Ransomware

Op 2 juni 2016 was ik te gast bij De Afspraak (Canvas) over het thema ransomware, (ondertussen ook op 26 april bij Gert Late Night op Vier) een vorm van malware die de laatste maanden aan een sterke opmars bezig is. Na uitzending werden mijn mailbox en Facebook-profiel overstelpt met vragen, waarvoor dank.

Ransomware bij De Afspraak

Omdat het onbegonnen werk is om die allemaal individueel te antwoorden, werd in overleg met de redactie beslist om een “Eerste hulp bij”-artikel te schrijven, waarin meer concrete tips en oplossingen gegeven worden. Dit artikel werd gepubliceerd op Facebook, en om het voor het nageslacht te bewaren publiceer ik het eveneens hieronder. Stay safe!

General resources (toegevoegd 06/12/2022)

EERSTE HULP BIJ RANSOMWARE

Wat is ransomware?

Een vorm van kwaadwillige computersoftware die bestanden encrypteert (versleutelt) en beweert ze pas terug vrij te geven na betaling. Ransomware staat ook bekend onder de naam cryptolockers.

Hoe weet ik of mijn systeem geïnfecteerd is door ransomware?

In tegenstelling tot andere vormen van malware heeft de meeste ransomware de gewoonte om érg in your face te zijn. Het doel is om u te doen betalen, weet u wel. Elke variant van ransomware is anders, maar de symptomen zijn meestal:

  • Popups die u in een al dan niet gebroken versie van de lokale taal, het Engels of – als u pech hebt en géén polyglot bent – Russisch duidelijk maken dat uw persoonlijke bestanden versleuteld zijn en precieze instructies geven om te betalen, vaak met een verwijzing naar Bitcoin, een online munt die het toestaat om anoniem transacties door te voeren.
  • Een waarschuwing bij het openen van bestanden, meestal in de mappen “Mijn Documenten” in Windows of “Documents” op OSX. Want ja, ook op Mac heeft u – zij het in mindere mate – last van ransomware.
  • Een bericht bij het opstarten van de computer, nog voor het besturingssysteem geladen wordt, dat u aanmaant om te betalen. Het kan zijn dat dit bericht op uw bureaublad geplaatst wordt in de vorm van een tekstbestand.
  • Vaak schering en inslag: Doodskoppen, dreigende aftelklokken, spelfouten, grammaticale onzin en vloekende kleurenschema’s. Bandieten hebben géén smaak.

Hoe kan ik mijn specifieke ransomware identificeren?

Om beter hulp te kunnen zoeken en – waterkansje – uw bestanden te recupereren is het interessant om de specifieke ransomware die u opgelopen heeft te identificeren. Er zijn namelijk enorm veel varianten in de omloop. Zoek (op een niet-geïnfecteerd systeem, uiteraard) naar specifieke zinsconstructies / bestandsnamen die in het “gijzelbericht” voorkomen. Indien u zich herinnert hoe u de infectie heeft opgelopen (die éne mail die u beter niet had geopend) is het ook interessant op die inhoud een zoektocht te starten. Google is uw vriend, in dit geval toch. De meest beruchte ransomware zijn varianten van Cryptolocker, CryptoWall, Reveton en Petya.

De website ID-Ransomware kan aan de hand van enkele karakteristieken ook proberen uw ransomware te identificeren.

Lap, ik heb het zitten. Paniek! Wat moet ik doen?

Beschouw de ransomware als een Seksueel Overdraagbare Aandoening. Sta me toe deze wansmakelijke analogie even toe te lichten:

  • Verwijder het systeem onmiddellijk van uw netwerk / het internet (kabel, wifi, bluetooth) en beschouw alle verbonden apparaten (USB sticks, externe harde schijven, …) als mogelijk geïnfecteerd.
  • Het is een goed idee om uw vrienden en/of vijanden in te lichten dat u met een lelijk beestje zit en dat ze berichten/mails van u met extra voorzichtigheid moeten behandelen – de meeste ransomware probeert zichzelf namelijk zo snel mogelijk te verspreiden, en uw contactenboek is daar een handig middel voor.
  • Verbind zéker geen nieuwe apparaten met het systeem.
  • Verander zo snel mogelijk op een niet-geïnfecteerde computer de wachtwoorden van uw belangrijke toepassingen: e-mail, e-banking, eBay, PayPal,… Gebruik steeds unieke en sterke wachtwoorden. Herbruik dus geen wachtwoorden, want dat is vragen om problemen.
  • Blijf kalm – het kan iedereen overkomen – en vast zelfs meer mensen dan u denkt.

Ik heb een backup van al mijn belangrijke bestanden!

Hoera! Kus van de meester/juf en een bank vooruit! De beste manier om er zéker van te zijn dat u alle sporen van de ransomware verwijdert is om uw volledige systeem te formatteren (wissen) en uw volledige besturingssysteem (Windows, OSX,…) opnieuw te installeren. Dit kan met eventuele bijgevoegde DVD’s, een herstelpartitie of de hulp van het internet.

