Cryptolocker… Het klinkt bijna als in een Hollywood-film. U start veel belovend de bijlage uit een e-mail van bijvoorbeeld uw bank en de teller begint te lopen. Bestanden worden in razendsnel tempo versleuteld en het enige wat u kunt doen is betalen. De nieuwe vorm van malware: ransomware (encryptie virussen). Uw bestanden gegijzeld, wat nu? Er zijn in het geval van Cryptolocker slechts twee opties: betalen of laten opschonen en een back-up herstellen. De versleuteling is 2048-bit AES encryptie, waarvan de privé-sleutel bij de virusmaker is. Deze mag u kopen. Voor het gemak is het €300,-, $300,- of 2 Bitcoins (ongeveer €300,-). Doet u dit niet, dan zijn de bestanden uiteindelijk niet meer te lezen.
Wat kunt u doen om te voorkomen?
Wat eigenlijk altijd goed is om te doen: rustig kijken en goed nadenken. Verwacht u van de afzender een e-mail? Zouden zij normaal iets doorsturen? Kloppen de links (zonder te klikken)? Een link naar www.ing.nl waar als ‘ballon’ staat wwwi.ng.nl is niet hetzelfde!
Wat kunt u eraan doen als u reeds besmet bent?
Zorg ervoor dat uw antivirus oplossing up-to-date is, net als Windows en overige software op uw machine. Updates worden niet alleen uitgebracht om extra functionaliteit uit te brengen, maar voornamelijk om veiligheidslekken te verhelpen.
Wat had u kunnen doen om dit te voorkomen?
Wat altijd het beste is: stop, kijk goed en denk na. Uw bank stuurt nooit ongevraagd bijlages die iets aan de veiligheid van uw computer zouden doen. Zeker nu er op deze schaal misbruik van gemaakt wordt. Bij twijfel, bel het na. Daarnaast is het heel gemakkelijk om uzelf beheerdersrechten te geven om sneller te kunnen werken (zonder vervelende pop-ups). Het nadeel is dat alles wat u doet met beheerdersrechten gebeurd, dus ook systeemwijzigingen aanbrengen.
Sinds enkele dagen (eerste besmetting 20/03/2014) is er competitie in Cryptolocker-land: Cryptodefense. Deze variant gebruikt een RSA-2048 key. Deze zal niet alleen Office-bestanden, maar ook tekst, video en beeld-bestanden versleutelen en VSS-kopieën vernietigen. Hier zal de betaling een maand mogelijk zijn (in plaats van 72 uur), prijzen zijn iets hoger (binnen 4 dagen €360,-, erna tot de 30-dagen termijn €720,-) en kunnen (in veel gevallen) alleen gedaan worden via een zogenaamde TOR-browser. Nadeel hiervan is dat de pakketjes voor de website en betaling moeilijk te volgen zijn, omdat deze verdeeld worden over alle TOR-proxy’s.
Bescherming tegen encryptie virussen belangrijk
Het draait in alle gevallen om het voorkómen. Dit kunt u doen door na te denken over wat u opent, patchmanagement toe te passen en degelijke anti-virus software te hebben draaien. Voor een degelijke anti-virus oplossing kunt u denken aan Bitdefender of VIPRE. Kijk op de website van DCC Nederland over anti-virus oplossingen voor meer mogelijkheden. Voor meer informatie over het TOR-netwerk op Wikipedia.
————————————–
Björn Leenen – Security Specialist bij ASKB4IT. 20 jaar werkzaam in de ICT, waarvan 15 jaar met focus op ICT beveiliging. Legt graag iets uit en als hij het niet weet, zoekt hij het uit!
————————————–
Bent u getroffen door een dergelijk virus?
Een u wilt weten of uw gegevens te herstellen zijn? In sommige gevallen is de data nog te herstellen. Neem via de website van Attingo contact op voor persoonlijk advies.