Ransomware verwijderen en bestanden redden

Als je getroffen bent door ransomware als GandCrab, Rakhni of WannaCry, is de ramp niet te overzien. De toegang tot je persoonlijke bestanden is geblokkeerd! Toch schijnt er dan nog steeds licht aan het eind van de tunnel. Er zijn verschillende tools en methodes waarmee je bestanden soms weer terug kunt krijgen. En vaak zonder losgeld te betalen.

Steeds opnieuw krijgen we e-mails van wanhopige lezers met de vraag of ze hun door ransomware versleutelde bestanden op de een of andere manier terug kunnen krijgen – zonder losgeld te betalen. Als aan bepaalde voorwaarden voldaan is, kan die vraag zeker met ‘ja’ beantwoord worden.

Gezien onze ervaringen met besmette systemen lijken de vooruitzichten echter niet rooskleurig. Dat wordt ook bevestigd door Trebaxa, een IT-dienstverlener die regelmatig besmette computers van klanten opschoont en de data probeert te redden. Daarbij wordt vooral succes geboekt als er een of meer back-ups zijn. Daarmee kunnen bestanden weer teruggezet worden. Het komt zelden voor dat bestanden kunnen worden gered als er geen back-up van was.

Met het betalen van losgeld moet je je in eerste instantie niet bezig houden. De politie raadt in elk geval aan aangifte te doen. Dat kan bij de Fraudehelpdesk. Allereerst moet je achterhalen welke trojan de macht over je computer heeft overgenomen. Dat kan bijvoorbeeld met de Crypto Sherrif van No More Ransom. Daar kun je versleutelde bestanden of afpersberichten uploaden en laten scannen. In veel gevallen krijg je dan te zien welke ransomware je te pakken heeft.

Voordat je je bestanden gaat redden, moet je eerst proberen van de malware af te komen. Vaak gebeurt dat vanzelf, aangezien ransomware zich vaak automatisch afsluit als de taak erop zit en zichzelf ook meteen vernietigt om sporen uit te wissen. Dat is bijvoorbeeld het geval bij Locky. Maar een scan met een antivirusprogramma is nog steeds noodzakelijk om helemaal zeker van je zaak te zijn.

Ransomware op heterdaad betrappen blijkt moeilijk. De makers van malware brengen regelmatig nieuwe versies uit. Daardoor kan het uren of zelfs dagen duren voordat virusscanners de schadelijke software voor of tijdens een besmetting herkennen. Daar komt nog bij dat ransomware relatief weinig in het systeem doet.  Daardoor komen de heuristiek en de gedragsanalyse van je antivirus vaak niet in actie.

Als je denkt dat een trojan net actief is, moet je de computer meteen hard uitzetten en niet opnieuw opstarten. Je kunt in plaats daarvan beter een live systeem booten en van daaruit de Windows-partities scannen. Gebruik niet de lokale virusscanner. Daar moet je het besmette systeem immers weer voor opstarten en dat maakt de situatie mogelijk alleen maar slechter. Je kunt bijvoorbeeld gebruikmaken van een live rescue-cd zoals Avira, Bitdefender en Kaspersky die aanbieden.

Veel encryptie-trojans waaronder Locky verwijderen zichzelf nadat ze hun werk hebben gedaan. Toch kun je je systeem na een besmetting het beste een keer scannen met bijvoorbeeld de op Ubuntu gebaseerde rescue-cd van Avira.

Als je je bestanden regelmatig back-upt naar een schijf die je niet permanent op je computer hebt aangesloten, kom je er vrij goed vanaf. Het is namelijk vrij makkelijk om een complete back-up van het systeem terug te zetten of alleen bepaalde bestanden. Daarna heb je weer toegang tot de onlangs geback-upte toestand. Bestanden die erna werden toegevoegd, zijn dan wel verloren.

Het best kun je een back-up vanuit een compleet nieuw geïnstalleerd besturingssysteem terugzetten. Als ondanks alle schoonmaakacties namelijk nog resten van een trojan op de computer ronddolen, kan dat je hele werk in een paar seconden om zeep helpen. In het ergste geval wordt ook je back-upmedium versleuteld.

Het komt wel voor dat ontwikkelaars van ransomware de zeilen strijken en de sleutels van de trojan bekend worden. Dat was bijvoorbeeld het geval bij Locker. Daarbij werden niet alleen de sleutels openbaar: de ransomware kreeg van de makers zelfs de opdracht om alle bestanden weer te ontsleutelen. Slachtoffers van Locky hoeven daar niet op te rekenen. Die malware verwijdert zichzelf namelijk automatisch.

