Cryptolocker: mythes en feiten

Cryptolocker Welcome screen

Vanochtend zat ik naar Radio 1 te luisteren alwaar men een redacteur van datanews.be aan de lijn had om e.e.a. te vertellen over Cryptolocker, het nieuwe “gijzelvirus”. Nieuw in de mainstream media zoals Radio 1 toch, mensen die zich een beetje bezig houden met security kennen Cryptolocker al maanden. Naast het interview publiceerde Datanews ook een artikel op de website vandaag over Cryptolocker. Ik lees datanews dagelijks en haal er regelmatig nuttige info uit. Buiten dat men in het weekend nooit publiceert lees ik het graag. Ik merk echter, ondanks dat ik zelf geen techneut ben, dat er regelmatig fouten of in ieder geval onjuiste algemeenheden in de wat technischere artikels staan.

Ook in dit artikel rond Cryptolocker is dat weer het geval. Soms kan dit nuttig zijn om onderwerpen begrijpelijk te maken voor een breder publiek. In dit geval mist men echter een stevig aantal relevante elementen als men prat gaat op de info van datanews.

Al je bestanden worden geëncrypteerd

Niet juist. Er is een welbepaalde lijst van extensies die Cryptolocker encrypteert. Andere bestanden worden volledig ongemoeid gelaten. Toegeven, het zijn net die bestanden waar je om geeft, maar bijvoorbeeld muziek of video zit er voor zover ik weet niet bij.

De lijst: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c, *.pdf, *.tif

Cryptolocker kan zich niet via het netwerk verspreiden

Strikt genomen misschien juist, in die zin dat Cryptolocker niet op eigen houtje het netwerk gaat afspeuren en zich repliceert. Belangrijke nuance die ik echter niet terug zie is dat Cryptolocker bewust alle bestanden in zijn lijstje zal encrypteren, van alle schijven die zijn gedefinieerd op je computer. Is dat een netwerkschijf? Geëncrypteerd. Is dat een USB schijf? Geëncrypteerd. Network Storage zoals NAS of zelfs een SmartTV? Geëncrypteerd.

Wat deze nuance extra relevant maakt is dat binnen veel grotere organisaties netwerkschijven met een script automatisch toegevoegd worden bij login op een PC. Al die schijven zijn het haasje als je Cryptolocker op je systeem hebt, zoals een politiedepartement in de VS ondervond. Toch de moeite van het vermelden waard.

Eerlijk is eerlijk: helemaal onderaan zegt men dat je best je internetkabel uittrekt of wifi uitzet als je geïnfecteerd bent, al is het de vraag of dat je netwerkschijven redt. Het beste dat je kan doen is meteen je PC uitzetten en iemand met de nodige kennis er naar te laten kijken. Als er iets te redden valt is een IT-er best geplaatst om dat te doen.

Backup in de cloud is een oplossing

Opnieuw, strikt genomen juist. Veel van de bekende clouddiensten (Dropbox, Google Drive, Skydrive) werken echter met synchronisatie. Dat betekent dat ze continu in de gaten houden welke bestanden zijn veranderd en deze uploaden. Ook als de verandering inhoudt dat ze geëncrypteerd zijn dus. Met andere woorden: als Cryptolocker je bestanden heeft versleuteld en je cloudsynchronisatie merkt dat wordt er geüpload, hoe funest dat in dit geval ook is. En dan is ook je cloud backup slachtoffer van Cryptolocker.

Men vermeldt hier ook nog dat de cloud wellicht geen oplossing is omdat vervolgens je gevoelige gegevens ook in de cloud staan. Terechte constatering, maar innovatie in de vorm van de cloud dan maar volkomen mijden is niet de oplossing: diensten zoals Wuala bieden ook gratis storage aan, geëncrypteerd en wel. Let wel op dat je dergelijke geëncrypteerde cloud storage best niet afneemt als het een Amerikaans bedrijf is, om de voor de hand liggende redenen (NSA, FISA, etc.).

Alle data is verloren, geen oplossingen mogelijk

Onjuist. Er zijn inderdaad geen patches of kant-en-klare oplossingen beschikbaar, maar een system restore of het gebruik van recovery software kan vorige versies van bestanden terughalen. Dit is zeer zeker geen volledige oplossing, maar wie weet kan het maar net dat ene belangrijke bestand weer terughalen!

