ransomware op laptop

Gehacked? Hoe beschermt u zich tegen Ransomware?

Al geruime tijd worden particulieren en bedrijven geteisterd door zogenaamde ransomware. Soms wordt wordt dat ook als ‘ik ben gehacked’ betitelt. Bekend is het vooral omdat mensen geld (vaak Bitcoins) moeten betalen om weer toegang tot hun data te krijgen.

Wat is ransomware?

Ransomware is een soort computervirus dat als taak heeft meegekregen om zoveel mogelijk (bedrijfs-)data te gijzelen. De criminelen achter deze software vragen vervolgens losgeld als u uw data weer toegankelijk wil hebben. De betaling van het gevraagde losgeld wordt meestal in de vorm van Bitcoins gevraagd. Bitcoins gaan buiten de reguliere bankwereld om en zijn daardoor nauwelijks te traceren.

De criminelen investeren veel tijd en geld in het verbeteren en aanpassen van de ransomware, waardoor er telkens weer nieuwe varianten komen.

Hoe verspreid zich ransomware?

In de meeste gevallen komt de aanval via e-mail in de vorm van een geïnfecteerde bijlage of een link naar een speciaal geprepareerde webpagina of download.

Er zijn grofweg 2 aanvalsmethoden:

  1. Bulk:
    • Net als bij spam worden er e-mailberichten naar heel veel bekende en geraden e-mail adressen gestuurd.
    • Dit is een goedkoop uit te voeren aanval.
    • Spamfilters en andere beveiligingen hebben het snel door waardoor uiteindelijk maar een beperkt deel van de e-mail berichten bij gebruikers aankomen.
    • Het doel van de aanval is willekeurig, de aanvallers weten dus ook niet hoeveel de gegijzelde data waard zijn.  Ze weten niet eens of het particuliere of zakelijke data is.
    • De e-mailberichten zijn goed te herkennen omdat ze erg generiek zijn of bijvoorbeeld over een factuur gaan van een dienstverlener waar u niet eens mee werkt.
  2. Gericht
    • De aanvallers hebben het specifiek gemunt op u of op uw bedrijf.
    • Ze doen onderzoek (sociaal engineering).
    • De aanvallen zijn moeilijk door automatische beveiligingen te herkennen.
    • Omdat de e-mails gericht zijn opgesteld gaan ze wel over diensten of leveranciers waar u gebruik van maakt.
    • Het gevraagde losgeld is stukken hoger omdat de aanvallers (denken) te weten hoeveel er betaald kan worden.

Uiteindelijk gaat het erom dat een gebruiker onbewust software start die alle bestanden waar die gebruiker bij kan versleuteld.

Hoe kunt u zich beschermen tegen ransomware?

De maximale bescherming tegen ransomware bestaat uit meerdere lagen.

  • Goede spam- en virusfiltering voor uw e-mail
    • Dit is vaak uw eerste laag van verdediging, hiermee houdt u het zo ver mogelijk van u af.
  • UTM (Unified Threat Management) of NGFW (Next Generation Firewalling)
    • Met deze technieken wordt het internet verkeer van uw bedrijf geïnspecteerd en worden downloads van dergelijke troep geblokkeerd.
  • Up-to-date antivirus op de werkplek en de servers
    • Eigenlijk vanzelfsprekend, maar we zien nog steeds genoeg bedrijven waar antivirus niet onder controle is.
  • Installatie van beveiligingsupdates voor besturingssystemen en applicaties
    • Via lekken en fouten in software is het voor de aanvallers soms mogelijk om de ransomware te starten zonder dat de gebruiker daar zelf iets voor hoeft te doen.

De laatste en belangrijkste beveiliging is de gebruiker. De technische oplossingen bieden geen 100% garantie. De nieuwe varianten worden meestal de eerste uren niet herkend door antivirus software en spamfilters. En zeker bij een gerichte aanval is de gebruikte applicatie dusdanig uniek dat deze grote kans heeft door alle technische maatregelen heen te komen.

Gebruikers moeten sceptisch zijn tegenover ongebruikelijke e-mails, telefoongesprekken en zelfs tegen onbekenden die door het pand lopen.

Wat te doen als u (denkt) dat u geïnfecteerd bent?

Als u denkt te maken te hebben met een infectie dan is het zaak om de betreffende werkplek zo snel mogelijk los te koppelen van het netwerk zodat deze niet nog meer bestanden kan versleutelen.

Ga vooral niet zelf experimenteren, maar vraag iemand met kennis en ervaring u te helpen. Hieronder staan in hoofdlijnen de opties en mogelijkheden die u heeft, die echter in specifieke gevallen kunnen afwijken.

Het is zaak om erachter te komen welke ransomware u te pakken hebt en welke bestanden al versleuteld zijn. Vaak is de ransomware zo vriendelijke dat zelf te vertellen. Heeft u een goede en recente back-up van de versleutelde bestanden, verwijder dan de ransomware met behulp van een antivirus-programma en herstel daarna de bestanden uit de back-up.

Mocht u geen bruikbare back-up hebben dan wordt het spannend. U kunt op onder andere https://noransom.kaspersky.com/ kijken of er wellicht al een (gratis) programma beschikbaar is dat de bestanden voor u ontsleutelt (decrypt tool). Let erop dat u alleen software gebruikt die door gerenommeerde partijen wordt aangeboden. De criminelen proberen via deze zoekwoorden ook weer hun ransomware te verspreiden. Als er software beschikbaar is, lees dan goed de handleiding alvorens er iets mee te doen. In de meeste gevallen moet u eerst de ransomware verwijderen, sommige tools doen dit zelf.

Betalen?

Geen back-up, geen decrypt tool, dan wordt het lastig. Als u snel weer toegang tot de bestanden wilt hebben dan is betalen mogelijk een optie. Let erop dat dit vaak snel duurder wordt als u langer wacht. Betaling is echter geen garantie dat u ook daadwerkelijk uw bestanden terugkrijgt, u onderhandelt tenslotte met criminelen en garantie bieden die niet. Ook kunnen er technische problemen zijn bij het terugdraaien van de versleuteling, bijvoorbeeld doordat een antivirus-programma het uitvoeren van de ransomware ondertussen blokkeert of de installatie al ongedaan heeft gemaakt.

Mocht u de bestanden die versleutelt zijn niet op korte termijn nodig hebben (of het ontsleutelen mislukt zijn) dan is wachten een aardig alternatief. Maak daarvoor een complete back-up van uw computer of gebruik de ingebouwde Windows Systeemkopie-optie. Daarna verwijdert u de ransomware of installeert u de computer opnieuw.

Vervolgens gaat u periodiek de websites met decrypt tools na om te kijken of er nieuwe (versies van) de tools uitgekomen zijn. Nieuwe tools bieden wellicht de mogelijkheid tot ontsleutelen voor de ransomware waardoor u getroffen bent. Diverse partijen werken hard en met redelijk succes aan die tools.

En voor bedrijven?

De ketting is zo sterk als de zwakste schakel. En de schakel is vaak de gebruiker. Zorg ervoor dat uw medewerkers oplettend zijn en een gezonde portie argwaan tegen vreemde of afwijkende zaken hebben. Dat helpt niet alleen tegen ransomware, maar ook tegen andere vormen van criminaliteit zoals ouderwetse diefstal en moderne ‘social engineering’.  Zorg daarnaast in uw computer netwerk voor voldoende segmentatie en afscherming. Door de toegang die medewerkers hebben tot het netwerk en bestanden in te perken tot dat we ze echt nodig hebben kunt u de omvang van een infectie beperken.