Beveiligingsspecialist ontgrendelt door ransomware gegijzelde bestanden met recoverytool

encryptie

Ransomware is malware die bestanden in gijzeling neemt en losgeld eist. Versleutelde data is doorgaans niet meer te herstellen, tenzij de encryptiesleutel wordt achterhaald. Een beveiligingsonderzoeker is er echter in geslaagd bestanden die door de Cryptowall-ransomware zijn versleuteld met behulp van een recoverytool te herstellen.

Cryptowall is een vorm van ransomware die bestanden van slachtoffers in gijzeling neemt. Slachtoffers worden geacht losgeld te betalen om weer toegang te krijgen tot hun bestaande. De cybercriminelen leggen slachtoffers zelf een deadline op. Wie niet op tijd betaalt krijgt namelijk ook nog eens een 'boete' van 500 euro.

Kwaadaardige e-mailbijlage geopend

Beveiligingsonderzoeker Wyatt Roersma besloot het er niet bij te laten zitten. Hij probeerde bestanden die waren versleuteld nadat een medewerker van een klant een kwaadaardige e-mailbijlage met daarin de ransomware had geopend. Zowel bestanden op de harde schijf in de computer van het slachtoffer als op gedeelde netwerkschijven werden door de malware versleuteld.

Roersma besloot een poging te doen de gegijzelde bestanden zonder betaling weer toegankelijk te maken. Onderzoek wees uit dat Cryptowall bestanden met behulp van de DeleteFile-functie van Windows verwijderd, zodat slachtoffers deze niet meer kunnen openen. De ransomware slaat een versleutelde kopie van de data op een andere locatie op. Dit maakt de ransomware kwetsbaar voor een tegenaanval.

R-Studio

De beveiligingsonderzoeker besloot de recoverytool R-Studio in te zetten. Niet zonder succes! Roersma wist 95% van alle versleutelde bestanden weer toegankelijk te maken. Het gaat hierbij uitsluitend om docx-, doc-, pdf- en jpg-bestanden.

Lees ook
Kaspersky ontdekt schadelijke Telegramcampagne gericht op fintech-gebruikers

Kaspersky ontdekt schadelijke Telegramcampagne gericht op fintech-gebruikers

Het Kaspersky Global Research and Analysis team (GReAT) heeft een kwaadaardige wereldwijde campagne ontdekt waarbij aanvallers Telegram gebruikten om Trojan spyware af te leveren, mogelijk gericht op personen en bedrijven in de fintech- en handelssector. De malware is ontworpen om gevoelige gegevens zoals wachtwoorden te stelen en de controle over1

Cybercriminelen doen zich voor als OpenAI in een grootschalige phishing aanval

Cybercriminelen doen zich voor als OpenAI in een grootschalige phishing aanval

Onderzoekers van Barracuda hebben een grootschalige OpenAI-imitatiecampagne ontdekt, gericht op bedrijven over de hele wereld. Daarbij deden de aanvallers zich voor als OpenAI – het bedrijf achter onder andere ChatGPT – in een urgent e-mailbericht waarin de ontvangers werd gevraagd om betalingsgegevens bij te werken voor een maandelijks abonnement.

Het belang van operationele veerkracht voor private equity: de portefeuillewaarde beschermen en verhogen

Het belang van operationele veerkracht voor private equity: de portefeuillewaarde beschermen en verhogen

Het risicolandschap voor bedrijven is de laatste jaren enorm veranderd. Cyberdreigingen, ransomware-aanvallen, datalekken, natuurrampen en wereldwijde pandemieën zijn onderdeel geworden van het nieuwe normaal. De potentiële impact van deze risico's voor portefeuillebedrijven is groot.