Wouter Hoeffnagel - 25 mei 2023

Tool van CyberArk maakt door ransomware gegijzelde data weer beschikbaar

Steeds vaker worden bestanden in ransomware-aanvallen gedeeltelijk versleuteld. Deze intermittent encryptietrend heeft echter een paar gebreken. CyberArk speelt hierop in en maakt een nieuwe decryptor genaamd 'White Phoenix' beschikbaar. Slachtoffers kunnen hiermee hun gedeeltelijk versleutelde bestanden weer deels herstellen.

Tool van CyberArk maakt door ransomware gegijzelde data weer beschikbaar image

Gedeeltelijke versleuteling scheelt aanvallers tijd, dus dat is een belangrijke reden voor de opkomst ervan. Ze kunnen sneller schakelen, waardoor zelfs als de ransomware in een vroeg stadium wordt gestopt, de schade en impact al groot kunnen zijn. Deze snelheid is voor ransomware-aanbieders ook een sterk verkoopargument om voor hun ‘product’ te kiezen. Bovendien kijken sommige beveiligingsoplossingen naar de hoeveelheid content die naar de schijf wordt geschreven om ransomware te identificeren. Met gedeeltelijke encryptie wordt er minder content weggeschreven, en is de kans op detectie dus kleiner.

Groot deel van een bestand niet aangetast

Het voordeel van gedeeltelijke encryptie is dat een groot deel van een bestand onaangeraakt blijft. Daar liggen de kansen voor het terughalen of herstellen van data. CyberArk Labs deed onderzoek ernaar met gecompromitteerde PDF-bestanden. Hierin verschijnen zowel afbeeldingen als tekst in stream-objecten. Om ze te herstellen uit een versleuteld PDF-document, moeten de stream-objecten worden nagekeken. Afbeeldingen kunnen meestal worden hersteld door de toegepaste filters te verwijderen. Het herstellen van tekst vereist wat meer werk. In eenvoudigere gevallen is de tekst opgedeeld in stukken in de stream. In die gevallen moeten alle stukken worden geïdentificeerd en de inhoud van elk stuk worden samengevoegd.

Naast PDF’s lukte de aanpak ook met de veelgebruikte Microsoft Office-bestanden en zip-bestanden. ​​Elk bestand dat in een zip is gecomprimeerd heeft een entry in de zip-structuur die begint met PK\x03\x04. Als je een gedeeltelijk gecodeerd zip-bestand neemt en alles vanaf het begin tot de eerste PK\03\x04 wist, kun je nog steeds het zip-bestand openen met 7zip en de inhoud van alle niet-gecodeerde bestanden uitpakken. In Office-documenten zijn deze gecomprimeerde bestanden vaak XML-bestanden. Hierdoor is het mogelijk om, onder de juiste omstandigheden, sommige gegevens te herstellen van Office-documenten die de ransomware heeft versleuteld.

Meer informatie is hier beschikbaar.

Datacollectief BW 13-05-2024 tm 03-06-2024 BW Dutch IT Partner Day tm 11-06-2024
Dutch IT Partner Day 11 juni2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!