Deze handleiding bevat de ware feiten over de nieuwste Locky variant genaamd Thor ransomware en adviseert over oplossingen om bestanden met de .thor extensie te decoderen.
De eerdere editie van Locky ransomware, dat het .shit achtervoegsel toevoegde aan je bestanden, heeft niet lang bestaan. Het onverwachte nieuws dat letterlijk uren later de krantenkoppen haalde, is dat er een nieuwe erfgenaam van dit vicieuze virus is ontdekt. De opvolger voegt het achtervoegsel .thor toe en hernoemt bestanden in een wartaal van cijfers en letters. Het spreekt voor zich dat waardevolle bestanden van het slachtoffer ook gecodeerd worden en niet alleen hernoemd. Uiteindelijk zal een besmette gebruiker geconfronteerd worden met een verandering van een willekeurig document dat er ongeveer uit zal zien als SU8DRICBA-EG3N-Y5GZ-00BA-A085959612E7.thor. Natuurlijk bestaat er geen reguliere software om deze ingang te kunnen openen. Niemand anders dan alleen de Locky auteurs hebben de private decryptiesleutel die de informatie kan decoderen, maar natuurlijk zullen ze dit niet gratis doen.
Volgens losgeld notities genaamd _WHAT_is.html, _ [random number] _WHAT_is.html en _WHAT_is.bmp, moet de gebruiker hun persoonlijke pagina bezoeken om de decryptie dienst te kopen. De Thor ransomware herhaalt dezelfde aanbevelingen op een nieuw bureaublad achtergrond die het origineel automatisch vervangt. De waarschuwing beweert dat alle bestanden van het slachtoffer zijn versleuteld met RSA-2048 en AES-128, twee uiterst sterke cryptosystemen, die, indien correct geïmplementeerd, vrijwel niet te kraken zijn. Het slechte nieuws voor iedereen die besmet is, is dat de Locky ontwikkelaars technisch genoeg zijn om het encryptie deel van hun strijd feilloos uit te voeren.
De gehele interactieketen met de cybercriminelen geschiedt als volgt: eerst wordt de gebruiker verondersteld een van de bovengenoemde _WHAT_is.html / BMP help bestanden te openen. Het lokaliseren van hen is gemakkelijk omdat de ransomware hen toevoegt aan het bureaublad en alle mappen die tenminste één versleuteld punt bevatten. De losgeld handleiding bestaat uit verschillende, meestal twee hyperlinks, die je omleiden naar de Locky Decryptor pagina. Een opmerkelijk nuance is dat deze pagina alleen toegankelijk is met de geheime georiënteerde Tor Browser. De bron in kwestie informeert het slachtoffer over de hoogte van het losgeld, dat normaal 0,5 BTC ($ 327) is, en het toont het Bitcoin-adres. Nadat de afpersers de transactie hebben gecontroleerd en goedgekeurd, beloven ze om de automatische decryptor beschikbaar te maken. Er is geen zekerheid dat de afpersers ook doen wat ze beloven.
Omdat er geen zwakke schakels in de werkelijke crypto zitten, kan het .thor extensie virus een desastreus effect hebben. Onder deze omstandigheden, zijn de inspanningen om deze ransomware te voorkomen een sterk aanbevolen route. De infectie woekert via phishing, waarbij gebruikers nep begrotingen, kwitanties of facturen ontvangen. Het ZIP-archief, aan een van deze lastige berichten, is een .vbs bestand dat heimelijk een DLL installateur van Thor downloadt. Dat gezegd hebbende, is het een heel slecht idee om e-mailbijlagen zoals die te openen. Ook moet het uitvoeren van regelmatige back-ups vandaag de dag ieders gewoonte worden. Als deze variant van Locky al haar vuile werk heeft gedaan, kun je beginnen met een paar forensische technieken die nuttig zijn voor het herstellen van .thor bestanden.
Als gevolg van een up-to-date database van malware-handtekeningen en intelligente gedragsdetectie, kan de aanbevolen software de infectie snel lokaliseren, uitroeien en alle schadelijke veranderingen saneren. Dus ga je gang en doe het volgende:
Het kraken van de crypto, die door deze losgeld trojan wordt gebruikt, is meer een science fiction ding in plaats van een haalbaar vooruitzicht voor een groot publiek. Dit is de reden waarom het oplossen van problemen van deze soort een kwestie van twee benaderingen is: de ene is om het losgeld te betalen, dat voor veel slachtoffers geen optie is en de andere is om tools te installeren, die gebruikmaken van de mogelijke zwakke punten van de ransomware. In het laatste geval is het onderstaande advies een must om te proberen.
Back-ups kunnen je redding zijn
Niet alleen heb je veel geluk in het geval dat je al een back-up van je belangrijkste bestanden hebt gemaakt, maar je bent ook nog eens een wijs en verstandig gebruiker. Dit is vandaag de dag geen moeilijke opgave meer – in feite, bieden sommige aanbieders van online diensten voldoende cloud storage ruimte aan, zodat iedere klant gemakkelijk zijn/haar belangrijke gegevens kan uploaden zonder een cent hiervoor te betalen. Om de Thor ransomware verwijderd te krijgen, is dus alles wat je hoeft te doen het downloaden van je bestanden uit de externe server of het allemaal van een extern stukje hardware over te dragen, als het daar staat opgeslagen.
Herstel eerdere versies van gecodeerde bestanden
Een positief resultaat van het gebruik van deze techniek is afhankelijk van de vraag of de ransomware de Volume Shadow Copies van de bestanden op je PC heeft gewist. Dit is een Windows-functie die, zolang de Systeemherstel functie is ingeschakeld, automatisch back-ups van je gegevens op de harde schijf maakt en bewaart. De cryptoware in kwestie is zo geprogrammeerd om de Volume Shadow Copy Service (VSS) uit te schakelen, maar hier slaagt het niet altijd in. Eén van de opties met betrekking tot het controleren van deze tijdelijke oplossing is goed te doen op twee manieren: door het menu Properties van elk bestand of door middel van de opmerkelijke open-source tool genaamd Shadow Explorer. Wij raden de software-gebaseerde manier aan, want het is geautomatiseerd en dus sneller en gemakkelijker. Installeer gewoon de app en maak gebruik van haar intuïtieve bediening met eerdere versies om de gecodeerde objecten hersteld te krijgen.
Een herstel tool kan je ook van dienst zijn
Sommige soorten ransomware staan erom bekend dat ze, nadat de versleutelingsroutine is voltooid, de oorspronkelijke bestanden wissen. Als dit het geval is, kan dit je redding worden. Er zijn applicaties die zijn ontworpen om de informatie, die werd weggevaagd door een storing in de hardware of als gevolg van het per ongeluk verwijderen, te herstellen. De tool genaamd Data Recovery Pro van ParetoLogic heeft dit vermogen en kan daarom bij losgeld scenario’s worden toegepast om in ieder geval de belangrijkste bestanden terug te krijgen. Dus download en installeer het programma, voer een scan uit en laat de applicatie zijn werk doen.
Extra nauwkeurigheid na het verwijderen van malware scenario’s is een geweldige gewoonte dat de terugkeer van schadelijke codes of replicatie van haar onbemande fracties kan voorkomen. Zorg ervoor dat je veilig bent door een extra veiligheidscontrole uit te voeren.