Plaats reactie
1
Index
  1. Wat is CryptoDefense?
  2. Bestanden herstellen met Emsisoft Decryptor
  3. Bestanden herstellen vanuit een schaduwkopie
  4. Informatie over de decryptie website
  5. Welke preventieve maatregelen kan ik nemen?

Wat is CryptoDefense?

CryptoDefense is een stukje malware dat je persoonlijke bestanden zoals documenten, video's en foto's versleutelt (ransomware familie). Eerdere bekende varianten van deze categorie zijn het Politievirus, CryptoLocker en CryptorBit.
De malware verscheen rond eind februari 2014 en is gericht op alle versies van Windows inclusief Windows XP, Windows Vista, Windows 7 en Windows 8.
Eind april 2014 verscheen de CryptoWall variant met hoofdzakelijk dezelfde eigenschappen als CryptoDefense.
Afbeelding
Eenmaal de malware zich heeft geïnstalleerd voert het volgende acties uit:
  • Er wordt een unieke code voor uw systeem geüpload naar de Command & Control server van de hackers.
  • Alle schaduwkopieën van uw systeem worden verwijderd zodat u enkel nog bestanden kan herstellen via een backup of door het losgeld te betalen. Gelukkig worden deze kopieën soms niet helemaal verwijderd waardoor u mogelijks nog enkele bestanden kan recupereren. Zie daarvoor het onderdeel bestanden herstellen met Emsisoft Decryptor.
  • Uw computer wordt gescand en alle tekstdocumenten, foto's, video's en Microsoft Office documenten worden versleuteld.
  • Er wordt een schermafbeelding genomen van het scherm vlak voor de computer geïnfecteerd werd. Deze wordt gebruikt bij het betalen van het losgeld.
  • De bestanden How_Decrypt.txt en How_Decrypt.html worden aangemaakt in elke map waar een versleuteld bestand aanwezig is. Deze bestanden bevatten instructies van de malwareschrijver hoe uw de computer opnieuw kan ontgrendelen.
  • Er wordt een nieuwe registersleutel aangemaakt HKCU\Software\<unique ID>\. Alle versleutelde bestanden worden vermeld onder de sleutel HKCU\Software\<unique ID>\PROTECTED
De website waar het losgeld betaald dient te worden bevindt zich op een Tor netwerk. De betaling kan enkel gebeuren in Bitcoins en bedraagt zo'n $500. Indien het bedrag niet binnen de 4 dagen wordt overgemaakt zou dit bedrag oplopen tot $1000. Verder dreigt men uw persoonlijke sleutel definitief te verwijderen wanneer u de decyptor niet binnen de maand downloadt, zodat uw bestanden nooit meer hersteld kunnen worden.

De bestanden worden versleuteld met een RSA-2048 encryptie welke het onmogelijk maakt om deze te ontgrendelen via een brute force aanval. Elk versleuteld bestand wordt nu voorafgegaan door 2 elementen: Eerst staat !crypted!, gevolgd door een unieke code voor de geïnfecteerde computer (bv. 18177F25DA00CD4CBC3D1b8B9F55F018).
Alle bestanden op de geïnfecteerde computer dragen dus hetzelfde voorvoegsel. Dit wordt waarschijnlijk gebruikt door de Decrypt Service website om de unieke code terug te vinden welke aanvankelijk werd aangemaakt voor uw systeem.

Vermoedelijk wordt deze malware geïnstalleerd via programma's die zich voordoen als Adobe Flash updater of video players voor het bekijken van een video. Daarnaast wordt vaak heel wat adware en varianten als CryptoBit mee geïnstalleerd.
Met vriendelijke groet,
Mako

Afbeelding
Member of UNITE Unified Network of Instructors and Trained Eliminators
2
Bestanden herstellen met Emsisoft Decryptor

:warning_icon: Tot op heden bestaat er geen methode om uw bestanden te recupereren.

