contact-header-1 contact-header-2 onze-klanten-header-1 happy-at-work-header-2

Vircom over Ransomware

Het was helemaal niet je bedoeling om op die ene link te klikken of om die bijlage te openen. Het gebeurde zo snel. Je was afgeleid. Je bent geen ochtendmens. Wat het ook was, ransomware heeft uw computer gegijzeld. Uw scherm is hierdoor vergrendeld, of uw bestanden worden vergrendeld. De hacker vraagt u om losgeld in Bitcoins om uw bestanden weer vrij te geven.

Dit is over het algemeen wat je ervaart wanneer je slachtoffer wordt van ransomware. Het is de snelst groeiende vorm van cybercriminaliteit. De aanvallers stellen steeds hogere doelen, niet alleen thuis-pc’s, maar ook hele netwerken. In februari betaalde een ziekenhuis in het Amerikaanse Los Angeles $ 17.000,- in Bitcoins, om bestanden die zij dringend nodig hadden, vrij te geven.

Gebruikers van het besturingssysteem Microsoft Windows, vormen de primaire doelgroep, maar de eerste aanvallen, met KeRanger malware, op gebruikers van een Apple Mac zijn begin maart gemeld. Aanvallen op mobiele telefoons (vooral Android) doen zich soms voor, maar Windows blijft het belangrijkste doelwit.

Ransomware laat zijn tanden zien
Ransomware wordt steeds wreder en moeilijker te kraken. Aanvallers leren van hun fouten en passen hun code aan. Is het realistisch om te denken dat u uw bestanden terug krijgt? Dat hangt er van af. Sommige ransomware geeft gewoon een nep-bericht in uw browser, alles wat je dan hoeft te doen is de melding te sluiten via taakbeheer.

Sommige ransomware vergrendelt uw bestanden met behulp van tools zoals TeslaCrypt, dat is onmogelijk te decoderen. Nadat de gegevens van het slachtoffer zijn vergrendeld, wordt de geheime sleutel overgedragen aan de aanvaller en wordt deze sleutel verwijdert van de computer van het slachtoffer. Voor ieder slachtoffer wordt een unieke sleutel gebruikt voor het ontgrendelen van de bestanden.

Ransomware verslaan
De beste verdediging tegen ransomware is het maken van een back-up, maar waar? Een USB-stick? DVD? Externe harde schijf? De cloud? Met behulp van een USB-stick, DVD of externe harde schijf is het plannen, maken en beheren van een back-up een lastige opgave. Daarnaast is het externe reserveapparaat kwetsbaar voor dezelfde aanval en kunnen ook hierop de bestanden vergrendeld raken.

Een back-up in de cloud kan een optie zijn, maar u kunt er niet vanuit gaan dat leveranciers als Dropbox of Google Drive u zullen redden. Kleine bedrijven maken vaak gebruik van deze diensten. Deze back-up systemen synchroniseren uw lokale bestanden met de bestanden in de cloud. Wat zal gebeuren is dat de gecodeerde bestanden naar de cloud worden gekopieerd.

Een ander probleem waarover moet worden nagedacht zijn de gedeelde bestanden. Wanneer een gebruiker is geïnfecteerd, dan worden ook gedeelde documenten vergrendeld en kunnen ook de andere gebruikers niet meer bij het bestand. Het werk wordt dan niet enkel verstoord voor één teamlid, maar potentieel voor het hele team.

Er zijn professionele back-up services in de cloud beschikbaar, gebruikt door grotere organisaties, die snel al uw bestanden kunnen herstellen.

Het is belangrijk om ervoor te zorgen dat u de ‘best practices’ op het gebied van beveiliging volgt en opneemt in uw netwerk ter bescherming tegen de bedreigingen van ransomware. Het is belangrijk een up-to-date real-time virusscanner op iedere werkplek te hebben.

Wat moeten we doen?
In het algemeen luidt het devies; betaal geen losgeld. Er zijn geen garanties dat het betalen ervan ervoor zal zorgen dat u uw bestanden terug krijgt. Bovendien zullen de aanvallers u door betaling zien als een nog interessanter doelwit voor verdere aanvallen.

Noteer de Bitcoin portemonnee en lijst met bestanden van de versleutelde data. Dit kan worden gebruikt mocht de unieke sleutel ooit worden verkregen bij toekomstig onderzoek.

1. Isoleer iedere geïnfecteerde computer. Het eerste wat je moet doen in geval van besmetting is de geïnfecteerde computer uit het netwerk halen om verder verspreiding te voorkomen.

2. Neem contact op met uw netwerkbeheerder. Uw beheerder kan u verdere instructies geven. Omdat er diverse varianten van ransomware rond gaan, is het belangrijk om ervoor te zorgen dat door verwijdering niet nog grotere schade ontstaat. Waarschijnlijk zal het advies van de beheerder zijn om uw computer te voorzien van een schone installatie.

3. Herstel uw back-up bestanden. Zodra uw computer is gedesinfecteerd, voert u een volledig herstel van uw back-up uit, zodat u weer snel up and running bent.

In het kort
Voorkomen is altijd beter dan genezen. Zorg dat uw netwerk is beschermd en beveiligd en dat een anti-virus programma is geïnstalleerd op alle werkplekken. Verwijder een computer direct uit het netwerk zodra u besmetting vermoed, zodat andere bestanden en computers niet worden geïnfecteerd. Mocht het mogelijk zijn, volg de instructies van uw beheerder om uw computer weer te ontgrendelen.

Reken er niet op dat u uw bestanden terug krijgt. Wanneer u een back-up heeft kunt u deze terugzetten nadat de ransomware is verwijdert van uw systeem.

Yves Lacombe
Senior Technical Advisor bij Vircom Inc.