Ransomware

Wat is ransomware / gijzelsoftware?

Ransomware is software die zich illegaal op een computer nestelt en bestanden 'gijzelt', vandaar de naam gijzelsoftware. De vergrendelde bestanden -of zelfs de complete pc- worden tegen betaling vrijgegeven. Ransomware is een vorm van malware. Het speciale ervan is dat er losgeld betaald moet worden om er vanaf te komen, het is een vorm van chantage.
Er wordt gesproken van cryptoware of crypto-ransomware als de bestanden zijn versleuteld ('ge-encrypt'). Het verwijderen van de ransomware zelf voorkomt verdere verspreiding, maar de bestanden zijn nog steeds onbruikbaar omdat ze versleuteld zijn.
De bestanden worden bijna altijd vrijgegeven na betaling. Als de criminelen dat niet zouden doen, maken ze hun eigen business model kapot en zal niemand meer betalen. Voor betaling wordt graag gebruikgemaakt van Bitcoins en andere cryptovaluta vanwege de anonimiteit.
De aandacht van de criminelen is verschoven van consumenten naar bedrijven. Dat heeft te maken met het belang van de data en de bedragen die kunnen worden geëist. Er is een overlap met cyberspionage: de informatie van gegijzelde data kan verkocht worden aan concurrenten. Er kan ook gedreigd worden met het openbaar maken van de informatie.

Hoe raak je besmet met ransomware

    Er is een aantal manieren waarop een computer of smartphone besmet kan raken met gijzelsoftware. Vaak zijn phishing-mails, whatsappjes of andere berichten de aanleiding:
  • Een e-mail met een bijlage die geopend wordt. Of een e-mail met een link waarop geklikt wordt.
  • Bij een normale link zie je het internetadres direct en heb je een idee waar je heen geleid wordt. Bij een QR-code is die controle vooraf niet mogelijk, let dus op goed op het adres dat aangegeven wordt na het scannen. Wees extra voorzichtig met QR-codes op facturen en betaalverzoeken.
  • Bezoek aan een website die geïnfecteerd of besmet is. Dat kan bijvoorbeeld via malafide advertenties gebeuren, zelfs als er niet op geklikt wordt.
  • Starten van programma's die de kwaadaardige software installeren. Vaak betreft dit handige tools of zogenaamde updates. Een oude truc is het waarschuwen voor besmetting en met een geboden oplossing juist de kwaadaardige software installeren.
  • Uitbuiten van zwakheden ('exploits') in programma's of besturingssysteem.
  • Het komt voor malware wordt geïnstalleerd door programma's die gebruikt worden voor netwerk monitoring, of door medewerkers die de netwerk monitoring (beheer op afstand) uitvoeren.
  • In een aantal situaties zorgt één partij ervoor dat er toegang wordt verschaft tot het netwerk. Als die toegang er is wordt die verkocht aan een groep die de daadwerkelijke ransomware installeert.

Wat te doen bij besmetting

Geen toegang tot bestanden
  • Reageer snel. De malafide software geeft vaak een melding via een popup-scherm dat er een besmetting plaatsvindt. Dat is meestal als de malware actief wordt. Terwijl de melding wordt getoond worden op de achtergrond bestanden geïnfecteerd.
  • Wanneer je werkt in een bedrijf of organisatie, waarschuw meteen de systeembeheerder en je collega's.
  • Noteer belangrijke gegevens van de melding die verschijnt. Beter nog: maak een foto van de melding met je telefoon.
  • Zet de pc uit.
  • Koppel de pc los van het eigen netwerk en verbreek de internetverbinding. De malware heeft contact nodig met zijn thuisbasis, dus het is belangrijk om die te blokkeren. Met het verbreken van de internetverbinding wordt ook een eventuele besmetting van bestanden in de cloud gestopt.
  • Waarschuw de systeembeheerder (of tik jezelf op de schouder). Overweeg of er verdere infectie mogelijk is of was (in een netwerk).
  • Maak geen paniek-backups tijdens de besmetting 'om te redden wat er te redden valt' terwijl de computer aanblijft en de ransomware zich steeds verder nestelt. Iets anders is het maken van een kopie van de schijf zodra de pc is uitgezet.
  • Voordat je met een eventueel herstel begint: overweeg of je dit zelf kunt doen. Zeer waarschijnlijk heb je hulp nodig van specialisten op beveiligingsgebied.
  • Het terugzetten van een backup is gevaarlijk omdat ook de backup aangetast kan zijn als hij toegankelijk was voor de malware. Dit geldt met name als bestanden via synchronisatie zijn gekopieerd.
  • Start de computer weer op vanaf een veilige herstel-cd of usb-stick (geen herstel-partitie op de pc). Met de juiste anti-malware software -en een dosis geluk- is de besmette schijf te benaderen en te ontdoen van de ransomware.
  • Als het gelukt is om de ransomware te verwijderen, controleer dan andere schijven en netwerkstations. Start de pc op zonder netwerkconnectie en internettoegang.
  • Controleer of andere systemen in je netwerk besmet zijn. Wanneer programma's voor synchronisatie worden gebruikt kan de infectie zich verder hebben verspreid.
  • Stel de oorzaak van de infectie vast om herhaling van de ellende te voorkomen.
  • Pas als je zeker bent dat alles naar behoren werkt en herhaling van het incident onmogelijk is kun je de pc weer koppelen aan andere systemen en internet.
  • Overweeg om aangifte te doen bij de politie.

