Het gebruik van de RSA-4096 public-key-versleuteling is niet beperkt tot legitieme doeleinden zoals de bescherming van geheime overheids- of militaire documenten. Dit uiterst sterke cryptosysteem is ook een gevaarlijk instrument geworden in de handen van afpersers. Ransomwareplagen zoals TeslaCrypt demonstreren hoe technologieën die datalekken voorkomen kunnen veranderen in een onvervreemdbaar deel van de infrastructuur van cybercrime.
De nieuwere versies van TeslaCrypt hebben de doos van Pandora geopend, in dat zij beschikken over een onkraakbare versleuteling. Sommige trojans die losgeld eisen maken gebruik van de Geavanceerde Versleutelingsstandaard, ofwel AES, waarbij de coderings- en hersteltokens hetzelfde zijn. Deze methode is incorrect geïmplementeerd tijdens een aantal aanvalsincidenten, waarbij onderzoekers werd toegestaan om de openbare sleutel op te halen en zodoende de bestanden van het slachtoffer te ontcijferen. In tegestelling gebruikt RSA verschillende sleutels. De privésleutel kan beschikbaar worden gemaakt aan de geïnfecteerde gebruiker op voorwaarde dat hij het betalingsproces voor losgeld doorloopt. Verder zijn de randomisatie en grootte van de sleutels helaas onbruikbaar voor de berekeningsroutine. RSA-4096 is daarom een onoverkomelijke hindernis voor het herstellen van gegevens.
De exploitanten van het TeslaCrypt-virus lijken de payload-distributie serieus te nemen. Ze startten met massale spam-campagnes die mensen verleiden om te klikken op e-mailbijlagen met valstrikken. Daarna schakelden ze over op een andere tactiek, namelijk het maken van exploitatiepakketten, waaronder Neutrino en Angler. Nu is er een ander mechanisme dat de scammers gebruiken om hun trojans op te dringen, door websites gebouwd met open-source content management-systemen zoals WordPress en Joomla aan te tasten.
Hoe dan ook, de geïnfecteerde gebruikers bevinden zichzelf in een situatie waarin hun belangrijke bestanden op de harde schijf en netwerkshares versleuteld worden en zodoende onbeschikbaar zijn. De trojan biedt herstelinstructies in een apart document genaamd Howto_RESTORE_FILES, HELP_TO_DECRYPT_YOUR_FILES of iets dergelijks. Er staat “Al je bestanden zijn beveiligd met een sterke versleuteling met RSA-4096” en het bevat stappen om het bedrag te versturen, wat varieert van 300 tot 500 dollar. Het geld moet naar een Bitcoin-adres worden gestuurd, zoals aangegeven in de instructies.
De gegijzelde bestanden krijgen ook een nieuwe extensie die verschilt voor elke nieuwe iteratie van TeslaCrypt. De meest recente zijn .mp3, .micro, .ttt en .xxx. De infectie vervangt ook het bureaublad van het slachtoffer met een zwart-witafbeelding waarop het herstelproces staat beschreven. Wanneer er op de aanbevolen TOR Browser-link wordt geklikt, wordt de gebruiker verwezen naar de Ontsleuteldienstpagina voor het verwerken van de betaling en het hosten van de decodeertool.
Nogmaals, proberen om een RSA-4096-versleuteling te overwinnen is een zenuwslopende ervaring omdat de privéherstelsleutel is opgeslagen op de geheime server van de cybercriminelen. Gezien deze ongelukkige eigenaardigheid zijn er geen toepasbare methoden in overvloed. En toch kunnen de gegijzelde bestanden worden hersteld van een back-up, indien aanwezig, en in sommige gevallen via het gebruik van Volume Schaduwkopieën van herstelsoftware.
Het uitroeien van deze ransomware kan efficiënt worden bereikt met betrouwbare beveiligingssoftware. Wanneer je je houdt aan de automatische opschoontechniek zorg je ervoor dat alle componenten van deze infectie zorgvuldig worden verwijderd van je systeem.
Mogelijkheid 1: Gebruik bestandherstelsoftware
Het is belangrijk om te weten dat TeslaCrypt kopien maakt van je bestanden en deze versleutelt. Ondertussen worden de oorspronkelijke bestanden verwijderd. Er bestaan applicaties die verwijderde gegevens kunnen terughalen. Je kunt hulpmiddelen zoals Data Recovery Pro hiervoor gebruiken. De nieuwste versie van de ransomware in kwestie blijkt vellige verwijdering toe te passen met meerdere overschrijvingen, maar het is in elk geval de moeite waard om deze methode te proberen.
Mogelijkheid 2: Maak gebruik van back-ups
Ten eerste is dit een geweldige manier om je bestanden te herstellen. Het is echter alleen van toepassing als je back-ups hebt gemaakt van de informatie op je apparaat. In dat geval moet je zeker profiteren van je voorbedachtheid.
Mogelijkheid 3: Gebruik Schaduwvolumekopieën
Als je het nog niet wist, het besturingssysteem creëert zogenaamde Schaduwkopieën van alle bestanden, zolang Systeemherstel is geactiveerd op de computer. Omdat herstelpunten worden gecreëerd op bepaalde tijdstippen, worden ook momentopnamen van bestanden zoals ze er op dat moment uitzien gegenereerd. Weet wel dat deze methode niet garandeert dat de laatste versie van jouw bestanden wordt teruggezet. Het is echter zeker een poging waard. De methode is uit te voeren op twee manieren: handmatig en met het gebruik van een automatische oplossing. Laten we eerst eens kijken naar het handmatige proces.
Het dialoogvenster Eigenschappen voor willekeurige bestanden bevat een tabblad genaamd Vorige versies. Dat is waar de back-up-versies worden weergegeven en kunnen worden verhaald. Selecteer het laatste item en klik op Kopiëren als je wenst om het object te herstellen naar een nieuwe locatie die je kunt opgeven. Als je op de Terugzetten knop drukt zal het item worden hersteld naar de oorspronkelijke locatie.
Het bovenstaande proces kan worden geautomatiseerd met een tool genaamd ShadowExplorer. Het doet in principe hetzelfde (ophalen kopieën schaduwvolume), maar dan op een gemakkelijke manier. Download en installeer de applicatie dus, start het op en blader naar bestanden en mappen van vorige versies die u wilt herstellen. Om de klus af te maken, klik met de rechtermuisknop op één van de vermeldingen en selecteer de functie Export.
Nogmaals, het verwijderen van alleen de RSA-4096 ransomware leidt niet tot het ontcijferen van je persoonlijke bestanden. De gegevensherstelmethoden zoals hierboven beschreven kunnen wel of niet werken, maar de ransomware zelf behoort niet op je computer.