Cryptolocker: mythes en feiten

Cryptolocker Welcome screen

Vanochtend zat ik naar Radio 1 te luisteren alwaar men een redacteur van datanews.be aan de lijn had om e.e.a. te vertellen over Cryptolocker, het nieuwe “gijzelvirus”. Nieuw in de mainstream media zoals Radio 1 toch, mensen die zich een beetje bezig houden met security kennen Cryptolocker al maanden. Naast het interview publiceerde Datanews ook een artikel op de website vandaag over Cryptolocker. Ik lees datanews dagelijks en haal er regelmatig nuttige info uit. Buiten dat men in het weekend nooit publiceert lees ik het graag. Ik merk echter, ondanks dat ik zelf geen techneut ben, dat er regelmatig fouten of in ieder geval onjuiste algemeenheden in de wat technischere artikels staan.

Ook in dit artikel rond Cryptolocker is dat weer het geval. Soms kan dit nuttig zijn om onderwerpen begrijpelijk te maken voor een breder publiek. In dit geval mist men echter een stevig aantal relevante elementen als men prat gaat op de info van datanews.

Al je bestanden worden geëncrypteerd

Niet juist. Er is een welbepaalde lijst van extensies die Cryptolocker encrypteert. Andere bestanden worden volledig ongemoeid gelaten. Toegeven, het zijn net die bestanden waar je om geeft, maar bijvoorbeeld muziek of video zit er voor zover ik weet niet bij.

De lijst: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c, *.pdf, *.tif

Cryptolocker kan zich niet via het netwerk verspreiden

Strikt genomen misschien juist, in die zin dat Cryptolocker niet op eigen houtje het netwerk gaat afspeuren en zich repliceert. Belangrijke nuance die ik echter niet terug zie is dat Cryptolocker bewust alle bestanden in zijn lijstje zal encrypteren, van alle schijven die zijn gedefinieerd op je computer. Is dat een netwerkschijf? Geëncrypteerd. Is dat een USB schijf? Geëncrypteerd. Network Storage zoals NAS of zelfs een SmartTV? Geëncrypteerd.

Wat deze nuance extra relevant maakt is dat binnen veel grotere organisaties netwerkschijven met een script automatisch toegevoegd worden bij login op een PC. Al die schijven zijn het haasje als je Cryptolocker op je systeem hebt, zoals een politiedepartement in de VS ondervond. Toch de moeite van het vermelden waard.

Eerlijk is eerlijk: helemaal onderaan zegt men dat je best je internetkabel uittrekt of wifi uitzet als je geïnfecteerd bent, al is het de vraag of dat je netwerkschijven redt. Het beste dat je kan doen is meteen je PC uitzetten en iemand met de nodige kennis er naar te laten kijken. Als er iets te redden valt is een IT-er best geplaatst om dat te doen.

Backup in de cloud is een oplossing

Opnieuw, strikt genomen juist. Veel van de bekende clouddiensten (Dropbox, Google Drive, Skydrive) werken echter met synchronisatie. Dat betekent dat ze continu in de gaten houden welke bestanden zijn veranderd en deze uploaden. Ook als de verandering inhoudt dat ze geëncrypteerd zijn dus. Met andere woorden: als Cryptolocker je bestanden heeft versleuteld en je cloudsynchronisatie merkt dat wordt er geüpload, hoe funest dat in dit geval ook is. En dan is ook je cloud backup slachtoffer van Cryptolocker.

Men vermeldt hier ook nog dat de cloud wellicht geen oplossing is omdat vervolgens je gevoelige gegevens ook in de cloud staan. Terechte constatering, maar innovatie in de vorm van de cloud dan maar volkomen mijden is niet de oplossing: diensten zoals Wuala bieden ook gratis storage aan, geëncrypteerd en wel. Let wel op dat je dergelijke geëncrypteerde cloud storage best niet afneemt als het een Amerikaans bedrijf is, om de voor de hand liggende redenen (NSA, FISA, etc.).

Alle data is verloren, geen oplossingen mogelijk

Onjuist. Er zijn inderdaad geen patches of kant-en-klare oplossingen beschikbaar, maar een system restore of het gebruik van recovery software kan vorige versies van bestanden terughalen. Dit is zeer zeker geen volledige oplossing, maar wie weet kan het maar net dat ene belangrijke bestand weer terughalen!

Betalen loont

Geen goede tip, en wel om twee redenen:

  • Het is absoluut geen zekerheid dat je vervolgens ook je data terugkrijgt, en de meeste specialisten zijn het er over eens dat je niet moet betalen, waaronder zelfs de Federale Politie zoals Datanews zelf ook aanhaalt
  • Het kweekt het idee dat het wel meevalt: “och ja, €300 en ik heb m’n data weer”. Concreet voorbeeld: de gedachte dat banken toch opdraaien voor de gevolgen van internetbankierfraude is één van de redenen dat mensen nog steeds niet genoeg opletten

Conclusie

Alle aandacht voor virussen, malware, ransomware etc. is goed, hoe meer awareness hoe beter. Maar liefst wel met zo juist mogelijke informatie, zeker wanneer je een bepaalde reputatie als betrouwbaar medium op IT gebied hebt.