Van nature wil de mens persoonlijke dingen intact houden en dat is nu juist precies wat ransomware CryptoWall 3.0 vakkundig manipuleert naar zijn eigen voordeel. De zeer verstorende tactiek heeft invloed op bestanden op iemands computer. Het virus versleutelt de gegevens van het slachtoffer met de norm RSA-2048, wat het decoderen ervan bijna onmogelijk maakt, op zijn minst binnen de tijdsperiode die wordt gegeven door de infectie: 168 uur (7 dagen). De enige toepasbare methode om bestanden te herstellen binnen het kader van het genoemde algoritme impliceert de beschikbaarheid van de private sleutel, welke helaas wordt bewaard op een door criminelen geopereerde server en kan alleen worden gegeven als er een som van 500 Amerikaanse dollar is betaald aan losgeld. Dat is ongeveer gelijk aan 2.17 Bitcoins, wat de betaalmethode is welke de fraudeurs gebruiken in dit geval. Dat is zo’n beetje het verhaal, dus laten we het hoofd koel houden en de specificaties van deze vervelende dreiging eens onderzoeken.
CryptoWall 3.0, met als voorganger versie 2.0, is rond half januari 2015 live gegaan en is op meerdere manieren een verfijnde variant van ransomware. Ten eerste hebben de auteurs de eerder gebruikte techniek van het opnemen van exploitaties in de dropper opgegeven – in plaats daarvan, is de proliferatie nu afhankelijk van exploitatie-kits. Dit houdt in dat er meer mogelijkheden zijn tot verspreiding en meer privileges die potentieel kunnen worden verkregen op de getroffen machine. Bovendien bevat versie 3.0 een uitgebreide lijst van Tor-gateways die worden gebruikt voor communicatie met de command en control-server. De laatste Tor-gerelateerde functie is de vrij slimme zet van de slechteriken richting anonimiteit. Voor het slachtoffer betekent dit dat zij Tor Browser moeten installeren voordat ze de volgende instructies kunnen volgen.
Als deze ransomware eenmaal binnendringt zonder te kloppen, voert het op de achtergrond een scan uit om bestanden te vinden met populaire extensies op alle harde schijven van de PC. Alles dat wordt gevonden, wordt versleuteld met een publieke sleutel die deel uitmaakt van het algoritme RSA-2048. Ondertussen wordt de private sleutel gegenereerd en opgeslagen buiten de computer, en het ophalen van deze sleutel is een kwestie van het overdragen van het bedrag dat wordt geëist. Nadat de versleutelde gegevens zijn opgevangen, toont het virus een bestand genaamd HELP_DECRYPT (.TXT en .HTML) waarin de basisinstructies staan voor de volgende stappen die genomen moeten worden. Het bestand bevat ook meerdere links naar “uw persoonlijke homepage”, waarin nog meer specifieke gegevens zijn opgenomen. Dat zijn Web2Tor-gateways, waarvan de URL ongeveer is als volgt: ‘paytoc4gtpn5cz12.torforall.com/’, met andere mogelijke varianten die naar torman2.com, torwoman.com, en torroadsters.com verwijzen. Als u verder gaat, zal het CryptoWall Decrypt Service-scherm u helpen om de betaling af te ronden en een private sleutel te verkrijgen.
Het bedrag voor het losgeld wordt verdubbeld binnen 7 dagen tenzij het wordt voldaan, en zal dan oplopen tot 1000 Amerikaanse dollar. Natuurlijk zijn geen van deze bedragen geschikt voor degene die wordt geïnfecteerd, maar wat kunt u doen? Sommige versleutelde bestanden kunnen erg belangrijk zijn voor de gebruiker. Als CryptoWall 3.0 uw computer heeft besmet, bekijk dan de informatie hieronder om te leren hoe u uw bestanden kunt herstellen en de ransomware kunt verwijderen.
Dit is een zeer efficiënte methode om malware in het algemeen en ransomware-bedreigingen te verwijderen. Het gebruik van een gerenommeerde beveiligingssuite zorgt voor een zorgvuldige detectie van alle viruscomponenten en een volledige verwijdering ervan met een enkele klik. Wees echter gewaarschuwd, het verwijderen van deze infectie en het herstellen van uw bestanden zijn twee verschillende zaken, maar de noodzaak om de plaag te verwijderen is onbetwistbaar, omdat er wordt gemeld dat het andere Trojaanse paarden promoot tijdens het gebruik.
Er is gezegd dat CryptoWall 3.0 een sterke versleuteling uitvoert om de bestanden ontoegankelijk te maken, dus er is geen toverstokje dat alle versleutelde gegevens in een handomdraai kan herstellen, behalve natuurlijk het overhandigen van een ongelooflijk hoge som losgeld. Er bestaan echter wel technieken welke je een helpende hand kunnen bieden bij het herstellen van de belangrijke gegevens – leer welke dat zijn.
Automatische bestandsherstelsoftware
Het is interessant om te weten dat CryptoWall de originele bestanden op een niet-versleutelde manier verwijdert. Het zijn de kopieën die de ransomware versleutelt. Dus tools zoals Data Recovery Pro kunnen de verwijderde objecten herstellen, zelfs wanneer ze op een beveiligde manier zijn weggegooid. Deze oplossing is zeker de moeite waard, want het is bewezen redelijk effectief te zijn.
Kopieën schaduwvolume
Deze aanpak is gebaseerd op de native Windows back-up van bestanden op de computer, welke bij elk herstelpunt wordt uitgevoerd. Er zit een belangrijke voorwaarde aan deze methode vastgeplakt: het werkt als de functie Systeemherstel is ingeschakeld vóór de infectie. Bovendien, als er wijzigingen zijn gemaakt aan een bestand na het meest recente herstelpunt, worden ze niet weergegeven in de herstelde versie van het bestand.
Het dialoogvenster Eigenschappen voor willekeurige bestanden bevat een tabblad genaamd Vorige versies. Dat is waar de back-up-versies worden weergegeven en kunnen worden verhaald. Selecteer het laatste item en klik op Kopiëren als je wenst om het object te herstellen naar een nieuwe locatie die je kunt opgeven. Als je op de Terugzetten knop drukt zal het item worden hersteld naar de oorspronkelijke locatie.
Het bovenstaande proces kan worden geautomatiseerd met een tool genaamd ShadowExplorer. Het doet in principe hetzelfde (ophalen kopieën schaduwvolume), maar dan op een gemakkelijke manier. Download en installeer de applicatie dus, start het op en blader naar bestanden en mappen van vorige versies die u wilt herstellen. Om de klus af te maken, klik met de rechtermuisknop op één van de vermeldingen en selecteer de functie Export.
Back-ups
Van alle opties die niet gerelateerd zijn aan losgeld, is deze het meest optimaal. Mocht u een back-up van uw gegevens hebben opgeslagen op een externe server voordat de ransomware uw PC had besmet, is het herstellen van de door CryptoWall 3.0 versleutelde bestanden enorm eenvoudig: login op de respectievelijke interface, selecteer de juiste bestanden en begin met het herstellen. Echter, voordat u dit doet, wees er dan zeker van dat de ransomware volledig is verwijderd van uw computer.
Wanneer u ervoor heeft gekozen om de besmetting met de hand te verwijderen, kunnen er delen van de ransomware zijn achtergebleven in het besturingssysteem of in de registervermeldingen. Om ervoor te zorgen dat er geen kwaadaardige componenten van het CryptoWall-virus overblijven, laat uw computer dan scannen door een betrouwbare malware beveiligingssuite.