De eerste bekende ransomwareaanval vond plaats in 1989, toen evolutionair bioloog Joseph Popp diskettes infecteerde met het Trojaans paard AIDS en aan zijn collega's gaf. De malware werd niet onmiddellijk actief maar wachtte totdat de slachtoffers hun pc 90 keer hadden opgestart. Vervolgens werden alle systeembestanden versleuteld en werd gebruikers gevraagd 189 dollar te betalen om de schade ongedaan te maken. Gelukkig wisten experts de malware te verwijderen en de geïnfecteerde bestanden te ontsleutelen.
In de afgelopen jaren is het gebruik van ransomware enorm gegroeid. Ziekenhuizen, overheidsinstellingen en grote bedrijven zijn alle het doelwit geweest van grootschalige ransomwareaanvallen waarbij ze moesten kiezen om duizenden euro's losgeld te betalen aan cybercriminelen of miljoenen euro's te steken in herstelkosten.
Maar is ransomware een virus? Nee, het is een andere soort schadelijke software. Virussen infecteren uw bestanden of software en kunnen zichzelf repliceren. Ransomware versleutelt uw bestanden waardoor ze onbruikbaar zijn, en eist daarna dat u betaalt. Zowel virussen als ransomware kunnen met antivirussoftware worden verwijderd, maar als uw bestanden versleuteld zijn, is de kans helaas groot dat u ze nooit meer goed krijgt.
Soorten ransomware
Ransomware komt voor in allerlei varianten. Sommige varianten zijn schadelijker dan andere, maar één ding hebben ze allemaal gemeen: bij ransomware wordt per definitie om een betaling geëist.
Cryptomalware of encryptors
Cryptomalware (of encryptors) is de meest gebruikte vorm van ransomware. Het kan enorm veel schade aanrichten met supersterke methoden om gegevens te versleutelen. Niet alleen heeft WannaCry zijn slachtoffers voor meer dan $ 50.000 afgeperst en honderden miljoenen dollars aan aanvullende schade veroorzaakt, het heeft ook duizenden levens op het spel gezet bij aanvallen op ziekenhuizen overal ter wereld, waardoor het medisch personeel geen toegang meer had tot de patiëntgegevens.
Lockers
Lockers infecteren het besturingssysteem en sluiten u volledig buiten. U hebt dan geen toegang meer tot uw apps en bestanden.
Scareware
Scareware is nepsoftware (bijvoorbeeld antivirussoftware of een opschoningsprogramma) die aangeeft dat er iets aan de hand is met uw pc en geld vraagt om het probleem op te lossen. Sommige scarewarevarianten vergrendelen uw computer, andere overstelpen u met irritante waarschuwingen en pop-upberichten.
Doxware
Doxware (of leakware) dreigt de gestolen informatie online te publiceren als u niet betaalt. Iedereen bewaart privacygevoelige bestanden op de pc, van contracten en privédocumenten tot gênante foto's. Het is dus begrijpelijk dat deze dreiging tot paniek kan leiden.
Ransomware as a Service
RaaS (Ransomware as a Service) is malware en wordt anoniem gehost door een hacker die alles afhandelt in ruil voor een deel van het losgeld: de ransomware verspreiden, betalingen ontvangen en bestanden ontsleutelen.
Ransomware voor Android
Ook uw mobiele Android-apparaat is niet veilig voor ransomware. Ransomware voor Android is meestal van het type locker, die zorgt dat u geen toegang hebt tot uw apparaat via de UI of een pop-up die niet meer weggaat. Ransomware voor Android is sinds 2016 in het nieuws, werd in 2017 drie keer zo veel gebruikt als het jaar ervoor, en wordt sindsdien alleen maar vaker toegepast.
Op gamingforums is zelfs een WannaCry-imitatie in omloop (WannaLocker) die gericht is op Android-apparaten in China. Omdat gegevens makkelijk kunnen worden hersteld door apparaten te synchroniseren, blokkeren cybercriminelen uw smartphone liever dan dat ze alleen de bestanden versleutelen.
