Onlangs werd een nieuwe en verbeterde versie van de ransomware CryptoWall gesignaleerd. De nieuwe CryptoWall 3.00 maakt gebruikt van een losgeld bericht en stuurt het verkeer door naar een website waarop het slachtoffer losgeld moet betalen om zijn bestanden via de anonieme netwerken Tor en I2P te laten ontsleutelen.
CryptoWall is een bedreiging die de bestanden van de gebruiker versleutelt en daarna $ 500 losgeld eist om ze te ontsleutelen. Gewoonlijk moet het losgeld binnen 168 uur in Bitcoints worden betaald.
Overzicht bedreiging
| Naam | CryptoWall 3.0 |
| Type | Ransomware |
| Korte omschrijving | De gebruikersbestanden zijn versleuteld en onbruikbaar. |
| Symptomen | De gebruiker krijgt een losgeld bericht te zien. |
| Verspreidingswijze | Via malware bijlagen. |
| Detectietool |
Controleer of je systeem door CryptoWall 3.0 is aangetast Downloaden
Malware Remover
|
| Gebruikerservaring | Neem deel aan onze forum en leer meer over CryptoWall 3.0. |
De nieuwe functies van CryptoWall 3.0
De nieuwe versie van CryptoWall maakt gebruik van nieuwe Tor to Web gateways: torman2.com, torforall.com, torroadsters.com en torwoman.com. Een daarvan leidt het slachtoffer door naar dezelfde website met betalingsinstructies, maar de ID-codes voor de opvolging van de betalingen zijn uniek.
De betalingstermijn wordt verlengd van vijf dagen naar een week, daarna wordt het losgeld naar $ 1.000 verhoogd.
De oplichters hebben bijkomende bestanden met informatie over de betaling en het herstel van de versleutelde gegevens gecreëerd:
- HELP_DECRYPT.HTML: gebruikt je webbrowser om informatie te tonen over de bedreiging, de versleuteling en de betalingsmethodes
HELP_DECRYPT.PNG: bevat informatie over CryptoWall 3.0- HELP_DECRYPT.TXT: idem als hierboven, maar met platte tekst
- HELP_DECRYPT.URL: gebruikt je webbrowser om de “ontsleutelingsdiensten” van CryptoWall 3.0 voor te stellen terwijl Windows aan het opstarten is
Het losgeld bericht van CryptoWall 3.0 ziet er als volgt uit:
Wat is er met je bestanden gebeurd?
Al je bestanden werden beschermd met een sterke versleuteling met RSA-2048 via CryptoWall. Meer informatie over de encryptie-sleutels die RSA-2048 gebruiken kan je hier vinden: en.wikipedia.org/wiki/RSA_(crypto system).
Wat betekent dit?
Dit betekent dat de structuur en data in deze bestanden onherroepelijk gewijzigd werden. Je zal er niet meer mee kunnen werken, ze kunnen lezen of zien. Het is hetzelfde als ze voor altijd kwijt zijn maar met onze hulp kan je ze herstellen.Hoe kon dit gebeuren?
Speciaal voor jou genereerde onze server een geheim sleutelpaar RSA-2048 – publiek en privaat. Al je bestanden werden versleuteld met de publieke sleutel die verzonden werd naar je computer via het internet. Het ontsleutelen van je bestanden is enkel mogelijk met de hulp van de private sleutel en het ontsleutelingsprogramma dat zich op onze geheime server bevindt.Wat moet je doen?
Helaas, als je niet de nodige stappen zet binnen de opgegeven tijd dan zullen de voorwaarden voor het bekomen van de private sleutel gewijzigd worden. Als je waarde hecht aan je data dan suggereren we je tijd niet te verliezen met het zoeken naar oplossingen want deze bestaan niet.
Na de bestandsversleuteling worden alle originele bestanden verwijderd. Als je geen reservekopie van je bestanden hebt gemaakt, kan je eventueel gebruik maken van een betrouwbare software om je bestanden (of tenminste een deel daarvan) van de shadow kopieën van Windows te herstellen. Verder in dit artikel lees je hoe je dit moet doen.
Verbinding met de I2P-bestanden
De nieuwe versie van CryptoWall werd ontdekt door veiligheidsexperts van Microsoft en de Franse onderzoeker Kafeine die heeft gemeld dat de communicatie met de C&C server versleuteld is met een RC4-algoritme en gebruik maakt van een I2P-protocol.
Kafeine heeft de nieuwe dreiging proberen te testen en hij kreeg telkens een foutmelding als hij met de proxies verbinding probeerde te maken. In de melding stond dat de I2P-website niet beschikbaar is wegens verschillende redenen – ofwel was het onmogelijk om verbinding te maken met de systemen ofwel was het netwerk overbelast. De hackers bleken zich voorbereid te hebben op zulke situaties omdat ze gedetailleerde instructies hebben gegeven over hoe men toegang kan krijgen tot de ontsleutelingsdiensten van het Tor-netwerk.
