Ransomware komt voor in heel veel verschillende soorten en maten. En je hebt er vast van gehoord. Maar wat is het nu eigenlijk, waar komt het vandaan en wat als het dan toch op je computer staat? Kun je er dan eigenlijk nog wel vanaf komen?

Wat is ransomware?

Ransomware (of soms ook wel gijzelsoftware genoemd) komt voor in veel verschillende soorten. Het is een type malware (malicious software of malware) die je computer of bestanden die op je computer staan op een kwaadaardige manier blokkeert. De kwaadaardige software installeert zich op je computer en zorgt ervoor dat bestanden niet meer benaderbaar zijn door een bepaalde encryptie (versleuteling) te gebruiken. Zo kan het zijn dat de gehele harde schijf onbruikbaar wordt of juist enkele delen zoals de map Mijn Documenten of ligt de focus meer op afbeeldingen (dag dag vakantiefoto’s). Pas als je geld (het losgeld dus…het blijft een gijzeling) betaalt zult je je bestanden weer terugkrijgen. Althans dat is de belofte. 

De makers van ransomware worden in ieder geval steeds creatiever. Zagen we in het verleden nog dat na het betalen alle bestanden weer ontsleuteld waren (en dus toegankelijk) werden na het betalen van losgeld nu zien we dat er creatievere verdienmodellen ontstaan. Wil je van de honderd bestanden die versleuteld waren 20 bestanden terug krijgen? Kan. Kost je geld. Alles? Kost je meer. En je foto’s? Die blijven nog even versleuteld totdat je ook daar netjes geld voor hebt betaald. 

Vooral bedrijven in het MKB zien hun bestanden nog weleens versleuteld worden en hebben geen goede back-ups zodat het bedrijf verder kan na een ransomware aanval. Zij kiezen er dan ook vaak voor om grof geld te betalen voor het terugkrijgen van hun eigen bestanden. 

 

Ransomware

Hoe kom je aan ransomware? (en dat wil je dus niet)

Ransomware komt altijd ongelegen en niemand zit er op te wachten. In de meeste gevallen komt ransomware nog altijd binnen via e-mailbijlagen. Een verleidelijke tekst zorgt ervoor dat de ontvanger de bijlage opent die bij de e-mail zit. En waarschijnlijk denk je nu: “Dat overkomt mij toch niet. Ik let goed op”. Toch blijkt het in de praktijk aantrekkelijk om een bestand aan te klikken. Zeker als het van een afzender komt die betrouwbaar is. Vaak wordt het mailadres gebruikt van iemand die je goed kent en ook per ongeluk op een malafide bijlage heeft geklikt. De afzender weet niet eens dat er mail is gestuurd met ransomware. Vaak zit de ransomware verborgen in een bestand dat je kent zoals een Word document of een PDF bestand.

Juist bedrijven moeten hier bedachtzaam omgaan met e-mail en bijlagen. Ze moeten zichzelf vragen stellen als: klopt de afzender? Verwachten we een bijlage bij de mail? Wat is er afgesproken met de afzender? In veel gevallen wordt er toch nee geantwoord op deze vragen en is ransomware binnen gehaald. 

Maar zelfs goed opletten op mails kan niet voorkomen dat je computer (en daarna je gehele organisatie) besmet wordt met ransomware. Het bezoeken van een website die is geïnfecteerd met malware kan zorgen dat deze ook op je computer wordt geplaatst. De laatste tijd zien we dat vooral werknemers van bedrijven verleid worden een pagina te bezoeken door ze simpelweg te bellen. Een vaag verhaal over een update die uitgevoerd zou moeten en te downloaden is, is al voldoende. We noemen dit soort trucs Social Engineering. 