Ransomware voor Mac
Hoewel Apple-apparaten wat moeilijker zijn te infecteren met malware dan Windows-pc's, ook ransomware voor Mac duikt steeds vaker op.
Vroege voorbeelden van ransomware voor Mac waren niet echt gecodeerd als ransomware. Er was een scam waarbij het leek alsof de FBI om losgeld vroeg die eigenlijk van een browserhijacker afkwam en zich voordeel als ransomware. Er was ook de Oleg Pliss-aanval, waarbij de hacker gelekte iCloud-wachtwoorden gebruikte om de iOS-apparaten van mensen op afstand te vergrendelen via 'Zoek mijn iPhone' en om losgeld vroeg om ze weer te ontgrendelen. Deze aanvallen waarbij om losgeld werd gevraagd, maakten de weg vrij voor echte ransomware voor Mac.
De nieuwste op Macs gerichte malware is kennelijk gecodeerd door programmeurs die gespecialiseerd zijn in macOS. Hoewel sommige cybercriminelen zich nog steeds richten op iCloud-accounts, lijkt andere ransomware voor Mac, zoals KeRanger, tegenwoordig meer op ransomware voor Windows.
De meestvoorkomende soorten ransomware en aanvallen
In de donkere uithoeken van internet zijn tientallen toolkits voor malware beschikbaar. Hackers beschikken op die manier over een solide basis. Uit recente aanvallen blijkt dat cybercriminelen veel moeite doen om hun programmacode te verbeteren, functies toe te voegen die opsporing bemoeilijken en kwaadaardige e-mailberichten er zo legitiem mogelijk te laten uitzien.
Hoewel bijna iedereen een eigen kleine ransomwareaanval kan lanceren, hebben sommige ransomwareaanvallers enorme aanvallen ontwikkeld waarvan cybersecurity nog lang stond na te trillen en die wereldwijd bekend werden. Laten we eens kijken naar enkele van de bekendste soorten ransomware en aanvallen.
WannaCry
WannaCry infecteerde meer dan 10.000 organisaties en 200.000 mensen in ruim 150 landen en is daarmee de meest wijdverspreide ransomwareaanval tot nu toe. Het gebruikte een exploit met de naam ExternalBlue. Deze maakte het mogelijk een zwakke plek in Windows SMB (Server Message Block, een protocol voor het delen van bestanden in een netwerk) uit te buiten met de naam MS17-010. Tegen de tijd dat WannaCry was verslagen, waren meer dan 100 miljoen Windows-gebruikers het slachtoffer geworden.
Het ransomwarebericht van WannaCry. (bron: Wikimedia Commons)
Petya
De ransomwareaanval met Petya (en vergelijkbare soorten met de naam Petna, NotPetya, EternalPetya of Nyetya) joeg iedereen de stuipen op het lijf, maar was gelukkig veel minder schadelijk dan WannaCry. De slachtoffers van Petna bevonden zich voornamelijk in Oekraïne (meer dan 90% van de aanvallen), maar er werden ook pogingen gesignaleerd in de VS, Rusland, Litouwen, Wit-Rusland, België en Brazilië.
Locky
Voor het eerst waargenomen in februari 2016. Naar verluidt werd Locky verstuurd naar miljoenen gebruikers overal ter wereld, via een frauduleus e-mailbericht over een factuur of bestelling. Het bericht bevatte een onleesbaar Word-document en vroeg gebruikers macro's in te schakelen om de inhoud te lezen, waarna de malware werd gedownload. Bij elke aanval verbeteren de makers van Locky de programmacode om te zorgen dat de ransomware moeilijk te detecteren was op een computer.
Cerber-ransomware
Deze malware bestaat uit een toolkit die iedereen kan downloaden, instellen en verspreiden. Het wordt verspreid via een e-mailbijlage of de koppeling Afmelden in een spammail, waarmee slachtoffers naar dezelfde bijlage worden geleid. Het werkt zelfs als u offline bent en kan meer dan 400 bestandstypen versleutelen, waaronder databasebestanden.