Nieuwe verspreidingsmethoden van Cryptowall 3.0 (4 september 2015)
Hoe belandt Cryptowall in je computer?
De ransomware is al lang genoeg aanwezig geweest zodat de onderzoekers voldoende informatie over zijn methoden konden verzamelen. De ransomware verspreidt zich vooral via e-mails met ZIP-bijlagen waarin uitvoerbare bestanden gemaskeerd als PDF-bestanden verborgen zitten. Deze bestanden kunnen naar alle vormen van zakelijke communicatie verwijzen:
- Facturen
- Bestelbons
- Rekeningen
- Klachten
Zodra het PDF-bestand wordt uitgevoerd, wordt CryptoWall op je computer geïnstalleerd. De malware bestanden zullen zich in %AppData% of in %Temp% vestigen. Daarna zal de ransomware je systeem scannen op zoek naar bestanden die versleuteld kunnen worden. Alle harde schijven, externe schijven, gedeelde netwerklocaties en zelfs je Dropbox map zal worden gescand. Elke harde schijf van het systeem zal worden gecontroleerd op gegevensbestanden.
Hieronder vind je een lijst met de mogelijke locaties waar CryptoWall 3.0 zich zou kunnen vestigen:
- %Temp%
- C:\[willekeurig]\[willekeurig].exe
- %AppData%
- %ProgramData%
- %LocalAppData%
Kan ik de bestanden vinden die door CryptoWall 3.0 zijn versleuteld?
De bestanden die door CryptoWall 3.0 zijn versleuteld worden samen met hun paden in het Windows-register opgeslagen. De locatie van de subsleutel ziet er als volgt uit:
→HKCU\Software\[unique computer ID]\[random ID]
Een echt voorbeeld ziet er zo uit:
→HKCU\Software\03DA0C0D2383CCC2BC8232DD0AAAD117\01133428ABDEEEFF
De procedure wordt herhaald voor elk versleuteld bestand onder de bovenvermelde sleutel.
ListCwall kan ook worden gebruikt. Dit is een instrument dat door Bleeping Computer is ontworpen om de versleutelde bestanden automatisch te vinden en te exporteren. Dit instrument kan ook reservekopieën van de versleutelde bestanden maken en ze elders bewaren als de gebruiker beslist om de computer te formatteren.
Hieronder vind je een lijst met bestandsextensies waar CryptoWall 3.0 voornamelijk naar op zoek is:
→ .3dm, .3ds, .3fr, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .accde, .accdr, .accdt, .ach, .acr, .act, .adb
Gebruikersgedrag en de ransomware. Phishing fraude
Alles wat we tot nog toe hebben uitgelegd over de verschillende verspreidingsmethoden kan slechts één ding betekenen – de cybercriminelen rekenen enkel op de medewerking van de gebruiker. De zogenaamde phishing methode – een vorm van sociale engineering dat vermoedelijk via malware wordt verspreid en gebruikersdocumenten en –gegevens verzamelt. Aan de hand van het voorbeeld hieronder kan je zien hoe er een dergelijk e-mail bericht uitziet:
Image Source: Symantec
Tips om je computer tegen Cryptowall te beschermen
Om malware te vermijden kan je best gearchiveerde bestanden zoals .zip, .jar, .tar, .7z, .msi en uitvoerbare/tekst bestanden zoals .com, .exe, .scr, .bat, .js, .jse, .vb, .vbe, .wsf, .wsh, .cmd niet downloaden. Denk er altijd aan dat echte bedrijven nooit bestanden zoals deze zullen verzenden, tenzij dit op voorhand met de ontvanger is afgesproken.
Daarnaast kan je ook gebruik maken van onlinediensten die websites beoordelen zoals Norton Safe Web. Aan de hand hiervan kan je bepalen of een website veilig is. Wat betreft de ransomwares die je bestanden versleutelen, de beste tip is zeer eenvoudig – maak altijd reservekopieën van je bestanden. Doe het altijd, zeker als je gegevens waardevol zijn en als je veel zakelijke documenten op je computer hebt.
Je kan eventueel een kijkje nemen naar de algemene tips op onze forum die ook op CryptoWall 3.0 van toepassing zijn.
BELANGRIJK!
CryptoWall 3.0 kan ook bestanden op gedeelde netwerklocaties versleutelen als ze als een schijfletter zijn ingesteld. Als dit niet het geval is, zal CryptoWall 3.0 er niet aan kunnen komen. Om de gedeelde netwerklocaties te beveiligen, moet je beschrijfbare toegang tot de locatie enkel aan geautoriseerde gebruikers geven. Dit is heel belangrijk als het gaat om bedreigingen zoals CryptoWall.
