Cryptolocker: adviezen voor preventie en response

cryptolockerWat is Cryptolocker?

Cryptolocker is malware die bestanden encrypt middels een sterke RSA encryptie. Zodra de malware de bestanden encrypt heeft, komt het met een melding dat de bestanden alleen nog vrij gegeven kunnen worden tegen betaling. Anders zullen de bestanden na een x-aantal uur vernietigd worden. Deze vorm van malware via een Cryptolocker wordt “ransomware” genoemd.

Er zijn veel verschillende varianten van ransomware in omloop die gebaseerd zijn op Cryptolocker. Voorbeelden zijn Cryptowall en het recentere CTB-Locker. Over het algemeen worden varianten verspreid via ZIP-files in emails. Maar ook zijn gevallen bekend waar de email geen bijlage bevat, maar alleen een link biedt naar een kwaadaardige website.

Cryptolocker bestanden herstellen

alarm incident responseHet is doorgaans niet mogelijk om de encryptie van Cryptolocker te doorbreken. Het is daarom alleen mogelijk om een computer te herstellen middels een backup. Indien geen alternatieve backup voor handen is, dan is het waarschijnlijk dat u de bestanden als verloren moet beschouwen. Wellicht dat bepaalde file recovery software nog hulp kan bieden. Wij adviseren in elk geval om niet gehoor te geven aan de eis tot betaling van losgeld.

Heeft u hulp nodig? Neem dan contact op met DearBytes. Bel daarvoor met onze 24-uurs incident response dienst.

Hoe te handelen bij een infectie met een Cryptolocker variant?

Als u zelf aan de slag wilt om de infectie in te dammen en “patient zero” te vinden, dan kunt u de volgende acties ondernemen:

  1. Stel vast waar de infectie vandaan komt. Achterhaal de email die tot infectie heeft geleid. Zo kunt u indicatoren vinden waarmee verdere verspreiding kan worden voorkomen. De zogenaamde Indicators-of-Compromise (IoCs). Dergelijke informatie is vaak online ook te vinden in blogs van security bedrijven.
  2. Blokkeer toegang tot bepaalde hostnames op het internet. Gebruik daarvoor indicatoren van de variant die u getroffen heeft, de hiervoor bedoelde IoCs.
  3. Ontneem schrijf- en verwijder rechten op netwerkschijven. Ransomware gaat vaak op zoek naar bestanden op mapped network drives en zal deze bij voldoende rechten ook versleutelen.
  4. Verwijder bron emails uit de mailomgeving. Als de email die tot infectie heeft geleid, in de mailbox blijft staan, dan is herinfectie mogelijk. Verwijder dus die email vanuit de mailbox van de/het slachtoffer(s) en eventuele andere medewerkers.
  5. Identificeer geïnfecteerde systemen:
    1. Achterhaal wie dezelfde email heeft ontvangen.
    2. Achterhaal welke systemen verbinding hebben gemaakt met kwaadaardige websites.
    3. Identificeer geïnfecteerde computers door systemen uit voorgaande stappen te onderzoeken op kenmerken die op systemen waarneembaar zijn.
  6. Haal de geïnfecteerde systemen voorzichtig van het netwerk.
    1. Stop met werken op deze computers
    2. Ontkoppel de systemen fysiek van het netwerk, dus ontkoppel de kabel en/of schakel de WiFi adapter uit
    3. Schakel de systemen niet uit en schoon ze nog niet op om forensisch onderzoek mogelijk te maken. Neem contact met ons op indien u dergelijk onderzoek wenst.
  7. Herstel bestanden vanuit backups. Indien deze niet voorhanden zijn, kunt u professionele hulp inschakelen voor een poging om de verloren bestanden te herstellen.
  8. Schoon user profiles op. Cryptolocker huist vaak in de profielen van gebruikers, de “user profiles”. Het is dus ook verstandig om de profielen van getroffen gebruikers goed op te schonen of indien mogelijk opnieuw aan te maken / te legen.

