Een beveiligingsonderzoeker is erin geslaagd om bestanden die door de Cryptowall-ransomware versleuteld zijn dankzij een recoverytool toch te redden. Cryptowall is een vorm van ransomware die bestanden op besmette computers met een sterke vorm van encryptie versleutelt.

Gebruikers moeten vervolgens een bepaald bedrag betalen als ze weer toegang tot de versleutelde bestanden willen krijgen. Wordt er niet op tijd betaald, dan krijgen slachtoffers nog een extra boete van 500 euro. Onderzoeker Wyatt Roersma kreeg onlangs met een klant te maken waar een werknemer een kwaadaardige e-mailbijlage had geopend. Het ZIP-bestand dat een betalingsopdracht beweerde te zijn was in werkelijkheid de Cryptowall-ransomware die bestanden op de computer van zowel de werknemer als gedeelde netwerkschijven versleutelde.

Verwijderen

Roersma startte een onderzoek naar de malware, aangezien het betalen van de "dataterroristen" volgens hem geen optie is. Hij ontdekte dat Cryptowall de DeleteFile Function van Windows gebruikt om bestanden te verwijderen nadat er een versleutelde kopie van het originele bestand is gemaakt. Dit houdt in dat de malware bestanden niet permanent wist en ze dus met een recoverytool kunnen worden teruggezet.

Roersma gebruikte hiervoor R-Studio, waarmee hij uiteindelijk 95% van de bestanden van zijn klant wist terug te krijgen. De onderzoeker merkt op dat hij alleen probeerde om docx, doc, pdf, en jpg-bestanden terug te zetten. Het zou dan ook best kunnen dat niet alle bestanden zijn te herstellen als de slack space, de ongebruikte ruimte in een schijfcluster van de harde schijf, is overschreven.

Het herstellen van de bestanden is dan ook afhankelijk van hoeveel bestanden er versleuteld zijn en hoeveel vrije ruimte de harde schijf nog had voordat het de oude slack space met nieuwe bestanden begon te overschrijven. Het biedt slachtoffers van Cryptowall die niet over een werkende back-up beschikken in ieder geval een mogelijkheid om versleutelde bestanden terug te krijgen.