Internet

Ransomware & Cryptoware

Geplaatst op door Yves Cocheret de la Moriniere
08
feb

Ransomware en cryptoware behoren tot de grootste internetgevaren. Wat is het, wat doet het precies en hoe kun je jezelf er tegen wapenen?

Wat is ransomware?

Ransomware is een type malware, ofwel kwaadaardige software, die een computer blokkeert of bestanden versleutelt. Pas als je losgeld (ransom) betaalt zou je de computer of de bestanden weer kunnen gebruiken. De Nederlandse term is daarom gijzelsoftware.

CBT locker ransomware

Ransomware is erg vervelend. Door de variant die al je bestanden versleutelt (ook wel cryptoware genoemd) kun je ongemerkt bijvoorbeeld je hele foto-archief of muziekverzameling, inclusief aangesloten back-ups, verliezen. Oudere, en nu minder vaak voorkomende, varianten van ransomware, blokkeren alleen de internetbrowser of het opstarten van de computer. 

Kenmerken cryptoware (ransomware die versleutelt)

  • Gijzelt bestanden door ze te versleutelen. Dit houdt in dat je bestanden niet meer kunt openen.
  • Er wordt betaling geëist in de digitale munteenheid Bitcoin. Omgerekend wordt vaak een bedrag van honderden euro’s gevraagd. Met een tijdslimiet wordt het bedrag steeds hoger gesteld.
  • Besmetting verloopt via kwaadaardige bestanden (meestal in e-mailbijlages) of via een lek op de pc door niet-bijgewerkte software. In dat laatste geval kan de ransomware op de pc komen zonder dat je zelfs ergens op hoeft te klikken. Verdachte bestanden in e-mails zijn: zip-, exe-, js-, lnk- en wsf-bestanden. Ook Word-bestanden die vragen om macro’s in te schakelen zijn gevaarlijk.
  • Kijk uit voor nepmedewerkers van Microsoft die je opbellen. Je pc heeft zogenaamd een probleem en daarom willen ze op afstand inloggen, waarna ze je pc of bestanden blokkeren.
  • Losgeld betalen is af te raden, maar kan een laatste redmiddel zijn.
  • De versleuteling is meestal niet zonder de sleutel ongedaan te maken. Als je geluk hebt is er wel een oplossing.
  • Cryptoware kan ook bestanden besmetten op aangesloten externe harde schijven of netwerkopslag die in Windows Verkenner een schijfletter heeft (zoals E:, F:, G:). Bewaar een back-up daarom gescheiden van de pc.
  • Van enkele varianten zijn de sleutels door politie buitgemaakt.
  • Namen van ransomware-varianten die bestanden versleutelen zijn bijvoorbeeld: Cerber, CTB-locker, Coinvault, CryptoLocker, Locky, Petya, Teslacrypt, TorrentLocker, WannaCry en Wildfire.

Praktijkvoorbeelden ransomware-mails.

Nepmails met ransomware proberen je te verleiden op een link te klikken of bevatten een besmette bijlage. In de mails worden bijvoorbeeld (te hoge) factuurbedragen, boetes, incasso’s of mislukte afleverpogingen genoemd, waarvan de details in de bijlage of achter een link zouden staan. De bijlages of links bevatten onder andere vermomde uitvoerbare bestanden (factuur.pdf.exe), javascript(.js)-bestanden of Word-bestanden met kwaadaardige macro’s. Soms zijn ze verpakt in een zip-bestand.
Bedrijfsnamen die hierbij als zogenaamde afzender worden misbruikt zijn onder meer KPN, Ziggo, Intrum Justitia en transportbedrijven. Ook zogenaamde scans van (Xerox-)kopieerapparaten en melding van autoschade komen voor.  Voorbeelden van meer nepmails vind je bij de Fraudehelpdesk.

Bestanden redden

Helaas zijn bij een ransomware-besmetting bestanden vaak niet te redden als je geen back-up hebt. Doorloop de volgende stappen als je bestanden versleuteld zijn:

  • Verwijder eerst de malware, zodat bestanden niet opnieuw worden versleuteld. Doe een uitgebreide scan met je virusscanner en een second opinion met vertrouwde software als Malwarebytes of Hitman Pro.
  • Plaats een back-up van de bestanden terug. Voorwaarde is natuurlijk dat er een (recente) back-up is en dat deze niet versleuteld is door de cryptoware.
  • Als je geluk hebt, zijn de makers van de cryptoware opgepakt of heeft de politie ver-/ontsleutelingsgegevens weten te bemachtigen. In april 2015 achterhaalde de politie en antivirusmaker Kaspersky sleutels voor Coinvault. Sinds mei 2016 zijn er herstelprogramma’s voor Teslacrypt cryptoware-varianten. Voor een overzicht van ransomware-decryptors, waarmee je zonder hulp van criminelen je bestanden kunt redden, kun je kijken op nomoreransom.org, een initiatief van onder meer EuroPol. Voor de meeste ransomware is er helaas geen oplossing.
  • Zoek verborgen back-ups. Heb je geen back-up gemaakt, dan is er een kleine kans dat Windows dit automatisch heeft gedaan. Zoek deze schaduwkopieën als volgt:
    • Klik met je rechterknop een bestand of map.
    • Klik op Eigenschappen > tabblad Vorige versies.
    • Kijk of er een oudere versie staat die hersteld kan worden. Soms werkt dataherstelsoftware zoals het gratis recuva.
  • Betaal losgeld. Uiteraard raden we deze optie sterk af, maar als de getroffen data erg belangrijk voor je zijn, kunnen we ons voorstellen dat je overstag gaat. Ervaringen tonen aan dat slachtoffers de sleutels vaak krijgen, maar er is geen garantie.

Kenmerken politievirus (ransomware zonder versleuteling)

  • Direct zichtbaar: toegang tot de computer of internetbrowser is geblokkeerd.
  • Doet zich vaak voor als bericht van een officiële instantie, zoals de politie of justitie. Er wordt bijvoorbeeld gezegd dat er illegale software of pornografisch materiaal is aangetroffen. Na een betaling van een boete zou de blokkering worden opgeheven.
  • Er wordt meestal betaling geëist via prepaid betaalkaarten zoals Paysafecard of soms via Bitcoin.
  • Besmetting verloopt meestal via besmette bestanden, bijvoorbeeld een e-mailbijlage of via een lek op de pc door niet-geüpdatete software.
  • Losgeld betalen is zinloos (de pc kan vaak niet eens meer door de criminelen worden gedeblokkeerd).
  • Het virus is te verwijderen zonder dat gegevens verloren gaan.

Hulp nodig?

Door mijn ervaring als professioneel systeembeheerder bij grote bedrijven en overheid kan ik je helpen met het voorkomen en verwijderen van ransomware, cryptoware, virussen ed.

Neem contact met mij op voor een afspraak!

Yves Cocheret de la Moriniere

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *