image1 image2 image3

Het CERBER ransomvirus

Deze rubriek (Bits&Bytes) gebruik ik ook als mijn persoonlijke blog, ik schrijf over mijn dagelijkse werkzaamheden, dingen die mij opvallen, meezitten, maar na zonneschijn komt ook wel eens regen en dit verhaal is er ook zo eentje, voor het eerst in mijn loopbaan sponsor ik letterlijk een Internetcrimineel of Criminele bende, en dat terwijl ik mij hiertegen juist zoveel als mogelijk wil verzetten. Mijn taktiek in deze oorlog is echter het informeren van mijn klanten en gebruikers, kennis is vele malen sterker dan de beste antivirus of welke andere maatregel dan ook. De rubriek Bits&Bytes is zo'n informatieplatform en er zijn nu eenmaal situaties denkbaar waar principes er in praktijk eigenlijk niet zoveel  toe doen, Als ICTér werk je tenslotte in het belang van je klant en als dat betekend hem(of haar) bij te staan bij het betalen van een bedrag aan internetcriminelen teineinde specifieke bestanden terug te kunnen halen (ransomware),dan zij dat zo.

Geen incident waar ik bepaald trots op ben, zeker omdat ik het terugkijkend mischien best wel had kunnen voorkomen, maar goed. Ik ben er niet trots op maar wellicht heeft iemand anders wel wat aan onderstaand verhaal, al hoop ik van harte dat dit iedereen bespaard kan blijven.

 Het CERBER Ransom virus.

 

Braaf hondje.......................

Cerber, de naam is afgeleid van een mythologisch monster, vaak afgebeeld als een driekoppige hond, ook vaak gezien als de metgezel van Hades, meester en bewaker van de onderwereld. De afbeelding is redelijk representatief voor de ellende die dit virus veroorzaakt.

Ik weet dat ze er zijn, ik weet hoe ze te werk gaan, maar er eentje in praktijk tegen komen, tweemaal zelfs binnen 48 uur, dat had ik zelfs niet kunnen voorzien.

Op maandag een voor alsnog ongeidentificeerd gijzelvirus met opvallend veel overeenkomsten met het zogenaamde “locky” virus , en dan dinsdag erop word ik prompt geconfronteerd met het “CERBER” gijzelvirus, Ik wist al dat “locky” en waarschijnlijk ook het afgelopen maandag ontdekte gijzelvirus een afgeleide waren van het “CERBER” gijzelvirus maar dit was voor het eerst dat ik deze tegenkwam, Het bleek, zeker achteraf gezien”een bijzonder onaangename ontmoeting.

Naar verluid is "CERBER" een van origine rusisch ransomvirus, en omdat de broncode ervan alweer een poosje op het internet (deep web) voorhanden is, verschijnen er nu regelmatig en frequent nieuwe varianten  van dit ransomvirus op het internet. Nieuwe varianten die vaak aanvankelijk (nog niet) door antivirus of aantimalware programa's worden herkend!

Niet alleen wisten al deze virussen de aanwezige antivirusprogramma’s,  N-able, avira, avg en Microsoft security essentials te omzeilen (vaak middels het gebruik van malware) maar ze waren bijzonder effectief en uitermate schadelijk. Zo wist “cerber” zelfs de email, outlook, email, contact en adresbestanden te versleutelen, dat was nieuw. zelfs voor mij.

Een goede. aktuele en gecontroleerde backup is belangrijk

De sleutel bij al deze problematiek is de backup en hoe belangrijk het is om regelmatig te controleren, wat je backupt , hoe vaak en ook waarheen je dat doet.