Voor infecties vóór 1 april 2014 bestaat de kans dat je de decryptiesleutel kan achterhalen. Fabian Wosar, een medewerker van Emsisoft had een lek ontdekt in de encryptie van Cryptodefense en heeft hiervoor een tool ontwikkeld. Met die intentie om deze informatie niet met de nodige persaandacht op het internet te gooien begonnen hij en zijn collega's mensen te helpen in privé. Jammer genoeg besloot Symantec kort nadien hier een blogpost over te maken waardoor deze lek intussen gedicht is en de decryptiesleutel niet meer achterhaald kan worden.
Vermoedelijk zal de tool geüpdatet worden van zodra een nieuwe oplossing bekend is.

Bestanden herstellen met de Afbeelding Emsisoft Decryptor (enkel geldig voor infecties voor 1 april 2014)
  1. Download decrypt_cryptodefense.zip van deze website naar je bureaublad.
  2. Rechtsklik op decrypt_cryptodefense.zip en kies voor Extract All.
  3. U vindt in de map 2 bestanden terug. Het bestand met de naam CryptoOffense.exe kan gebruikt worden om de decryptiesleutel te achterhalen in deze op te slaan in het bestand secret.key. U hoeft deze methode enkel te gebruiken wanneer u de bestanden wilt ontgrendelen via een andere computer. Meer informatie hierover vindt u in het onderdeel "Bestanden herstellen via een andere computer".
    Daarnaast vindt u ook nog het bestand decrypt_cryptodefense.exe terug, dit is het programma die de sleutel opspoort en uw bestanden zal trachten te ontgrendelen.
    Dubbelklik op decrypt_cryptodefense.exe op de tool te starten.
  4. U krijgt nu onderstaand scherm te zien:
    Afbeelding
    Alle versleutelde bestanden worden nu opgespoord. Wanneer de scan compleet is drukt u op Decrypt.
    • Indien het programma uw persoonlijke sleutel succesvol kon herstellen krijgt u de melding "Loaded private key from current user's key storage!" te zien en probeert het programma uw bestanden te herstellen. Dit kan enige tijd in beslag nemen en soms blijk geven dat het programma is vastgelopen, wacht geduldig af en gebruik uw computer niet in de tussentijd.
    • Wanneer het programma uw persoonlijke sleutel niet kon herstellen krijgt u de melding "No CryptoDefense key found" en is er jammer genoeg geen mogelijkheid om de versleutelde bestanden te herstellen.
  5. Wanneer u tijdens het decryptieproces meldingen ziet verschijnen als "File could not be decrypter properly. Skipping ..." is uw persoonlijke sleutel vermoedelijk al overschreven. U kan uw bestanden nog proberen te proberen herstellen op voorwaarde dat de schaduwkopieën niet verwijderd werden.

    De decryptiesleutel bevindt zich op de locatie %appdata%\Microsoft\Crypto\RSA. U zou deze map kunnen overschrijven met een versie vanuit een vorige schaduwkopie in de hoop de oorspronkelijke encryptiesleutel te herstellen.
    Start nadien Emsisoft Decryptor opnieuw.
    Opgelet! Maak een backup van de oorspronkelijke RSA map alvorens deze te overschrijven! Bovendien, indien u gebruik maakt van EFS is het van cruciaal belang dat uw een backup neemt van de certificaten volgens dit artikel.
    Om uw bestanden te herstellen vanuit een schaduwkopie zie het onderdeel Bestanden herstellen vanuit een schaduwkopie.
Bestanden herstellen via een andere computer
  1. Kopieer het bestand CryptoOffense.exe naar de geïnfecteerde computer. Op die manier kan de decryptiesleutel geëxporteerd worden.
  2. Dubbelklik op CryptoOffense.exe om de tool te starten. Wanneer alles goed gaat krijgt u onderstaande output te zien:
    CryptoOffense v1.0 - A CryptoDefense private key dumper - Use at your own risk!
    Written by Fabian Wosar - Emsisoft GmbH - http://www.emsisoft.com
    Found a key matching CryptoDefense characteristics! (2048, Not exportable)
    Force exporting key 0x00169C18 to file secret.key ...
    Patching CryptoAPI ... Success!
    Writing 1176 bytes to file secret.key ... Success!

