Er mogen dan meer dan 1 miljard kwaadaardige programma's (malware) op het internet rondzwerven op zoek naar slachtoffers om te infecteren, één bepaalde klasse van malware zorgt al jaren voor financiële verliezen en veiligheidsproblemen: Ransomware. Het enige doel ervan is de toegang tot computersystemen of bestanden te blokkeren totdat het slachtoffer losgeld betaalt. Deze losgeld eisen variëren sterk, van het equivalent van een paar honderd dollar tot enkele honderdduizenden.
Wat is een Ransomware?
Ransomware is een categorie kwaadaardige software die ontworpen is om de toegang tot een computersysteem te blokkeren totdat er een geldbedrag wordt betaald. Betaling wordt meestal geëist in cryptocurrencies zoals Bitcoin of Monero. Slachtoffers wordt verteld om deze digitale activa te kopen en ze vervolgens over te maken aan de aanvallers. Ransomware is de afgelopen tien jaar geëvolueerd in een poging om meer slachtoffers te pakken, enorme winsten te genereren voor cybercriminelen en het bijna onmogelijk te maken om gegevens te herstellen tenzij het slachtoffer het losgeld betaalt of de gegevens herstelt van back-ups.
Hoewel encryptie wordt beschouwd als een krachtig hulpmiddel om online privacy te waarborgen, door iedereen in staat te stellen te communiceren zonder angst voor afluisteren, hebben ontwikkelaars van ransomware encryptie gebruikt om ervoor te zorgen dat aangetaste bestanden niet kunnen worden gebruikt. Sommige encryptiemechanismen maken het onmogelijk om gegevens te herstellen tenzij aanvallers ermee instemmen om slachtoffers de decryptiesleutel te sturen, waarmee toegang tot het getroffen systeem wordt ontgrendeld nadat het losgeld is betaald. Stelt u zich iemand voor die in uw huis inbreekt, uw sieraden vindt, deze midden in uw huis in een ondoordringbare kluis opbergt en er vervolgens met de sleutel vandoor gaat nadat er een briefje met losgeld is neergelegd. Als u contact opneemt met de inbreker en het losgeld betaalt, zal hij u de sleutel geven om de kluis te openen en bij uw juwelen te komen. Anders moet je zelf de kluis openbreken. U weet dat al uw kostbaarheden daar zijn, maar u kunt ze gewoon niet gebruiken. Ransomware werkt op een vergelijkbare manier, behalve dat het achter uw bestanden en gegevens aangaat.
Tot nu toe zijn er drie verschillende soorten ransomware:
1. Scherm locker
De "mildste" van alle ransomware zijn schermvergrendelingen: ze verhinderen de gebruiker alleen de toegang tot hun apparaat door de toegang tot het bureaublad of het startscherm in het geval van smartphones te blokkeren. Hoewel vervelend, kunnen screen lockers omzeild worden zonder de aanvaller te betalen als je genoeg technische ervaring hebt.
2. Crypto-ransomware
Terwijl vroege minder kwaadaardige ransomware-stammen ineffectief bleken om geld te verdienen omdat ze zich concentreerden op het verhinderen van toegang van gebruikers tot hun apparaten door middel van screen lockers (er werden geen gegevens versleuteld), begonnen latere versies versleuteling te gebruiken die bekend staat als crypto-ransomware. Crypto-ransomware is uiterst effectief omdat het specifieke lokaal opgeslagen informatie en soms ook cloud back-ups versleutelt en aanbiedt deze te ontsleutelen in ruil voor een vergoeding die varieert van $300 tot $900. Omdat crypto-ransomware gebruik maakt van dezelfde technologie die onze online gesprekken, banktransacties en militaire communicatie beschermt, kunnen versleutelde bestanden niet worden teruggehaald zonder het losgeld te betalen. Crypto-ransomware families zijn verantwoordelijk voor het afnemen van meer dan één miljard dollar per jaar van slachtoffers. Sommige crypto-ransomware families zoals GandCrab hebben zelfs het equivalent van meer dan 2 miljard dollar aan betaald losgeld gegenereerd in minder dan twee jaar van activiteit.
Andere ransomware-families zijn begonnen met afpersing als een andere intimidatietactiek om slachtoffers bang te maken om te betalen. Voordat aanvallers bijvoorbeeld privégegevens versleutelen, stelen ze die van slachtoffers en dreigen ze die online bloot te stellen als onderdeel van een publieke beschamingscampagne als de losgeldeis niet wordt betaald.
3. Schijfversleutelaar
De meest ontwrichtende vormen van ransomware ten slotte staan bekend als schijf-encryptors. In tegenstelling tot bestands-encryptors, verhinderen disk-encryptors dat gebruikers hun volledige besturingssysteem opstarten, aangezien de ransomware de volledige diskdrive "gijzelt".
Hoe verspreidt een Ransomware zich?
E-mails zijn één van de meest gebruikte mechanismen voor het verspreiden van ransomware. Ofwel slachtoffers verleiden om op links te klikken en met ransomware geïnfecteerde bestanden te downloaden, ofwel aangetaste documenten bijvoegen die zich voordoen als CV's, facturen, en andere soorten bestanden, spam e-mails dragen bij tot een groot aantal ransomware infecties. Als de gebruiker het bericht opent en op de bijlage klikt, begint het versleutelingsproces. Wanneer alle informatie is versleuteld, ziet de gebruiker een waarschuwingsbericht op het bureaublad, samen met instructies over hoe het losgeld te betalen en de ontcijferingssleutel te krijgen.