Scams en ransomware rondom COVID-19
Toen de COVID-19-pandemie zich in 2020 over de wereld verspreide, profiteerden meedogenloze cybercriminelen volop van de angst die er heerste. Er waren veel scams rondom gezichtsmaskers en vaccinaties. Ook werden talloze ziekenhuizen aangevallen door ransomware, naast de extra druk die ze al ervoeren vanwege de pandemie.
Andere bekende soorten ransomware zijn Bad Rabbit, Cryptolocker, GoldenEye, Jigsaw, Maze en Ryuk. Omdat hackers hun code steeds verbeteren, kunnen deze varianten op elk moment weer de kop opsteken.
Ransomware voorkomen
De beste manier om ransomware en andere malware te voorkomen is om slimme digitale gewoonten toe te passen. Vermijd dus verdachte websites, koppelingen, bijlagen en spam, en zorg voor goede e-mailbeveiliging. Hier ziet u enkele extra tips om uzelf te beschermen tegen ransomware:
Maak back-ups van belangrijke bestanden
Maak een back-up van belangrijke bestanden of kloon uw hele harde schijf om alles te bewaren. U kunt een externe harde schijf, een cloudservice of beide gebruiken. Kies Dropbox, Google Drive, Mega of een andere gratis cloudservice om alle belangrijke documenten en foto's veilig op te slaan. Zoek een service waarmee u gegevens kunt terugzetten op een eerdere versie voor als er iets gebeurt met uw account.
Als cybercriminelen uw belangrijke bestanden vergrendelen en u een beveiligde back-up hebt, kunnen ze u niets maken. U kunt eenvoudig de ransomware verwijderen, uw bestanden herstellen en vragen om losgeld negeren.
Door een back-up te maken van uw bestanden, haalt u de angel uit ransomwareaanvallen.
Gebruik een bijgewerkt antivirusprogramma
Antivirussoftware biedt essentiële bescherming tegen alles wat het op uw computer heeft gemunt. Probeer AVG AntiVirus FREE voor 24/7 bescherming tegen ransomware en alle andere sooren malware. AVG Internet Security biedt zelfs nog meer bescherming tegen ransomware met de krachtige functie Enhanced Ransomware Protection.
Bekijk onze handleiding over het voorkomen van ransomware om uw beveiliging in te stellen in AVG AntiVirus Free.
Werk uw besturingssysteem bij
Beveiligingsupdates zijn van vitaal belang om uw computer veilig te houden. Verouderde software maakt u kwetsbaarder voor allerlei soorten malware, inclusief ransomware als WannaCry. Houd uw besturingssysteem en apps altijd bijgewerkt. Gebruik waar mogelijk automatisch bijwerken. Als dit niet mogelijk is, installeert u updates zodra deze beschikbaar zijn.
Bent u een doelwit voor ransomware?
Als u zichzelf niet beschermt tegen ransomware met bijgewerkte software en een betrouwbare anti-ransomware-tool, dan is het antwoord ja: u kunt het doelwit worden van ransomware. Ransomware is vaak ontworpen om te profiteren van beveiligingslekken in oudere software en niet-beveiligde apparaten.
WannaCry gebruikte bijvoorbeeld een zwakke plek in Windows om meer dan 200.000 gebruikers en 10.000 bedrijven, overheidsorganisaties en bedrijven over de hele wereld te infecteren. Iedereen die nog niet de beveiligingspatch had geïnstalleerd die Microsoft eerder dat jaar had vrijgegeven, was kwetsbaar.
Gebruikers van Windows XP werden het zwaarst getroffen: Microsoft had de ondersteuning voor die Windows-versie drie jaar eerder beëindigd en bracht pas een patch uit toen de aanval al ernstige vormen had aangenomen. Als u nog met Windows XP werkt, raden we u sterk aan uw besturingssysteem bij te werken.