    Press any key to close the application ...
  3. Druk op een toets om het programma te sluiten. U vindt nu het bestand secret.key terug op dezelfde plaats waar u CryptoOffense.exe hebt gestart.
  4. Plaats dit bestand over naar de decryptie computer en start daar de Emsisoft Decryptor tool. De sleutel zal automatisch geladen worden.
Met vriendelijke groet,
Mako

Afbeelding
Member of UNITE Unified Network of Instructors and Trained Eliminators
3
Bestanden herstellen via een schaduwkopie

Wat is een schaduwkopie?
Wanneer u systeemherstel heeft ingeschakeld op de computer worden automatisch schaduwkopieën gemaakt. Schaduwkopieën maken het mogelijk om bijvoorbeeld oude bestanden te herstellen via de optie "Vorige versies herstellen" wanneer u rechtsklikt op een document.

Deze methode is echter niet helemaal waterdicht, zo kan het voorkomen dat sommige bestanden niet de laatst aangepaste versie zijn. Daarenboven probeert de infectie alle schaduwkopieën te verwijderen waardoor uw bestanden mogelijks niet hersteld kunnen worden. Gelukkig slaagt de infectie hier niet altijd in en blijft dit een methode die zeker het proberen waard is!

We bespreken in dit artikel 2 methodes om de bestanden te herstellen, probeer gerust beide methodes uit om te zien welke het beste voor u werkt.

Methode 1: Standaard Windows functies

Om individuele bestanden te herstellen kan u onder Eigenschappen op de Vorige Versies tab klikken. Hier verschijnen alle vorige versies die opgeslagen zijn in de schaduwkopie gesorteerd op datum.
Om een bestand te herstellen klikt u op Kopieer... en selecteert u de map waar u het bestand wilt opslaan. Indien u het originele bestand wilt overschrijven klikt u op Herstellen. Wenst u de inhoud van het bestand te bekijken alvorens u het herstelt, dan klikt u op Openen.

Dezelfde methode kan gebruikt worden op mappen.

Methode 2: Shadow Explorer

Download het programma Shadow Explorer naar het bureaublad.
Wanneer u het programma start krijgt u een lijst te zien met alle data en schijven waarop een shaduwkopie aanwezig is. Selecteer de schijf (blauwe pijl) en datum (rode pijl) waarvan u de bestanden wilt herstellen.
Om een volledige map te herstellen rechtsklikt u op de map en kiest u Export en geeft u een locatie op waarnaar de vorige versie hersteld moet worden.
Afbeelding
Met vriendelijke groet,
Mako

Afbeelding
Member of UNITE Unified Network of Instructors and Trained Eliminators
4
Informatie over de decryptie website

Wanneer u geïnfecteerd bent met CryptoDefense worden volgende bestanden aangemaakt in elke map waar zich een versleuteld bestand bevindt:

  • How_Decrypt.txt
  • How_Decrypt.html

Deze bestanden bevatten informatie over hoe u het losgeld kan betalen. Beide bestanden bevatten de volgende informatie:

How_Decrypt.txt

Code: Selecteer alles

All files including videos, photos and documents on your computer are encrypted by CryptoDefense Software.

Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.

The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; 
the server will destroy the key after a month. After that, nobody and never will be able to restore files.

In order to decrypt the files, open your personal page on the site https://rj2bocejarqnpuhm.onion.to/XXX and follow the instructions.

If https://rj2bocejarqnpuhm.onion.to/XXX is not opening, please follow the steps below:

1. You must download and install this browser http://www.torproject.org/projects/torbrowser.html.en
2. After installation, run the browser and enter the address: rj2bocejarqnpuhm.onion/XXX
3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

IMPORTANT INFORMATION:

Your Personal PAGE: https://rj2bocejarqnpuhm.onion.to/XXX
Your Personal PAGE(using TorBrowser): rj2bocejarqnpuhm.onion/XXX
Your Personal CODE(if you open site directly): XXX
How_Decrypt.html
Afbeelding
De gebruiker dient naar een Decryptie website te navigeren waar hij/zij zijn persoonlijke code dient in te geven om toegang te krijgen tot de decryptieservice. De website kan bereikt worden via een Tor webbrowser op rj2bocejarqnpuhm.onion of via de gebruikers webbrowser https://rj2bocejarqnpuhm.onion.to.

