Het lijkt erop dat de dreiging van de actoren die ransomware campagnes draaien constant bezig zijn met het schrijven van destructieve codering en de lancering van nieuwe virussen waar de beveiligingsindustrie nog geen volledig bruikbare oplossing voor heeft. Het is echt jammer dat het talent van deze mensen wegstroomt in de richting van black hat, maar het vooruitzicht op gemakkelijk geld verdienen maakt mensen uiteraard slecht. Eén van de meest beruchte ransomware programma’s, CryptoLocker 2017, heeft al een hele geschiedenis achter de rug. Het oorspronkelijke virus werd in september 2013 gelanceerd en werd in juni 2014 weer verwijderd. De momenteel actieve infectie die wij analyseren in dit artikel is in feite een opvolger, die waarschijnlijk is gemaakt door een andere cybercriminele bende. De algemene werking van deze malware is vergelijkbaar met die van de voorganger, maar er zijn ook verschillen.
Een van de verschillen is het waarschuwingsscherm van CryptoLocker. Het is niet langer rood en het is flagranter als het om het ego van de hackers gaat. Terwijl de vorige versie zou zeggen: “Je persoonlijke bestanden worden versleuteld” zegt deze versie “Waarschuwing we hebben je bestanden versleuteld met het CryptoLocker virus”.
De “we” component getuigt er waarschijnlijk van dat de fraudeurs ambitieuzer en onverschrokken zijn, maar we laten het maken van de individuele profielen maar over aan de psychologen. De technische workflow van het compromis begint met een besmetting van je PC, die de neiging heeft om te worden gevoed door social engineering. Een van de vectoren impliceert valse PostNL e-mails met de titel “Payroll reports” dat een Microsoft Excel-bestand als bijlage heeft. De corrupte bestanden kunnen ook worden gecamoufleerd als ZIP-archieven met daarin PDF’s. Eenmaal aangeklikt, laat de bijlage het payroll report achter op de computer.
Het virus scant computer drives op een aantal bestandsextensies en de eenmaal gevonden respectieve bestanden worden versleuteld met behulp van het AES-algoritme. Het komt dan met een waarschuwing met sommige details van wat er gebeurd is:
“Je belangrijke bestanden (inclusief die op de netwerkschijven, USB enz.): foto’s, video’s, documenten etc. werden gecodeerd met ons CryptoLocker virus. De enige manier om je bestanden terug te krijgen is door ons te betalen. Anders zullen al je bestanden verloren gaan.”
De in het bovenstaande bericht genoemde betaling wordt verondersteld te worden ingediend in Bitcoins, met de hoeveelheid die het equivalent is van ongeveer 500 USD. Elke besmette gebruiker krijgt een uniek Bitcoin-adres toegewezen. Tenzij binnen drie dagen betaald, zal het losgeld worden verhoogd. Wat de criminelen in wezen voorstellen is om de decryptie software, die de private cryptosleutel tot haar beschikking heeft, te kopen zodat de gekaapte bestanden kunnen worden hersteld. Maar dit is afpersing in zijn zuiverste vorm, in plaats van toe te geven aan de slechteriken, is het sterk aan te raden om een aantal tijdelijke oplossingen te proberen die worden behandeld in het volgende deel van deze handleiding. Het advies om CryptoLocker te verwijderen lost het probleem in het kader het herstellen van bestanden niet op maar het is een verplicht onderdeel van het opschonen van het algemene besturingssysteem.
Dit is een exclusieve efficiënte methode voor het aanpakken van malware in het algemeen en ransomware bedreigingen in het bijzonder. Het gebruik van een gerenommeerd beveiligingspakket zorgt voor nauwgezette detectie van alle viruscomponenten en een volledige verwijdering daarvan met slechts één enkele klik. Wees echter gewaarschuwd dat het verwijderen van deze infectie en het herstellen van je bestanden twee verschillende dingen zijn, maar de noodzaak om de plaag te verwijderen is onbetwistbaar omdat het tijdens het gebruik andere Trojaanse paarden stimuleert.
Er word gezegd dat CryptoLocker sterke crypto gebruikt om bestanden ontoegankelijk te maken, dus er is geen toverstokje dat alle gecodeerde gegevens in een handomdraai herstelt, behalve dan natuurlijk het betalen van het ondenkbare losgeld. Er bestaan wel technieken die je een helpende hand kunnen bieden bij het herstellen van de belangrijke dingen – kom erachter wat dat zijn.
Software voor het automatisch herstellen van bestanden
Het is interessant om te weten dat CryptoLocker de originele bestanden in een niet-versleutelde vorm wist. Het zijn de kopieën die de ransomware crypto bewerking ondergaan. Dus tools zoals Data Recovery Pro kunnen de verwijderde objecten herstellen, zelfs als ze op een veilige manier werden verwijderd. Deze oplossing is zeker de moeite waard want het bleek redelijk effectief te zijn.
Gebruik Schaduwkopieën Van Volumes
Deze aanpak is gebaseerd op de lokale Windows back-up van bestanden op de computer, die wordt uitgevoerd bij elk herstelpunt. Er is een belangrijke voorwaarde voor deze methode: het werkt alleen als de functie Systeemherstel werd ingeschakeld voor de besmetting. Ook als er wijzigingen na het meest recente herstelpunt werden gemaakt in een bestand, zullen deze niet worden weerspiegeld in de herstelde versie van het bestand.
Het Windows-besturingssysteem biedt een ingebouwde mogelijkheid van het herstellen van eerdere versies van bestanden. Het kan ook worden toegepast op mappen. Klik met de rechtermuisknop op een bestand of map, selecteer Eigenschappen en druk op de tab met de naam Vorige versies. Binnen de versies omgeving vind je de lijst van back-up kopieën van de bestanden/mappen, met de bijbehorende tijd en datum indicatie. Selecteer het laatste item en klik op Kopiëren als je wenst om het object te herstellen naar een nieuwe locatie die je kunt opgeven. Als je op de Terugzetten knop drukt zal het item worden hersteld naar de oorspronkelijke locatie.
Deze workflow herstelt eerdere versies van bestanden en mappen in een automatische modus in plaats van met de hand. Om dit te doen moet je de Shadow Explorer applicatie downloaden en installeren. Nadat je dit hebt uitgevoerd, selecteer je de naam van het station en de datum dat de bestand versies zijn gemaakt. Klik met de rechtermuisknop op de map of het bestand dat je nodig hebt en selecteer de Export-optie. Specificeer dan gewoon de locatie waarnaar de gegevens moeten worden hersteld.
Backups
Van alle opties die niet-losgeld gerelateerd zijn, is dit de meest optimale. In het geval je een back-up had gemaakt van je gegevens op een externe server voordat de ransomware je PC besmette, is het herstel van de bestanden gecodeerd door CryptoLocker zo eenvoudig als het inloggen op de respectievelijke interface, selecteer de juiste bestanden en initieer de herstelde transactie juist. Voordat je dat echter doet, moet je de ransomware volledig hebben verwijderd van je computer.
In het geval je ervoor kiest om de handmatige opschoningstechniek te gebruiken, kunnen sommige fragmenten van de ransomware zijn gebleven als versluierde objecten in het besturingssysteem of de registeringangen. Om ervoor te zorgen dat er geen kwaadaardige componenten van het CryptoLocker virus zijn achtergebleven moet je computer gescand worden met een betrouwbaar malware beveiligingspakket.