Nieuwe ransomware vergeet bestanden grondig te wissen
Onderzoekers hebben een nieuwe ransomware-variant ontdekt die sterke encryptie gebruikt om bestanden te versleutelen, maar doordat de originele bestanden niet grondig worden gewist kunnen slachtoffers hun gegevens terugkrijgen zonder het gevraagde losgeld te betalen.
OphionLocker, zoals de ransomware door Trojan7Malware wordt genoemd, verspreidt zich via gehackte websites en maakt gebruik van bekende lekken die niet door internetgebruikers zijn gepatcht om hun computer te infecteren. Eenmaal actief maakt de ransomware een uniek hardware-id aan, gebaseerd op het serienummer van de eerste harde schijf, het serienummer van het moederbord en andere informatie.
Vervolgens wordt er met een Tor-website verbinding gemaakt om te controleren of het specifieke hardware-id al versleuteld is. Hierna zoekt OphionLocker naar allerlei bestanden. Daarbij wordt er echter alleen naar bestanden met bestandsextensies in kleine letters gezocht. Een bestand zoals foto.jpg zal de ransomware versleutelen, terwijl foto.JPG wordt overgeslagen.
Encryptie
Voor het versleutelen gebruikt OphionLocker elliptische-kromme-encryptie (ECC). Voor zover bekend is het pas de tweede ransomware die deze encryptiemethode gebruikt. De meeste ransomware gebruikt een combinatie van AES- en RSA-encryptie om de bestanden van slachtoffers te versleutelen. Hierbij genereert de server een sleutelpaar, RSA-public en RSA-privé, voor RSA. De privésleutel blijft op de server, terwijl de publieke sleutel naar de ransomware wordt gestuurd. Bij OphionLocker bevindt de publieke sleutel zich al in de malware. Daardoor kunnen ook op computers die niet met internet verbonden zijn bestanden worden versleuteld.
De malware laat na de versleuteling een bericht zien waarin een bedrag van 1 bitcoin wordt gevraagd, wat met de huidige wisselkoers 290 euro is. Slachtoffers hoeven echter niet te betalen om hun bestanden terug te krijgen, zo meldt het forum Bleeping Computer. De ransomware blijkt het origineel van de bestanden die het versleutelt niet veilig te wissen en laat ook de shadow volume copies ongemoeid. Daardoor is het mogelijk om de bestanden via een programma als Shadow Explorer te herstellen.
Wanneer het lukt bestanden terug te halen, met een snelheid van 1GB per uur (?), is daarmee nog niet gegarandeerd dat die bestanden ook weer de originele bestandsnamen hebben!
Wat je dan hebt is een hele grote berg gerecoverde bestanden, je krijgt daarbij ook nog eens veel meer terug dan je op het moment van verlies had. Alles voorzien van nietszeggende willekeurig genummerde bestandsnamen, dat is hooguit reden tot halve blijdschap.
Na het tijdrovende recovery proces staat je daarna mogelijk dus nog een hele grote zeer arbeidsintensieve bestanden sorteerklus te wachten.
Let wel, unieke bestanden is één ding, wat dacht je van de vele semi unieke dus dubbele bestanden aan teruggehaalde verschillende document versies?
Ga dat maar eens zitten vergelijken, alles bewaren tot je het betreffende document nodig hebt en dan vergelijken lijkt de beste optie.
Wat dacht je dat zo'n hele recovery onderneming aan kostbare tijd gaat kosten?
Een jaartje aan avonduren? Meer? Hoeveel stagiaires en tijd voor een gemiddeld MKB bedrijf?
Betalen voor een rottige ransomeware infectie heeft natuurlijk niet de voorkeur.
Het zou echter wel eens heel erg veel voordeliger en efficiënter kunnen zijn in de rekensom aan tijd die het je gaat kosten alles digitaal weer op orde te krijgen.
Vanuit dat perspectief gezien is versleuteling van bestanden helemaal niet nodig, bestanden zonder naam zijn al erg genoeg.
Aan de slag! Back-ups organiseren. Geen excuus dat niet te doen.
Als je per se van je bestanden af wil kan zelfs dat nog efficiënter.
Het zou echter wel eens heel erg veel voordeliger en efficiënter kunnen zijn in de rekensom aan tijd die het je gaat kosten alles digitaal weer op orde te krijgen.
Vanuit dat perspectief gezien is versleuteling van bestanden helemaal niet nodig, bestanden zonder naam zijn al erg genoeg.
Aan de slag! Back-ups organiseren. Geen excuus dat niet te doen.
Als je per se van je bestanden af wil kan zelfs dat nog efficiënter.
Aangezien de makers van de malware gokken op de door jou genoemde redenatie, dat betalen goedkoper is dan herstellen, ben ik het eens met je standpunt, dat backups nodig zijn. Iedereen moet er wel op letten dat:
1. backups alleen zin hebben wanneer ze nog toegankelijk zijn
2. backups alleen zin hebben wanneer ze recent zijn
3. backups vooral handig zijn, wanneer ze doordacht gemaakt worden, dus niet klakkeloos alles, maar alleen wat belangrijk (kan) zijn.
Wie alle van alle software en het OS de installatie bestanden/disks heeft, kan beter zijn systeem schoon weer opbouwen en alleen zijn zelfgemaakte bestanden terugzetten.
Idem voor het back-uppen naar een cloud o.i.d.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
