CryptoLocker is een malware van het type ransomware dat bestanden 'gijzelt' door ze te versleutelen. Het is dus een kwestie van zaken doen met criminelen óf afscheid nemen van je bestanden.


Hoe heeft technologie een impact op je business?
Ontvang elke week het zakelijk IT-nieuws rechtstreeks in je inbox!



CryptoLocker is een relatief nieuwe trojan, de eerste berichten over deze specifieke ransomware dateren van begin dit jaar, maar de laatste weken is de trojan prominenter aanwezig en wordt er meer en meer over geschreven.  Ransomware zelf is niet nieuw, het is een malware die ervoor zorgt dat gebruikers geen toegang meer hebben tot hun systeem of bestanden. De oudste vorm is de ransomware die het scherm blokkeert.

Als een gebruiker vervolgens inlogt als een andere gebruiker, kan hij zijn systeem weer gebruiken. Daarom is dit type ransomware niet zo kwaadwaardig. Dat is wel het geval bij het type dat bestanden, veelal kinderporno, op het systeem kopieert. Waar dit type voorheen alleen nog de melding gaf dat er illegale bestanden op de computer waren aangetroffen, is het tegenwoordig in staat om bestanden ook daadwerkelijk op de pc te installeren. Als om wat voor reden dan ook de computer in beslag wordt genomen en doorgelicht wordt, kan men serieus in de problemen komen.

De derde vorm van ransomware is CryptoLocker. In eerste instantie lijkt er niets te gebeuren. Via de mail komt er een attachment binnen, typisch een fax- of voicemailbericht. Zodra de gebruiker op het attachment klikt, wordt de trojan geactiveerd en begint het met het versleutelen van bestanden. Alle bestanden waar de gebruiker schrijfrechten op heeft, worden versleuteld.

Vervolgens probeert de trojan via internet contact te maken met de server van de cybercriminelen en verschijnt er een boodschap in beeld waarin staat dat de bestanden versleuteld zijn en dat er binnen de 72 uur 300 euro, 300 dollar of 2 BitCoins betaald moet worden om de sleutel te krijgen voor het decrypteren vande versleutelde bestanden. Gebeurt dat niet binnen die tijd, dan wordt de sleutel vernietigd en zijn de bestanden voor altijd verloren.

Encryptie volgens het boekje

Malware die data versleutelt en vervolgens aan de gebruiker probeert terug te verkopen is niet nieuw. Sterker nog, een van de eerste stukken malware die werd geschreven om geld te verdienen in plaats van louter een punt te maken, was de aids Information Trojan uit 1989. Deze trojan gooide de harde schijf overhoop en instrueerde de gebruiker om 378 dollar over te maken naar een bankrekening in Panama.

Deze malware gebruikte simplistische encryptie algoritmes en gooide iedere harde schijf op dezelfde wijze door elkaar, waardoor het relatief eenvoudig was om tools voor clean-up en recovery aan te bieden. Helaas is dat bij CryptoLocker niet het geval. Hierbij wordt encryptie volgens het boekje uitgevoerd, waardoor het onmogelijk is om versleutelde bestanden terug te halen zonder de juiste sleutel.

Uitgebreid onderzoek lijkt aan te geven dat er geen achterdeur zit in CryptoLocker. Wat de publieke sleutel onleesbaar heeft gemaakt, kan alleen de private key weer leesbaar maken.

 

Attachments en botnets

CryptoLocker lijkt vooral gericht op KMO’s, waarschijnlijk omdat private personen te weinig bestanden op hun systeem staan hebben, die belangrijk genoeg zijn om er 300 euro voor te betalen. Vermoedelijk gaan de criminelen er vanuit dat grote organisaties hun security dermate goed op orde hebben dat er weinig te halen valt. De trojan komt bedrijven binnen via e-mail attachments en botnets.

Wat betreft de attachments blijft het eeuwenoude adagium gelden: open niets dat je niet vertrouwt of afkomstig is van mensen die je niet (goed) kent. Infectie via een botnet is iets anders, aangezien de criminelen gebruikmaken van het feit dat het slachtoffer al geïnfecteerd is met malware om hem zo met nog meer malware te kunnen besmetten.

Dat komt doordat bots, of zombies, als ze eenmaal actief zijn op een systeem, een algemeen ‘upgrade’-commando bevatten dat de criminelen in staat stelt om de malware die op het systeem staat te upgraden, vervangen of uit te breiden. Daarom is het belangrijk om direct uit te zoeken of er al malware op je systeem staat en dat direct te verwijderen.

Andere belangrijke zaken die organisaties kunnen doen om besmetting te vermijden, zijn:

  • Zorg dat het besturingssysteem en alle software up-to-date en gepatcht is.
  • Zorg ervoor dat de antivirussoftware actief en up-to-date is  en dat de juiste, door de leverancier geadviseerde,  instellingen worden gebruikt.
  • Open geen bijlagen die je niet verwacht of van mensen die je niet (goed) kent.
  • Zorg voor regelmatige, goed geteste, back-ups en bewaar die op een veilige (liefst offline) locatie. 

Gratis removal tool

Hoewel het aannemelijk is dat de criminelen de sleutel daadwerkelijk teruggeven na het betalen van het losgeld, raden wij slachtoffers aan om niet in te gaan op de losgeldeis. Alle malware wordt geschreven om geld te verdienen en hoe minder mensen daarop ingaan, hoe minder interessant deze manier wordt voor criminelen. Voor organisaties die zich wel geconfronteerd zien met de trojan is alleen een goede back-up een remedie. Wij hebben een gratis tool om aanwezige malware te detecteren en op te ruimen.  

Zorg er wel voor dat het besmette systeem direct wordt losgekoppeld van de rest van het netwerk. Het programma is geen vervanging voor bestaande antivirussoftware, aangezien het geen actieve bescherming biedt, maar met de tool kan CryptoLocker wel van een systeem worden verwijderd; versleutelde bestanden kunnen er echter niet mee worden teruggehaald. Aangezien de malware geen worm is, verspreidt het zichzelf niet automatisch verder. Het is ook geen virus, dus het kopieert zichzelf niet op de computer.

 

Minimale rechten eindgebruikers

CryptoLocker kan bij alle bestanden en systeeminstellingen waar de gebruiker toegang toe heeft. Wij adviseren daarom ook om kritisch te kijken naar de rechten van gebruikers op het systeem. Hoeven documenten alleen geconsulteerd te worden? Zorg dan voor louter leesrechten in plaats van schrijfrechten. In dat geval kan de malware de bestanden wel lezen en doorsturen, maar het kan ze niet veranderen of versleutelen.

Ook de permissies van gebruikers binnen het besturingssysteem zijn veelal nog te uitgebreid. Niet iedereen hoeft administrator te zijn van zijn eigen machine. Het is beter als niemand dat is, maar iemand zich wel als administrator kan aanmelden voor bepaalde taken. Op die manier wordt de toegang tot instellingen beperkt, wat gunstig is in het geval van besmetting.

 

Kortom, om de kans op gegevensverlies door besmetting met malware, en met name CryptoLocker zo klein mogelijk te maken, zorg je voor:

  • regelmatige back-ups van belangrijke bestanden;
  • up-to-date antivirussoftware;
  • up-to-date besturingssysteem en software (patches);
  • kritische houding ten opzichte van de instellingen voor toegang en permissie op het netwerk;
  • geen administrator-privileges koppelen aan gebruikersaccounts.