Hoewel reguliere gebruikers meestal snel en makkelijk beveiligingsupdates kunnen installeren, zijn grotere organisaties veel kwetsbaarder. Zij gebruiken vaak gevoelige aangepaste software en moeten de fixes installeren op een groot aantal apparaten. Hierdoor is dit proces veel moeilijker en kost het meer tijd.
Sommige organisaties kunnen nieuwe software gewoon niet betalen. Het budget van een ziekenhuis moet levens redden, geen computers. Maar soms vallen die twee samen, bijvoorbeeld wanneer het systeem wordt overgenomen en patiëntendossiers niet meer toegankelijk zijn.
Cybercriminaliteit vormt de grootste bedreiging voor organisaties die met gevoelige gegevens werken. Dat betekent echter niet dat de gewone pc-gebruiker veilig is. Uw familiefoto's of privébestanden zijn voor hackers net zo waardevol.
Hoe ransomware uw pc infecteert
Ransomware komt op uw computer terecht via schadelijke e-mailbijlagen, advertenties of koppelingen, drive-by-downloads en beveiligingskwetsbaarheden. Nadat ransomware uw pc heeft geïnfecteerd, kunnen sommige soorten zich verspreiden naar uw contacten en hun computers ook infecteren. Hun contacten worden dan ook weer geïnfecteerd, en ga zo maar door.
Ransomware verspreid zich snel en richt veel schade aan. Zo komt het op uw computer terecht:
-
Social engineering: Social engineering is een mooi woord voor trucs om mensen ertoe te bewegen malware te downloaden via een valse bijlage of koppeling. De schadelijke bestanden zien er vaak uit als gewone documenten (bestellingen, ontvangstbewijzen, rekeningen, berichten) en lijken te zijn gestuurd door een bedrijf of organisatie met een goede reputatie. Als u een van deze bestanden downloadt op uw computer en opent, wordt uw computer geïnfecteerd met ransomware.
-
Malvertising: Malicious advertising (schadelijke advertenties) sluiten ransomware, spyware, virussen en andere narigheid in advertenties en advertentienetwerken in. Hackers kopen zelfs advertentieruimte op populaire websites (zoals sociale media-netwerken of YouTube) om ransomware te verspreiden.
-
Exploitkits: Cybercriminelen kunnen vooraf geschreven programmacode verpakken in een hacking tool die meteen klaar is voor gebruik. Deze kits zijn gemaakt om zwakke plekken en beveiligingslekken in verouderde software uit te buiten.
-
Er zijn schadelijke websites die misbruik maken van verouderde browsers of apps en in stilte op de achtergrond malware downloaden terwijl u een onschuldig uitziende website of video bekijkt.
Hoe ransomware werkt
Ransomware zorgt dat u de toegang kwijtraakt tot uw gegevens. Nadat de ransomware toegang heeft tot uw computer, worden uw bestanden stilletjes versleuteld en wordt er om losgeld gevraagd om u weer toegang te geven tot de versleutelde gegevens. Op dit moment is het te laat om uw bestanden te herstellen, omdat ze al zijn versleuteld.
Hoe een ransomwareaanval plaatsvindt
Bij ransomwareaanvallen worden er bepaalde patronen gevolgd. Eerst moet de malware op uw computer terechtkomen. Dan begint het met het versleutelen van uw gegevens. Als laatste ziet u een losgeldverzoek en weet u dat er ransomware is geïnstalleerd.
Zo vinden ransomwareaanvallen plaats:
Stap 1: Uw apparaat infecteren
Een ransomwareaanval kan beginnen met een onschuldig uitziende e-mail, zogenaamd verstuurd door een legitieme bron, waarin u wordt gevraagd een factuur of een ander belangrijk document te downloaden. Hackers maskeren vaak de werkelijke bestandsextensie zodat slachtoffers denken dat het om een pdf-, doc-, of Excel-bestand gaat. Het is eigenlijk een uitvoerbaar bestand dat op de achtergrond wordt uitgevoerd als u erop klikt.