Professionals

Ransomware is een serieus probleem aan het worden. Uit onderzoek blijkt dat professionele criminele bendes achter ransomware zitten. Zij zorgen ervoor dat ze vrijwel geen digitaal spoor achterlaten waardoor het traceren van de geldstroom (het losgeld) zeer lastig wordt. In vrijwel alle gevallen is het losgeld namelijk in Bitcoins die eigenschap hebben niet traceren zijn waar vandaan en waar naartoe ze gaan. Vrij lucratief.

En toch worden er vaak verdachten aangehouden. Dit komt omdat de ransomware onderzocht wordt. Soms zijn het kleine dingen die verraden wie er achter de kwaadaardige software zitten zoals een IP-adres, een domein of domweg een naam van een programmeur in de code.

Wel of niet betalen?

Per definitie zou er niet betaald moeten worden om je eigen bestanden terug te krijgen. Vaak is er wel reden om het wel te doen. Er is geen back-up gemaakt, de back-up is er wel maar werkt niet of het duurt te lang om deze terug te zetten of er zijn andere redenen. Vaak is het een lastig dilemma waar vooral bedrijven mee kampen. En omdat het om kleine bedragen (zo ergens tussen 300-1000 euro aan bitcoins afhankelijk van de soort ransomware) gaat is het aantrekkelijk te betalen. Toch is het onverstandig te betalen. Je weet namelijk nooit of je je bestanden terugkrijgt of dat je computer ontgrendeld wordt na het betalen van het losgeld. Wordt er toch sleutel door de gijzelnemer verstuurd dan is het nog maar de vraag of alle bestanden weer vrij worden gegeven. En wat is er in de tussentijd gedaan met je bestanden? En hoewel in het verleden sleutels verstuurd werden nadat er betaalt werd, de laatste tijd zien we ook steeds vaker dat het niet altijd gebeurd. Bestanden kwijt. Geld kwijt. 

Wat is slim om te doen?

Het advies is dan ook om goede backups te hebben van het systeem. Bepaal welke kroonjuwelen er zijn te halen binnen jouw computer of organisatie. Weet waar ze zijn en zorg dat deze zeker meegenomen worden met de backup. 

Test je backups. Want wat heb je aan een backup wanneer je niet zeker weet dat dat wat je als backup wilt hebben ook goed werkt. 

Bekijk hoe lang het duurt om een backup terug te zetten. Je kunt je voorstellen dat tijd geld is en andersom. Hoe langer het duurt voordat je backup terug gezet is des te meer geld het je kost. Zeker als MKB’er wil je je diensten weer snel kunnen verkopen en zonder werkend systeem lukt dit vaak niet.

Kost het je meer tijd dan je eigenlijk zou willen om backups te herstellen of te testen? Bekijk dan naar andere mogelijkheden. Wellicht is het zinvol om alleen de belangrijkste systemen te backuppen of moet je van bepaalde systemen er twee neerzetten. Zo kun je sneller door wanneer de ene uit gevallen is. Denk ook het onderbrengen van backups bij een derde partij. Zij kunnen zorgen voor de backup van de systemen en bestanden en kunnen ook testen of de backup zijn werk kan doen.

Naast goede, werkende backups wil je gewoon goede software (of hardware) die detecteert of er vreemde zaken op je netwerk, je mail of op andere plekken in je informatiehuishouding zich bevinden. Je moet dus op zoek gaan naar een goede partner die je hierin kan adviseren. 

En last but not least: train je zelf en je train je collega’s. Niets is zo verleidelijk dan een meegebrachte USB stick (inclusief ransomware) in je computer te stoppen en op die manier je eigen computer en die van al je collega’s te besmetten en te zorgen dat je een paar dagen vrij bent (wil je niet). Dus wees bewust en ga voor gedragsverandering. 

Morgen al aan de slag?

Natuurlijk wil je zo snel mogelijk aan de slag met checken of je weerbaar bent tegen ransomware. Ga dus kijken waar je belangrijkste data ligt, laat het IT Security bewustzijn meten van de organisatie, stel beleid op en zorg dat je een plan hebt als het onverhoopt toch mis gaat.