De Locky ransomware familie blijft zich maar uitbreiden met nieuwe gemuteerde afpersingsprogramma’s. De ontwikkelaars zijn deze keer blijkbaar aan het experimenteren met payload levering en data verlammende praktijken. Deze keer hebben de daders een andere spin-off van hun snode prototype gemaakt, dat de .osiris extensie aan versleutelde bestanden toevoegt en vervolgens een OSIRIS-[victim_ID].htm losgeldnota laat zien.
In cyberbeveiligingstermen is het woord ‘Osiris’ een alias van de vervelende Locky ransomware in plaats van iets dat te maken heeft met de mythologie van het oude Egypte. Het nieuwste kwaadaardige monster uit de keur aan varianten van deze familie heeft een ingewikkelde besmettingstechniek, een ander patroon om het bestand te hernoemen en een nieuw format als het gaat om het herstel. Deze editie voegt de .osiris extensie toe aan elk bestand dat, via een mengsel van RSA- en AES-normen, is onderworpen volgens een militaire graad van versleuteling die niet te kraken is. De vernieuwde losgeld Trojan heeft ook op een nieuwe manier invloed op bestandsnamen en het zal bestanden vervangen door vermeldingen zoals B5F7GEC2-A9BF-816E-373B5CBG-41019FD253D9.osiris. Het algoritme is [8_hexadecimal_chars]-[4_hexadecimal_chars]-[4_hexadecimal_chars]-[8_hexadecimal_chars]-[12_hexadecimal_chars].osiris.
Osiris ransomware
Een andere verandering dat de slachtoffers zeker zullen opmerken is dat de ransomware de Help-bestanden in een enkel format (HTM) creëert, terwijl zijn voorlopers een aantal verschillende losgeldnota varianten gebruikten. De manier waarop je je bestanden kunt herstellen wordt uitgelegd in een OSIRIS-[victim_ID]htm document. De unieke identifier in zijn naam zal meestal uit 4 karakters bestaan. Bovendien is het ook anders qua kopieën van de folder die worden achtergelaten op het bureaublad en degenen die zijn ingebed in afzonderlijke mappen en die de persoonlijke bestanden hebben vervormd.
De HTM decryptie bevat een hyperlink naar de Locky Decryptor pagina, waar het slachtoffer zijn bestanden kan herstellen. De .onion link kan alleen worden geladen met een Tor Browser, die voor de anonimiteit voor de ransomware distributeurs zal zorgen. Daarom is het noodzakelijk om deze browser te downloaden en te installeren om door te kunnen gaan. Wanneer je eenmaal op de pagina bent, zal de geïnfecteerde gebruiker de volgende informatie krijgen: de hoeveelheid van het losgeld, het Bitcoin wallet adres waar het digitale geld naar toe kan worden overgemaakt evenals de namen van een aantal sites waar de Bitcoins kunnen worden gekocht. De decryptie dienst, die door de aanvallers wordt aangeboden, zal normaal gesproken 0,5 BTC of 370 USD kosten. Het maken van deals met ransomware oplichters is echter link en biedt geen garantie en daarom is het een veel beter idee om een aantal van de beste data recovery functies te proberen.
Net als zijn voorgangers is de Osiris editie van Locky op je computer terechtgekomen door middel van spam. De enige nieuwigheid in de huidige golf van spam is dat de booby-traps e-mailbijlage een XLS-document is. Dit bestand zal een popup weergeven met de vraag of de ontvanger de macro’s wil inschakelen. Als de gebruiker zo goedgelovig is om dit te doen, zal de infectie het bekende macro beveiligingslek misbruiken en de ransomware installeren. Dus zorg ervoor dat je in het oog springende e-mailbijlagen met een redelijke mate van wantrouwen bekijkt.
De uitroeiing van deze ransomware kan efficiënt worden bereikt met een betrouwbare beveiligingssoftware. Je vasthouden aan de automatische opschoningstechniek zorgt ervoor dat alle onderdelen van de infectie grondig worden weggevaagd uit je systeem.
Mogelijkheid 1: gebruik herstelsoftware om je bestanden te herstellen
Het is belangrijk om te weten dat het .Osiris virus kopieën van je bestanden creëert en deze versleutelt. In de tussentijd zullen de oorspronkelijke bestanden worden verwijderd. Er bestaan applicaties die de verwijderde data kunnen herstellen. Je kunt gebruikmaken van hulpmiddelen zoals de Data Recovery Pro om dit te bereiken. De nieuwste versie van de ransomware in kwestie heeft de neiging om de veilig verwijder functie toe te passen bij een aantal overschrijvingen, maar deze methode is in ieder geval het proberen waard.
Mogelijkheid 2: maak gebruik van back-ups
Dit is een geweldige manier om je bestanden mee te herstellen. Het is alleen mogelijk om deze optie te gebruiken als je al een back-up van de informatie hebt opgeslagen op je computer. Als dat zo is moet je het niet nalaten om te profiteren van je voorbedachtheid.
Mogelijkheid 3: gebruik Shadow Volume Copies
Voor het geval dat je het nog niet wist, het besturingssysteem van je computer creëert zogenaamde Shadow Volume Copies van elk bestand zolang de System Recovery functie op de computer is geactiveerd. De herstelpunten worden gemaakt op bepaalde tijdstippen en de bestanden zullen worden hersteld zoals ze op dat moment waren. Let dus op dat deze methode niet zal zorgen voor het herstel van de nieuwste versies van je bestanden. Maar het is zeker de moeite waard om dit te proberen. Deze workflow is op twee manieren uitvoerbaar: handmatig en door het gebruik van een automatische oplossing. Laten we eerst eens een kijkje bij het handmatige proces nemen.
Het dialoogvenster Eigenschappen voor willekeurige bestanden bevat een tabblad genaamd Vorige versies. Dat is waar de back-up-versies worden weergegeven en kunnen worden verhaald. Selecteer het laatste item en klik op Kopiëren als je wenst om het object te herstellen naar een nieuwe locatie die je kunt opgeven. Als je op de Terugzetten knop drukt zal het item worden hersteld naar de oorspronkelijke locatie.
Het bovenstaande proces kan worden geautomatiseerd met een tool genaamd ShadowExplorer. Het doet in principe hetzelfde (ophalen kopieën schaduwvolume), maar dan op een gemakkelijke manier. Download en installeer de applicatie dus, start het op en blader naar bestanden en mappen van vorige versies die u wilt herstellen. Om de klus af te maken, klik met de rechtermuisknop op één van de vermeldingen en selecteer de functie Export.
Nogmaals, het verwijderen van de malware alleen zal niet leiden tot het ontcijferen van je persoonlijke bestanden. Het herstellen van de gegevens zoals hierboven is uitgelegd, kan als je geluk hebt werken, maar de ransomware zelf behoort gewoon niet thuis op je computer. Het komt trouwens vaak samen met andere malware en daarom is het zeker zinvol om herhaaldelijk je computer met automatische beveiligingssoftware te scannen om ervoor te zorgen dat er geen schadelijke overblijfselen van dit virus en de bijbehorende bedreigingen zijn achtergebleven in je Windows-register of op andere locaties.