Wanneer u de persoonlijke code heeft ingevoerd krijgt u informatie over hoeveel u dient te betalen en krijgt u het screenshot te zien van vlak voor de infectie. Daarnaast kan u ook 1 gratis decryptie uitvoeren.
Van zodra u de betaling in Bitcoins hebt uitgevoerd, dient u het transactie ID in te geven op hun website en op de Pay-knop te drukken. Eenmaal de transactie geverifieerd is krijgt u een link te zien naar de decryptor.

Bij het uitvoeren van de decryptor gaat het programma op zoek naar de registersleutel waar alle vergrendelde bestanden staan (HKCU\Software\<unique ID>\PROTECTED). Indien deze sleutel niet meer aanwezig is kan u ook handmatig een map opgeven waarin gezocht dient te worden naar bestanden.
Afbeelding
Met vriendelijke groet,
Mako

Afbeelding
Member of UNITE Unified Network of Instructors and Trained Eliminators
5
Welke preventieve maatregelingen kan ik nemen?

Voor zover tot op heden bekend is verspreidt de malware zich via een installer. Het kan gaan om een valse installer voor bijvoorbeeld Adobe Flash of een video codec pakket.
In de eerste plaats komt het er dus op neer om enkel bestanden te downloaden van betrouwbare sites. Daarnaast is een goede antivirus en firewall onontbeerlijk en kunnen ze u helpen voorkomen deze malafide bestanden te downloaden. Laat verdachte bestanden steeds scannen door je antivirus programma en controleer of deze digitaal ondertekend is door de producent.

Ter aanvulling op uw standaard antivirus en firewall kan het nuttig zijn volgende programma's geïnstalleerd te hebben:

HitmanPro CryptoGuard
De ontwikkelaars achter HitmanPro zijn druk in de weer met het ontwikkelen van preventie software. Zo bracht HitmanPro.Alert vorig jaar een nieuw softwarepakket uit: HitmanPro CryptoGuard. Dit programma biedt pro-actief bescherming tegen ransomware die de bestanden op de computer versleuteld. Binnenkort zou versie 3 verschijnen waarbij de pro-actieve bescherming tegen de crypto-lockers nog verder geoptimaliseerd zou zijn. Uiteraard detecteert dit programma nog meer ransomware varianten dan alleen CryptoDefense. Malwarebytes Anti-Exploit
Met Malwarebytes Anti-Exploit beperkt u de kans dat uw computer geïnfecteerd raakt door een van de kwetsbaarheden in uw browser (exploits). Dit softwarepakket richt zich in de eerste plaats op het bewaken van de toegang tot uw computer, daar waar HitmanPro CryptoGuard het programma gedrag in de gaten houdt. Beide programma's bieden een uitstekende bescherming als aanvulling op uw huidige antivirus en firewall.
Voor alle verdere informatie omtrent computerbeveiliging en (gratis) antiviruspakketten verwijzen we u graag naar de volgende forums:

Dit artikel is vertaald met de toestemming van Bleeping Computer en mag op geen enkele manier gekopieerd worden zonder toestemming van PC Web Plus of Bleeping Computer.
Source
Met vriendelijke groet,
Mako

Afbeelding
Member of UNITE Unified Network of Instructors and Trained Eliminators
Plaats reactie

Maak een account aan of log in om deel te nemen aan de discussie

Je moet lid zijn om een ​​reactie te kunnen plaatsen

Maak een account aan

Geen lid? Registreer om lid te worden van onze community
Leden kunnen hun eigen onderwerpen starten en zich abonneren op onderwerpen
Het is gratis en duurt maar een minuut

Registreer

Log in

Gebruikersnaam
Wachtwoord

Terug naar “Security artikelen & handleidingen”