dat al je bestanden een extensie missen, maar dat kun je nog handmatig aanpassen - het is in ieder geval beter dan dat je bestanden worden verwijderd.

Deze methode werkt overigens niet bij 'echte' ransomware die bestanden wél versleutelen. Dan is er een sleutel nodig om weer toegang te krijgen tot je bestanden, die je vaak alleen verkrijgt met een betaling in bitcoin. Sommige ransomwareversies zijn wel te verwijderen, maar bij velen is betalen de enige oplossing.