Cryptolocker detecteren en verwijderen

Detect and protect

Detect and protect

Hoe kan je een cryptolocker detecteren en de bestanden opschonen?

CryptoLocker is inmiddels een bekend vorm van malware die vooral schadelijk kan zijn voor data intensieve organisaties. Zodra de code wordt uitgevoerd, versleutelt het bestanden op desktops en netwerk locaties voor “losgeld”. Iedere gebruiker die probeert het bestand te openen wordt gevraagd een vergoeding te betalen om de bestanden te decoderen. De CryptoLocker (en varianten) zijn bekend geworden als “ransomware.”

Second Line of Defence

Malware zoals CryptoLocker kan een beveiligd netwerk binnen dringen via verschillende wegen, waaronder e-mail, file sharing en downloads. Nieuwe varianten kunnen met succes de anti-virus en firewall-technologieën omzeilen. Het is dan ook zeer aannemelijk om te verwachten dat er meer varianten zullen blijven komen die in staat zijn om de preventieve maatregelen te omzeilen zijn. Als aanvulling op de eerder vermelde maatregelen is het noodzakelijk om een “second line of defence” in te richten.

Gedrag CryptoLocker

De malware begint met het scannen van alle mappen en documenten op de netwerkstations die zijn aangesloten op de geïnfecteerde host. Vervolgens hernoemt en versleutelt de malware die bestanden waar de geïnfecteerde gebruiker toegang toe heeft.  CryptoLocker gebruikt een RSA 2048-bit sleutel om de bestanden te versleutelen en verandert de extensie van de bestanden, zoals .encrypted of .cryptolocker of .[7 willekeurige tekens]. Dit is afhankelijk van de variant malware. Tenslotte creëert de malware een bestand in elke geïnfecteerde directory die gekoppelde wordt aan een webpagina met instructies die de gebruiker nodig heeft om een betaling te doen (bijvoorbeeld via bitcoin). Instructie bestandsnamen zijn meestal DECRYPT_INSTRUCTION.txt of DECRYPT_INSTRUCTIONS.html.

Dagelijks worden er nieuwe varianten ontdekt. Er is bijvoorbeeld een variant die bekend staat als “CTB-Locker”. Deze variant creëert maar 1 bestand in de map waar het voor het eerst begint om bestanden te versleutelen! Decrypt-All-bestanden-[RANDOM 7 chars] TXT of! Decrypt-All-Files – [RANDOM 7 chars] BMP.

Lees meer over “preventieve” en “mitigerende” maatregelen op de volgende site (Engels).

Bron: Varonis Blog