De Locky ransomware heeft een make-over gekregen en er is onlangs een nieuwe variant vrijgegeven en deze keer hebben de versleutelde bestanden de .lukitus extensie.
Het gedrag van Locky, een van de meest wijdverspreide soorten ransomware tot op heden, laat zien hoe dynamisch de online wereld van afpersing is. De laatste verschijning van Locky heet Lukitus, die door middel van de extensie wordt gekoppeld aan alle bestanden die een kwaadaardige encryptie hebben. Dit Finse woord dat “vergrendeling” betekent, geeft de ernst van dit virus al aan.
.lukitus bestanden en losgeld notitie in een map
Net als voorheen maakt het .lukitus bestandsvirus slachtoffers door middel van malspam. De e-mails met daarin besmette bestanden worden in grote hoeveelheden door een botnet genaamd Necurs gegenereerd. Gebruikers die deze berichten ontvangen, lopen het risico om de infectie toe te laten op hun computers, zolang ze de berichtjes voor een factuur of voor een gemiste bezorging blijven openen. Het bijgevoegde Microsoft Word-document lijkt op een lokmiddel, maar als het eenmaal geopend is, is dit of leeg of onleesbaar. De hele truc draait om macro’s in Office, die blijkbaar door de gebruiker geopend moeten worden om de inhoud van het document te kunnen lezen. Zodra de ingebouwde VBA-macro wordt geopend, beginnen de dingen uit de hand te lopen – de Lukitus ransomware wordt op een foutieve manier gedownload en op het hostsysteem geïnstalleerd.
BMP editie van Lukitus losgeld notitie die het oorspronkelijke desktop behang vervangt
Eenmaal geïnstalleerd op een computer voert de ransomware eerst een soort verkenning uit. Het scant de lokale harde schijfpartities, de netwerkaandelen en de verwijderbare schijven op tientallen verschillende bestandstypes. Na het vinden van alles wat mogelijk belangrijk voor het slachtoffer kan zijn, past Lukitus/Locky ransomware een stevige mix van RSA-2048 en AES-128 cryptosystemen toe om de data te vergrendelen. De encryptie is niet het enige effect dat wordt toegepast op de beoogde doelen – de infectie scant ook bestandsnamen, vervangt elk met 36 hexadecimale tekens en sluit de extensie van .lukitus waterdicht af.
Om het slachtoffer de mogelijkheid voor data-decodering te geven, laat het Lukitus-virus berichten met daarin een oplossing met de naam Lukitus- [4 chars] .htm en Lukitus- [4 chars] .bmp achter op het bureaublad en implementeert in alle gecodeerde mappen een HTM-editie. De BMP-losgeldberichten wordt zo geconfigureerd dat ze automatisch de achtergrond van het bureaublad overnemen. Deze bestanden instrueren de gebruiker om de Tor Browser te downloaden en te installeren en deze te gebruiken om een pagina te bezoeken waarvan het adres is aangegeven in de herstelprocedures. Op deze manier eindigt de gebruiker op de Locky Decryptor-pagina, wat een betalingsportal voor losgeld is en die ook de decryptor oplevert nadat de 0,5 Bitcoin aan de daders is voldaan.
Helaas zijn beveiligingsanalisten er nog niet in geslaagd om een levensvatbare gratis decryptor voor Locky in het algemeen en de Lukitus-variant in het bijzonder te creëren. Hoewel onder deze omstandigheden de losgeldroute misschien de enige optie lijkt, zijn er verschillende andere technieken, die je kunnen helpen bij het herstellen van .lukitus-extensiebestanden, zonder dat je hiervoor hoeft te betalen.
De uitroeiing van deze ransomware kan efficiënt worden bereikt met een betrouwbare beveiligingssoftware. Je vasthouden aan de automatische opschoningstechniek zorgt ervoor dat alle onderdelen van de infectie grondig worden weggevaagd uit je systeem.
Mogelijkheid 1: gebruik herstelsoftware om je bestanden te herstellen
Het is belangrijk om te weten dat het Lukitus virus kopieën van je bestanden creëert en deze versleutelt. In de tussentijd zullen de oorspronkelijke bestanden worden verwijderd. Er bestaan applicaties die de verwijderde data kunnen herstellen. Je kunt gebruikmaken van hulpmiddelen zoals de Data Recovery Pro om dit te bereiken. De nieuwste versie van de ransomware in kwestie heeft de neiging om de veilig verwijder functie toe te passen bij een aantal overschrijvingen, maar deze methode is in ieder geval het proberen waard.
Mogelijkheid 2: maak gebruik van back-ups
Dit is een geweldige manier om je bestanden mee te herstellen. Het is alleen mogelijk om deze optie te gebruiken als je al een back-up van de informatie hebt opgeslagen op je computer. Als dat zo is moet je het niet nalaten om te profiteren van je voorbedachtheid.
Mogelijkheid 3: gebruik Shadow Volume Copies
Voor het geval dat je het nog niet wist, het besturingssysteem van je computer creëert zogenaamde Shadow Volume Copies van elk bestand zolang de System Recovery functie op de computer is geactiveerd. De herstelpunten worden gemaakt op bepaalde tijdstippen en de bestanden zullen worden hersteld zoals ze op dat moment waren. Let dus op dat deze methode niet zal zorgen voor het herstel van de nieuwste versies van je bestanden. Maar het is zeker de moeite waard om dit te proberen. Deze workflow is op twee manieren uitvoerbaar: handmatig en door het gebruik van een automatische oplossing. Laten we eerst eens een kijkje bij het handmatige proces nemen.
Het dialoogvenster Eigenschappen voor willekeurige bestanden bevat een tabblad genaamd Vorige versies. Dat is waar de back-up-versies worden weergegeven en kunnen worden verhaald. Selecteer het laatste item en klik op Kopiëren als je wenst om het object te herstellen naar een nieuwe locatie die je kunt opgeven. Als je op de Terugzetten knop drukt zal het item worden hersteld naar de oorspronkelijke locatie.
Het bovenstaande proces kan worden geautomatiseerd met een tool genaamd ShadowExplorer. Het doet in principe hetzelfde (ophalen kopieën schaduwvolume), maar dan op een gemakkelijke manier. Download en installeer de applicatie dus, start het op en blader naar bestanden en mappen van vorige versies die u wilt herstellen. Om de klus af te maken, klik met de rechtermuisknop op één van de vermeldingen en selecteer de functie Export.
Nogmaals, het verwijderen van de malware alleen zal niet leiden tot het ontcijferen van je persoonlijke bestanden. Het herstellen van de gegevens zoals hierboven is uitgelegd, kan als je geluk hebt werken, maar de ransomware zelf behoort gewoon niet thuis op je computer. Het komt trouwens vaak samen met andere malware en daarom is het zeker zinvol om herhaaldelijk je computer met automatische beveiligingssoftware te scannen om ervoor te zorgen dat er geen schadelijke overblijfselen van dit virus en de bijbehorende bedreigingen zijn achtergebleven in je Windows-register of op andere locaties.
