Het afgelopen jaar is bijna 5.000 keer aangifte gedaan van cybercrime, zoals bijvoorbeeld ransomware oftewel gijzelsoftware. Dit is een stijging van ruim 60% ten opzichte van 2018, waarbij het aantal slachtoffers vele malen meer is dan het aantal aangiftes. De afgelopen jaren zijn er verschillende ransomware virussen verschenen, wij geven je hierbij een compacte lijst met daarbij een korte uitleg.
PGPCoder / Gpcode ransomware
De trojan PGPCoder / Gpcode ransomware behoort tot het type ransomware dat gegevens op de computer codeert en vervolgens losgeld eist. Na installatie maakt de crypto-Trojan twee registervermeldingen. De eerste invoer zorgt ervoor dat de Trojan herhaaldelijk wordt uitgevoerd bij elke systeemstart. Het tweede item bewaakt de voortgang van het Trojaanse paard en documenteert welke bestanden de schadelijke code al heeft geanalyseerd. Alle bestandsextensies die zijn opgeslagen in de Trojan zijn gecodeerd (inclusief doc, xls, html, jpg, zip en rar). Een tekstbestand in elke map bevestigt vervolgens de aandacht van het slachtoffer op de succesvolle cyberaanval. Sommige varianten van de Trojan kunnen we in eerste instantie te slim af zijn. Als de gebruiker de gecodeerde gegevens naar een nieuwe opslaglocatie kopieerde en vervolgens de niet-gecodeerde bestanden verwijderde, was het vaak mogelijk om deze te herstellen met de daarvoor geschikte software.
CyptoLocker-ransomware
CryptoLocker-ransomware had zijn hoogtepunt tussen september 2013 en mei 2015. De aanvallen verliepen voornamelijk via de Windows-systemen. Ook hier werden gegevens (inclusief afbeeldingen, video’s en documenten) op de getroffen computers systematisch gecodeerd met een complexe sleutel. De sleutel werd vervolgens opgeslagen op de servers van de daders. Het ontsleutelen van de gegevens wordt beloofd tegen betaling van losgeld. Een pop-up informeert dat CryptoLocker de computer heeft aangevallen en alle gegevens heeft gecodeerd. Bovendien wordt een overzicht van alle betrokken gegevens en mappen gegeven. Om extra druk te genereren, telt een aftelling in de pop-up af. Als dit verloopt, wordt de sleutel op de servers verwijderd en is decodering niet meer mogelijk. Hetzelfde geldt voor pogingen om de malware te verwijderen of de politie in te schakelen. Volgens verschillende getroffen mensen heeft een losgeld niet altijd geleid tot de beloofde ontsleuteling.
CryptoLocker uitgeschakeld
In mei 2014 isoleerde Operatie Tovar – een samenwerking van verschillende onderzoeksinstanties en beveiligingsbedrijven – het Trojaanse paard en de hangende “Gameover Zeus” BotNet. CryptoLocker werd, net als andere malware, wereldwijd verspreid. In de loop van de operatie werd de database-inhoud bekendgemaakt, die de sleutels bevatte voor systemen die zijn geïnfecteerd door CryptoLocker. Met deze informatie werd een in augustus 2014 gepresenteerde oplossing ontwikkeld waarmee de betrokkenen de gecodeerde gegevens konden opslaan zonder losgeld te betalen. Ongeveer $ 3 miljoen werd afgeperst via CryptoLocker
Petya ransomware
Ransomware Petya verscheen voor het eerst in maart 2016 en is gericht op Windows-systemen. De Petya Trojan bestaat in vier versies. Kenmerkend voor alle versies is het gebruik van een afbeelding van een schedel, gestileerd volgens ASCII-symbolen. Infectie met Petya vindt plaats via de MBR (Master Boot Record). De bootloader wordt daarna overschreven en een herstart het vervolg. Bij het opnieuw opstarten wordt de MFT (Master File Table) gecodeerd en wordt de eerste kilobyte van verschillende bestanden gecodeerd – niet alle bestanden worden dus beïnvloed. Het systeem start niet op, in plaats daarvan wordt de losgeldbrief van Petya weergegeven. De eerste versie van Petya werd in april 2016 gekraakt door een anonieme computerspecialist en de software “hack petya” werd geprogrammeerd op basis van de opgedane kennis. Dit kan een wachtwoord genereren voor de gecodeerde gegevens.
De tweede variant van Petya (met gebruik van groene schedel) werd ontsleuteld door het ingenieursbureau Dipl.-Ing. Rolf B. Drescher VDI & Partner. Een derde variant (ook een groene schedel) en de vierde variant “GoldenEye” (gele schedel) coderen net als andere ransomware-derivaten. Decodering is hiermee niet langer mogelijk. Beide versies coderen eerst alle bestanden en vervolgens de MFT. De derde, vierde en laatste versie van Petya kunnen niet langer worden gedecodeerd.
WannaCry ransomware
De ransomware WannaCry heeft een wormarchitectuur en heeft hiervoor een Windows-beveiligingsgat gebruikt. De Windows-systemen Vista of jonger zijn beschermd tegen WannaCry met een patch uitgegeven door Microsoft in maart 2017. Het beveiligingslek (EternalBlue) werd jaren door de NSA gebruikt zonder Microsoft hiervan op de hoogte te stellen. Pas toen de kennis werd gestolen, informeerde de NSA, Microsoft over het bestaan van het beveiligingslek.
De infectie vindt plaats via reeds geïnfecteerde systemen binnen een netwerk. WannaCry zoekt onafhankelijk naar onbeschermde systemen en stuurt tegelijkertijd meerdere IP-aanvragen naar het internet om andere onbeveiligde systemen te infecteren. In de loop van de infectie verkrijgt WannaCry beheerderrechten en codeert honderden bestandstypen op interne schijven, evenals gedeelde bestanden en inhoud op netwerkstations (NAS en gedeelde mappen op servers) met een 2048-bits sleutel.
Kill-Switch-Domain stopte Wannacry
De voortdurende verspreiding van WannaCry werd voorkomen door de belangrijke ontdekking van een kill-switch-domein door de Britse beveiligingsonderzoeker en hacker Marcus Hutchins. Hij ontdekte dat WannaCry communiceerde met een niet-geregistreerd domein. Na het registreren van het domein is het botnet uitgeschakeld. Ironisch genoeg wordt Hutchins momenteel beschuldigd van het hebben bijgedragen aan de ontwikkeling van een bank-malware (Kronos) en het in omloop te hebben gebracht.
Wat doe je na een aanval met ransomware virussen?
Raak niet in paniek en schaam je er niet voor! Je bent namelijk niet de enige die getroffen is.
Neem direct contact op met Attingo Datarecovery, er bestaat namelijk een grote kans dat je bestanden terug te halen zijn.
Wij zullen jou direct een advies geven en tot actie overgaan. Vervolgens gaan wij geen onderzoek doen naar hoe de ransomware virussen bij jou terecht zijn gekomen, daar zijn andere specialisten voor nodig.
Wij zorgen ervoor dat jij zo snel mogelijk zult kunnen beschikken over de nog bruikbare bestanden.
Ons contactformulier is 24/7 beschikbaar, verder kun je ons altijd bellen op 0252 621 625.