image

Onderzoeker redt bestanden van ransomware-virus

donderdag 11 december 2014, 10:59 door Redactie, 3 reacties

Een beveiligingsonderzoeker heeft een gratis tool ontwikkeld waarmee het mogelijk is om bestanden die door een ransomware-virus zijn versleuteld te ontsleutelen en de infectie te verwijderen. Het ransomware-virus in kwestie heet "Operation Global III" en doet meerdere dingen op een computer. Zo worden bestanden versleuteld, maar ook meteen met het virus geïnfecteerd.

De bestanden, bijvoorbeeld afbeeldingen of zip-bestanden, krijgen daardoor een .exe-extensie. Zodra gebruikers de afbeelding willen openen, openen ze eigenlijk het virus dat vervolgens de infectiecyclus herhaalt. Ook wordt erop gedeelde netwerkschijven naar bestanden gezocht om te infecteren. Daarnaast vergrendelt de ransomware de computer, hoewel het nog steeds mogelijk is om toegang tot het systeem te krijgen.

De decryptiesleutel voor elk bestand bevindt zich in het versleutelde bestand. Beveiligingsonderzoeker Nathan Scott ontwikkelde daarop een gratis tool die de bestanden kan ontsleutelen. Het is daarbij wel belangrijk dat de malware actief blijft en nog niet is uitgeschakeld. De tool van Scott patcht namelijk de malware-routine, waardoor versleutelde en geïnfecteerde bestanden als de gebruiker ze opent worden ontsleuteld en ontsmet.

Het forum Bleeping Computer laat weten dat de manier waarop de ransomware uitvoerbare bestanden infecteert nogal buggy is, waardoor versleutelde applicaties na te zijn ontsleuteld mogelijk niet goed meer werken. Gebruikers krijgen dan ook het advies om hun computer opnieuw te installeren zodat ze zeker weten dat alle programma's weer goed werken.

Image

Reacties (3)
11-12-2014, 11:28 door Anoniem
En het eerste wat men daarna doet is de crappy ontsleutelde bestanden weer terugplaatsen...
11-12-2014, 13:44 door [Account Verwijderd]
[Verwijderd]
11-12-2014, 15:08 door Anoniem
(Data bestanden worden niet door de ransomware geïnfecteerd, alleen uitvoerbare bestanden, dus het terugplaatsen van databestanden is geen probleem)

Dat haal ik niet uit de tekst. Er staat zelfs letterlijk dat .ZIP bestanden of afbeeldingen versleuteld worden; dat zijn toch echt databestanden. Dat het virus er uitvoerbare bestanden van maakt is wat anders.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.