Stap 2: Uw gegevens versleutelen
Een poosje gebeurt er niets bijzonders. U hebt nog steeds toegang tot uw bestanden en voor zover u weet werkt alles prima. Maar de malware maakt heimelijk contact met de server van de hacker en genereert een stel sleutels: een openbare sleutel waarmee uw bestanden worden versleuteld en een verborgen sleutel op de server van de hacker die wordt gebruikt om ze te ontsleutelen.
Wanneer de ransomware eenmaal op uw vaste schijf is terechtgekomen, hebt u niet veel tijd om uw gegevens op te slaan. Vanaf dat moment is uw bijdrage niet langer nodig. De ransomware wordt uitgevoerd en uw bestanden worden versleuteld. U merkt het pas wanneer het kwaad is geschied.
Stap 3: Het losgeldbericht
Op uw scherm verschijnt een losgeldbericht waarin wordt aangegeven hoeveel u moet betalen en hoe u het geld moet overmaken. Wanneer de klok eenmaal tikt, hebt u gewoonlijk een paar dagen de tijd om het losgeld te betalen. De prijs gaat omhoog als u de deadline niet haalt.
Voorbeeld van een losgeldbericht van de CryptoLocker-ransomware.
U kunt de versleutelde bestanden niet meer openen. Als u dat wel probeert, ziet u een foutmelding met de mededeling dat het bestand niet kan worden geladen, beschadigd is of niet geldig is.
Ransomware verwijderen
Ransomware kan vrij makkelijk worden verwijderd, behalve als uw pc is vergrendeld en u er niet meer in kunt. De procedure is hetzelfde als bij het verwijderen van een virus of een ander bekend type malware. Als u de ransomware verwijdert, worden uw bestanden echter niet ontsleuteld.
Ransomware verwijderen werkt net als andere schadelijke software verwijderen: download vertrouwde antivirussoftware, voer een scan uit om de ransomware te identificeren en plaats de malware vervolgens in de quarantaine of verwijder deze. (Hoewel dit moeilijker is, kunt u ook allerlei soorten malware handmatig verwijderen.)
Moeilijker wordt het als uw pc is vergrendeld. Dan kunt u niet meer bij Windows en kunt u ook geen programma's meer uitvoeren. Er zijn drie manieren om een locker-infectie op te lossen:
-
Voer systeemherstel uit om Windows te herstellen naar een tijdstip waarop uw pc nog veilig was.
-
Voer uw antivirusprogramma uit vanaf een bootable schijf of een externe schijf.
-
Installeer het besturingssysteem opnieuw.
En betrouwbare antivirustool, zoals AVG AntiVirus FREE, verwijdert niet alleen ransomware en andere malware zodra deze worden gedetecteerd in uw systeem, maar voorkomt ook dat uw computer wordt geïnfecteerd.
Systeemherstel in Windows 10, 8.1 of 8:
-
Schakel de pc in en houd de Shift-toets ingedrukt om de herstelvensters te openen (start de pc opnieuw op als dit niet werkt).
-
Selecteer Probleemoplossing.
-
Ga naar Geavanceerde opties.
-
Klik op Systeemherstel.
Systeemherstel in Windows 7:
-
Schakel de pc in en druk op F8 om naar het menu 'Geavanceerde opstartopties' te gaan.
-
Selecteer Uw computer herstellen en druk op Enter.
-
Meld u aan met de gebruikersnaam en het wachtwoord van uw Windows-account (of laat het veld leeg als u geen account hebt).
-
Klik op Systeemherstel.
Bestanden herstellen
Als u regelmatig een back-up maakt van uw gegevens, hoeft u zich geen zorgen te maken over herstel na ransomware. U kunt gewoon de ransomware verwijderen en uw bestanden herstellen via de back-up.
