De losgeld Trojan beter bekend als TeslaCrypt kreeg in de loop van de laatste upgrade een nieuwe functie, namelijk het toewijzen van een ‘.vvv’ extensie aan alle versleutelde bestandsnamen.
De basissymptomen van een ransomware aanval zijn ongeacht het soort infectie vrij algemeen: de bestanden van het slachtoffer worden bevroren als gevolg van crypto dat op hen van toepassing is. De documenten met een losgeld notitie worden getoond om de persoon te instrueren bij de herstelstappen en een bepaalde hoeveelheid Bitcoins wordt afgeperst in ruil voor de data. Met deze statische reeks kenmerken omvat elk voorbeeld een aantal variabele waarden wanneer het gaat om deze platgetreden paden, zoals het type van het encryptie-algoritme, de naam van de documenten die de betalingsinstructies bevatten en de manier waarop de gecodeerde bestanden er gemodificeerd uitzien. De recente, achtste iteratie van het TeslaCrypt ransomware vervormt alle betrokken documenten, spreadsheets, afbeeldingen, films en archieven door het veranderen van hun extensies naar .vvv, waarbij het de oorspronkelijke format marker volgt.
De nasleep van deze infectie veronderstelt ook het laten zien van losgeld aanwijzingen in de vorm van how_recover+*. Txt en .html voorwerpen in de mappen waarvan de inhoud is gecodeerd en op het bureaublad staan. In tegenstelling tot de meeste van zijn tegenhangers gebruikt TeslaCrypt de AES standaard om data ontoegankelijk te maken, terwijl de bekendere virussen zoals CryptoWall en Crypt0L0cker in plaats daarvan RSA-2048 hebben gebruikt. Hoewel men aanneemt dat de Advanced Encryption Standard zwakker is dan het laatste public-key cryptosysteem, is het nog steeds sterk genoeg om te garanderen dat slachtoffers het niet kunnen omzeilen. Het losgeldbedrag ligt momenteel rond de 500 USD, of meer specifiek, het Bitcoin equivalent van dit bedrag. Om hieraan te voldoen moet de gebruiker op de persoonlijke TOR-link klikken, waardoor je wordt omgeleid naar de Decryption Service site met de betreffende verwerkingsfunctionaliteit.
De malware zou het slachtoffer in staat kunnen stellen om een eenmalige test van de decoderingsdienst gratis uit te voeren, maar dat is niet het geval bij alle versies. Wat de hele campagne nog verwarrender maakt is het feit dat sommige varianten van TeslaCrypt kunnen worden vermomd als de bovengenoemde CryptoWall, terwijl de technologie in principe hetzelfde blijft. Het maakt niet uit waar de gebruiker staat, ze zullen nog steeds gedwongen zijn om ofwel de criminelen te betalen of om op zoek te gaan naar andere oplossingen.
De distributie van dit voorbeeld wordt nog steeds gesteund door social engineering. Gebruikers activeren onbewust de lading bij het openen van een bijlage die binnenkomt met een phishing e-mail. Deze berichten lijken op echte verkeersboetes, facturen, betalingsoverzichten of een mededeling omtrent een verzending. De ingesloten ZIP-bestanden hosten een versluierde routine die stiekem de computer infecteert. De harde schijf wordt vervolgens gescand op een lijst met bestandsextensies zodat alles voldoet aan de vooraf vastgestelde criteria die worden verwerkt met het crypto-algoritme. Een paar van de technieken die je moet proberen voor het oplossen van problemen worden gegeven in het volgende deel van deze post, die zeer waarschijnlijk geïnfecteerde gebruikers kunnen bijstaan bij het herstellen van hun informatie.
Als het gaat om de behandeling van infecties, zoals deze, kun je het beste beginnen met een gerenommeerde opschoningstool. Je vasthouden aan deze workflow zorgt ervoor dat elk component van de ransomware wordt gevonden en uit de getroffen computer wordt verwijderd.
Het correct verwijderen van de infectie is slechts een deel van de oplossing omdat de in beslag genomen persoonlijke informatie gecodeerd blijft. Bekijk en probeer de methoden hieronder om te kijken of je je bestanden kunt herstellen.
Optie 1: back-ups
De cloud doet wonderen als het gaat om het oplossen van problemen in het kader van een ransomware aanval. Als je back-ups bijhoudt van je data op een afzonderlijke plaats, maak dan gewoon gebruik van de betreffende functie die wordt aangeboden door de back-up provider om alle versleutelde items te herstellen.
Optie 2: hersteltools
Uit onderzoek naar het .vvv bestandsextensie virus is een belangrijk feit over de manier waarop de gegevens van het slachtoffer worden verwerkt naar voren gekomen: het schrapt de originele bestanden en het zijn eigenlijk hun kopieën die zijn gecodeerd. In de tussentijd is het algemeen bekend dat alles wat wordt gewist van een computer niet volledig is verdwenen en met behulp van bepaalde technieken weer uit het geheugen kan worden gevist. De hersteltools zijn in staat om dit te doen, dus deze methode is zeker het proberen waard.
Optie 3: schaduwkopieën
Deze aanpak is gebaseerd op de native Windows back-up van bestanden op de computer, welke bij elk herstelpunt wordt uitgevoerd. Er zit een belangrijke voorwaarde aan deze methode vastgeplakt: het werkt als de functie Systeemherstel is ingeschakeld vóór de infectie. Bovendien, als er wijzigingen zijn gemaakt aan een bestand na het meest recente herstelpunt, worden ze niet weergegeven in de herstelde versie van het bestand.
Klik met de rechtermuisknop op een bestand en kies Eigenschappen in het contextmenu. Zoek naar een tabblad genaamd Vorige versies en klik erop om de laatste automatische back-up die werd gemaakt te kunnen bekijken. Afhankelijk van de gewenste actie, klik je op Terugzetten om het bestand naar de oorspronkelijke locatie hersteld te krijgen of klik je op Kopiëren en geef je een nieuwe map aan.
Het is opmerkelijk eenvoudig om eerdere versies van bestanden en mappen met geautomatiseerde tools zoals Shadow Explorer te beheren. Dit programma is gratis te gebruiken. Download en installeer het, laat het zoeken naar een profiel in de bestand hiërarchie op de computer en ga verder met het herstellen. Je kunt in de lijst een naam van de drive selecteren, vervolgens klik je met de rechtermuisknop op de bestanden of mappen die je wilt herstellen en klik je op Export om verder te gaan.
Bedreigingen op de computer, zoals ransomware, kunnen slinkser zijn dan je je kunt voorstellen; vakkundig kunnen ze hun componenten in een besmette computer verdoezelen om de verwijdering te ontlopen. Daarom kan het uitvoeren van een extra beveiligingsscan, in termen van opschonen, geen overbodige luxe zijn.