- Wat is CryptoDefense?
- Bestanden herstellen met Emsisoft Decryptor
- Bestanden herstellen vanuit een schaduwkopie
- Informatie over de decryptie website
- Welke preventieve maatregelen kan ik nemen?
Wat is CryptoDefense?
CryptoDefense is een stukje malware dat je persoonlijke bestanden zoals documenten, video's en foto's versleutelt (ransomware familie). Eerdere bekende varianten van deze categorie zijn het Politievirus, CryptoLocker en CryptorBit.
De malware verscheen rond eind februari 2014 en is gericht op alle versies van Windows inclusief Windows XP, Windows Vista, Windows 7 en Windows 8.
Eind april 2014 verscheen de CryptoWall variant met hoofdzakelijk dezelfde eigenschappen als CryptoDefense.
Eenmaal de malware zich heeft geïnstalleerd voert het volgende acties uit:
- Er wordt een unieke code voor uw systeem geüpload naar de Command & Control server van de hackers.
- Alle schaduwkopieën van uw systeem worden verwijderd zodat u enkel nog bestanden kan herstellen via een backup of door het losgeld te betalen. Gelukkig worden deze kopieën soms niet helemaal verwijderd waardoor u mogelijks nog enkele bestanden kan recupereren. Zie daarvoor het onderdeel bestanden herstellen met Emsisoft Decryptor.
- Uw computer wordt gescand en alle tekstdocumenten, foto's, video's en Microsoft Office documenten worden versleuteld.
- Er wordt een schermafbeelding genomen van het scherm vlak voor de computer geïnfecteerd werd. Deze wordt gebruikt bij het betalen van het losgeld.
- De bestanden How_Decrypt.txt en How_Decrypt.html worden aangemaakt in elke map waar een versleuteld bestand aanwezig is. Deze bestanden bevatten instructies van de malwareschrijver hoe uw de computer opnieuw kan ontgrendelen.
- Er wordt een nieuwe registersleutel aangemaakt HKCU\Software\<unique ID>\. Alle versleutelde bestanden worden vermeld onder de sleutel HKCU\Software\<unique ID>\PROTECTED
De bestanden worden versleuteld met een RSA-2048 encryptie welke het onmogelijk maakt om deze te ontgrendelen via een brute force aanval. Elk versleuteld bestand wordt nu voorafgegaan door 2 elementen: Eerst staat !crypted!, gevolgd door een unieke code voor de geïnfecteerde computer (bv. 18177F25DA00CD4CBC3D1b8B9F55F018).
Alle bestanden op de geïnfecteerde computer dragen dus hetzelfde voorvoegsel. Dit wordt waarschijnlijk gebruikt door de Decrypt Service website om de unieke code terug te vinden welke aanvankelijk werd aangemaakt voor uw systeem.
Vermoedelijk wordt deze malware geïnstalleerd via programma's die zich voordoen als Adobe Flash updater of video players voor het bekijken van een video. Daarnaast wordt vaak heel wat adware en varianten als CryptoBit mee geïnstalleerd.