Er is veel beveiligingsbewustzijn en voorzichtigheid voor nodig om de gemiddelde ransomware aanval te kunnen voorkomen, maar het is veel moeilijker om een dergelijke aanval tegen te gaan nadat deze daadwerkelijk heeft plaatsgevonden. Wanneer het .odin bestandsvirus een Windows-computer treft, is de risicobeperkende taak vaak twee keer zo moeilijk. Het zoekt en versleutelt meerdere soorten bestanden op de lokale-, verwisselbare- en netwerkstations, door gebruik te maken van een onbreekbare combinatie van RSA en AES cryptografische standaarden.
De bijgewerkte variant van het Locky ransomware kreeg een vernieuwde reeks van losgeld instructies en een nieuwe bestandsnaam. De meest opvallende verandering is de .odin extensie, die wordt toegevoegd aan bestanden waardoor de gebruiker deze niet meer kan openen of bewerken. De bestandsnamen worden vervangen door 32 hexa-decimale tekens, met koppeltekens die deze symbolen scheiden in vijf groepen. Zoals je waarschijnlijk wel hebt gemerkt circuleert de vorige editie .zepto niet langer meer. Het slechte nieuws is echter dat de naadloze implementatie van de RSA-2048 en AES-128 cryptosystemen, de inspanningen van onderzoekers naar veiligheid om een gratis hersteloplossing te verzinnen volledig zinloos maakt. De mix van symmetrische en asymmetrische encryptie-algoritmen versleutelt data onherstelbaar, tenzij de private sleutel ter beschikking van de gebruiker is. Deze hoogwaardige brok van informatie wordt op afstand opgeslagen en is slechts terug te vinden op voorwaarde dat het slachtoffer losgeld van ongeveer 300 USD betaalt met behulp van cryptogeld ook wel Bitcoins genoemd.
De criminelen achter de Odin bestandsextensie ransomware zijn zeker geen kleine jongens. Deze oplichters lijken, te oordelen naar de robuustheid van de ransomware infrastructuur, het ontwerp van de GUI-modules en de frequentie van de updates van hun codes, heel professioneel te zijn. De huidige versie van dit Trojaanse virus heeft geen redundantie in de losgeld notities. Het geeft het slachtoffer alleen maar het belangrijkste: de persoonlijke ID, die dient als een unieke gebruikersidentificatie voor alle transacties en de Tor URL, die slechts bereikbaar is met de Tor browser. De namen van deze documenten zijn: _HOWDO_text.html en _HOWDO_text.bmp. Een exemplaar van elke editie wordt zowel op het bureaublad als ook in de getroffen directories geplaatst.
Odin ransomware
Wanneer de geïnfecteerde persoon probeert om de aanwijzingen van de aanvallers op te volgen, belanden ze op een Tor website, genaamd de ‘Locky Decryptor Page’, dat in wezen een frauduleuze betalingsservice is. Het slachtoffer moet deze .onion toegangspoort gebruiken om in ruil voor 0,5 BTC de bovengenoemde privésleutel en het ad-hoc decryptie-programma, genaamd de Locky Decryptor, te mogen gebruiken. De pagina bevat geen informatie over een uiterste datum voor het verzenden van dit bedrag aan Bitcoins, maar de afpersers hebben de neiging om het losgeld te verhogen indien een slachtoffer niet binnen een week heeft betaald.
De methodologie van het vermijden van het .odin bestandsvirus komt voort uit de distributie eigenaardigheden. Het kan nadat de gebruiker naar een kwaadaardige website is gesurfd, de kwetsbaarheden in de software van een computer uitbuiten. Daarom is het belangrijk om de applicaties en het besturingssysteem op te schonen zodra er nieuwe updates beschikbaar zijn. Open ook geen e-mailbijlagen die afkomstig zijn van onbekende mensen of organisaties. Als de besmetting reeds heeft plaatsgevonden, kun je het met de volgende tips proberen te herstellen.
De uitroeiing van deze ransomware kan efficiënt worden bereikt met behulp van betrouwbare beveiligingssoftware. Je vasthouden aan de automatische opschoningstechniek zorgt ervoor dat alle onderdelen van de infectie grondig weggevaagd worden uit je systeem.
Mogelijkheid 1: Gebruik software om bestanden te herstellen
Het is belangrijk om te weten dat het Odin bestandsvirus kopieën van je bestanden creëert en deze versleutelt. In de tussentijd worden de oorspronkelijke bestanden verwijderd. Er zijn applicaties die de verwijderde data kunnen herstellen. Je kunt voor dit doel gebruikmaken van tools zoals Data Recovery Pro. De nieuwste versie van de ransomware in kwestie heeft bij een aantal overschrijvingen de neiging om veilig verwijderen toe te passen, maar deze methode is in ieder geval het proberen waard.
Mogelijkheid 2: Maak gebruik van back-ups
Eerst en vooral, is dit een geweldige manier van het herstellen van je bestanden. Het is echter alleen van toepassing als je al een back-up van de informatie had opgeslagen op je computer. Als dat zo is, laat het dan niet na om te profiteren van je voorbedachtheid.
Mogelijkheid 3: Gebruik Schaduwvolumekopieën
In het geval dat je het nog niet wist, het besturingssysteem creëert zogenaamde Shadow Volume Copies van elk bestand zolang de Systeemherstel-functie op de computer is geactiveerd. Omdat er herstelpunten worden gemaakt op bepaalde tijdstippen, zullen er ook momentopnamen van bestanden worden gegenereerd. Onthoud wel dat deze methode niet zal zorgen voor het herstel van de nieuwste versies van je bestanden. Maar tocht is het zeker de moeite waard om het te proberen. Deze oplossing is op twee manieren uitvoerbaar: handmatig en door gebruik te maken van een automatische oplossing. Laten we eerst eens een kijkje nemen bij het handmatige proces nemen.
Het dialoogvenster Eigenschappen voor willekeurige bestanden bevat een tabblad genaamd Vorige versies. Dat is waar de back-up-versies worden weergegeven en kunnen worden verhaald. Selecteer het laatste item en klik op Kopiëren als je wenst om het object te herstellen naar een nieuwe locatie die je kunt opgeven. Als je op de Terugzetten knop drukt zal het item worden hersteld naar de oorspronkelijke locatie.
Het bovenstaande proces kan worden geautomatiseerd met een tool genaamd ShadowExplorer. Het doet in principe hetzelfde (ophalen kopieën schaduwvolume), maar dan op een gemakkelijke manier. Download en installeer de applicatie dus, start het op en blader naar bestanden en mappen van vorige versies die u wilt herstellen. Om de klus af te maken, klik met de rechtermuisknop op één van de vermeldingen en selecteer de functie Export.
Nogmaals, de verwijdering van ransomware alleen zal niet leiden tot het ontcijferen van je persoonlijke bestanden. De herstelmethoden, die hierboven beschreven zijn, kunnen wel of niet werken, maar de ransomware zelf behoort niet thuis in jouw computer. Het komt overigens vaak in combinatie met andere malware en daarom is het zeker zinvol om herhaaldelijk het systeem met automatische beveiligingssoftware te scannen, om ervoor te zorgen dat er geen schadelijke overblijfselen van dit virus en de bijbehorende bedreigingen worden achtergelaten in het Windows-register en op andere locaties.