Wat doen als alles geblokkeerd is

Als alle systemen geblokkeerd zijn of veel belangrijke bestanden niet meer toegankelijk zijn, ook niet op backups, zijn er weinig opties. Het meest voor de hand ligt om het losgeld te betalen. Weet dat het gevraagde bedrag een vraagprijs is, er valt altijd te onderhandelen. Ben je verzekerd voor ransomware aanvallen, laat het onderhandelingsproces dan over aan de verzekeringsmaatschappij. De verzekering zal mogelijk specialisten inschakelen voor afhandeling van het geheel. Denk ook aan het doen van aangifte bij de politie.
Na betaling van het losgeld worden de bestanden door de hackers vrijgegeven. Vaak geven ze daarbij een rapport van de zwakheden in het systeem die ze zijn tegengekomen. Soms is het mogelijk om daarna nog gerichte vragen te stellen over de exploits die gebruikt zijn. Maak de rapportage onderdeel van de onderhandeling over het geld.

Ransomware voorkomen

Om ransomware te voorkomen of de gevolgen ervan te minimaliseren geven we de volgende adviezen:
  • Maak regelmatig backups.
  • Bewaar de backups op een niet-gekoppeld systeem. Wanneer de backups op het zelfde netwerk staan (bijv. op een NAS) dan kunnen ook die geïnfecteerd worden. Ook toegang tot backups in de cloud moet vermeden worden. Het beveiligen van backups met een wachtwoord is sowieso een goed idee. Je blokkeert er ook de toegang mee voor ransomware.
  • Maak ook af en toe backups die op een andere plaats worden bewaard. In geval van extreme calamiteit is er dan nog iets om op terug te vallen.
  • Geen verdachte e-mails openen. Alleen bijlagen openen als je de afzender kent en ook dan alleen als er anti-virussoftware actief is. Informeer alle gebruikers hierover.
  • Update het besturingssysteem regelmatig. Gebruik actuele anti-virus- en anti-malwaresoftware.
  • Anti-virusprogramma's die verdachte websites blokkeren verkleinen de kans op online besmetting. Ook hier geldt dat de software up-to-date moet zijn.
  • Gebruik alleen bekende software. Wantrouw spontane waarschuwingen op websites en het aanbod om je pc schoon te maken.
  • Kies een eigen provider die malware-verkeer filtert. xs4all was in mei 2018 de eerste provider met een realtime malware filter voor al het ingaande en uitgaande dataverkeer.

Ransomware en datalekken

Bij ransomware of malware wordt verondersteld dat derden toegang tot computers en randapparatuur hebben gekregen. Voor een organisatie geldt dat er sprake is van een datalek, tenzij uitgesloten kan worden dat er persoonsgegevens bij betrokken zijn.
Meer informatie: wat is een datalek?

Concrete hulp - decryptie

Er zijn twee stappen in het herstelproces. De eerste is het verwijderen van de malware om nieuwe besmetting te voorkomen. De tweede stap is het ontgrendelen of decrypten van de besmette bestanden.
Voor het onschadelijk maken van ransomware zijn een aantal tools beschikbaar. Kaspersky is erg actief op het gebied van ransomware en biedt een aantal hulpmiddelen.
NoMoreRansom is een samenwerkingsverband van Kaspersky, politiediensten en andere organisatie. Men biedt o.a. gratis decryptie-tools en decryptiesleutels.

Internet of Things (IoT)

De opmars van de Internet of Things levert een extra werkterrein voor malware waarbij de werking van de apparaten wordt verstoord. Bij infectie met ransomware wordt de toegang tot de apparaten geblokkeerd. Deze vorm van cybercrime is hinderlijk in bedrijfssituaties, ook in thuissituaties leidt het tot serieuze problemen. Nu steeds meer mensen aan de slag gaan met domotica zijn de gevolgen van een gijzeling groot. Huisautomatisering of smart living wordt nog als een speeltje beschouwd, maar als de airco, verlichting, tv, verwarming en meer apparaten geblokkeerd zijn, is de neiging groot om snel het losgeld te betalen.

Opmerkingen over Ransomware

  • De meest geplaagde systemen zijn Windows-computers, maar langzaam worden ook andere besturingssystemen getroffen door gijzelsoftware, en malware in het algemeen. Dat geldt eveneens voor mobiele apparaten.
  • Er zijn snoodaards die een dreigement plus verzoek tot betaling sturen zonder dat ze daadwerkelijk iets hebben gedaan. Pure bangmakerij dus.
  • Naast directe schade van gijzelsoftware is er ook indirecte schade voor een organisatie, zoals datalekken en reputatieschade.
  • Niet in alle gevallen is het terugzetten van een backup afdoende. Er kan worden gedreigd met het openbaar maken van de gevonden informatie.
  • Er is ook ransomware die zich nestelt in het systeem, backups aantast en de boel verkent. Zeer geavanceerde software zoekt zelfs naar financiële gegevens om zo de hoogte van het losgeld te bepalen.
  • Wanneer het gaat om het betalen van grote bedragen blijkt in de praktijk onderhandeling over het losgeld. Ook hier is een overeenkomst met gijzeling of kidnapping van mensen.
  • Er bestaan verzekeringen voor ransomware en ander digitaal ongemak. Heb je zo'n verzekering dan zal de verzekeringsmaatschappij de onderhandelingen over het losgeld voeren.
  • Zo lang alle systemen in een netwerk niet zijn hersteld, is er schade door improductiviteit doordat werknemers niet kunnen werken. Een verzekering kan ook hier uitkomst bij bieden.