Ransomware is gevaarlijk voor u en uiterst winstgevend voor hackers, en vormt op dit ogenblik het grootste veiligheidsrisico. De afgelopen jaren is het aantal aanvallen en infectiepogingen sterk toegenomen. Daarin komt voorlopig geen verandering: elke nieuwe versie is weer krachtiger en richt weer meer schade aan.

Wat is ransomware?

Ransomware is kwaadaardige software waarmee de bestanden op uw computer worden versleuteld of de computer zelf wordt vergrendeld. Ransomware wordt verspreid door hackers die vervolgens losgeld eisen (voor een bedrag van 300-500 euro, bij voorkeur te betalen in bitcoins). Na betaling, zo beweren ze, krijgt u de ontcijferingssleutel waarmee u uw bestanden kunt ontsleutelen.

De eerste bekende ransomwareaanval vond plaats in 1989, toen evolutionair bioloog Joseph Popp diskettes infecteerde met het Trojaans paard AIDS en aan zijn collega's gaf. De malware werd niet onmiddellijk actief maar wachtte totdat de slachtoffers hun pc 90 keer hadden opgestart. Vervolgens werden alle systeembestanden versleuteld en werd gebruikers gevraagd 189 dollar te betalen om de schade ongedaan te maken. Gelukkig wisten experts de malware te verwijderen en de geïnfecteerde bestanden te ontsleutelen.

Maar is ransomware een virus? Nee. Een virus infecteert uw bestanden of uw software en kan zich vermenigvuldigen. Ransomware codeert uw bestanden zo dat ze onbruikbaar worden en eist vervolgens een losgeld. Zowel virussen als ransomware kunnen met antivirussoftware worden verwijderd. Als uw bestanden versleuteld zijn, is de kans helaas groot dat u ze nooit meer terugziet.

Soorten ransomware

Ransomware komt voor in allerlei varianten. Sommige varianten zijn schadelijker dan andere, maar één ding hebben ze allemaal gemeen: het losgeld.

Soorten ransomware

  1. Cryptomalware (of encryptors) komt het meest voor en kan enorm veel schade aanrichten. Niet alleen heeft WannaCry zijn slachtoffers voor meer dan 50.000 dollar afgeperst, het heeft ook duizenden levens op het spel gezet bij aanvallen op ziekenhuizen overal ter wereld, waardoor het medisch personeel geen toegang meer had tot de patiëntgegevens.
  2. Lockers infecteren het besturingssysteem en sluiten u volledig buiten. U hebt dan geen toegang meer tot uw apps en bestanden.
  3. Scareware is nepsoftware (bijvoorbeeld antivirussoftware of een opschoningsprogramma) die aangeeft dat er iets aan de hand is met uw pc en geld vraagt om het probleem op te lossen. Sommige varianten vergrendelen uw computer, andere overstelpen u met irritante waarschuwingen en pop-upberichten.
  4. Doxware (of leakware) dreigt de gestolen informatie online te publiceren als u niet betaalt. Iedereen bewaart privacygevoelige bestanden op de pc (van contracten en privédocumenten tot gênante foto's) en het is goed te begrijpen waarom deze dreiging tot paniek kan leiden.
  5. RaaS (Ransomware as a Service) is malware en wordt anoniem gehost door een hacker die een en ander in ruil voor een deel van het losgeld afhandelt: de ransomware verspreiden, betalingen ontvangen, bestanden ontsleutelen.

Ransomware voor Android

Ook uw mobiele Android-apparaat is niet veilig voor ransomware. Er is zelfs een WannaCry-imitatie in omloop op gamingforums die is gericht op Android-apparaten in China. Cybercriminelen blokkeren uw smartphone liever dan dat ze alleen de bestanden versleutelen, omdat gegevens makkelijk kunnen worden hersteld door de apparaten te synchroniseren.

Ransomware voor Mac

Ook Ransomware voor Mac duikt steeds vaker op, hoewel het openen van een e-mailbijlage of het klikken op een koppeling niet voldoende is om Apple-apparaten te infecteren. De nieuwste op Macs gerichte malware is kennelijk gecodeerd door programmeurs die gespecialiseerd zijn in OS X. Cybercriminelen proberen vaak iCloud-accounts te infecteren of smartphones te vergrendelen via het Find My iPhone-systeem.

Ransomwareaanvallen in 2017

In de donkere uithoeken van internet zijn tientallen toolkits voor malware beschikbaar. Hackers beschikken op die manier over een solide basis. Uit recente aanvallen blijkt dat cybercriminelen zich veel moeite getroosten om hun programmacode te verbeteren, functies toe te voegen die opsporing bemoeilijken en kwaadaardige e-mailberichten er zo legitiem mogelijk te laten uitzien.

