1. Informatie
  2. Nieuws / blog
  3. Cryptolocker: voorkomen of genezen!
04 mei 2016Nieuws

Cryptolocker: voorkomen of genezen!

'Wij horen dagelijks verhalen van slachtoffers van cryptolocker (ransomware) en helaas groeit het aantal gevallen exponentieel.' Leon Horenberg van Mindtime Backup vertelt: 'Onze partners verzorgen het gehele IT-beheer voor hun klanten en zijn dus het eerste aanspreekpunt als een klant slachtoffer is geworden van een cryptolocker. De cryptolocker vergrendelt, nadat de gebruiker een ransomware bevattende bijlage heeft geopend, alle bestanden en databases van het IT-netwerk van de gebruiker. Veel partners hebben hun klanten voorzien van een backup oplossing, echter horen wij ook regelmatig dat een klant geen backup heeft.' In dit laatste geval heeft de klant nog maar twee opties:

  • De cybercriminelen betalen
  • Dataverlies accepteren
     

Leon Horenberg: 'Niemand wil in deze situatie terecht komen, toch gebeurt het. Wij horen in negen van de tien gevallen een klant die blij is dat hij een goede backup oplossing heeft en hierdoor behoed blijft voor de gevolgen. Helaas zijn er ook klanten die toch een keuze moeten maken doordat ze geen goede en/of recente backup hebben: betalen en hopen dat de data beschikbaar wordt gesteld of dataverlies accepteren. Hierdoor is het voorkomen of genezen!'


De afzenders

Er zijn tientallen varianten e-mails in omloop van alle mogelijke instanties, denk hierbij aan KPN, RDW of bijvoorbeeld de Douane. De criminelen gebruiken de naam van deze instanties om zoveel mogelijk dekkingsgraad in de voorgeschotelde illusie te hebben. De e-mails worden namelijk steeds geloofwaardiger. Vaak gebeurt het dat onlogische e-mailadressen worden opgegeven als afzender of geadresseerde. Het komt echter steeds vaker voor dat er aan de e-mailadressen niets verdachts valt af te lezen.


De bijlagen

De bijlagen van de e-mailberichten zijn echter minder geloofwaardig. De bijlagen zijn bijvoorbeeld .rar of zip bestanden. Na het openen van deze zip bestanden wordt er (via bijvoorbeeld een worddocument) een macro gestart. Belangrijk is dus dat klanten weten dat zij dit type bestanden niet moeten openen. Het kan dus zo zijn dat de klant een e-mail ontvangt van KPN met hierin de bijlage FactuurXXXX.rar. De e-mail ziet er precies hetzelfde uit als de e-mail die KPN verstuurt, de bijlage bevat echter ransomware. Er zijn talloze voorbeelden te noemen waarbij er een grote kans is dat de klant per ongeluk een verkeerde bijlage opent.

Door het openen van de bijlage wordt het bestand uitgevoerd. Na het uitvoeren van dit bestand van dergelijke cryptolockers zal er in de tijdelijke map van de gebruiker (of in sommige gevallen van Windows) een EXEcutable file gecreëerd worden. Deze gaat na het aanmaken (dat d.m.v. een uniek script gebeurt, VBS of anderszins) ook direct starten en alle gekoppelde schijven en netwerkschijven doorlopen en versleutelen. Hierbij gaat het om de volgende bestandsextensies: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c


De varianten

Het gedrag van cryptolockers verschilt per soort. Er zijn enkele varianten:

  • Zogenaamde Locky crypto maakt alle bestandsnamen onleesbaar en voegt de extensie LOCKY toe.
  • Petya: herschrijft de Windows boot record.
  • Andere crypto varianten behouden de originele bestandsnamen en extensies maar voegen er een encryptiecode aan toe.
  • Weer andere cryptolockers versleutelen alleen de inhoud en dan is er aan de bestandsnaam en extensie niets te zien.
     

Voor de duidelijkheid: het hernoemen van bestandsnamen, na versleutelen, heeft geen zin. Er is GEEN middel om de cryptolocker terug te draaien. Alle cryptolockers, behalve de allereerste generatie van 2014/2015 schakelen altijd de Volume Shadow service van Windows (XP tot huidige versie, inclusief servers) uit, dus momentopnames zijn vaak niet meer beschikbaar. De allernieuwste generaties zijn nog gevaarlijker. Als de cryptolocker gestart wordt op een server worden alle mogelijke Windows databases ook versleuteld. Dat betekent dat Exchange, Active Directory en SharePoint services per direct onbruikbaar zijn.

Er bestaat een kleine kans om het cryptolocker te stoppen door na het openen van de foutieve/gevaarlijke bijlage per direct alle computers van het bedrijf uit te zetten. Wanneer de cryptolocker dan op tijd is gestopt heeft de klant kans dat de Shadow Copies, mits in eerste instantie ingeschakeld, nog bestaan. Is er via ShadowExplorer geen Shadow Copy te vinden, dan is de klant te laat of stond dit sowieso al niet aan.


De oplossing: de backup

Leon Horenberg: 'In de praktijk is het altijd hopen op een goede EN recente backup. Hiervoor is een online backup geschikt. Wanneer de klant een lokale backup maakt en het netwerk wordt geïnfecteerd is deze backup logischerwijs onbruikbaar. Op deze manier hebben onze partners gelukkig vaak dataverlies voor getroffen klanten weten te voorkomen. Voor getroffen klanten die geen goede of recente backup hebben loopt de schade al gauw op in de vorm van een enorm verlies van data of het betalen van vele duizenden euro's. Dit is de reden dat onze partners te allen tijde een automatische en betrouwbare backup oplossing adviseren.'

'Betalen is een optie, maar ook dan is het afwachten of de data door de cybercriminelen beschikbaar wordt gesteld.' vertelt Leon Horenberg. 'Het probleem cryptolocker wordt steeds omvangrijker voor zowel de consumenten als de zakelijke markt. Eén keer een ogenschijnlijk onschuldige e-mail openen kan leiden tot een enorme schadepost. Voorkomen is altijd beter dan genezen, zorg dus voor een goede backup. Op deze manier voorkomt de klant dat hij slachtoffer wordt van deze agressieve vorm van cybercriminaliteit en de keuze te moeten maken tussen betalen of dataverlies.'

« Terug naar nieuws

Direct online backup bestellen?

Bel +31 570 56 23 43 of laat uw telefoonnummer achter en wordt altijd binnen 2 uur teruggebeld!

Inloggen

(klanten) (partners) (Veeam)