Er zijn ook gevallen bekend waarbij onderzoekinstanties afpersingsbendes inrekenen en sleutels in beslag nemen. De mensen achter Bitcryptor en Coinvault werden bijvoorbeeld gearresteerd. Kaspersky heeft alle sleutels daarvan opgenomen in de CoinVault Decryptor, net als andere hier genoemde tools te vinden bij No More Ransom.

Ook TeslaCrypt gaf uiteindelijk op en maakte de masterkey bekend. Die is verwerkt in Kaspersky’s Rakhni Decryptor. Zo kunnen bestanden die versleuteld zijn met TeslaCrypt weer leesbaar gemaakt worden.

Als je op zoek gaat naar oplossingen voor ransomware, kom je steeds weer de term schaduwkopieën tegen. Windows maakt met behulp van de Volume Shadow Copy Service (VSS) schaduwkopieën van bepaalde bestanden. VSS is een systeemservice die meerdere versies maakt. Het standaard ingeschakelde systeemherstel gebruikt dergelijke schaduwkopieën. Op die manier kun je Windows terugzetten naar een moment dat voor de besmetting lag, maar blijven de versleutelde gebruikersgegevens wel gecodeerd.

In afzonderlijke gevallen heb je iets aan de gratis tool ShadowExplorer. Daarmee kun je bladeren door de gemaakte herstelpunten in een venster dat doet denken aan de Verkenner. Windows maakt de herstelpunten automatisch aan, maar niet regelmatig. Dat gebeurt bijvoorbeeld als er een driver geïnstalleerd wordt. In het ergste geval zijn de schaduwkopieën een paar weken oud en verouderd. Je kunt echter ook handmatig een herstelpunt maken.

Met behulp van automatisch door Windows aangemaakte schaduwkopieën krijg je via ShadowExplorer mogelijk weer toegang tot je bestanden.

Als je in ShadowExplorer een datum van voor de besmetting selecteert, verschijnen soms oude, niet-versleutelde versies van bestanden om te exporteren. Helaas wissen nagenoeg alle ransomware-varianten de schaduwkopieën – als onderdeel van hun eigen kamikazeactie. Soms gebeurt dat zelfs onopvallend, zonder dat het Gebruikersaccountbeheer een vraag stelt.

Bij onze test konden we met de tool geen bestanden herstellen. In een geval waren er na een besmetting nog steeds schaduwkopieën aanwezig. Nadat we ze met ShadowExplorer hadden geëxporteerd, bleken de bestanden echter niet bruikbaar.

Voor slachtoffers van ransomware kan bovendien het tabblad ‘Vorige versies’ bij de eigenschappen van een bestand nuttig zijn. Daarnaast kunnen afzonderlijke bestanden worden hersteld van een moment dat voor de besmetting lag. De functie Bestandsgeschiedenis bestaat sinds Windows 8 en is ook geïmplementeerd in Windows 10.

In tegenstelling tot Systeemherstel is Bestandsgeschiedenis niet standaard ingeschakeld. Als je er voor de besmetting aan gedacht hebt om dat wel te doen, zie je mogelijk de optie om naar een niet-versleutelde versie van een bestand terug te keren. Het probleem daarbij is dat het back-upmechanisme bestanden ook naar een extern opslagmedium kan back-uppen. Als die laatste op de computer aangesloten is op het moment dat de besmetting plaatsvindt, slaat de ransomware ook daarop toe.

Normaal gesproken versleutelt ransomware de bestanden en wist de originelen. Tijdens het verwijderen geeft het besturingssysteem alleen aan dat de bestanden gewist zijn, maar vaak staan ze nog steeds op de schijf. Er is dus in principe wel degelijk een kans om de niet-versleutelde originele versies met behulp van rescuesoftware te herstellen. Goede gratis undeletetools zijn Autopsy, PhotoRec en Recuva.

Recuva en andere rescueprogramma’s kunnen soms niet-versleutelde versies van anders verloren bestanden herstellen.

Desondanks lukte het ons overigens bij geen enkele ransomware om belangrijke gegevens te redden met bijvoorbeeld Autospy. We zagen alleen tijdelijke internetbestanden. Na meerdere pogingen hebben we het uiteindelijk opgegeven.