Laten we de twee grootste ransomwareaanvallen van 2017, die met WannaCry en Petna, eens nader bekijken.

WannaCry

WannaCry infecteerde meer dan 10.000 organisaties en 200.000 mensen in ruim 150 landen en is daarmee de meest wijdverspreide ransomwareaanval tot nu toe. WannaCry maakte gebruik van een exploit, een stukje computersoftware met de naam ETERNALBLUE. Dit maakte het mogelijk een zwakke plek in Windows SMB (Server Message Block, een protocol voor het delen van bestanden in een netwerk) uit te buiten met de naam MS17-010.De tien landen die het zwaarst getroffen zijn door WannaCry

Petya

De aanval met Petya (ook wel Petna, NotPetya, EternalPetya of Nyetya geheten) is van recenter datum en joeg iedereen de stuipen op het lijf. Gelukkig werd er veel minder schade aangericht dan met WannaCry. De aanvallen met Petna vonden voornamelijk plaats in Oekraïne (meer dan 90% van de aanvallen), maar er werden ook pogingen gesignaleerd in de VS, Rusland, Litouwen, Wit-Rusland, België en Brazilië.

In 2016 waren nog twee andere grote ransomwareaanvallen in het nieuws:

  • Locky - Voor het eerst waargenomen in februari 2016. Naar verluidt werd Locky verstuurd naar miljoenen gebruikers overal ter wereld, via een frauduleus e-mailbericht over een factuur of bestelling. Het bericht bevatte een onleesbaar Word-document en vroeg gebruikers macro's toe te staan om de inhoud te lezen, waarna de malware werd gedownload. Bij elke aanval verbeteren de makers van Locky de programmacode om opsporing van de software te bemoeilijken wanneer deze eenmaal op de computer staat.
  • Ransomware Cerber - Deze malware is als toolkit vrij beschikbaar en kan door iedereen worden gedownload, aangepast en verspreid. Cerber wordt verspreid via een e-mailbijlage of de koppeling Afmelden in een frauduleus e-mailbericht (waarmee slachtoffers naar dezelfde bijlage worden geleid). De ransomware werkt zelfs als u offline bent en kan meer dan 400 bestandstypen versleutelen, waaronder databasebestanden.

Omdat hackers hun programmacode blijven verbeteren, kan elk van deze varianten op elk moment weer opduiken. Het is daarom belangrijk te weten dat ze bestaan, zelfs als dat niet in het nieuws komt.

Bent u een doelwit voor ransomware?

Iedereen kan doelwit worden van ransomware. WannaCry maakte bijvoorbeeld gebruik van een zwakke plek in Windows om meer dan 200.000 gebruikers zoals u te infecteren, evenals 10.000 bedrijven, overheden en organisaties over de hele wereld.

Iedereen die de door Microsoft in maart uitgebrachte beveiligingspatch niet had geïnstalleerd, was kwetsbaar. Gebruikers van Windows XP werden het zwaarst getroffen: Microsoft had de ondersteuning voor die Windows-versie drie jaar geleden beëindigd en bracht pas een patch uit toen de aanval al ernstige vormen had aangenomen. (Als u nog steeds met die versie werkt, moet u echt upgraden.)

Een patch of update om dit soort problemen op te lossen is voor een gewone gebruiker meestal snel en makkelijk geregeld. Voor bedrijven en organisaties ligt dat anders. Zij gebruiken vaak aangepaste software die na een update niet meer werkt en moeten de oplossingen installeren op een groot aantal apparaten, met alle vertragingen van dien. Sommige organisaties hebben er gewoon het geld niet voor. Het budget van een ziekenhuis moet levens redden, geen computers. Maar soms vallen die twee samen, als het systeem wordt overgenomen en patiëntendossiers niet meer toegankelijk zijn.

Cybercrime vormt de grootste bedreiging voor organisaties die met vertrouwelijke gegevens werken. Dat betekent echter niet dat de gewone pc-gebruiker zich veilig kan wanen. Uw familiefoto's of privébestanden zijn voor hackers net zo waardevol.

