I veckan har IDG.se rapporterat om usb-minnen som spridits i företagsparken Lindholmen i Göteborg, där en lång rad tunga företag bedriver forskning . Nu kan vi avslöja att minnena innehåller en ny variant av ett redan känt ransomware för Windows, som i säkerhetsföretaget Esets virusdatabas kallas för Philadelphia.

IDG.se har låtit Anders Nilsson, säkerhetsspecialist på Eset, analysera koden på ett av de upphittade USB-minnena och han är förbryllad över innehållet.

– Det är en rätt vanlig typ av ransomware, men det är ett mycket märkligt sätt att sprida det på, säger han.

En av anledningarna till att Anders Nilsson anser att spridningsmetoden är märklig är att gisslanprogrammet på minnet inte körs automatiskt när man sätter i det i en dator. Det finns med andra ord ingen autorunfunktion. I stället verkar upphovsmakarna hoppas att de som hittar minnet inte bara ska sätta i det i sin dator utan även dubbelklicka på binärfilen som finns på.

Läs också: Usb-attacken: Fordonstillverkaren CEVT slog larm – "insåg det var något lurt"

– Man hade lika gärna kunnat skicka ut ett massmail med det här i. Det hade nog varit billigare och vanligare, säger Anders Nilsson.

Det mesta tyder alltså på att den som försökt genomföra attacken är en amatör.

Ransomwaret Philadelphia har varit känt av säkerhetsföretag sedan september, men det som finns på Lindholmen-minnena är en ny variant av den. Enligt Anders Nilssons analys kompilerades koden så sent som på lördagen den 11 mars, det vill säga bara några dagar innan de började spridas på Lindholmen.

Efter några samtal kan Anders Nilsson bekräfta för IDG.se att det gisslanprogram som finns på minnet är ett ransomware som kan köpas på svarta marknaden. Även i Italien och Slovakien har samma variant dykt upp, nästan samtidigt som minnena hittades i Lindholmen.

Användarnamnet på datorn som kompilerat programmet tyder på att det handlar om en svensk användare, men troligtvis handlar det endast om personen i fråga har lagt till en egen bitcoinadress som offer ska betala lösensumma till och då behövt kompilera om programmet.

En annan märklig detalj uppenbarar sig när Anders Nilsson lyckas återskapa ett stort antal raderade filer från minnet. De flesta av dem visar sig vara semesterfoton från, vad som verkar vara, en helt vanlig familj i Australien. Fotona är, enligt metadatan, tagna för flera år sedan.

Läs också: Misstänkt nätfiske-angrepp i Göteborg – usb-minnen med skadeprogram funna på Lindholmen

– Det finns inte mycket som tyder på att den här familjen har någonting med det här ransomwaret att göra. Det är mer troligt att det handlar om ett återanvänt minne som sålts vidare, säger Anders Nilsson.

För de som drabbats av gisslanprogrammet, det vill säga de som faktiskt kört binärfilen som finns på minnet, har Anders Nilsson ändå lugnande besked. Det ser ut att vara en ganska enkel historia att dekryptera de filer som programmet låser. Eset har dessutom redan lagt till det i sin databas och troligtvis kommer fler säkerhetsföretag göra detsamma om det inte redan är gjort.

– Det finns inget som tyder på att det skulle vara speciellt svårt att ta bort som jag upptäckt, men man ska så klart inte köra igång programmet alls, säger han.