Elke aanval met ransomware wordt vergezeld door een aantal verschillende indicatoren van bedreiging, welke uniek zijn voor verschillende manieren van het versleutelen van bestanden. Eerst en vooral bevatten deze de uitwisseling van de cryptosleutel, de extensies die toegevoegd worden aan de bestanden van het slachtoffer en zaken als losgeldberichten die de geïnfecteerde gebruiker erop aansturen om de gegevens terug te halen. Indien het laatste, IOC bevat een reeks documenten genaamd “Decrypt My Files” in TXT-, HTML- en VBS-formaat, dan is de losgeldtrojan Cerber de boosdoener.
Een stilstand in de vooruitgang van ransomware in meer een utopie dan iets dat op elk moment in de nabije toekomst kan optreden, gezien de ondenkbare winstgevendheid van deze bedreigingen voor kwaadaardige cybercriminelen die deze uitgeven. We hebben de laatste tijd ook cryptovirussen gezien die snel verschuiven in de richting van een affiliate-model, wat een poging was van vele experts die dit slechts enkele maanden later onrealistisch vonden. En nu draait alles om het nieuwe chique ransomware. Deze functionaliteit is ingebouwd in de code van Cerber, een nieuwkomer in het digitale domein. De trojan versleutelt de bestanden van zijn slachtoffer op zo’n manier dat regulier herstel niet mogelijk is en biedt aan om de gegevens te herstellen wanneer er 1.24 Bitcoins worden verzonden naar de veilige portemonnee van de criminelen. Zo bitter als het ook mag klinken, meer dan $500 betalen voor het losgeld is helaas de enige betrouwbare manier om weer toegang te verkrijgen tot de versleutelde bestanden.
De manier waarop Cerber wordt gepromoot is afhankelijk van wie zich daadwerkelijk bezighoudt met de verspreiding ervan. Het zit zo – het is een van de Ransomware als een Dienst of RaaS-campagne. Dit betekent dat mensen met slechte bedoelingen de code kunnen verkrijgen voor deze malware uit bepaalde darknet-bronnen en vervolgens het verkregen losgeld met de ontwikkelaar kunnen delen. De meest voorkomende manier van het uitgeven van deze plagen is door phishing-mails met zelf-uitpakkende archieven als bijlagen. Wanneer er een is geopend, wordt de infectie binnen slechts enkele seconden uitgevoerd. Het zoekt alle bestanden op de harde schijf op en binnen het interne netwerk die aan een vooraf bepaald aantal formaten voldoen. Al deze overeenkomsten worden dan versleuteld met een sterke AES-codering.
De gecodeerde bestanden zijn gemakkelijk te herkennen: ze bevatten allen de extensie .cerber, en bestandsnamen zijn zodanig gewijzigd dat deze onherkenbaar zijn. Wanneer je vervolgens een blik werpt op een willekeurige map, ziet de gebruiker ook de losgeldmappen. Er zijn er drie in elke map: # Decrypt My Files #.txt, # Decrypt My Files #.html, en # Decrypt My Files #.vbs. Het .vbs-bestand produceert een audiobericht met instructies bij het openen, wat klinkt als een kunstmatige intelligentie maar het is eigenlijk een paar regels code.
De koppeling naar TOR zoals aangegeven in de herstelgids linkt naar een website genaamd ‘Cerber Decryptor’. Slachtoffers kunnen hun taal naar keuze selecteren en vervolgens overgaan op het financiële gedeelte van deze hoax. De pagina bevat ook een klok die 7 dagen aftelt voordat het losgeld wordt verhoogt. Nogmaals, beveiligingsprofessionals hebben tot nu toe nog geen efficiënte methode kunnen ontwikkelen voor het herstellen van bestanden. Echter, er zijn een aantal technieken de moeite van het proberen waard om wat van de in beslag genomen gegevens te herstellen.
Het uitroeien van deze ransomware kan efficiënt worden bereikt met betrouwbare beveiligingssoftware. Door je te houden aan de automatische opschoontechnieken zorg je ervoor dat alle onderdelen van de infectie grondig van je systeem worden verwijderd.
Mogelijkheid 1: Gebruik bestandherstelsoftware
Het is belangrijk om te weten dat Cerber kopien maakt van je bestanden en deze versleutelt. Ondertussen worden de oorspronkelijke bestanden verwijderd. Er bestaan applicaties die verwijderde gegevens kunnen terughalen. Je kunt hulpmiddelen zoals Data Recovery Pro hiervoor gebruiken. De nieuwste versie van de ransomware in kwestie blijkt vellige verwijdering toe te passen met meerdere overschrijvingen, maar het is in elk geval de moeite waard om deze methode te proberen.
Mogelijkheid 2: Maak gebruik van back-ups
Ten eerste is dit een geweldige manier om je bestanden te herstellen. Het is echter alleen van toepassing als je back-ups hebt gemaakt van de informatie op je apparaat. In dat geval moet je zeker profiteren van je voorbedachtheid.
Mogelijkheid 3: Gebruik Schaduwvolumekopieën
Als je het nog niet wist, het besturingssysteem creëert zogenaamde Schaduwkopieën van alle bestanden, zolang Systeemherstel is geactiveerd op de computer. Omdat herstelpunten worden gecreëerd op bepaalde tijdstippen, worden ook momentopnamen van bestanden zoals ze er op dat moment uitzien gegenereerd. Weet wel dat deze methode niet garandeert dat de laatste versie van jouw bestanden wordt teruggezet. Het is echter zeker een poging waard. De methode is uit te voeren op twee manieren: handmatig en met het gebruik van een automatische oplossing. Laten we eerst eens kijken naar het handmatige proces.
Het dialoogvenster Eigenschappen voor willekeurige bestanden bevat een tabblad genaamd Vorige versies. Dat is waar de back-up-versies worden weergegeven en kunnen worden verhaald. Selecteer het laatste item en klik op Kopiëren als je wenst om het object te herstellen naar een nieuwe locatie die je kunt opgeven. Als je op de Terugzetten knop drukt zal het item worden hersteld naar de oorspronkelijke locatie.
Het bovenstaande proces kan worden geautomatiseerd met een tool genaamd ShadowExplorer. Het doet in principe hetzelfde (ophalen kopieën schaduwvolume), maar dan op een gemakkelijke manier. Download en installeer de applicatie dus, start het op en blader naar bestanden en mappen van vorige versies die u wilt herstellen. Om de klus af te maken, klik met de rechtermuisknop op één van de vermeldingen en selecteer de functie Export.
Overigens wordt deze vaak meegegeven met andere malware, wat de reden is waarom het zeker zin heeft om je systeem regelmatig te scannen met automatische beveiligingssoftware om ervoor te zorgen dat er geen schadelijke overblijfselen van het virus op jouw system zijn achtergebleven, evenals bijbehorende bedreigingen binnen het Windows-register en andere locaties.