CyberArk komt met tool versleutelde bestanden
Deze intermittent encryptie trend heeft echter een paar gebreken, waar CyberArk Labs op in is gesprongen met een tegenmaatregel. Met een nieuwe decryptor genaamd ‘White Phoenix’ kunnen slachtoffers hun gedeeltelijk versleutelde bestanden weer deels herstellen.
CyberArk
Gedeeltelijke versleuteling scheelt aanvallers tijd, dus dat is een belangrijke reden voor de opkomst ervan. Ze kunnen sneller schakelen, waardoor zelfs als de ransomware in een vroeg stadium wordt gestopt, de schade en impact al groot kunnen zijn. Deze snelheid is voor ransomware-aanbieders ook een sterk verkoopargument om voor hun ‘product’ te kiezen. Bovendien kijken sommige beveiligingsoplossingen naar de hoeveelheid content die naar de schijf wordt geschreven om ransomware te identificeren. Met gedeeltelijke encryptie wordt er minder content weggeschreven, en is de kans op detectie dus kleiner.
Het voordeel van gedeeltelijke encryptie is dat een groot deel van een bestand onaangeraakt blijft. Daar liggen de kansen voor het terughalen of herstellen van data. CyberArk Labs deed onderzoek ernaar met gecompromitteerde PDF-bestanden. Hierin verschijnen zowel afbeeldingen als tekst in stream-objecten. Om ze te herstellen uit een versleuteld PDF-document, moeten de stream-objecten worden nagekeken. Afbeeldingen kunnen meestal worden hersteld door de toegepaste filters te verwijderen. Het herstellen van tekst vereist wat meer werk. In eenvoudigere gevallen is de tekst opgedeeld in stukken in de stream. In die gevallen moeten alle stukken worden geïdentificeerd en de inhoud van elk stuk worden samengevoegd.
Naast PDF’s lukte de aanpak ook met de veelgebruikte Microsoft Office-bestanden en zip-bestanden. Elk bestand dat in een zip is gecomprimeerd heeft een entry in de zip-structuur die begint met PK\x03\x04. Als je een gedeeltelijk gecodeerd zip-bestand neemt en alles vanaf het begin tot de eerste PK\03\x04 wist, kun je nog steeds het zip-bestand openen met 7zip en de inhoud van alle niet-gecodeerde bestanden uitpakken. In Office-documenten zijn deze gecomprimeerde bestanden vaak XML-bestanden. Hierdoor is het mogelijk om, onder de juiste omstandigheden, sommige gegevens te herstellen van Office-documenten die de ransomware heeft versleuteld.
Een gedetailleerde uitleg is te vinden op de blog van CyberArk: https://www.cyberark.com/resources/threat-research-blog/white-phoenix-beating-intermittent-encryption
zie ook:
“Back-ups? Zeker niet dé oplossing”
Ondanks inflatie investeert mkb in IT
en op Baaz.nl
Welke kant gaat ransomware op?
Nut en noodzaak van cyberverzekeringen: het onderzoeken waard