Wij laten automatisering
voor u werken
radecom

Smart HDD Trojan richt ravage aan in Nederland

Pc-reparateurs maken naar eigen zeggen overuren met computers die zijn geïnfecteerd met de Smart HDD Trojan. Deze malware richt een complete ravage aan.

In een fractie van een seconde gebeurt het, gewoon tijdens het Googelen en surfen naar legitieme sites op een willekeurige Windows-pc. Over het scherm buitelen eindeloze tekstschermen met mededelingen als 'Hard drive boot sector reading error' of 'error 0x00000024 - NTFS_FILE_SYSTEM'. Kort daarna verschijnt een harde schijf-scanner in beeld - genaamd Smart of S.M.A.R.T HDD - waarvan je zeker weet dat je die nooit zelf hebt geïnstalleerd.

Bestanden weg, bootsector kapot

Intussen is het bureaubladscherm op zwart gegaan en zijn allerlei menu's en folders spoorloos verdwenen. De virusscanner (McAfee, AVG en Microsoft Security Essentials) heeft de Trojan niet tijdig kunnen onderscheppen. Bovendien levert een poging tot schonen achteraf geen resultaat op: na de herstart blijft alles bij het oude. Soms is de situatie dan nog erger: de pc start domweg niet meer op, aangezien de bootsector is beschadigd.

De Smart HDD trojan is niet nieuw. De eerste versies dateren van 2010, maar die waren minder vernietigend dan de nieuwste varianten, die zo rond afgelopen februari zijn opgedoken. De verspreiding van de allernieuwste variant gaat enorm snel, getuige honderden klachten in forums. Ook in Nederland houdt de Trojan flink huis.

"We zien door heel Europa een verhoogde activiteit", zegt Toralv Dirro, specialist van McAfee Labs in Duitsland, tegen Webwereld. "De truc is om zo snel mogelijk nieuwe varianten uit te brengen die niet door virusscanners worden onderschept."

Ransomware

De gebruikers van deze malware verdienen volgens Dirro op verschillende manieren aan hun malafide werk. De software vraagt onder meer geld voor een licentiesleutel. Zodra die betaalde ontgrendeling is ingevoerd, wordt de bestandssabotage weer ongedaan gemaakt. Allerlei verwijzingen en folders die stiekem zijn opgeslagen in een %Temp%\smtmp folder worden dan teruggezet.

"Alle ransomware komt bijna per definitie uit Rusland en de Oekraïne", vertelt Dirro. "Deze criminelen werken met affiliates die betaald krijgen voor het plaatsen van het virus op een website. Wij hebben een aantal jaren geleden zo'n groep in de Oekraïne gevolgd en gezien dat ze in elf maanden 180 miljoen dollar omzet genereerden. Dan begrijp je ook dat ze alle reden hebben om in hoog tempo nieuwe versies te distribueren."

Omslachtige verwijdering

Er zijn diverse middelen en methoden om het virus te verwijderen, maar die zijn omslachtig voor de gemiddelde gebruiker. Diverse sites hebben een actievatiecode gepubliceerd (15801587234612645205224631045976), die in combinatie met een niet bestaand e-mailadres kan worden gebruikt. Getroffen gebruikers kunnen daarmee hun bestanden weer terugkrijgen, maar zij moeten daarna nog wel de Trojan verwijderen.

Bron webwereld