Op 12 mei 2017 verspreidde een grote ransomwarecyberaanval genaamd WannaCry zich over het web, waarbij de gegevensbestanden van slachtoffers in 150 landen werden versleuteld. De afpersingsmalware trof duizenden personen en grote instanties over de hele wereld, zoals FedEx, de Britse nationale gezondheidsdienst, het Spaanse Telefonica, het Franse autobedrijf Renault en zelfs de Indiase staatspolitie.
Op versleutelde computers verschenen berichten waarin om honderden dollars aan bitcoins als losgeld werd gevraagd, zonder enige garantie dat de bestanden weer zouden worden vrijgegeven.
Hoe verspreidt WannaCry zich?
De ongelooflijke snelheid waarmee WannaCry zich over de wereld verspreidde, kwam als een verrassing. In slechts enkele uren waren honderdduizenden computers geïnfecteerd. Die snelheid en omvang zijn het gevolg van een aantal factoren:
In tegenstelling tot huis-tuin-en-keuken-ransomware die zich via geïnfecteerde e-mailbijlagen of websites verspreidt, bevat WannaCry ook elementen van een worm. Anders dan virussen verspreiden computerwormen zich niet via geïnfecteerde bestanden, maar via netwerken. Ze zoeken daarbij naar kwetsbaarheden in andere computers waarmee verbinding is gemaakt. Wanneer er eenmaal één computer in het netwerk is geïnfecteerd, kan de worm ook de andere infecteren.
WannaCry maakt gebruik van een Windows-exploit die door de NSA (National Security Agency, letterlijk: Bureau Nationale Veiligheid, een Amerikaanse geheime dienst) zou zijn ontwikkeld.
Daarnaast maakt de WannaCry-worm gebruik van een exploit die door de NSA zou zijn ontwikkeld en via de hackersgroep The Shadow Brokers is uitgelekt. De exploit richt zich op een kwetsbaarheid in het SMB-protocol (Server Message Block) van Windows waarmee apparaten in een gedeeld netwerk met elkaar communiceren. Hoofddoel waren pc's waarop SMB via TCP-poort 445 toegankelijk is.
Voordat deze exploit uitlekte, was niemand ervan op de hoogte (het gaat dus om een zero-daydreiging). Microsoft kon dan ook pas in maart een patch uitgeven. De patches moeten echter nog op miljoenen computers worden geïnstalleerd. Voor oudere Windows-versies die niet meer door Microsoft worden ondersteund, zijn zelfs helemaal geen updates aangeboden. Sindsdien heeft Microsoft ook voor oudere systemen patches beschikbaar gesteld. Als u Windows 8 of lager gebruikt, moet u deze zo snel mogelijk installeren.
Nu de geest uit de fles is, moeten we rekening houden met nieuwe varianten van deze ransomware.
Wie zijn er getroffen?
De landen die volgens onze gegevens het zwaarst zijn getroffen, zijn (op volgorde): Rusland, Oekraïne, Taiwan, India, Brazilië, Thailand, Roemenië, Filipijnen, Armenië en Pakistan. Meer dan de helft van de aanvallen die wij hebben geregistreerd, vond in Rusland plaats.
Ook grote instellingen werden hard getroffen, met name ziekenhuizen en overheidsdiensten. Veel van deze instellingen gebruiken verouderde systemen en kunnen deze simpelweg niet bijwerken.
Veel mensen hebben echter verzuimd de beveiligingspatches die in maart zijn uitgebracht te installeren. Voor oudere Windows-versies die niet meer door Microsoft worden ondersteund, waren er tot aan het weekend van de aanval niet eens beveiligingspatches om te installeren.
Kan mijn computer door WannaCry worden getroffen?
Als u een Windows-computer gebruikt, bent u mogelijk kwetsbaar voor deze ransomware. Hier worden enkele stappen beschreven die u onmiddellijk moet uitvoeren om beschermd te blijven:
1. Werk het Windows-besturingssysteem bij met de nieuwste beveiligingspatches
Microsoft heeft beveiligingsupdates voor Windows uitgebracht toen deze kwetsbaarheid in maart door The Shadow Brokers werd gelekt. Het probleem is zo ernstig dat Microsoft zelfs beveiligingspatches heeft uitgebracht voor Windows-versies die niet meer worden ondersteund, zoals Windows XP en Vista (deze vindt u hier).
Miljoenen gebruikers hebben deze updates echter genegeerd. Wees verstandiger!