Of je poging slaagt, hangt af van meerdere factoren. Voor een grotere kans van slagen is het voordelig als de harde schijf groot is. Dan blijven de als gewist gemarkeerde bestanden namelijk langer staan. Het is een kwestie van tijd totdat ze worden overschreven. Bij een ssd is die kans kleiner omdat de geheugencapaciteit daar normaal gesproken kleiner is en de gegevens dus sneller overschreven worden. Ook de TRIM-functie, die schrijfacties zoveel mogelijk gelijkmatig verdeelt, werkt dan niet in je voordeel. Gewiste bestanden worden bij ssd’s daardoor sneller overschreven.

Om elk risico te vermijden, moet je de harde schijf met de versleutelde bestanden op een niet-besmet systeem aansluiten. PhotoRec is bijvoorbeeld ook in combinatie met een live Linux-systeem te gebruiken. Nadat je een rescueprogramma gestart hebt, kun je de schijf met de versleutelde bestanden selecteren. Daarna kun je bepalen of de tool alleen moet zoeken naar bepaalde bestandstypen of naar alle.

Als al je pogingen mislukken en geen andere methode werkt, resteert er nog één optie: het losgeld betalen. We raden niet aan op de eisen van de afpersers in te gaan, maar de uiteindelijke beslissing ligt natuurlijk bij jou. Vaak is de betaalmethode vaag. Daarnaast is het vrij lastig om aan bitcoins te komen.

Trebaxa is voor wanhopige klanten in uitzonderlijke gevallen op de eisen ingegaan. Daarbij konden verschillende keren alle bestanden hersteld worden. Nadat het losgeld met bitcoins betaald was, werd een decryptie-tool met de bijbehorende sleutel overhandigd.

Maar door het losgeld te betalen is niet meteen gegarandeerd dat je ook echt weer toegang krijgt tot je bestanden. Er zijn ook gevallen bekend waarbij criminelen na betaling in het luchtledige zijn opgegaan en de sleutel alsnog niet hebben gegeven. Traceren is helaas onmogelijk omdat de servers zich in het Tor-netwerk bevinden.

Het kan nog erger: een lezer liet ons weten zo’n vijfhonderd euro aan losgeld te hebben betaald, waarna hem een batchbestand werd gestuurd om de data te ontsleutelen. Door een foute stationsletter in de decoderingswizard in te voeren heeft het script de bestanden gewist in plaats van ontsleuteld. Pas nadat de lezer het batchbestand aangepast had, werkte het script zoals het zou moeten.

In dit artikel hebben we kennis gedeeld over de eerste maatregelen die slachtoffers van ransomware kunnen nemen. Helaas kunnen ook wij geen eenduidig advies geven over elk afzonderlijk geval. Mocht je onverhoopt slachtoffer zijn geworden, dan raden we je in eerste instantie aan daar melding van te maken en op internet en forums op zoek te gaan naar een oplossing. Behalve bij No More Ransom vind je bijvoorbeeld ook veel informatie bij BleepingComputer.

De politie wil elke vorm van criminaliteit bestrijden – en dus ook cybercriminaliteit, waar ransomware onder valt. Hoe meer aangiften er op dat gebied worden geregistreerd, des te meer zal men zich inzetten voor het vervolgen van daders en het beschermen van gebruikers. Zo is de National High Tech Crime Unit van de Nederlandse Politie een belangrijke initiatiefnemer van het No More Ransom-project en heeft in dat kader ook meegewerkt aan de ontwikkeling van verschillende decryptors.

Voor aangifte van alle vormen van internetfraude – of je dus slachtoffer bent geworden van ransomware, een spookfactuur hebt ontvangen of via een sms-bericht, phishing-mail of Marktplaats bent opgelicht – verwijst de politie naar de website van de Fraudehelpdesk. Zowel particulieren als bedrijven kunnen daar terecht. Een belangrijk probleem is dat slechts een op de 10 slachtoffers melding maakt van een misdrijf. Dat kan dus beter. Natuurlijk kun je voor aangifte ook terecht bij een plaatselijk politiebureau.

In Ransomware verwijderen en bestanden redden staat wat eerste hulp voor het geval je getroffen bent. In het artikel Ransomware geanalyseerd werpen we een blik achter de schermen van meerdere encryptie-trojans en zie je de manier waarop ze te werk gaan. Kijk ook eens bij Ransomware: zijn Mac-gebruikers veilig? of dit alleen voor Windows-computers geldt …

(Dennis Schirrmacher)