Ransomware

Wat is ransomware?

Ransomware is software die zich illegaal op een computer nestelt en bestanden 'gijzelt'. De vergrendelde bestanden -of zelfs de complete pc- worden tegen betaling vrijgegeven. Ransomware is een vorm van malware. Het speciale ervan is dat er betaald moet worden om er vanaf te komen, het is een vorm van chantage.
Er wordt gesproken van cryptoware of crypto-ransomware als de bestanden zijn versleuteld ('ge-encrypt'). Het verwijderen van de ransomware zelf voorkomt verdere verspreiding, maar de bestanden zijn nog steeds onbruikbaar omdat ze versleuteld zijn.
Of de bestanden daadwerkelijk worden vrijgegeven na betaling, is niet altijd zeker. Maar als bekend wordt dat betalen voor een bepaald type ransomware niet leidt tot vrijgave, zal niemand meer betalen. Voor betaling wordt graag gebruikgemaakt van Bitcoins en andere cryptovaluta vanwege de anonimiteit.
De aandacht van de criminelen verschuift langzaam van consumenten naar bedrijven. Dat heeft te maken met het belang van de data en de bedragen die kunnen worden geëist. Er is een overlap met cyberspionage: de informatie van gegijzelde data kan verkocht worden aan concurrenten.

Hoe raak je besmet met ransomware?

    Er is een aantal manieren waarop een computer of smartphone besmet kan raken met gijzelsoftware. Vaak zijn phishing-mails, whatsappjes of andere berichten de aanleiding:
  • Een e-mail met een bijlage die geopend wordt. Of een e-mail met een link waarop geklikt wordt.
  • Bezoek aan een website die geïnfecteerd of besmet is. Dat kan bijvoorbeeld via malafide advertenties gebeuren, zelfs als er niet op geklikt wordt.
  • Starten van programma's die de kwaadaardige software installeren. Vaak betreft dit handige tools of zogenaamde updates. Een oude truc is het waarschuwen voor besmetting en met een geboden oplossing juist de kwaadaardige software installeren.
  • Uitbuiten van zwakheden ('exploits') in programma's of besturingssysteem.

Wat te doen bij besmetting met ransomware (& virussen)

Geen toegang tot bestanden
  • Reageer snel. De malafide software geeft vaak een melding via een popup-scherm dat er een besmetting plaatsvindt. Dat is meestal als de malware actief wordt. Terwijl de melding wordt getoond worden op de achtergrond bestanden geïnfecteerd.
  • Noteer belangrijke gegevens van de melding die verschijnt. Beter nog: maak een foto van de melding met je telefoon.
  • Zet de pc uit.
  • Koppel de pc los van het eigen netwerk en verbreek de internetverbinding. De malware heeft contact nodig met zijn thuisbasis, dus het is belangrijk om die te blokkeren. Met het verbreken van de internetverbinding wordt ook een eventuele besmetting van bestanden in de cloud gestopt.
  • Waarschuw de systeembeheerder (of tik jezelf op de schouder). Overweeg of er verdere infectie mogelijk is of was (in een netwerk).
  • Maak geen paniek-backups tijdens de besmetting 'om te redden wat er te redden valt' terwijl de computer aanblijft en de ransomware zich steeds verder nestelt. Iets anders is het maken van een kopie van de schijf zodra de pc is uitgezet.
  • Het terugzetten van een backup is gevaarlijk omdat ook de backup aangetast kan zijn als hij toegankelijk was voor de malware. Dit geldt met name als bestanden via synchronisatie zijn gekopieerd.
  • Start de computer weer op vanaf een veilige herstel-cd of usb-stick (geen herstel-partitie op de pc). Met de juiste anti-malware software -en een beetje geluk- is de besmette schijf te benaderen en te ontdoen van de ransomware.
  • Als het gelukt is om de ransomware te verwijderen, controleer dan andere schijven en netwerkstations. Start de pc op zonder netwerkconnectie en internettoegang.
  • Controleer of andere systemen in je netwerk besmet zijn. Wanneer programma's voor synchronisatie worden gebruikt kan de infectie zich verder hebben verspreid.
  • Stel de oorzaak van de infectie vast om herhaling van de ellende te voorkomen.
  • Pas als je zeker bent dat alles naar behoren werkt en herhaling van het incident onmogelijk is kun je de pc weer koppelen aan andere systemen en internet.

Voorkomen van gijzeling door ransomware

  • Maak regelmatig backups.
  • Bewaar de backups op een niet-gekoppeld systeem. Wanneer de backups op het zelfde netwerk staan (bijv. op een NAS) dan kunnen ook die geïnfecteerd worden. Ook toegang tot backups in de cloud moet vermeden worden. Het beveiligen van backups met een wachtwoord is sowieso een goed idee. Je blokkeert er ook de toegang mee voor ransomware.
  • Geen verdachte e-mails openen. Alleen bijlagen openen als je de afzender kent en ook dan alleen als er anti-virussoftware actief is. Informeer alle gebruikers hierover.
  • Update het besturingssysteem regelmatig. Gebruik actuele anti-virus- en anti-malwaresoftware.
  • Anti-virusprogramma's die verdachte websites blokkeren verkleinen de kans op online besmetting. Ook hier geldt dat de software up-to-date moet zijn.
  • Gebruik alleen bekende software. Wantrouw spontane waarschuwingen op websites en het aanbod om je pc schoon te maken.
  • Kies een eigen provider die malware-verkeer filter. xs4all was in mei 2018 de eerste provider met een real-time malware filter voor al het ingaand en uitgaand dataverkeer.

Ransomware en datalekken

Bij ransomware of malware wordt verondersteld dat derden toegang tot computers en randapparatuur hebben gekregen. Voor een organisatie geldt dat er sprake is van een datalek, tenzij uitgesloten kan worden dat er persoonsgegevens bij betrokken zijn.
Meer informatie: wat is een datalek?

Concrete hulp - decryptie

Er zijn twee stappen in het herstelproces. De eerste is het verwijderen van de malware om nieuwe besmetting te voorkomen. De tweede stap is het ontgrendelen of decrypten van de besmette bestanden.
Voor het onschadelijk maken van ransomware zijn een aantal tools beschikbaar. Kaspersky is erg actief op het gebied van ransomware en biedt een aantal hulpmiddelen.
NoMoreRansom is een samenwerkingsverband van Kaspersky, politiediensten en andere organisatie. Men biedt o.a. gratis decryptie-tools en decryptiesleutels.

Opmerkingen over Ransomware

  • De meest geplaagde systemen zijn Windows-computers, maar langzaam worden ook andere besturingssystemen getroffen door gijzelsoftware, en malware in het algemeen. Dat geldt eveneens voor mobiele apparaten.
  • De opmars van de Internet of Things levert een extra werkterrein voor malware waarbij de werking van de apparaten wordt verstoord. Bij ransomware worden apparaten gegijzeld wat vooral in bedrijfssituaties vervelend is.
  • Er zijn snoodaards die een dreigement plus verzoek tot betaling sturen zonder dat ze daadwerkelijk iets hebben gedaan. Pure bangmakerij dus.
  • Niet in alle gevallen is het terugzetten van een backup afdoende. Er kan worden gedreigd met het openbaar maken van de aangetroffen bestanden.
  • Er is ook ransomware die zich nestelt in het systeem, backups aantast en de boel verkent. Zeer geavanceerde software zoekt zelfs naar financiële gegevens om zo de hoogte van het losgeld te bepalen.