Dit moet je doen als je computer geïnfecteerd raakt met ransomware
Je kunt je bestanden niet meer openen, krijgt een alarmerende pop-up op je scherm en ziet een digitale klok aftellen. Overduidelijke tekenen dat je het slachtoffer bent van ransomware. Raak niet in paniek, schaam je er niet voor (je bent niet de enige!) en volg dit stappenplan om tot de juiste oplossing te komen.
Het aantal ransomware-aanvallen nam in de eerste helft van 2019 wereldwijd met vijftien procent toe, naar bijna 111 miljoen. Dat blijkt uit onderzoek van cybersecuritybedrijf SonicWall. Ook in Nederland stijgt het aantal aanvallen met ransomware; vooral mkb-bedrijven worden steeds vaker slachtoffer.
Er zijn verschillende vormen van ransomware, maar de essentie van gijzelsoftware is dat het de toegang tot een apparaat of bestanden verhindert totdat er losgeld is betaald aan cybercriminelen. De hackers gebruiken phishing e-mails, online advertenties, gratis softwaredownloads en programma’s die al een tijd niet geüpdatet zijn om je computer te infecteren. Het encrypten van bestanden, zodat jij er niet meer bij kan, gebeurt meestal met RSA 2048 encryptie. Om je een idee te geven: een gemiddelde computer heeft zo’n 6,4 biljard jaar nodig om deze vorm van encryptie te kraken.
Kortom: jij zult zelf actie moeten ondernemen om je bestanden terug te krijgen. Het is belangrijk dat je hier direct mee begint. Doorloop hierbij de volgende stappen:
Verbinding verbreken
Koppel de geïnfecteerde computer zo snel mogelijk los van alle netwerken. Zet wifi en bluetooth uit. Haal usb-sticks, de externe harde schijf en iedere andere vorm van externe opslag uit de computer. Wis of verplaats geen bestanden! Ze moeten blijven staan waar ze staan om goed gedecrypt te kunnen worden (en kunnen gebruikt worden door onderzoekers en politie als bewijsmateriaal). Als er meerdere computers geïnfecteerd zijn, check je via de eigenschappen van een geïnfecteerd bestand welke computer als eerst besmet raakte.
Bepaal de omvang
Zorg dat je weet welke bestanden encrypted zijn. Soms is via de gijzelsoftware een lijst te zien. Zo niet, check dan de (gedeelde) mappen, netwerkopslag, externe harde schijven, aangesloten usb-sticks en de cloud. Als je een lijst gemaakt hebt kun je vervolgens bepalen of je recente versies van de bestanden hebt (via de cloud of je backupsysteem) waar je alsnog mee uit de voeten kan. Alle bestanden waarvoor dat niet geldt, moeten gedecrypt worden om er weer gebruik van te kunnen maken.
Zoek uit met welke vorm van ransomware je te maken hebt
CryptoLocker, Petya, Bad Rabbit, WannaCry… er zijn verschillende varianten van gijzelsoftware met verschillende eigenschappen. De een verspreidt zich sneller dan de ander en ook de bedragen die als losgeld gevraagd worden variëren. Via de website Bleeping Computer kun je een hoop informatie vinden over het soort gijzelsoftware waar je mee te maken hebt. Je kunt ook overwegen om een cybersecurityexpert in te schakelen.
Kies de beste aanpak
Als je weet hoeveel (belangrijke) bestanden encrypted zijn en met welke gijzelsoftware je van doen hebt, kun je op basis daarvan actie ondernemen. Je hebt vier keuzes. Hieronder staan ze gerangschikt van beste naar slechtste optie:
- Herstel bestanden vanuit een recente backup of de cloud
- Decrypt zelf je bestanden met een speciaal programma (de kans dat dit lukt is erg klein)
- Doe niets (dan raak je de bestanden kwijt)
- Onderhandel/betaal het losgeld (in bitcoin)
Er is natuurlijk tijdsdruk. De meeste gijzelsoftware geeft je een week om het losgeld te betalen. Maar misschien is betalen voor je helemaal geen optie. Stop de beschikbare tijd dan in het onderzoeken van de andere keuzes. In ons gratis Ransomware Hostage Rescue Manual staan alle opties toegelicht en wordt uitgebreid beschreven hoe je ze doorloopt en waar je allemaal rekening mee moet houden. Zo geeft betalen geen garantie dat je bestanden hersteld worden, maar de ervaring leert dat cybercriminelen in de meeste gevallen wel degelijk je bestanden decrypten zodat je er weer bij kunt.
Over de auteur: Jelle Wieringa werkt als Security Awareness Advocate voor KnowBe4.
Gerelateerd event
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
3 Reacties
xangadix - sense visuals
Ik mis een nog een belangrijke toevoeging. De meeste computers en harde schijven hebben, net na een aanval, vaak nog een heleboel “undelete” informatie op de schijf staan.
Een ge-encrypt bestand, is volgens de harde schijf namelijk een nieuw bestand, die wordt dus op een nieuwe plek op de harde schijf geschreven. Dat betekend dat het originele bestand weliswaar niet meer te zien is, maar nog wel beschikbaar is totdat het wordt overschreven.
Belangrijke toevoeging is dus: zet je computer NIET uit (sommige operating systemen zoals linux schonen dan de harde schijf op) en installeer (via usb) een undelete programma (Recuva of TestDisk Photorec). Laat het programma draaien over de geinfecteerde schijven (dit kan rustig een paar dagen duren!).
Na een mislukte aanval met Phobos is het me gelukt om tot 60% van mijn bestanden op deze manier terug te krijgen.
Je bent de directory structuur kwijt, en het werkt niet voor grote bestanden, maar op deze manier heb ik toch een groot deel van de kinderfoto’s teruggekregen.
bert
Let vooral op wanneer je computer verdacht doet. Net zoals dat het decrypten ingewikkeld is, is het encrypten dat ook. Je harde schijf versleutelen kost zo 2-3uur op volle CPU kracht. Dat kan haast niet ongemerkt. Check bij veel blazen van de ventilator welk proces dit veroorzaakt. En computer JUIST meteen uitzetten. Schijf eruit en aan andere computer hangen, kloon draaien en dan gaan zoeken naar schade en malware.
Op de computer waar de schijf uit is zet je verse install met je backup. Die heb je natuurlijk netjes.
bert
Uitzetten dus gewoon hardhandig. Dus 10s aan uit knop. Dan kan OS ook niks opruimen.