Cryptolocker is een virus dat de laatste maanden steeds vaker opduikt. Het versleutelt bestanden op de computer en biedt gedupeerden dan de mogelijjkheid om deze ‘vrij te kopen’. Een digitale gijzeling dus.
Op deze pagina:
Wat is Cryptolocker?
Waar we het recentelijk nog hadden over het Ukash of politievirus, worden heel wat computergebruikers momenteel geteisterd door een virus van de nieuwe generatie: Cryptolocker.
Het virus teistert vooral computers met Windows XP, Vista, 7 en 8,wordt veelal verspreid via spam en infecteert de computer van een gebruiker wanneer die bijvoorbeeld een kwaadaardige bijlage opent. Het virus versleutelt dan vaak gebruikte bestandsformaten als .docx en .jpeg met een krachtige encryptie. Opmerkelijk is dat niet enkel de lokale harde schijf geïnfecteerd raakt, maar ook usb-sticks, gekoppelde netwerk schijven (bv een NAS) en zelfs cloud drives worden geëncrypteerd.
In bovenstaande afbeelding van Sophos zien we welke bestandsextenties allemaal versleuteld worden door het virus.
Nadat bestanden besmet geraakt zijn heeft de gebruiker 72 uur om een sleutel aan te kopen (kostprijs ligt meestal rond de 300 dollar of 300 euro) om de bestanden opnieuw ‘vrij te kopen’. De cyberhackers bieden hiervoor zelfs verschillende betaalmogelijkheden en bieden zelfs de mogelijkheid om deze termijn van 72 uur tegen betaling te verleggen. Aangezien betaling van deze dwangsom echter geen garantie geeft op het vrijgeven van de bestanden wordt afgeraden om hierop in te gaan.
Cryptolocker pop-up
Gebruikers van een besmet toestel worden door middel van een pop-up aangemoedigd om het vermelde bedrag te betalen. Cryptolocker meldt nog dat de versleutelde data alleen met een privésleutel ontcijferd kan worden en dat deze binnen een bepaalde tijd automatisch wordt vernietigd. Het tijdstip waarop dit zal gebeuren wordt duidelijk in beeld getoond, met eronder een timer die aftelt tot dat moment.
De pop-up vermeldt verder ook dat elke poging om de malware te verwijderen of uit te schakelen zal leiden tot vernietiging van de privésleutel.
Er wordt momenteel gejaagd op de servers die gebruikt worden om de encryptie en decryptiesleutels te verspreiden maar dit gaat moeizaam.
Voorkom besmetting met Cryptolocker
Aangezien de malware ook gekoppelde netwerschijven besmet, is het aangeraden om de schijfrechten op netwerkschijven strict te beperken. Tracht ook uw antivirussoftware steeds up to date te houden, maak geregeld backups en installeer tijdig de nodige patches voor uw applicaties en besturingssysteem. Beheerders worden ook aangeraden om IPS/IDS (intrusion prevention/detection systems) en firewalls goed in te stellen om verdachte activiteiten te detecteren.
Het advies voor eindgebruikers is eenvoudig; klik geen links aan in ongewenste mails, vul zeker geen informatie in op deze links en open geen verdachte bijlages van een afzender die u niet vertrouwt.
De meeste antiviruspakketten kunnen de cryptolocker malware inmiddels opsporen maar het virus kan uiteraard opnieuw in een andere vorm opduiken.
Cryptolocker virus verwijderen
Hoewel het mogelijk is om de ransomware op zich te verwijderen, bijvoorbeeld met de Sophos virus removal tool, is er momenteel nog geen oplossing om geëncrypteerde bestanden te ontcijferen.
Indien u over een backup beschikt kan deze teruggezet worden, op voorwaarde dat de backup zelf niet toegankelijk was via de getroffen pc – en dus ook besmet geraakt is – of in een ander bestandsformaat opgeslagen werd dan de door cryptolocker ‘ondersteunde’ bestandsformaten. Uiteraard blijft het dan de vraag of deze backup recent genomen werd en dus recente data bevat.
Sinds Windows Vista kennen we ook de optie ‘vorige versies’, waarbij het besturingssysteem zelf kopieën voorziet van gewijzigde bestanden. Het is dan mogelijk dat de laatste, door de gebruiker gewijzigde, versie van een bestand kan teruggezet worden. Door middel van de tools ListCrilock en Shadow Explorer kuinnen de versleutelde bestanden gefilterd worden.
Een echte oplossing is er nog niet, er kwam zelfs een melding vanuit de VS van een politiekantoor dat besmet raakte met het virus de dwangsom betaalde om de bestanden vrij te kopen. Lees hier hoe u uw data kan beschermen tegen cryptolocker.