CryptoWall 3.0 verwijderen en gecodeerde bestanden herstellen
Volg de instructies om deze ransomware van je computer te verwijderen. Denk eraan dat de beste en de veiligste manier om dit te doen is met een anti-malware programma.
Hoe CryptoWall 3.0 van je computer verwijderen? (handmatig)
Aandacht! Belangrijke mededeling m.b.t. CryptoWall 3.0: de handmatige verwijdering van CryptoWall 3.0 vereist het aanbrengen van wijzigingen in de systeembestanden en registers. Dit kan dus schade aan je PC veroorzaken. Beschik je niet over de vereiste kennis? Geen probleem, je kunt dit doen door een malware remover te gebruiken.
Computer in veilige modus opstarten.
1. Voor Windows 7, XP en Vista.
2. Voor Windows 8, 8.1 en 10.Voor besturingssystemen Windows XP, Vista en 7:
1. Verwijder alle CDs en DVDs en start de computer opnieuw op via de “Start” menu
2. Kies één van de onderstaande opties:
– voor computers met één besturingssysteem: Druk meerdere malen op F8 tijdens het opstarten totdat het eerste scherm verschijnt. Als je het Windows-logo op het scherm ziet verschijnen, moet je de procedure nogmaals doorlopen.
– Voor computers met meerdere besturingssystemen: Gebruik de pijlen om het besturingssysteem dat je in veilige modus wil opstarten te selecteren. Druk meerdere malen op F8 tijdens het opstarten (zoals hierboven beschreven).
3. Als je het scherm “Advanced Boot Options” ziet verschijnen, gebruik de pijlen om “Safe Mode” te selecteren. Klik daarna op Enter om je keuze te bevestigen.
4. Log in als administrator.
Als je computer in veilige modus is, wordt de melding “Safe Mode” weergegeven in de hoeken van uw beeldscherm.
Stap 1: Open het Start Menu.
Stap 2: Houd “Shift” ingedrukt, klik op “Power” en daarna op “Restart”.
Stap 3: Nadat je computer opnieuw is opgestart, krijg je het onderstaande menu te zien. Klik dan op “Troubleshoot”.
Stap 4: Je zal het menu “Troubleshoot” zien. Daar moet je “Advanced options” kiezen.
Stap 5: In het menu “Advanced options” klik je op “Startup Settings”.
Stap 6: Klik op “Restart”.
Stap 7: Je zal een “Restart menu” zien verschijnen. Hier moet je “Safe Mode”. Dit doe je door het corresponderende cijfer van je toetsenboord te typen. Je computer zal opnieuw opstarten.
Automatisch verwijderen CryptoWall 3.0 door het downloaden van een geavanceerde anti-malware programma.
1. CryptoWall 3.0 wet Anti-Malware SpyHunter verwijderen
1. Om CryptoWall 3.0 te verwijderen moet je eerst SpyHunter installeren.Scan je computer met SpyHunter om de CryptoWall 3.0 te verwijderen.
Het is sterk aangeraden dat je eerst je computer scant en pas daarna je de volledige versie van SpyHunter bestelt. Zo ben je zeker dat SpyHunter de malware gedetecteerd heeft
Stap 2: Volg de downloadinstructies op je browser
Stap 3: Wacht tot de installatie voltooid is en totdat de laatste updates geïnstalleerd zijn.
Stap1: Nadat de update voltooid is, klik op “Scan Computer Now”.
Stap 2: Eens de scan is beëindigd zal je alle malwares in de bedreiging box zien. CryptoWall 3.0 moet ertussen zijn. Klik op “Fix Threats” om ze automatisch te verwijderen.
Stap 3: Nadat je alle malware hebt verwijderd is het aangeraden om je computer opnieuw op te starten.
Optioneel: Gebruiken van alternatieve anti-malware software
STOPZilla Anti MalwareStap 1: Download STOPZilla by clicking here.
Stap 2: Klik daarna op “Save file”. Als het bestand niet gedownload, is klik dan nogmaals op de downloadlink.
Stap 3: Start de installatie op.
Stap 4: Je ziet het installatievenster verschijnen. Klik op “Next”.
Stap 5: Selecteer “I accept the agreement” en klik op “Next”.
Stap 6: Controleer de gegevens en klik op “Install”.
Stap 7: Nadat de installatie is voltooid, klik op “Finish”.
2. Scan je computer met STOPZilla Anti Malware om alle bestanden van CryptoWall 3.0 automatisch te verwijderen.
Stap 1: Start STOPZilla op (tenzij je dat meteen na da installatie hebt gedaan).
Stap 2: Wacht tot de updates geïnstalleerd zijn en klik op “Scan Now”. Als de scan niet automatisch start, klik dan op “Scan Now”.
Step 3: Nadat alle bedreigingen verwijderd zijn, start je je PC opnieuw op.
