Er lijkt op dit moment een nieuwe variant van het Locky ransomware in omloop te zijn. In tegenstelling tot zijn voorganger Thor, voegt deze spin-off de .aesir extensie toe aan iemands versleutelde bestanden. Bovendien maakt deze infectie een bijgewerkte set van losgeldnotities met de naam “([random_number])-INSTRUCTION.html” en “([RANDOM_NUMBER]) – INSTRUCTION.bmp” om de slachtoffers te voorzien van een data decryptie oplossing. De dreiging heeft nog steeds dezelfde cryptografische normen en woekert via een ingewikkelde spam campagne.
Het is iets minder dan een maand geleden sinds de vorige Thor editie van de beruchte Locky ransomware live ging. De meest recente update van deze variëteit lijkt te hebben geleid tot een aantal opmerkelijke wijzigingen. Allereerst gebruikt de nieuwe Locky nakomeling een andere extensie om alle gecodeerde bestanden te infecteren. Meer in het bijzonder, het is begonnen met de .aesir string toe te voegen. Het principe van de bestandsnaam tweaking is nog precies hetzelfde als voorheen: de ransom Trojan vervangt de oorspronkelijke waarden met 5 groepen van hexadecimale tekens en het aantal daarvan bedraagt 32. De output van deze versluiering is als volgt: een normaal gegevensbestand krijgt een nieuwe naam die lijkt op MU7DRNBA-GI3N-X1GY-00D4-57BB6F127B22.aesir.MU7DRNBA-GI3N-X1GY-00D4-57BB6F127B22.aesir.
Een andere verandering heeft betrekking op de handleiding voor het betalen van het losgeld, die gedropt wordt door het Aesir virus. Deze worden “([random_number])-INSTRUCTION.html” en “([random_number])-INSTRUCTION.bmp” genoemd. De afbeelding editie (BMP-bestand) zal automatisch worden ingesteld als bureaublad achtergrond, zodat het het slachtoffer niet kan ontgaan wat de op betaling-gebaseerde herstelstappen zijn. De formulering van deze toelichting is onveranderlijk in alle varianten van de hoax. Ze zeggen: “Al je bestanden zijn versleuteld met RSA-2048 en AES-128 cijfers.” Het bericht geeft de feitelijke situatie aan, waarin de beoogde gebruikers zich bevinden. Deze variant van Locky voert een maakt een verbinding codering workflow, gebruikmakend van de symmetrische Advanced Encryption Standard om vervolgens de AES-sleutel te vercijferen met een nog sterker algoritme: het asymmetrische RSA-systeem. Omdat de dreigingsactoren dit deel professioneel deden, is er momenteel geen volledig betrouwbare methode om bestanden te decoderen, tenzij een besmet persoon voor de losgeld gerelateerde restauratie route kiest.
Een ernstige belemmering voor de detectie, die ook al werd waargenomen in de eerdere versie van deze plaag, is de versleutelingsroutine van offlinegegevens. Het betekent dat de ransomware niet in aanraking komt met haar Command and Control servers voor de encryptiesleutels. In plaats daarvan werkt het autonoom in de zogenaamde automatische piloot modus. Dit vormt een groot probleem omdat antivirus-suites en firewalls niet in staat zijn om de ransomware activiteit te identificeren op basis van verkeer dat gebaseerd is op het uitwisselen van verkeer met C2 sites.
De Aesir bestand ransomware plant zich voort door middel van een van de grootste spam-campagnes van de afgelopen maanden. De criminelen maken gebruik van e-mailbijlagen in JS, VBS-formaten, waarbij de infectie wordt gedownload als je het aanklikt. Een andere interessante aanvalsvector is een spam-campagne die besmettelijke .svg bestanden levert via de instant messenger van Facebook. Het wordt ten zeerste aanbevolen om je te onthouden van het downloaden van deze dubieuze bestanden, anders moet je wellicht 0,5 Bitcoin betalen voor de particuliere decoderingssleutel. Er zijn verschillende methoden die je kunnen helpen bij het herstel van een aantal .aesir bestanden die getroffen zijn door de laatste incarnatie van Locky. Lees het deel hieronder zorgvuldig door en probeer deze stappen, alvorens andere decoderingsopties te gebruiken.
Efficiënte uitroeiing van deze ransomware kan worden bereikt met betrouwbare beveiligingssoftware. Je vasthouden aan de automatische opschoningstechniek zorgt ervoor dat alle onderdelen van de infectie grondig uit je systeem weggevaagd worden.
Mogelijkheid 1: gebruik software voor het herstellen van de bestanden
Het is belangrijk om te weten dat het Locky-virus kopieën van je bestanden creëert en ze versleutelt. In de tussentijd worden de oorspronkelijke bestanden verwijderd. Er bestaan applicaties die de verwijderde data kunnen herstellen. Je kunt voor dit doel gebruikmaken van hulpmiddelen zoals Data Recovery Pro. De nieuwste versie van de ransomware in kwestie heeft de neiging om het veilig verwijderen met een aantal overschrijvingen toe te passen, maar in ieder geval is deze methode het proberen waard.
Mogelijkheid 2: maak gebruik van back-ups
Eerst en vooral is dit een geweldige manier voor het herstellen van je bestanden. Het is echter alleen van toepassing als je al een back-up van de informatie, die is opgeslagen op je computer, hebt gemaakt. Als dat zo is, profiteer dan van je voorbedachtheid.
Mogelijkheid 3: gebruik Shadow Volume Copies
Voor het geval dat je dat niet wist, het besturingssysteem creëert, zolang de System Restore functie wordt geactiveerd op de computer, van elk bestand zogenaamde Shadow Volume Copies. Omdat de herstelpunten worden gemaakt op bepaalde tijdstippen, worden er ook momentopnamen van bestanden zoals ze op dat moment verschijnen, gegenereerd. Weet dat deze methode niet zorgt voor het herstel van de nieuwste versies van je bestanden. Maar het is zeker de moeite waard om het te proberen. Dit kun je op twee manieren doen: handmatig en door gebruik te maken van een automatische oplossing. Laten we eerst een kijkje nemen bij het handmatige proces.
Het dialoogvenster Eigenschappen voor willekeurige bestanden bevat een tabblad genaamd Vorige versies. Dat is waar de back-up-versies worden weergegeven en kunnen worden verhaald. Selecteer het laatste item en klik op Kopiëren als je wenst om het object te herstellen naar een nieuwe locatie die je kunt opgeven. Als je op de Terugzetten knop drukt zal het item worden hersteld naar de oorspronkelijke locatie.
Het bovenstaande proces kan worden geautomatiseerd met een tool genaamd ShadowExplorer. Het doet in principe hetzelfde (ophalen kopieën schaduwvolume), maar dan op een gemakkelijke manier. Download en installeer de applicatie dus, start het op en blader naar bestanden en mappen van vorige versies die u wilt herstellen. Om de klus af te maken, klik met de rechtermuisknop op één van de vermeldingen en selecteer de functie Export.
Nogmaals, het verwijderen van malware alleen zal niet leiden tot het ontcijferen van je persoonlijke bestanden. Of de bovengenoemde methoden om data te herstellen wel of niet zijn gelukt staat los van het feit dat de ransomware zelf niet in je computer hoort. Overigens komt het wel vaak samen voor met andere malware, daarom is het zeker zinvol om herhaaldelijk het systeem te doorzoeken met automatische beveiligingssoftware, om ervoor te zorgen dat er geen schadelijke overblijfselen van dit virus en de bijbehorende bedreigingen worden achtergelaten in het Windows-register en andere locaties.