Ransomware

Ransomware: Wat is het en wat kun je ertegen doen?

31 december 2018

Ransomware is een type malware die ervoor zorgt dat de gebruiker geen gebruik meer kan maken van zijn computer en/of bestanden. Dit kan op 2 manieren: door het gehele systeem te versleutelen of alleen de bestanden. De gebruiker krijgt vervolgens een betalingsinstructie om weer toegang te krijgen tot zijn systeem of bestanden.

Voor bedrijven die geen back-up hebben gemaakt van hun bestanden resteert er geen andere mogelijkheid dan het gevraagde geldbedrag te betalen. Er zijn gevallen bekend waarbij grote bedragen zijn overgemaakt aan cybercriminelen. Een ziekenhuis in Los Angeles heeft noodgedwongen een equivalent van $17,000 betaald in bitcoins om weer gebruik te kunnen maken van het systeem.

Ransomware infectie en gedrag

Ransomware kan op een aantal manieren terecht komen op een systeem:

  • Geïnfecteerde websites
  • Kwaadaardige e-mails
  • Andere malware

Het bezoeken van een kwaadaardige website kan ertoe leiden dat een script wordt uitgevoerd op de computer. Zonder dat de gebruiker het doorheeft wordt er een uitvoerbaar bestand gedownload, waarna de ransomware zijn gang kan gaan. Een andere mogelijkheid is dat ransomware gedownload wordt door malware die reeds op de computer aanwezig is. Ook hier zal de gebruiker niks van merken, tot zijn computer daadwerkelijk versleuteld is.

Verder komt het regelmatig voor dat ransomware mee wordt gestuurd met spamberichten. Het spambericht bevat een bijlage en als die geopend wordt door de gebruiker, wordt de malware uitgevoerd op de computer. Cybercriminelen worden steeds slimmer. Sommige spamberichten zijn niet langer meer van echt te onderscheiden. E-mailadressen die legitiem lijken en berichten zonder spelfouten maken het voor de gebruiker moeilijk om het gevaar te herkennen. En niet alleen voor gebruikers, ook spamfilters en firewalls worden op slimme wijze door cybercriminelen omzeild.

Nadat de ransomware zijn gang heeft kunnen gaan op een systeem, zal het scherm vergrendeld worden met een bericht of worden specifieke bestanden versleuteld. In het eerste geval zal de gebruiker een afbeelding zien waarop bekend wordt gemaakt dat het systeem versleuteld is en hoe er betaald kan worden. In het tweede geval heeft de gebruiker nog wel toegang tot zijn systeem, maar zal hij merken dat geen één bestand geopend kan worden door de versleuteling. De ransomware zal alle bestanden versleutelen waar de gebruiker rechten op heeft. Een directielid met toegang tot alle mappen zou er dus voor kunnen zorgen dat alle bestanden in het netwerk versleuteld worden waardoor het gehele bedrijf stil komt te liggen.

Losgeld en betaling

De hoogte van het bedrag dat gevraagd wordt hangt af van het type ransomware en de valutakoers van digitale munteenheden. Dankzij de anonimiteit van bitcoins wordt vaak gevraagd om het geldbedrag in bitcoins over te maken. De laatste tijd bieden ransomware varianten ook alternatieve betalingsmogelijkheden aan, zoals betalen met iTunes cadeaukaarten.

Er dient opgemerkt te worden dat het betalen van het geldbedrag geen garantie geeft op een werkend systeem. Van een aantal ransomware varianten is inmiddels al bekend dat zelfs na betaling, de systemen versleuteld blijven.

Een FBI agent heeft het volgende gezegd in een interview over ransomware:

”The ransomware is that good… To be honest, we often advise people just to pay the ransom.”

Historie van ransomware

Ransomware werd voor het eerst gezien in Rusland tussen 2005 en 2006. Hierbij werden bestanden in een versleutelde map gezet waarna de originele bestanden weggegooid werden. Voor $300 kregen de gebruikers hun bestanden weer terug.

In de daaropvolgende jaren hebben de infecties voornamelijk plaatsgevonden in Rusland. Vanaf 2012 heeft Trend Micro een trend waargenomen van ransomware infecties door geheel Europa en Noord Amerika. Gezien de eenvoud waarmee computers geïnfecteerd kunnen worden is het voor cybercriminelen een lucratieve handel, zeker omdat het betalingsverkeer met bitcoins anoniem is.

Wat kun je ertegen doen?

Ransomware heeft de vervelende eigenschap dat het geïnstalleerd kan worden zonder dat de gebruikers iets door hebben. Bescherming tegen ransomware begint bij bewustwording en een aantal beveiligingsmaatregelen. Alleen uitgaan van technische beveiligingsmaatregelen is geen optie. De menselijke factor blijft in veel gevallen de zwakste schakel in de beveiliging van systemen.

Dit is wat je in ieder geval moet doen:

  • Gebruik maken van een antivirus oplossing en deze up-to-date houden
  • Geïnstalleerde software up-to-date houden
  • Niet zomaar op links klikken in e-mails afkomstig van vreemden
  • Open geen bijlagen van mensen/bedrijven die je niet kent en waar je geen zaken mee doet
  • Zorg ervoor dat een pop-up blocker actief is in je browser
  • Maak een back-up van je bestanden (Bij Cloud wordt bijvoorbeeld dagelijks een back-up gemaakt van de online werkplekken)

Het verwijderen van ransomware is vanwege de versleuteling in veel gevallen niet mogelijk. De enige manier om systemen of bestanden weer terug te krijgen is door bestanden terug te zetten uit een back-up. Heb je geen back-up? Dan heb je 2 mogelijkheden: betalen of systemen opnieuw installeren en verder gaan zonder jullie data. Verder gaan zonder data is voor veel bedrijven geen optie, zeker niet als het om bedrijfsadministratie gaat.

Meer weten over ransomware?

Als je vragen hebt over het gevaar van ransomware voor jouw organisatie, neem gerust contact met ons op!