Hoe ransomware uw pc infecteert

Van schadelijke e-mailbijlagen en vervalste koppelingen tot zwendel met sociale media, ransomware kan zich snel verspreiden en heeft grote gevolgen. Zo komt het op uw computer terecht:

  • Social engineeringeen mooi woord voor trucs om mensen ertoe te bewegen malware te downloaden via een valse bijlage of koppeling. De schadelijke bestanden zien er vaak uit als gewone documenten (bestellingen, ontvangstbewijzen, rekeningen, berichten) en lijken te zijn gestuurd door een bedrijf of organisatie met een goede reputatie. Zodra u er een op uw pc downloadt en opent, zijn de poppetjes aan het dansen! U bent geïnfecteerd.
  • Malvertising - betaalde advertenties die ransomware, spyware, virussen en andere narigheid afleveren met één klik op de knop. Jawel, hackers kopen zelfs advertentieruimte op populaire websites (onder andere op sociale medianetwerken of YouTube) om uw gegevens in handen te krijgen.
  • Exploitkits deze kant-en-klare programmacode zit netjes verpakt in een hacking tool, klaar voor gebruik. U hebt het vast al geraden: deze kits zijn eropuit zwakke plekken en beveiligingslekken in verouderde software uit te buiten.
  • Drive-by downloads gevaarlijke bestanden waar u niet om hebt gevraagd. Er zijn schadelijke websites die misbruik maken van verouderde browsers of apps en in stilte op de achtergrond malware downloaden terwijl u een onschuldig uitziende website of video bekijkt.

Hoe u weet of u geïnfecteerd bent

Het kan beginnen met een onschuldig uitziend e-mailbericht, zogenaamd verstuurd door een bonafide bron, waarin u wordt gevraagd een factuur of een ander belangrijk document te downloaden. Hackers maskeren de werkelijke bestandsextensie zodat slachtoffers denken dat het om een pdf-, doc- of Excel-bestand gaat. In werkelijkheid is het een uitvoerbaar bestand dat op de achtergrond wordt uitgevoerd wanneer u erop klikt.

Een poosje gebeurt er niets bijzonders. U hebt nog steeds toegang tot uw bestanden en voor zover u weet werkt alles prima. Maar de malware maakt heimelijk contact met de server van de hacker en genereert een stel sleutels: een openbare sleutel waarmee uw bestanden worden versleuteld en een verborgen sleutel op de server van de hacker die wordt gebruikt om ze te ontsleutelen.

Wanneer de ransomware eenmaal op uw vaste schijf terechtkomt, hebt u niet veel tijd om uw gegevens op te slaan. Vanaf dat moment is uw bijdrage niet langer nodig. De ransomware wordt uitgevoerd en uw bestanden worden versleuteld. U merkt het pas wanneer het kwaad is geschied.

Op uw scherm verschijnt een losgeldbericht waarin wordt aangegeven hoeveel u moet betalen en hoe u het geld kunt overmaken. Wanneer de klok eenmaal tikt, hebt u gewoonlijk 72 uur de tijd om het losgeld te betalen en de prijs gaat omhoog als u de deadline niet haalt.

Intussen kunt u de versleutelde bestanden niet openen en als u dat probeert, verschijnt er een foutmelding met de mededeling dat het bestand niet kan worden geladen, dan wel beschadigd of niet geldig is.

Ransomware verwijderen

Tenzij u bent buitengesloten van uw pc, kan ransomware vrij makkelijk worden verwijderd. Dat gaat even makkelijk als het verwijderen van een virus of een ander bekend type malware. Het verwijderen van verschillende soorten malware is al eerder behandeld maar hier volgen nog even de hoofdlijnen: schakel over op de veilige modus en voer antivirussoftware uit om de malware te verwijderen of verwijder deze handmatig.

Ransomware verwijderen

Moeilijker wordt het als uw pc is vergrendeld. Dan kunt u niet meer bij Windows en kunt u ook geen programma's meer uitvoeren. Er zijn drie manieren om dit probleem op te lossen: Windows terugzetten in een veilige toestand met Systeemherstel, antivirussoftware uitvoeren met een opstartschijf of externe schijf, of het besturingssysteem opnieuw installeren.

AVG Internet Security GRATIS uit te proberen

 

Systeemherstel in Windows 7:

  • Schakel de pc in en druk op F8 om naar het menu Geavanceerde opstartopties te gaan.
  • Selecteer Computer repareren en druk op Enter.
  • Meld u aan met de gebruikersnaam en het wachtwoord voor uw Windows-account (of laat het veld leeg als u geen account hebt).
  • Klik op Systeemherstel.

Systeemherstel in Windows 10:

  • Schakel de pc in en houd de Shift-toets ingedrukt om de herstelvensters weer te geven (start de pc opnieuw als dit niet werkt).
  • Selecteer Probleemoplossing.
  • Ga naar Geavanceerde opties.
  • Klik op Systeemherstel.

