Cryptoware data recovery

In de afgelopen maanden zijn we vaak gebeld over een fenomeen waar klanten bestanden zagen staan, maar er niets mee kunnen doen. De bestanden leken beschadigd te zijn, want men kon ze niet openen. Bij nader onderzoek werd duidelijk dat de klanten getroffen waren door een nieuwe vorm van malware, genaamd Cryptoware of Ransomware. Uw bestanden zijn gegijzeld!

cryptoware data recovery

Wij zullen u op deze pagina informeren over cryptoware data recovery mogelijkheden.

Cryptoware: vaak malware in een nep-pdf

In het kort komt het hier op neer: een medewerker met bepaalde rechten ontvangt een e-mail met een bijlage (veelal een PDF). Deze pdf is geen echte pdf, maar malware.De bestandsnamen variëren, ING, Rabobank en ICS komen vaak voor. De pdf-bijlage lijkt niets te doen na openen, maar op de achtergrond worden alle lokale bestanden en bestanden waar men rechten heeft op netwerklocaties versleuteld met minimaal 512-bit of 1024-bit AES encryptie. Varianten met 2048-bit encryptie zijn ook al gesignaleerd. Het resultaat kan zijn, dat men bij geen van de data meer kan, afhankelijk van de rechten die de medewerker heeft. Afhankelijk van variant en versie worden backups versleuteld, VSS-kopieën onbruikbaar gemaakt en zelfs bestands-extensies aangepast. Hierdoor kan men niet meer terug naar een voorgaande versie van een bestand, noch kan men de huidige bestanden openen.

Het belang van een goede back-up

Het doel van de verzender van de mail is dat de getroffen partij geld(*) betaalt om een zogenaamde ‘decrypter’ te kopen en zo weer bij de bestanden kan komen. Natuurlijk kan men kijken naar het terugzetten van een backup. Hier komt het nut van een goede werkende backup naar voren. Lastiger wordt het, als men een locatie versleuteld heeft die niet in de backup is meegenomen, zoals lokaal opgeslagen documenten, of als er niet geregeld backups worden gemaakt. Tevens komt vaak, op pijnlijke wijze, naar voren dat men in veel gevallen teveel rechten heeft uitgedeeld binnen het netwerk.

Mocht een backup niet voorhanden zijn, en de data is van groot belang voor de organisatie, dan is men aangewezen op toch het aanschaffen van de oplossing, de zogenaamde ‘decrypter’. Attingo kan hiervoor een externe partijbenaderen die u met dit hele proces kan begeleiden. Hierbij wordt er een assessment gedaan naar wat er is gebeurd, welke bestanden er versleuteld zijn, wat de kosten zouden zijn voor het aankopen van een decrypter en erna natuurlijk de daadwerkelijke decryptie. Elke stap zal worden gelogd en aan u overhandigd in een rapport, de betaling zal via een machine van uzelf worden gedaan via een Nederlandse Bitcoin-merchant.

Cryptoware data recovery

Uiteindelijk is het doel, dat u uw data weer kunt benaderen. Dat is onze rol bij data recovery, daar kunnen wij u bij assisteren.

(*) Het geld wat men hiervoor dient te betalen is geen tastbare valuta, maar cryptocurrency, digitaal geld, genaamd Bitcoins. Momenteel is een Bitcoin ongeveer 200-275 euro per stuk, maar dit verandert per minuut.

Een goede cryptoware of ransomware oplossing is een restore van een tape back-up.