Een ransomware-versie onder de naam ‘WannaCry’ heeft afgelopen week de hoofdpagina’s van heel wat kranten bereikt. En die aandacht is terecht. De infectie heeft heel wat grote bedrijven in Europa getroffen en blijft zich verder verspreiden over de hele wereld. Het encryptievirus versleutelt de data van zijn slachtoffers en wijzigt de extensie naar .WNCRY.
Het .WNCRY versleutelingsvirus, dat zich ook wel voordoet als Wana Decrypt0r 2.0, maakt deel uit van een vrij nieuwe golf van crypto-aanvallen. Qua uiterlijk lijkt het virus vrij sterk op zijn voorganger WCRY, ofwel Wanna Decryptor 1.0. Het duurde ongeveer een maand totdat de architecten van dit virus een geüpdatet versie van het virus. De laatste variant is echter stukken complexer en robuuster op vlak van het versleutelingsmechanisme en de verspreiding ervan. De mate waaraan het virus zich gerepliceerd heeft is ongezien – op 12 mei 2017 waren er maar liefst méér dan 57.000 geïnfecteerd binnen enkele uren tijd.
Wana Decrypt0r 2.0
De werking van dit ransomware samenvatten kan echter vrij bondig. Nadat de belangrijkste bestanden versleuteld zijn, zorgt de hack ervoor dat de achtergrond van de gebruiker gewijzigd wordt naar een waarschuwingsbericht. Daarnaast wordt een nieuw venster weergeven als pop-up, namelijk ‘Wana Decrypt0r 2.0’, welke details voorziet over wat er precies gebeurt is en binnen hoeveel tijd het ‘losgeld’ betaald moet worden. De informatie in dit venster de precieze grote van het losgeld, een equivalent van $300 in Bitcoin, alsook het adres waar je het geld naar toe moet sturen. Een ander watermerk van de aanval is nieuwe bestandsextensie die wordt toegevoegd aan de versleutelde data. De lijst van mogelijke extensies is als volgt: .WNCRY, .WCRY, .WNRY, en .WNCRYPT. De eerste extensie, .WNCRY, wordt het vaakst aangetroffen tijdens deze golf. De originele bestandsnamen worden niet gewijzigd, dus slachtoffers worden met een soortgelijke transformatie geconfronteerd: Grafiek.xlsx – Grafiek.xlsx.WNCRY.
@Please_Read_Me@.txt
De WannaCry ransomware laat daarnaast ook een simpele notitie achter zodat slachtoffers hun instructies zeker niet zullen missen. Dit bestand noemt ‘@Please_Read_Me@.txt’. De inhoud verschilt licht van die van het eerdergenoemde waarschuwingsvenster. Er staat ‘Wat is er verkeerd met mijn bestanden? Oeps, de belangrijkste bestanden zijn versleuteld…. Om het geheel dus nogmaals samen te vatten: om de bestanden te kunnen recupereren moeten gebruikers $300 aan Bitcoins storten en kunnen daarna een applicatie uitvoeren die @wanadecryptor@.exe heet en op de computer wordt geplaatst als deel van de aanval.
WannaCry bureaubladachtergrond
Om ervoor te zorgen dat het slachtoffer uiteindelijk betaalt, weergeeft het WannaCry virus enkele tips op de bureaubladachtergrond. Zo staan er aantal stappen vermeld die van toepassing zijn indien de antivirussoftware van de gebruiker de Wana Decrypt0r tool verwijderd heeft. Ook leggen de hackers er uit hoe de gebruiker het venster kan heropenen zodat hij of zij de betaling kan uitvoeren. Eerlijk gezegd is de aanval vrij goed uitgedokterd en kunnen we ervan uitgaan dat de ransomware bedacht werd door een groep hackers met een uitgebreide achtergrond als afpersers. De technisch complexe distributie via TDP bewijst nogmaals dat we hier niet te maken hebben met groentjes. Het is dus zo dat de online beveiligingsindustrie opnieuw geconfronteerd wordt met een sterke tegenstander, én hopelijk zal er in korte tijd een oplossing bedacht worden.
