Ransomware is al geruime tijd de oorzaak van flinke hoofdpijn voor zowel gebruikers als experts. Het is niet eenvoudig om door ransomware versleutelde bestanden weer te herstellen, en in veel gevallen zelfs onmogelijk. Maar er is goed nieuws voor de slachtoffers van Yatron- en FortuneCrypt-ransomware: Experts van Kaspersky hebben decryptors ontwikkeld en gepubliceerd voor bestanden die door deze specifieke malware zijn versleuteld.
Hoe herstelt u door Yatron versleutelde bestanden?
Yatron-ransomware is gebaseerd op een andere encryptor, Hidden Tear, waar een bijzonder verhaal achter zit. De Turkse onderzoeker Utku Sen creëerde deze malware een aantal jaar geleden voor educatieve en onderzoeksdoeleinden en uploadde de broncode op het internet. De erfenis van deze software is nog steeds onder ons: experts blijven nieuwe ransomware vinden die erop is gebaseerd, en Yatron is daar ook een voorbeeld van.
Gelukkig zijn er zwakke plekken gevonden in de Yatron-code, en konden onze experts daarvan profiteren en dus een decryptor creëren. Als u een *.yatron-extensie ziet bij eventuele vergrendelde bestanden, ga dan naar de website No More Ransom om een decryptor-tool te downloaden die uw bestanden zal herstellen.
Hoe herstelt u door Yatron versleutelde bestanden?
Het tweede ransomware-pakket is ook nauwelijks een meesterwerk (uh, hackerwerk?) te noemen. In plaats van het gebruik van geavanceerde talen zoals C/C++ en Python, schreven de makers van FortuneCrypt het in BlitzMax, een vrij simpele taal die eigenlijk niet meer is dan BASIC met turbo. In de geschiedenis van ons onderzoek naar malware-tracking waren we deze taal nog nooit eerder tegengekomen.
Onze experts ontdekten dat het encryptie-algoritme van de malware verre van perfect is, waardoor er dus een decryptor kon worden ontwikkeld. Net als bij Yatron, kunnen slachtoffers van FortuneCrypt een decryptor-tool downloaden via het No More Ransom-portaal.
Wat te doen bij ransomware op uw computer?
Het belangrijkste is om geen geld te betalen. Door te betalen worden de criminelen aangemoedigd, en het is ook zeker geen garantie dat uw bestanden hersteld zullen worden. De beste aanpak is om naar de No More Ransom-website te gaan, die is gecreëerd door experts van verschillende cybersecurity-bedrijven en wethandhavingsinstanties van over de hele wereld, waaronder Kaspersky, Interpol en de Nederlandse politie, om hulp te bieden bij de benarde situatie van slachtoffers van ransomware. Deze website bevat decryptors voor honderden ransomware-programma’s, en deze zijn uiteraard allemaal gratis.
Hoe beschermt u zich tegen ransomware-afpersers?
Hier volgen ten slotte wat tips om te voorkomen dat u een slachtoffer wordt:
- Download geen programma’s van onbekende en verdachte websites. Zelfs als de naam van het programma in orde lijkt, kan het pakket iets volledig anders en tevens gevaarlijks bevatten.
- Klik niet op links en open geen bestandsbijlages van e-mail van onbekende afzenders. Als u een verdacht en onverwacht bericht ontvangt van een vriend of collega, bel ze dan op om te vragen of het veilig is om het bestand te openen.
- Zorg ervoor dat u de laatste updates installeert voor uw besturingssysteem en de programma’s die u regelmatig gebruikt. Dit zorgt ervoor dat u minder kwetsbaar bent voor de makers van ransomware.
- Installeer een betrouwbare antivirus-appen schakel deze nooit uit, ook niet als sommige programma’s daarom vragen.
- Voer back-ups uit van belangrijke gegevens en sla deze op in de cloud, op een usb-stick of een externe harde schijf.