Daarnaast kunt u de AVG PC Rescue CD gebruiken om ransomware veilig van een externe schijf te verwijderen. Bekijk de volgende video voor instructies over het maken van een opstart-cd of -USB met AVG Rescue.

 

Bestanden herstellen

Het herstellen van gegevens is een heel ander verhaal. 32- en 64-bits versleuteling is gemakkelijk te kraken. Met behulp van onze gratis ontsleutelingstools voor ransomware kunt u bestanden herstellen die zijn geïnfecteerd met minder schadelijke ransomware als Apocalypse, Crypt888 of TeslaCrypt.

Tegenwoordig gebruiken de meeste soorten ransomware (waaronder het beruchte WannaCry, Locky of Cerbet) echter 128-bits of nog krachtigere 256-bits versleuteling (soms een combinatie van beide). Dit complexe versleutelingsniveau wordt ook gebruikt door servers, browsers en VPN's om uw gegevens te beschermen, omdat deze vorm van versleuteling veilig en niet te kraken is.

Als uw bestanden geïnfecteerd zijn met een van deze gevaarlijkere varianten, is herstel zo goed als onmogelijk. Daarom geldt ook voor ransomware: voorkomen is beter dan genezen.

Tips om ransomware te weren

Naast het vermijden van verdachte websites, koppelingen, spam en e-mailbijlagen, zijn er in principe drie maatregelen die u kunt nemen om ervoor te zorgen dat u bij een ransomwareaanval geen bestanden kwijtraakt.

1. Maak back-ups van belangrijke bestanden

Op een externe schijf. Of in de cloud. Of beide. Met zoveel gratis services voor opslag in de cloud is er werkelijk geen reden om het niet te doen. Dropbox, Google Drive, Mega... kies er een uit en zorg ervoor dat u alle belangrijke documenten en foto's veilig hebt opgeslagen. Voor extra veiligheid kunt u een service kiezen met versiebeheer. Als er dan iets akeligs gebeurt met uw account, kunt u makkelijk een eerdere versie van een en ander terugzetten.

Afbeelding van een map waarvan een back-up wordt gemaakt op verschillende cloud-services

2. Gebruik actuele antivirussoftware

Antivirussoftware biedt essentiële bescherming tegen alles wat het op uw computer heeft gemunt. We willen niet opscheppen, maar zelfs het programma AVG AntiVirus FREE dekt meer dan u zou verwachten. En met AVG Internet Security beschikt u ook over bescherming tegen ransomware, waardoor wordt voorkomen dat verdachte apps wijzigingen aanbrengen in uw bestanden.

3. Houd uw besturingssysteem up-to-date

Bij de beschrijving van WannaCry had u het waarschijnlijk al door: beveiligingsupdates zijn van het allergrootste belang voor de veiligheid van uw computer. Verouderde software maakt u kwetsbaarder voor allerlei soorten malware, waaronder ransomware.

Losgeld betalen of niet?

Deze beangstigende vraag is waarschijnlijk al bij u opgekomen. Ransomware is zo angstaanjagend dat we u dat niet kwalijk nemen.

Hackers discrimineren niet. Hun enige doel is zoveel mogelijk computers te infecteren, want daarmee verdienen zij hun geld. Het is een zeer winstgevende vorm van 'bedrijvigheid'. Slachtoffers betalen honderdduizenden dollars om hun gegevens terug te krijgen.

Het Zuid-Koreaanse webhostingbedrijf Nayana betaalde in juni 2017 een bedrag van 397,6 bitcoin (op dat moment met een waarde van ongeveer 1 miljoen dollar) na een aanval met de ransomware Erebus. Dat is het hoogste losgeld dat tot nu toe is betaald en laat zien hoe kwetsbaar bedrijven zijn.

U hebt echter te maken met oplichters, dus het betalen van losgeld biedt geen garanties. Soms verhogen ze doodleuk de prijs als ze iemand hebben gevonden die wanhopig genoeg is om te betalen. Neem bijvoorbeeld Petya. De programmacode bevatte een bug die het herstellen van gegevens onmogelijk maakte. Maar belangrijker nog is dat het betalen van losgeld hackers aanmoedigt om door te gaan, harder toe te slaan en meer geld te vragen.

Is betalen verstandig? Ons antwoord luidt "Absoluut niet!". U kunt beter zorgen voor goede antivirussoftware, zodat u nooit meer bang hoeft te zijn voor ransomware.

AVG Internet Security GRATIS uit te proberen

 

AVG Internet Security GRATIS uitproberen