Dit is uiteraard de nucleaire, maar meest doeltreffende techniek. Het enige dat u in dit geval kwijt bent is tijd – vul die koffiethermos maar tot de rand, het wordt een lang weekend.

Ik heb geen backup van al mijn belangrijke bestanden!

Ja, wat wilt ge dat ik zeg? Dat we trots zijn op u? Is het dàt wat ge wilt horen? Dat is dom eh. Ik haal de pek en veren, we gaan u in uw blootje door het dorp jagen zodat iedereen kan zien wat voor een verdomde digibeet ge zijt.

Excuseer, ik liet me even gaan. In principe is goed geïmplementeerde, geavanceerde encryptie praktisch niet te kraken – het simpelweg “raden” van de ontgrendelsleutel zou langer duren dan de optelsom van al onze miezerige leventjes samen.

Gelukkig is niet àlle malware even goed geschreven. Door de jaren heen zijn er verschillende ransomware-varianten door wilde weldoeners en anti-malwarebedrijven geanalyseerd en onschadelijk gemaakt, waardoor (een deel van) uw bestanden mogelijk recupereerbaar zijn. Dit is het omgekeerde van encrypteren en noemen we decrypteren. Het gaat hier echter om een steeds snellere wapenwedloop, waarbij de ransomware met de dag geavanceerder wordt.

Op de site van de Windows Club (ik weet het, de *hipste* club om bij te horen) vindt u een lange lijst van zogenaamde decryptor-tools, die voor specifieke ransomware uw bestanden proberen te bevrijden uit hun benarde gijzelingspositie. De doeltreffendheid van deze tools varieert sterk, maar ze zijn zeker de moeite waard om te proberen voor u uw data volledig opgeeft.

  • De vriendelijke dames en heren van Emsisoft hebben een lijst met decryptor tools voor specifieke ransomware.
  • Voor de bekende ransomware Teslacrypt is onlangs door de ontwikkelaars zélf een decryptor vrijgegeven.

U kan deze tools op de computer zelf downloaden, of op een USB-stick zetten. Denk eraan: beschouw de USB stick na het verbinden met de geïnfecteerde computer ook als besmet, tot u deze volledig wist.

Indien u erin slaagt om uw bestanden terug te halen, kopieer ze dan meteen naar een veilige locatie en markeer een wekelijkse dag als Grote Backupdag. Om er zeker van te zijn dat uw héle computer geen sporen van ransomware meer bevat is het formatteren van uw systeem aangeraden (zie vorige vraag).

Ik geef het op, en ga gewoon betalen!

De keuze is uiteraard aan u, maar denk eraan dat betaling geen garantie is om uw bestanden terug te krijgen. U heeft te maken met laag uitschot op het internet, die niet echt bekend staan om hun excellente klantenservice. Test-Aankoop, noch de Consumentenbond kunnen u hierbij helpen. U kan er bovendien zeker van zijn dat uw geld vrolijk zal geherinvesteerd worden in de bloeiende malwaremarkt.

Enkele algemene tips om in het achterhoofd te houden:

  • Google eerst op de specifieke naam van uw ransomware naar andere ervaringen van slachtoffers: indien geen enkele van hen effectief zijn bestanden teruggezien heeft is betalen géén oplossing.
  • Indien de betaling via Bitcoins dient te gebeuren, koop enkel Bitcoins aan op internationaal erkende marktplaatsen zoals Coinbase of Circle.
  • Voer nooit rechtstreeks kredietkaartgegevens in op niet-beveiligde websites.
  • Iedereen houdt van gratis spullen, maar veel gepirateerde software bevat ransomware. Sowieso betreden op eigen risico, naast de vanzelfsprekende legale issues.
  • Voor het eigenlijke decryptieproces moet u het systeem mogelijk opnieuw met het internet verbinden.

Hoe kan ik me beschermen tegen ransomware?

Voor enkele technische tips verwijs ik graag terug naar de Windows Club, maar de volgende dingen zijn essentieel.

  • Regelmatig backups nemen, op een offline locatie. Dit wil dus zeggen: een apparaat dat u daarna loskoppelt van het netwerk. Online diensten zoals Dropbox etc. zijn slechts beperkt bruikbaar, want ook die bestanden kunnen versleuteld geraken.
  • Hou uw software up-to-date. Vele mensen klagen steen en been bij Windows Updates, maar het zijn net déze updates die lekken dichten waar ransomware maar al te graag gebruik van maakt.
  • Bijlages van e-mails met de grootste voorzichtigheid behandelen – beter even dubbelchecken met de afzender, en bij het minste geurtje de mail simpelweg verwijderen.
  • Geen enkele bank of service zal u via e-mail vragen om wachtwoordgegevens door te geven.