Online backups lijken erg veilig maar zijn erg beperkt, niet alleen in omvang maar ook erg afhankelijk van de internet snelheid. Bij slechts een standaard ADSL verbinding (zo’n 70% van alle internetverbindingen”  feitelijk ongeschikt voor het maaken van een "cloud" backup, en doet het maken van een backup van een slordige 40Gb er veel te lang over om überhaupt binnen een redelijke termijn gemaakt te worden, laat staan dat je hem binnen een dag ook weer kunt teruzetten. Hoewel dat eerste enigszins word ondervangen door er een zogenaamde “incredimental” backup van te maken ,Hierbij worden alleen de wijzigingen sedert de laaatste backup aan de backup toegevoegd, moet alles wel worden teruggezet wanneeer nodig en dat lukt vaak niet binnen een redelijke en werkbare termijn. Bovendien is cloudopslag kostbaar en daardoor vaak beperkt, waardoor er selectief moet worden gebackupped, fouten worden daardoor snel gemaakt en vaak zonder dat je het eigenlijk wel beseft is de backup dan vaak niet compleet.

Kortom backups moeten niet alleen regelmatig worden gemaakt maar ook goed worden gecontroleerd!, iets wat er vaak nogal bij inschiet, hetgeen ook hier jammer genoeg het geval was.(de email hadden we gelukig wel.)

Een backup met beperkte capaciteit moet regelmatig goed worden gecontroleerd

In het geval van een gijzelvirus is een goede backup de enige goede remedie, Daarnaast zijn er wel alternatieven maar na lang en intensief onderzoek, testen en proberen bleek helaas al snel dat niet alleen de alternatieven zoals datarecover, schaduwbestanden, en wat veel mensen nogal eens denken en/of verwachten, het terugzetten van de computer naar een eerder gemaakt herstelpunt, onvoldoende of zelfs helemaal geen enkele positieve resultaten op te leveren.

Dagen en nachtenlang (serieus waar!) heb ik het internet afgezocht naar alle voorhande zijnde informatie betreffende "cerber" om uiteindelijk te moeten concluderen dat het hier om een betrekkelijk successvol virus gaat waar vooralsnog geen remedie voor gevonden is.

In praktijk blijkt het bijkans onmogelijk om de door het gijzelvirus aangetaste bestanden weer in hun originele staat terug te brengen.

Een van de eerste dingen die absoluut moeten worden gedaan is het eventueel nog steeds actieve virus en de malware die hem heeft binnengehaald van de computer te verwijderen, immers zou je niet willen dat een eventueeel terugezette backup hetzelfde overkomt als de originele bestanden die nu dus compleet onbruikbaar zijn geworden, wat trouwens ook geld voor de inhoud van elke usb externe harde schijf of geheugenstick die naderhand op je nog steeds besmette computer word aangesloten.Wanneer het virus nog actief is, dan is de krans groot dat eventueeel herstelde bestanden prompt opnieuw worden aangetast.

Verwijder het virus en controleer op mogelijke malwarerogramma’s die verantwoordelijk kunnen zijn voor de originele besmetting.

In de regel zijn er relatief simpele programmas’s die de aanweze virussen of malware kunnen bestrijden, Cerber is echter vrij hadnekkig en niet gemakkelijk te verwijderen.

Opgelet!, het wemelt op het internet van de zogenaaamde "shareware"en ook "freeware" applicaties ie stuk voor stuk gespecialiseerd zijn in het verwijderen van specifieke computervirussen, malwar, het opschonen en versnellen van trage computers etc. Stuk oor stuk "gratis" te installeren en te gebruiken. Opgepast want hier zitten opvallend vaak zogenaamde malware programma's tussen. Valse software die stuk voor stuk claimen het probleem voor U op te lossen maar hier steevast eerst een betaling voor een zogenaamde "licentie"vooor af te dwingen. Deze softwar is uitermate bedriegelijk, werken zelden en maken uw situatie veelal alleen nog maar erger.

Het controleren, opschonen en versnellen van uw computer vereist ten aller tijden een ICT deskundige, Hij (of Zij) is en blijft de bste garantie dat hetgeen waar u uw computer op wilt laten controleren, ook daaadwerkelijk ook gebeurt.