In de tussentijd blijft het WannaCry ransomware virus organisaties en eindgebruikers besmetten op grote schaal. Sommige van de slachtoffers, zoals de Spaanse Télefonica-televisiemaatschappij en een aantal hospitalen uit het Verenigd Koninkrijk, werden erg zwaar getroffen. Natuurlijk is de beste verdediging om niet eens getroffen te woorden in de eerste plaats. Indien je toch bent besmet, dan kan je gebruik maken van de onderstaande stappen om te troubleshooten.
De uitroeiing van deze ransomware kan efficiënt worden bereikt met een betrouwbare beveiligingssoftware. Je vasthouden aan de automatische opschoningstechniek zorgt ervoor dat alle onderdelen van de infectie grondig worden weggevaagd uit je systeem.
Mogelijkheid 1: gebruik herstelsoftware om je bestanden te herstellen
Het is belangrijk om te weten dat het WannaCry virus kopieën van je bestanden creëert en deze versleutelt. In de tussentijd zullen de oorspronkelijke bestanden worden verwijderd. Er bestaan applicaties die de verwijderde data kunnen herstellen. Je kunt gebruikmaken van hulpmiddelen zoals de Data Recovery Pro om dit te bereiken. De nieuwste versie van de ransomware in kwestie heeft de neiging om de veilig verwijder functie toe te passen bij een aantal overschrijvingen, maar deze methode is in ieder geval het proberen waard.
Mogelijkheid 2: maak gebruik van back-ups
Dit is een geweldige manier om je bestanden mee te herstellen. Het is alleen mogelijk om deze optie te gebruiken als je al een back-up van de informatie hebt opgeslagen op je computer. Als dat zo is moet je het niet nalaten om te profiteren van je voorbedachtheid.
Mogelijkheid 3: gebruik Shadow Volume Copies
Voor het geval dat je het nog niet wist, het besturingssysteem van je computer creëert zogenaamde Shadow Volume Copies van elk bestand zolang de System Recovery functie op de computer is geactiveerd. De herstelpunten worden gemaakt op bepaalde tijdstippen en de bestanden zullen worden hersteld zoals ze op dat moment waren. Let dus op dat deze methode niet zal zorgen voor het herstel van de nieuwste versies van je bestanden. Maar het is zeker de moeite waard om dit te proberen. Deze workflow is op twee manieren uitvoerbaar: handmatig en door het gebruik van een automatische oplossing. Laten we eerst eens een kijkje bij het handmatige proces nemen.
Het dialoogvenster Eigenschappen voor willekeurige bestanden bevat een tabblad genaamd Vorige versies. Dat is waar de back-up-versies worden weergegeven en kunnen worden verhaald. Selecteer het laatste item en klik op Kopiëren als je wenst om het object te herstellen naar een nieuwe locatie die je kunt opgeven. Als je op de Terugzetten knop drukt zal het item worden hersteld naar de oorspronkelijke locatie.
Het bovenstaande proces kan worden geautomatiseerd met een tool genaamd ShadowExplorer. Het doet in principe hetzelfde (ophalen kopieën schaduwvolume), maar dan op een gemakkelijke manier. Download en installeer de applicatie dus, start het op en blader naar bestanden en mappen van vorige versies die u wilt herstellen. Om de klus af te maken, klik met de rechtermuisknop op één van de vermeldingen en selecteer de functie Export.
Nogmaals, het verwijderen van de malware alleen zal niet leiden tot het ontcijferen van je persoonlijke bestanden. Het herstellen van de gegevens zoals hierboven is uitgelegd, kan als je geluk hebt werken, maar de ransomware zelf behoort gewoon niet thuis op je computer. Het komt trouwens vaak samen met andere malware en daarom is het zeker zinvol om herhaaldelijk je computer met automatische beveiligingssoftware te scannen om ervoor te zorgen dat er geen schadelijke overblijfselen van dit virus en de bijbehorende bedreigingen zijn achtergebleven in je Windows-register of op andere locaties.