Preventie tegen Cryptolocker en andere ransomware

Om te beschermen tegen de schadelijke gevolgen van Cryptolocker en Ransomware, bevelen wij HitmanPro.Alert met CryptoGuard aan. Deze tool van Nederlandse bodem voorkomt versleuteling van bestanden door malware. Functioneel gezien in deze tijd een bijna onmisbare beveiligingslaag. HitmanPro.Alert is ontwikkeld door onze partner SurfRight, en kan gratis worden gedownload vanaf hun website.

Voor andere preventieve maatregelen verwijzen wij naar gepubliceerde McAfee Labs Threat Advisories. Die komen vaak uit voor de specifieke ransomware variant die u getroffen heeft. Maar in het algemeen kan gebruik gemaakt worden van de algemene McAfee Labs Threat Advisory voor Ransom Cryptolocker.

Deze advisories bevatten veel handige tips, trucs en stappen die ondernomen kunnen worden tegen Cryptolockers met producten als McAfee VirusScan Enterprise en Host Intrusion Prevention (HIPS). Ook kunnen er middels group policies restricties gemaakt worden. Hieronder zijn enkele rules waaraan bijvoorbeeld gedacht kan worden.

Buiten deze rules op host-niveau is het ook interessant om TOR verkeer in het bedrijfsnetwerk te monitoren of blokkeren. Er zijn namelijk diverse varianten in omloop die gebruik maken van TOR om de Command & Control (C2) server van de malware te maskeren.

Indicators of Compromise (IoCs)

Over het algemeen wordt de kwaadaardige executable van een cryptolocker variant aangemaakt op 1 van de volgende locaties op het systeem:

  • %temp%
  • C:\\.exe
  • %AppData%
  • %LocalAppData%
  • %ProgramData%

Block executable in %AppData%

Path: %AppData%\*.exe
Security Level: Disallowed
Description: blokkeer executables die runnen vanuit %AppData%.

Block executable in %LocalAppData%

Path if using Windows XP: %UserProfile%\Local Settings\*.exe
Path if using Windows Vista/7/8: %LocalAppData%\*.exe
Security Level: Disallowed
Description: Don’t allow executables to run from %AppData%.

Block executable in %AppData%

Path: %AppData%\*\*.exe
Security Level: Disallowed
Description: blokkeer executables die in directe subfolders van %AppData% willen runnen

Block executable in %LocalAppData%

Path if using Windows XP: %UserProfile%\Local Settings\*\*.exe
Path if using Windows Vista/7/8: %LocalAppData%\*\*.exe
Security Level: Disallowed
Description: blokkeer executables die in directe subfolders van %AppData% willen runnen

Block executables run from archive attachments opened with WinRAR:

Path if using Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Path if using Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Security Level: Disallowed
Description: blokkeer executables die vanuit het een archive geopent met WinRAR willen runnen

Block executables run from archive attachments opened with 7zip:

Path if using Windows XP: %UserProfile%\Local Settings\Temp\7z*\*.exe
Path if using Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Security Level: Disallowed
Description: blokkeer executables die vanuit het een archive geopent met 7zip willen runnen

Block executables run from archive attachments opened with WinZip:

Path if using Windows XP: %UserProfile%\Local Settings\Temp\wz*\*.exe
Path if using Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Security Level: Disallowed
Description: blokkeer executables die vanuit het een archive geopent met WinZip willen runnen

Block executables run from archive attachments opened using Windows built-in Zip support:

Path if using Windows XP: %UserProfile%\Local Settings\Temp\*.zip\*.exe
Path if using Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Security Level: Disallowed
Description: Blokkeer executables die vanuit een archive-attachement willen runnen wanneer ze geopend worden met windows built-in unzip support

Deze rules blokkeren natuurlijk niet alleen cryptolocker maar alle .exe bestanden. Voor .exe bestanden die toegelaten mogen worden kunnen restrictie policies gemaakt worden met als level “unrestricted”.