2. Installeer een actueel antivirusprogramma, als u dat nog niet hebt gedaan
De NSA-exploit werd al snel ten kwade gebruikt. De beveiligingspatches van Microsoft alleen zijn niet voldoende om aanvallen af te slaan. Er is hoogstwaarschijnlijk al een nieuwe variant in de maak. Een goed antivirusprogramma met functionaliteit tegen ransomware is van het allergrootste belang om de voortdurende ransomwareaanvallen te kunnen afslaan.
3. Maak reservekopieën van uw pc
De meeste mensen horen dit advies wel, maar leggen het desondanks naast zich neer. Door de lage prijs van externe harde schijven en gebruiksvriendelijke functies voor het maken van reservekopieën is er nu geen excuus meer. Voor de meeste mensen volstaat een wekelijkse reservekopie. Reservekopieën kunnen u een hoop ellende besparen, mocht uw computer toch geïnfecteerd raken.
4. Blijf alert op phishingberichten en koppelingen
Hoewel WannaCry verder werd verspreid door een worm, werd met name in het begin hoofdzakelijk gebruikgemaakt van de gebruikelijke phishingberichten en schadelijke koppelingen. Controleer e-mailberichten en koppelingen voordat u erop klikt. Weet u niet waar u op moet letten? Speciaal daarvoor hebben wij een handige test ontwikkeld.
Wordt WannaCry tegengehouden door AVG?
Ja. Alle AVG-beveiligingsproducten detecteren WannaCry-ransomware. Zelfs AVG AntiVirus FREE detecteert meer dan alleen normale codehandtekeningen en kijkt naar het werkelijke gedrag van geïnstalleerde toepassingen. Hoewel niet bekend is hoe de volgende variant eruitziet, zal het programma onmiddellijk in actie komen zodra deze ransomware opduikt.
Ik ben getroffen door WannaCry. Wat moet ik doen?
Versleuteling is een krachtig instrument om gegevens te beschermen, maar kan bij misbruik tot problemen leiden. Als uw computer met de WannaCry-ransomware is geïnfecteerd, moet u er rekening mee houden dat u uw gegevens mogelijk niet kunt herstellen. Hier volgen enkele aanbevelingen voor als uw computer is geïnfecteerd:
1. Betaal geen losgeld
Het is raadzaam geen losgeld te betalen, wat er ook gebeurt. Dat lijkt misschien onverstandig, het gaat ten slotte wel om uw privéfoto's of belangrijke werkbestanden. Maar er is geen garantie dat uw bestanden worden ontsleuteld of dat de daders er niet gewoon met uw geld vandoor gaan.
Betaal nooit losgeld: er is geen garantie dat u uw bestanden terugkrijgt.
Door te betalen worden deze praktijken alleen maar aantrekkelijker. Als u contact opneemt met de aanvallers, beschikken ze over des te meer mogelijkheden om uw computer met nog meer malware te infecteren.
2. Koppel uw computer los van internet
Trek de stekker van de wifi-router uit het stopcontact en haal de ethernetkabel uit uw computer. Het is zaak uw computer zo snel mogelijk van internet te isoleren. Zo voorkomt u dat de malware zich naar andere computers verspreidt of dat u meer instructies ontvangt van de makers.
3. Herstel de computer met een reservekopie
Als u de aanbevolen procedures hebt gevolgd en u een externe harde schijf met een reservekopie hebt, kunt u uw gegevens daarmee terugzetten. Verwijder het besturingssysteem volledig van uw computer en installeer Windows opnieuw voordat u de externe harde schijf met de reservekopie op de computer aansluit. Zorg er daarbij voor de zekerheid voor dat de computer geen verbinding maakt met internet terwijl het reservekopiestation is aangesloten.
4. Herstel de computer via Dropbox, Google Drive of een andere vorm van cloudopslag
Als u reservekopieën hebt opgeslagen op een onlineopslaglocatie, is het mogelijk dat uw lokale bestanden zijn versleuteld en daarna met de cloud zijn gesynchroniseerd. U moet dus eerst zo snel mogelijk de synchronisatie tussen uw smartphone, tablet en andere met de cloud verbonden apparaten uitschakelen.
Meld u vervolgens via een browser op een niet-geïnfecteerde computer aan bij de service. U hebt dan toegang tot de versiegeschiedenis van uw bestanden en kunt zo een eerdere, niet-versleutelde toestand herstellen.
5. Gebruik een hulpprogramma om ransomware te ontsleutelen
Wij zijn op dit ogenblik bezig met de ontwikkeling van een ontsleutelingsprogramma waarmee uw bestanden mogelijk kunnen worden hersteld. Zodra dit gereed is, kunt u het hier vinden.
