Een toenemend aantal gebruikers van Window hebben ontdekt dat de extensies van hun persoonlijke bestanden zomaar veranderden naar .micro. Dit is slechts één van de vele symptomen van een ransomware aanval door de nieuwe versie van TeslaCrypt 3.0, een crypto virus dat gegevens vergrendelt en geld afdwingt in ruil voor decryptie. De meest recente 3e generatie van deze dreiging brengt zijn slachtoffers in een verwarrende situatie; de enige effectieve manier om de bestanden weer terug te krijgen is om te betalen.
TeslaCrypt is al bijna een jaar actief op dit gebied. Het begon als een ietwat ongewone losgeld trojan die zich richtte op computergames en reguliere persoonlijke bestanden. Gevolgd door de Alpha Crypt copycat, maar de infectie zette uiteindelijk zijn kwaadaardige praktijken voort onder de oorspronkelijke naam en is sindsdien een paar keer voorzien van updates. Elke nieuwe iteratie zou een aantal bug fixes bevatten die werden gevonden door de beveiliging, maar de nieuwste versie bleek tot de meest geavanceerde te behoren. Onderzoekers bedachten eerder een herstelprogramma genaamd de TeslaDecoder, dat in staat is om de items die door de volgende extensies zijn toegevoegd aan hen op de geïnfecteerde pc te decoderen: .ecc, .exx, .ezz, .xyz, .zzz, .aaa, .abc, .ccc en .vvv. De nieuwe trojan voegt .micro strings toe aan bestanden, die helaas niet op deze manier kunnen worden bestreden.
De specificiteit die eerder voor herstel zorgde was een belangrijke behandelingsfout die door de fraudeurs werd gemist. Omdat de ransomware standaard AES gebruikt om encryptie uit te voeren, zijn de publieke en de private sleutel hetzelfde. Een van de bestanden die de sleutel (key.dat of storage.bin) opslaat werd op de besmette computer gehouden, waarmee de hiervoor genoemde tool, welke gegevens ontsleutelde, werd ingeschakeld. In het geval de variant .micro, .ttt of .xxx extensies toevoegt wordt de werkwijze van de sleuteluitwisseling zodanig gewijzigd dat deze techniek inefficiënt is. De sleutel wordt niet langer op het apparaat achtergelaten – in plaats daarvan wordt het door de slechterikken verzonden naar een beveiligde server.
Deze losgeld trojan communiceert met het slachtoffer door het weergeven van de belangrijkste applicatie, het veranderen van de achtergrond en het verwijderen van een aantal instructie-bestanden op het bureaublad. In het bijzonder kan de gebruiker een van deze drie documenten openen om verdere aanwijzingen te krijgen: Howto_Restore_FILES.TXT, Howto_Restore_FILES.BMP of Howto_Restore_FILES.HTM. Volgens deze kennisgeving moet de gebruiker naar zijn of haar ‘persoonlijke homepage’ navigeren door te klikken op een van de vele beschikbare links, met inbegrip van een Tor gateway.
De pagina met de titel ‘Decryption Service’ geeft informatie over het losgeldbedrag dat moet worden ingediend, wat momenteel ongeveer 500 USD bedraagt en geeft de rest van de stappen weer om het geld te sturen in Bitcoins, de private sleutel te kunnen krijgen en data te kunnen herstellen. Het is de moeite waard om te vermelden dat de criminelen er alles aan doen om hun sporen uit te wissen. Ze zoeken hun toevlucht tot The Onion Router Service voor anonime interacties met de besmette mensen en ze ontvangen alleen betalingen in cryptogeld om te voorkomen dat ze worden gevolgd en zo problemen krijgen met de rechtshandhaving.
Op het eerste gezicht lijkt het erop dat de eisen van de oplichters de enige manier is om weer toegang te krijgen tot de .micro bestanden. De decoder helpt niet en het gevraagde bedrag kan onbetaalbaar zijn. En toch is het herstellen van de informatie in dit geval mogelijk – de gebruikers kunnen een aantal methoden proberen met speciale software en interne functies van het besturingssysteem.
Het verwijderen van de TeslaCrypt ransomware kan efficiënt worden bereikt met betrouwbare beveiligingssoftware. Je vasthouden aan de automatische opschoningstechniek zorgt ervoor dat alle onderdelen van de infectie grondig worden weggevaagd uit je systeem.
Oplossing 1: gebruik een sofware die bestanden herstelt
Het is belangrijk om te weten dat de TeslaCrypt 3.0 trojan kopieën creëert van je bestanden en deze versleutelt. In de tussentijd worden de oorspronkelijke bestanden verwijderd. Er bestaan applicaties die de verwijderde data kunnen herstellen. Je kunt voor dit doeleinde gebruikmaken van tools zoals Data Recovery Pro. De nieuwste versie van de ransomware in kwestie heeft de neiging om een aantal overschrijvingen toe te passen, maar deze methode is in elk geval het proberen waard.
Oplossing 2: maak gebruik van back-ups
Eerst en vooral is dit een geweldige manier voor het herstellen van je bestanden. Het is alleen van toepassing als je al een back-up van de informatie die is opgeslagen op je computer hebt. Als dat zo is, profiteer dan van je voorbedachtheid.
Oplossing 3: gebruik Shadow Volume Copies
Voor het geval je het nog niet wist, het besturingssysteem creëert van elk bestand zogenaamde Volume Shadow Copies zolang het Systeemherstel wordt geactiveerd op de computer. Omdat op bepaalde tijdstippen data worden opgeslagen, worden er momentopnamen van bestanden op dat moment gegenereerd. Deze methode zal niet zorgen voor het herstel van de nieuwste versies van je bestanden maar het is zeker de moeite waard om hiervoor te gaan. Je kunt dit op twee manieren uitvoeren: handmatig en door gebruik te maken van een automatische oplossing. Laten we eerst een kijkje nemen bij het handmatige proces.
Klik met de rechtermuisknop op een bestand en kies Eigenschappen in het contextmenu. Zoek naar een tabblad genaamd Vorige versies en klik erop om de laatste automatische back-up die werd gemaakt te kunnen bekijken. Afhankelijk van de gewenste actie, klik je op Terugzetten om het bestand naar de oorspronkelijke locatie hersteld te krijgen of klik je op Kopiëren en geef je een nieuwe map aan.
Het is opmerkelijk eenvoudig om eerdere versies van bestanden en mappen met geautomatiseerde tools zoals Shadow Explorer te beheren. Dit programma is gratis te gebruiken. Download en installeer het, laat het zoeken naar een profiel in de bestand hiërarchie op de computer en ga verder met het herstellen. Je kunt in de lijst een naam van de drive selecteren, vervolgens klik je met de rechtermuisknop op de bestanden of mappen die je wilt herstellen en klik je op Export om verder te gaan.
Nogmaals de verwijdering van het .micro bestandsextensie ransomware alleen leidt niet tot de ontcijfering van je persoonlijke bestanden. De hierboven genoemde methodes kunnen wel of niet werken, maar deze ransomware zelf hoort niet op je computer thuis. Overigens gaat het vaak samen met andere malware en daarom is het zeker zinvol om het systeem herhaaldelijk te scannen met automatische beveiligingssoftware, om ervoor te zorgen dat er geen schadelijke overblijfselen van dit virus en de bijbehorende bedreigingen worden achtergelaten in het Window-register of op andere locaties.