Betalen loont

Geen goede tip, en wel om twee redenen:

  • Het is absoluut geen zekerheid dat je vervolgens ook je data terugkrijgt, en de meeste specialisten zijn het er over eens dat je niet moet betalen, waaronder zelfs de Federale Politie zoals Datanews zelf ook aanhaalt
  • Het kweekt het idee dat het wel meevalt: “och ja, €300 en ik heb m’n data weer”. Concreet voorbeeld: de gedachte dat banken toch opdraaien voor de gevolgen van internetbankierfraude is één van de redenen dat mensen nog steeds niet genoeg opletten

Conclusie

Alle aandacht voor virussen, malware, ransomware etc. is goed, hoe meer awareness hoe beter. Maar liefst wel met zo juist mogelijke informatie, zeker wanneer je een bepaalde reputatie als betrouwbaar medium op IT gebied hebt.

 

4 thoughts on “Cryptolocker: mythes en feiten”

  1. Dag Bart,

    Ik ben de redacteur die ze vanmorgen voor Radio 1 opbelden en die nadien het stuk heeft geschreven op Datanews.be. Je blogpost haalt terecht enkele dingen aan, maar ik zou er langs mijn kant ook enkele nuanceringen willen aan toevoegen.

    We gaan inderdaad wat kort door de bocht door die extensies niet te vermelden. Maar in praktijk betekent dit inderdaad al je kostbare/persoonlijke/zakelijke bestanden wat voor een doorsnee gebruiker belangrijker is dan pakweg de systeembestanden van Windows die je vlot kan herinstalleren. Dit artikel is eerder gericht naar een wat breder/minder IT-minded publiek, waardoor het ons duidelijker leek om het te houden op ‘al je bestanden’

    Over het netwerk verspreiden: We hebben hier op de redactie de discussie gehad over die passage. Cryptolocker verspreidt zichzelf niet via het netwerk, maar het kan inderdaad dat schrijven gelinkt aan je pc wel mee opgeslokt worden. Omdat dit soort artikels vaak opnieuw worden aangeklikt bij nieuwe virussen/varianten hebben we er wel bijgezet dat het bij een variant wel kan. Want een backup in hetzelfde netwerk lijkt me op zich al niet zo’n waterdicht idee.

    Wat de cloudopslag betreft bedoelen we wel degelijk een echte backupdienst zoals Backblaze. Vooral omdat Dropbox of Skydrive te weinig gratis opslag bieden om pakweg een foto-archief van 100 gb te bewaren.

    Ook over het betalen hebben we intern even wat discussie gehad wat we precies zouden aanraden. Zelf volg ik het advies van de politie: nooit betalen. Maar omdat in het geval van Cryptolocker wel bekend is dat de data werd vrijgegeven na betaling wilden we dat wel vermelden. Je zal maar zeer belangrijke gegevens op je toestel hebben zonder backup, dan lijkt ons de keuze geven nog altijd iets beter dan je data sowieso te verliezen.

    Ik begrijp je ergernis over het gebrek aan nuancering, en ik deel ze zelfs voor een groot deel. Maar de realiteit is dat artikels over security, zeker naar een breder publiek toe, meestal een evenwichtsoefening zijn tussen een duidelijke algemene boodschap of een genuanceerde maar meer complexe inhoud waar een groot publiek meer aan heeft.

    1. Mooi dat jullie een reactie opvolgen! Enige wat ik eraan wil toevoegen: die netwerk verspreiding is een zekerheid, als schijven op je PC gedefinieerd staan worden ze encrypted, binnen een bedrijf dat zn file server standaard activeert bij alle gebruikers is de schade dan onmeetbaar. Aangezien jullie brede publiek onder andere uit veel zakelijke gebruikers bestaat kan dat zeer relevante info zijn!

  2. Het is een zeldzaamheid, maar als er even tijd is en het is een interessante reactie dan doe ik het graag. Ik was niet helemaal zeker ivm dat netwerk, maar dan ga ik die nuancering nog even toevoegen aan het artikel.

Comments are closed.