Verwijder het virus en voorkom herbesmetting. In tegenstelling tot “locky” e.a. bekende gijzelvirussen is “Cerber” een stuk lastiger, ik kreeg hem pas weg met een kaperski rescue root-kit scanner, kasperski rescue disk.

Decrypten

Na het verwijderen van het virus blijven we echter zitten met een computer waarin nagenoeg alle documenten, acrobat bestanden, Excel sheets, powerpoint presentaties, foto’s, muziek e.v.a. nog altijd compleet onbruikbaar zijn, zonder actuele en recente backup is het terugzetten ervan in hun originele toegankelijke staat best lastig.

Er zijn tal van ransomware ontsleutelprogramma’s en er komen er steeds meer bij, echter zijn nagenoeg al die programma’s per stuk specifiek gericht op een specifiek ransomvirus en geloof mij “Cerber” zit daar vooralsnog niet bij.Er word weliswaar hard aan gwerkt en voor tal van ransomware programma's zijn er intussen al oplossingen voor handen maar voor deze (cerber) is dat (nog) niet het geval, en dat kan evengoed nog jaren duren.

Het is uitermate vervelend om te moeten erkennen, maar Zijn je bestanden eenmaal aangetast door “CERBER” dan is er het momenteel geen andere oplossing dan simpelweg te betalen en er het beste van te hopen.

Betalen voor ransomware is echt het laatste wat ik mijn klanten zou aanraden, maar dat gezegd hebbende, is het natuurlijk wel mijn werk om mijn klanten bij te staan bij hun computerproblemen, zeker daar waar vele uren aan werk verloren lijken te gaan door het handelen van computercriminelen.

Ransomware betalen.

De criminelen (want dat zijn het) zijn er natuurlijk wel bij gebaat om het betalen van de gevraagde ransomware het de klanten zo gemakkelijk mogelijk te maken. Naast dat overal op je computer bestanden volkomen nutteloos zijn gemaakt worden er overal zogenaamde txt bestanden achtergelaten waarin tot in detail word uitgelegd hoe je bitcoins kunt kopen en waarheen je dit bedrag (meestal 2 bitcoins (1 bitcoin = ongeveer 600 euro)kunt overmaken.

Hoewel iedere ICT deskundige je altijd zal afraden om hierop in te gaan, Moet ik mij wel goed inleven in de soms hachelijke situatie waarin ik mijn klanten in achterlaat, als ik dat niet zou doen, dan doe ik mijn werk niet goed, en in die hoedanigheid kan ik mij heel goed voorstellen dat er dan toch op het betalingsvoorstel word ingegaan. Uiteindelijk is het de beslissing van de klant, en daarbij is het zeker handig om hem of haar hier zo goed mogelijk bij te assisteren, niet in het belang van de desbetreffende criminelen maar in dat van je klant.

Het zijn criminelen, dus het is heel goed mogelijk dat je zelfs met een betaling achter het net vist (het leek er aanvankelijk wel erg op!), aan de andere kant, waar zou je als internetcrimineel blijven als naderhand bekend zou worden dat je je slachtoffers na het betalen niet meer vrij zou laten,

Cerber is niet anders, de uitleg is vrij duidelijk en niet al te ingewikkeld. Een opmerking!, begin hier niet aan vlak voor het weekend, Het internet is dan wel 24 uurs en het zou allemaal mogelijk moeten zijn maar snel even een bitcoin betaling regelen vlak voor of in het weekend is bij veel bitcoin traders simpelweg onmogelijk, wat dat betreft lijken ze erg op onze doorsnee Nederlandse banken. Buiten kantoortijden(binnen trouwens vaak ook) is er geen beginnen aan, veel telefooncomputers, geautomatiseerde informatiesystemen en vrijwel geen mens die je te woord wil staan, het lijkt de ABNAmro wel!.

Dreigementen van een betalingstermijn. het cerber ransomewarevirus vraagt in eerste instantie een losgeld van 2 bitcois, dat lijkt niet erg veel maar is toch al snel 1300 euro, enigzins afhankelijk van de koers van dat moment.

