• Home
  • Stel uw eigen diagnose
  • Datarecovery
  • RAID Recovery
  • NAS Recovery Tips
  • Datarecovery software
  • Partners
    • Partner COMPAREX
    • Partner DCC Nederland
    • Partner Grift – IT B.V.
    • Partner PC support aan huis
Data Recovery Blog NL
Menu
  • Home
  • Stel uw eigen diagnose
  • Datarecovery
  • RAID Recovery
  • NAS Recovery Tips
  • Datarecovery software
  • Partners
    • Partner COMPAREX
    • Partner DCC Nederland
    • Partner Grift – IT B.V.
    • Partner PC support aan huis
Home › Bestanden verloren › Customer Service › Datarecovery › Disaster recovery › Gastblog › Virussen › Cryptoware, de vernieuwde virusvorm

Cryptoware, de vernieuwde virusvorm

Robbert 26 april 2016     Comment Closed    

Bij ons komen geregeld de aanvragen binnen van bedrijven en particulieren die opeens niet meer bij hun data kunnen komen. Na veel proberen, komt men vaak tot de conclusie dat dit misschien wel eens een data-recovery zaak kan worden. Niet vreemd, want de data is niet te lezen, dus beschadigingen aan de bestanden is geen slechte denkvorm. Bij nadere analyse komen wij dan vaak tot de conclusie dat dit een crypto-virus is.

Cryptoware

Cryptoware is de verzamelnaam voor malware die data versleuteld. Dit proces van versleutelen is een geheel legitiem proces, alleen het doel van de virus-schrijvers is niet legitiem. Normaliter als u als gebruiker gegevens versleutelt, is het om de data voor buitenstaanders ontoegankelijk te maken. Nu doen de virus-schrijvers dit ongemerkt en wel om u als klant te laten betalen voor de (decryptie-) sleutel. De huidige verschijningsvormen die vaak voorkomen zijn CTB-locker, Cryptowall en Locky. Deze gebruiken allemaal een versleutelings-standaard die zo hoog is dat de zo genaamd workfactor om te ontsleutelen (decoderen) meer dan 100 jaar is (met de huidige standaard).

Oorzaak

Zoals bij elk virus is er een ingang nodig om de besmetting te kunnen uitvoeren. Bij CTB-locker, Cryptowall en Locky zijn dit veelal e-mails met bijlages die doen lijken alsof deze bij een bekende, een telecomprovider, een elektriciteitsbedrijf of zelfs uw eigen baas vandaan komen. De schrijvers spelen in op de (onbedoelde) onkunde van de lezer door deze over te halen de bijlage te openen (wie weigert immers een e-mail van de baas). De teksten in de e-mailberichten waren in het verleden nogal ‘krom’ of er zaten fouten in, maar deze zijn tegenwoordig niet meer van echt te onderscheiden.
Uiteindelijk is dus de bijlage (de Dropper) geopend en wordt de rest van de zgn. Payload binnen gehaald. De data op lokale en netwerkschijven wordt versleuteld en de sleutel om de data te kunnen bereiken via een apart internet (TOR-netwerk) bij de C&C-server (Command & Control-server) neergezet. Deze C&C-server is thuisbasis van de schrijver en bewaart uw sleutel.
Als de data is versleuteld, zal het virus zichzelf vernietigen nadat het de ‘losgeldbriefjes’ in de versleutelde mappen heeft achter gelaten. Soms zijn briefjes ook visueel achter gelaten in de vorm van een plaatje en wordt de achtergrond van de ingelogde gebruiker vervangen met dit ‘losgeld-bericht’.

Losgeldbriefje

Gevolg

Nu dat de data versleuteld is, kunt u niet meer bij de informatie waar u mee werkt. Dit is natuurlijk erg vervelend, want uw (bedrijfs-)gegevens zijn nu niet bereikbaar.

Oplossing

Er zijn drie methodes om dit op te lossen:

  1. U doet niets en beschouwt de data als verloren.
  2. U verwijdert de besmettingen met het liefst meer dan één virusscanner, zodat u geen kans op her-besmetting heeft (vergeet het betreffende e-mailtje niet). Daarna zet u de volledige back-up terug en kunt u weer door. Let hierbij op dat u goed naloopt wanneer de laatste goede back-up is geweest, welke machine de oorzaak is geweest én dat u hiermee dus data van de tussenliggende periode kwijt kunt zijn. Hiervoor is het zaak dat de back-up ALLE data mee moet hebben kunnen nemen.

U verwijdert de besmetting en neemt contact op met ons om met onze partner in contact te komen om de data alsnog te ontsleutelen (decoderen). Dit is nodig als uw back-up (blijkbaar) niet alle data heeft meegenomen. Denk hierbij aan mappen die niet aangevinkt zijn door de jaren heen, of (kritische) data die lokaal opgeslagen is. Deze partner begeleidt u door de aankoop procedure heen en test met veilige machines op uw dataset om te kijken of de versleuteling is te verwijderen.

Bestanden verloren Customer Service Datarecovery Disaster recovery Gastblog Virussen
crypto-viruscryptolockerdata recovery

 Vorig bericht

Goede storage belangrijk voor veilige data opslag

―13 april 2016

Volgend bericht 

Attingo in de media – Automatiseringgids

―10 mei 2016

Auteur: Robbert

Robbert Brans is dé datarecovery expert van Nederland. Als er een artikel in een blad als PCM Magazine of de Automatiseringsgids over datarecovery verschijnt, is daar in veel gevallen een interview met hem in opgenomen.

Related Articles

Robbert ― 21 augustus 2015 | Comment Closed

Uw bestanden gegijzeld, wat nu? Encryptie virussen vs. Data Recovery

Cryptolocker… Het klinkt bijna als in een Hollywood-film. U start veel belovend de bijlage uit een e-mail van bijvoorbeeld uw

Robbert ― 5 juni 2015 | Comment Closed

Verzekeringen bieden vaak na brand of waterschade geen dekking bij verlies van data

Robbert ― 8 januari 2015 | Comment Closed

Goede voornemens? Tips om dataverlies te voorkomen

Robbert ― 19 december 2014 | Comment Closed

Data recovery rond de feestdagen

Robbert ― 10 november 2014 | Comment Closed

High-Priority-gegevensherstel in spoedgevallen

Robbert ― 10 oktober 2014 | Comment Closed

[VIDEO] Wat is RAID data recovery en hoe gaat het in zijn werk?

Robbert ― 19 september 2014 | Comment Closed

[VIDEO] Harde schijf gevallen: do’s en dont’s

Robbert ― 29 augustus 2014 | Comment Closed

Samenwerking: Digitale Nazorg geeft antwoord op alle vragen na een overlijden op digitaal gebied

Sociale links

Sociale links

Recente berichten

  • Rond de jaarwisseling kans op datalekken
  • Zomer! Wij bakken een eitje op onze harddisks.
  • Attingo tekent samenwerkingsovereenkomst met Real Solutions
  • Home
  • Stel uw eigen diagnose
  • Datarecovery
  • RAID Recovery
  • NAS Recovery Tips
  • Datarecovery software
  • Partners
Copyright © 2014 - 2022 Attingo Datarecovery BV