Als u geen back-up hebt gemaakt, hebt u waarschijnlijk pech gehad. Het is soms mogelijk om 32-bits en 64-bits versleuteling te kraken. Als de cybercriminelen dat dus hebben gebruikt, hebt u mogelijk geluk. Ook zijn onderzoekers op het gebied van cyberbeveiliging erin geslaagd enkele soorten ransomware te kraken en de ontsleutelingssleutels te repliceren.
Voorkomen (door antivirussoftware te gebruiken en regelmatig een back-up te maken van uw gegevens) is de beste manier om uzelf te beschermen tegen ransomwareaanvallen.
Met onze gratis ontsleutelingstools voor ransomware kunt u bestanden herstellen die zijn geïnfecteerd met onder andere de ransomwaresoorten Apocalypse, BadBlock, Bart, Crypt888, Legion, SZFLocker en TeslaCrypt.
Tegenwoordig gebruiken de meeste soorten ransomware (zoals het beruchte WannaCry, Locky of Cerber) echter 128-bits of 256-bits versleuteling (en soms een combinatie van beide). Dit complexe versleutelingsniveau wordt ook gebruikt door servers, browsers en VPN's om uw gegevens te beschermen, omdat het heel veilig is.
Als uw bestanden geïnfecteerd zijn met een ransomwarevariant die een van deze extreem veilige versleutelingsmethoden gebruikt, is herstel zo goed als onmogelijk. Daarom is voorkomen (door antivirussoftware te gebruiken en regelmatig een back-up te maken van uw gegevens) de beste manier om uzelf te beschermen tegen ransomwareaanvallen.
Moet ik het losgeld betalen?
Ons advies is om het losgeld niet te betalen. Dit zijn immers cybercriminelen. Er is geen garantie dat ze zich aan hun belofte houden. Als u het losgeld betaalt, leert u hackers dat ransomware voordeel biedt, waardoor ze het blijven gebruiken. Ook krijgen ze geld om andere cybermisdaden uit te voeren.
In sommige gevallen kan de ransomware helemaal niet worden ontsleuteld. Dit was het geval met Petya. Het versleutelingsalgoritme van deze ransomware kon niet worden omgekeerd. Hoewel cybersecuritybedrijven meestal afraden om het losgeld te betalen, luistert niet iedereen naar dit advies. Als bedrijven nog meer geld kwijt zijn door niet te betalen, geven ze soms toe.
Het Zuid-Koreaanse webhostingbedrijf Nayana betaalde in juni 2017 een bedrag van 397,6 bitcoin (op dat moment met een waarde van ongeveer $ 1 miljoen) na een aanval met de ransomware Erebus. Op dat moment was dat het grootste bedrag aan losgeld dat ooit was betaald.
Slechts vier jaar later, in juni 2021, betaalde leverancier van vleesproducten JBS het equivalent van $ 11 miljoen aan losgeld. De FBI gaf de schuld aan de Russisch sprekende hackergroep REvil, een van de meest gevaarlijke hackergroepen ter wereld.
Ook in 2021 lanceerde de beruchte hackergroep DarkSide een ransomwareaanval tegen de Colonial Pipeline Co. Dit bedrijf beheert een gaspijplijn waardoor bijna de helft van de brandstof die wordt gebruikt aan de oostkust van de VS wordt getransporteerd. Het zou veel moeite kosten om de systemen te herbouwen, dus Colonial koos ervoor om het losgeld van bijna $ 5 miljoen te betalen.
De sterke groei van verzoeken om losgeld laat zien dat hackers niet van plan zijn om snel te stoppen, en dat ransomware steeds gevaarlijker wordt.
Ransomware voorkomen met software voor cyberbeveiliging
Moet u dus het losgeld betalen? Ons antwoord is nee. U kunt beter zorgen voor goede antivirussoftware met gratis bescherming tegen ransomware, zodat u nooit meer bang hoeft te zijn losgeld te moeten betalen. AVG AntiVirus FREE beschermt tegen ransomware, virussen, phishing en alle andere digitale bedreigingen.