Cryptolocker gaat al sinds september rond en is toen ook al gedetecteerd door antivirussoftware. De ransomware lijkt deze maand flink gegroeid en duikt ook op in Nederland. Gebruikers die de malware binnenkrijgen op hun Windows-pc zien na enige tijd ineens een melding opduiken dat hun bestanden zijn gegijzeld. Dat doet de ransomware door de data te versleutelen, ook op gedeelde mappen in een netwerk.

Data dreigt ontoegankelijk te blijven

Voor ontcijferen is een encryptesleutel nodig, die de afpersers zeggen te geven als er aan de losgeldeis is voldaan. Dat betalen kan tegenwoordig ook met de virtuele valuta Bitcoin. Indien er niet betaald wordt, zal de benodigde privésleutel voor de toegepaste encryptie worden vernietigd, dreigen de cybercriminelen achter Cryptolocker.

Via: Malwarebytes.

De meeste antiviruspakketten kunnen deze ransomware wel detecteren, en dus ook tegenhouden. Is Cryptolocker echter eenmaal binnengekomen, en heeft het gebruikersdata versleuteld, dan ziet de situatie er somber uit. De ransomware zelf valt dan nog wel te verwijderen, maar de gegijzelde gegevens lijken verloren. Ontcijferen is momenteel niet mogelijk, stelt onder meer securityleverancier Sophos.

Wat te doen om data te redden

Wel is er hoop. Als gebruikers een back-up hebben gemaakt, en die liefst offline hebben gehouden, valt daaruit de onversleutelde data terug te halen. Of als gebruikers een niet al te oude Windows-versie gebruiken met daarin de functie Vorige Versies van bestanden en mappen. Die opslagfunctionaliteit, aanwezig sinds Windows Vista, houdt automatisch een back-up bij van een gewijzigd bestand.

Cryptolocker zoekt en versleutelt bestanden met deze extensies:

Via: Sophos.

Gebruikers kunnen dan 'teruggaan' naar het bestand vóór de wijziging. Voor Windows XP-gebruikers in bedrijfsnetwerken is er nog hoop als hun beheerder de Volume Shadow Copy Service heeft draaien, vóór de infectie door Cryptolocker. Een gebruiker op het forum van securityleverancier Symantec raadt de tools ListCrilock en Shadow Explorer aan om respectievelijk de versleutelde bestanden in kaart te brengen en de geback-upte versies daarvan door te nemen.

Antivirusleverancier Malwarebytes legt uit hoe Cryptolocker valt te verwijderen: