Hoe bescherm ik me tegen ransomware-aanvallen? Vijf vragen

Drie Friese gemeenten hebben onlangs urenlang niet kunnen werken doordat zeker 600 werkplekken waren geïnfecteerd met ransomware. Ransomware versleutelt berichten, waarna slachtoffers vaak forse bedragen moeten betalen voor een code om weer toegang tot de bestanden te krijgen.

Is ransomware inderdaad een plaag aan het worden?

In het eerste kwartaal van dit jaar zagen de onderzoekers van McAfee Labs het aantal nieuwe ransomware varianten met 165 procent stijgen. Voor een deel komt dat doordat de kwaliteit van phishing mails beter wordt, waardoor ze moeilijker te onderscheiden zijn van legitieme e-mails. Via deze mails worden kwaadaardige bestanden verspreid.

Een andere reden is het succes van CDT-Locker, die moeilijk is te traceren. CDT-Locker kan in bestanden zelf verstopt zitten, zodat virusscanners ze niet makkelijk ontdekken.

De cybercriminelen verdienen er goed aan. De makers van Cryptolocker, die in 2013 zijn opgang maakte, hebben naar schatting tientallen miljoenen dollars verdiend totdat hun netwerk in 2014 werd opgerold.

Welke varianten bestaan er?

De simpelste vorm van ransomware heet scareware. Vaak zijn dat nep antivurusscanners die een onbekend probleem ontdekken op de harde schijf van de pc en die tegen betaling willen repareren. Over het algemeen zijn deze programma’s makkelijk te verwijderen.

Een tweede variant verschijnt meteen na het opstarten en zorgt ervoor dat je je pc op geen enkele manier kunt gebruiken, tenzij je betaalt. Een System Restore – het terugzetten van een vorige configuratie – is hier vaak de enige oplossing.

De encryptievariant is de ernstigste variant. In een aantal gevallen worden folders gewoon verborgen. Via voorkeursinstellingen zijn die doorgaans weer zichtbaar te maken. Instructies hiervoor vind je bij PC World. Bestanden die zijn versleuteld zijn daarentegen moeilijk boven water te krijgen. Daarvoor is een sleutel nodig.

Wat moet je doen als randsomware toeslaat?

Als je op een bedrijf in een netwerk werkt, moet je verdere verspreiding zien te voorkomen door de pc van het netwerk af te sluiten. Hoewel de software vaak makkelijk kan worden verwijderd, is het enorm moeilijk om de versleutelde bestanden terug te krijgen door de strenge encryptie. De betaling, van vaak honderden euro’s, is ook nog eens lastig, want dat moet met bitcoins via een Tornetwerk. Cybercriminelen willen hun identiteit immers verbergen. Soms worden de sleutels na betaling niet eens geleverd. Beveiligingsexperts adviseren dan ook om nooit op de eisen van cybercriminelen in te gaan.

FireEye en het Nederlansdse Fox-IT hebben een site voor CryptoLocker -infecties opgezet decryptcryptolocker.com, waar je een versleutelde bestand kunt insturen om te kijken of er een sleutel voor is. Succes is helaas niet gegarandeerd. Het werkt eigenlijk alleen voor oudere varianten.

Is ransomware een typisch pc probleem?

Nee, op Macs komt het een enkele keer voor, maar minder dramatisch dan bij pc’s. Mac gebruikers kwamen in het verleden nogal eens in aanraking met FBI Ransomware, maar dat is eigenlijk een simpel JavaScript trucje. Een oplossing voor dat probleem wordt hier beschreven.

Hoe kan ik mij beschermen tegen ransomware?

Maak altijd een backup van je bestanden. Maak er een gewoonte van om dat te doen zodra je aan een document hebt gewerkt. Goede virussoftware kan een aantal varianten van ransomware onderscheppen. Er zijn ook manieren om onderdelen van Windows uit te schalen, bijvoorbeeld Remote Desktop Protocol of App Data en Local App Data folders, maar dat vergt behoorlijk wat kennis van Windows. Bovendien is er kans dat legitieme programma’s dan ook niet meer (goed) werken.