Beveiligingsspecialist ontgrendelt door ransomware gegijzelde bestanden met recoverytool

Ransomware is malware die bestanden in gijzeling neemt en losgeld eist. Versleutelde data is doorgaans niet meer te herstellen, tenzij de encryptiesleutel wordt achterhaald. Een beveiligingsonderzoeker is er echter in geslaagd bestanden die door de Cryptowall-ransomware zijn versleuteld met behulp van een recoverytool te herstellen.

Cryptowall is een vorm van ransomware die bestanden van slachtoffers in gijzeling neemt. Slachtoffers worden geacht losgeld te betalen om weer toegang te krijgen tot hun bestaande. De cybercriminelen leggen slachtoffers zelf een deadline op. Wie niet op tijd betaalt krijgt namelijk ook nog eens een 'boete' van 500 euro.

Kwaadaardige e-mailbijlage geopend

Beveiligingsonderzoeker Wyatt Roersma besloot het er niet bij te laten zitten. Hij probeerde bestanden die waren versleuteld nadat een medewerker van een klant een kwaadaardige e-mailbijlage met daarin de ransomware had geopend. Zowel bestanden op de harde schijf in de computer van het slachtoffer als op gedeelde netwerkschijven werden door de malware versleuteld.

Roersma besloot een poging te doen de gegijzelde bestanden zonder betaling weer toegankelijk te maken. Onderzoek wees uit dat Cryptowall bestanden met behulp van de DeleteFile-functie van Windows verwijderd, zodat slachtoffers deze niet meer kunnen openen. De ransomware slaat een versleutelde kopie van de data op een andere locatie op. Dit maakt de ransomware kwetsbaar voor een tegenaanval.

R-Studio

De beveiligingsonderzoeker besloot de recoverytool R-Studio in te zetten. Niet zonder succes! Roersma wist 95% van alle versleutelde bestanden weer toegankelijk te maken. Het gaat hierbij uitsluitend om docx-, doc-, pdf- en jpg-bestanden.