In dit geval konden we hiervoor terecht bij http://www.satos.nl/ een bitcoin bank in Almere met daadwerkelijk een kantoor, een telefoonnummer en iemand die je daadwerkelijk te woord staat met informatie, best wel uniek intussen. Geloof mij als je onder dreiging van Internet criminelen iets moet doen zoals het aanmaken van een bitcoinwallet en het kopen van bitcoins, (iets wat je nog nooit eerder gedaan hebt), dan is een persoon aan de telefoon die je uitlegt in begrijpelijke nederlandse taal hoe en vooral wat te doen een verademing, geen ingewikkelde toestanden, automatische chatbots of telefoonbeantwoorders, Maar bruikbare en begrijpelijke informatie in begrijpelijk Nederlands.

Uiteraard heeft een "bitcoin" broker op zich zelf niets met de desbetreffende criminelen van doen.

Na betaling konden we uiteindelijk zonder al te veel moeite de “cerber” decryptor downloaden , het duurde even maar na een uurtje was hij er dan toch..

Termijn van betalen, Hoewel de toelichting en uitleg bij het cerber ransomvirus hier duidelijk over is, betalen binnen 5 dagen anders word het bedrag verdubbeld, bleek dit hier gelukkig niet het geval te zijn. Kennelijk hanteren nu zelfs internetcriminelen, werkdagen en kantoortijden, zelfs in hun bedreigingen.

In eerste instantie leek de Cerber dekryptor  niet  te werken op de originele geinfecteerde computer maar met tussenkomst van een laptop met zijn eigen internetverbinding (wireless) lukte het ons om grote hoeveelheden aangetaste bestanden in hun originele staat terug te brengen. Success!, Naar wat naderhand bleek is dat alle extra voorzorgsmaatregelen gedaan in een poging het oorspronkelijke cerbervirus te verwijderen, waren tevens de oorzaak dat de eerder gedownloade ccerber decryptor niet kon communniceren met de zijn TORRENT security server (deep web).

Nogmaals, ik heb veel collega's die hier beslist anders over denken, persoonlijk ben ik het wel met ze eens en zal altijd adviseren om nooit te betalen, maar ik weet ook dat dat niet altijd mijn verantwoordelijkheid is, en zeker ook niet mijn beslissing moet zijn. Als de klant besluit hiervoor te betalen dan is en blijft het mijn taak om te assisteren waar nodig, al is het alleen maar om herhaling te voorkomen., in dit geval heeft het uiteindelijk goed uitgepakt, toegeven het was prijzig maar uiteindelijk is de schade nog enigzins beperkt.Geen incident waar ik trots op ben maar wel eentje die ik toch moet vermelden al is het alleen maar om te laten weten dat een ransomvirus niet het einde van de wereld hoeft te zijn.

Tot slot, nog een waarschuwing, mede door het success van dit type ransomvirussen, (dit was echt niet de enige) worden veel gebruikers momentel overspoeld met middels malware besmette emailberichten, fishing emailberichten, valse "spookfacuren" en wat al niet meer, en daar waar "malware"  in het verleden nog enigzins en relatief onschuldige doch irritante programma's waren zetten ze steeds vaker de deur open voor ransomwarevirussen Een goede anivirus is helaas geen garantie dat uw computer hiertegen bescherm is (nooit geweest, ook"), wees daarom extreem voorzichtig met emailberichten voorzien van zogenaamde "attachments", Zelfs het allerbeste antivirusprogramma kan niet verhinderen dat u onbedoeld uw eigen computer met een ransom virus besmet.

Het bijbehorende bericht is er alles aan gelegen om de ontvanger, het desbetreffende bericht of link, te laten openen op zijn of haar computer.

 

 

 

ICT specialist TROS RADAR!

Vestigingsadres: Gouwzee 9, 1421 DS, Uithoorn

Kantooradres: Machineweg 3, 1432EK, Aalsmeer

Tel: 0297 331427

2017  Jongkind Inter- & Intranet Services   globbers joomla templates