Een andere techniek die aanvallers gebruiken is het kopen van advertenties op drukbezochte websites en deze vervolgens te gebruiken om kwetsbaarheden in browsers of plugins uit te buiten. Wanneer zo'n kwetsbaarheid wordt uitgebuit, crasht de browser of plugin en wordt de payload van de ransomware automatisch geïnstalleerd. Veel gebruikers zijn terughoudend geworden met het openen van bijlagen of het klikken op e-mailkoppelingen, dus deze methode verwijdert elke gebruikersinteractie of social engineering-component door te vertrouwen op onopgeloste kwetsbaarheden.
Last but not least sluipen cybercriminelen ransomware in illegale, illegaal gekopieerde inhoud die beschikbaar is voor download op torrent- of "warez"-websites. Nietsvermoedende slachtoffers downloaden ransomware vermomd als cracks, key generators en andere soorten software op hun systemen, voeren deze uit en installeren vervolgens ransomware.
Hoe uw PC beschermen tegen Ransomware aanvallen
Ransomware is een zeer lucratieve business voor cybercriminelen, en ze investeren voortdurend in nieuwe manieren om slachtoffers te infecteren en het moeilijk te maken voor beveiligingsoplossingen om zich hiertegen te weren. De beste manier om je te beschermen tegen ransomware-aanvallen is om niet geïnfecteerd te raken. Ransomware-infectie kan worden beperkt en soms voorkomen met een paar best practices:
1. Gebruik een bijgewerkte antivirus
Gebruik een antimalware-oplossing met anti-exploit-, antimalware- en antispam-modules die voortdurend wordt bijgewerkt en in staat is om actief te scannen. Zorg ervoor dat u de optimale instellingen niet opheft en dat u deze dagelijks bijwerkt.
2. Plan back-ups van bestanden
Maak regelmatig een back-up van uw bestanden in de cloud of lokaal, zodat gegevens kunnen worden hersteld in geval van versleuteling. Back-ups mogen niet op een andere partitie op uw pc worden opgeslagen, maar op een externe harde schijf die alleen voor de duur van de back-up op de pc is aangesloten.
3. Houd Windows up-to-date
Houd uw Windows-besturingssysteem en uw kwetsbare software - vooral de browser en de browserplug-ins - up-to-date met de nieuwste beveiligingspatches. Exploitkits gebruiken kwetsbaarheden in deze componenten om automatisch malware te installeren.
4. Houd UAC ingeschakeld
UAC (User Account Control) waarschuwt u wanneer er wijzigingen op uw computer worden aangebracht waarvoor toestemming op beheerdersniveau is vereist. Houd UAC ingeschakeld om de impact van malware te verminderen of te blokkeren.
5. Volg veilige internetpraktijken
Volg veilige internetpraktijken. Bezoek geen twijfelachtige websites, klik niet op links en open geen bijlagen in e-mails van onzekere bronnen. Download geen apps van onbekende sites - installeer alleen software van vertrouwde bronnen. Geef geen persoonlijk identificeerbare informatie op openbare chatrooms of forums.
6. Schakel adblockers in
Schakel advertentieblokkering en privacy-extensies in (zoals AdBlock Plus) om schadelijke advertenties te verminderen. Verhoog uw online bescherming door de beveiligingsinstellingen van uw webbrowser aan te passen. U kunt ook een browserextensie overwegen die JavaScript blokkeert (zoals NoScript).
7. Gebruik antispamfilters
Implementeer en gebruik een antispamfilter om het aantal geïnfecteerde spam-e-mails dat uw Postvak IN bereikt, te verminderen.
8. Schakel Flash uit
Virtualiseer of schakel Adobe Flash indien mogelijk volledig uit, aangezien deze plug-in herhaaldelijk als infectievector is gebruikt.
9. Schakel softwarerestrictiebeleid in
Als uw computer een Windows Professional- of Windows Server-editie gebruikt of als u een systeembeheerder bent in het IT-team van het bedrijf, schakel dan softwarebeperkingsbeleid in. Dwing groepsbeleidsobjecten af in het register om uitvoerbare bestanden van specifieke locaties te blokkeren.
Dit kan alleen worden bereikt met een Windows Professional- of Windows Server-editie. De optie Softwarebeperkingsbeleid is te vinden in de Editor voor lokaal beveiligingsbeleid. Nadat u op de knop Nieuw softwarebeperkingsbeleid onder Aanvullende regels hebt geklikt, moeten de volgende padregels worden gebruikt met het niet-toegestane beveiligingsniveau:
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\\*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe”
"%userprofile%\\*.exe”
"%username%\\Appdata\\*.exe”
"%username%\\Appdata\\Local\\*.exe”
"%username%\\Application Data\\*.exe”
"%username%\\Application Data\\Microsoft\\*.exe”
"%username%\\Local Settings\\Application Data\\*.exe”
Wat te doen als een Ransomware uw bestanden heeft versleuteld
Meestal, in het geval van versleutelende ransomware, worden lokale bestanden versleuteld met behulp van een willekeurig gegenereerd sleutelpaar dat is gekoppeld aan de geïnfecteerde computer. Terwijl de publieke sleutel wordt gekopieerd op de geïnfecteerde computer, kan de private sleutel alleen worden verkregen door er voor te betalen binnen een toegewezen hoeveelheid tijd. Als de betaling niet wordt geleverd, wordt de privésleutel verwijderd, waardoor er geen mogelijke decoderingsmethode overblijft om de vergrendelde bestanden te herstellen.
Autoriteiten raden aan niet in te gaan op losgeld eisen. Het betalen van losgeld garandeert niet dat u uw bestanden terugkrijgt en dient alleen om de ontwikkeling van nieuwe en meer geavanceerde ransomware families financieel te voeden, helpt andere cybercriminele activiteiten te financieren en legitimeert uiteindelijk de ransomware business door het winstgevend te maken voor hackers. Het verslaan van ransomware-aanvallen is moeilijk, maar niet onmogelijk. Wetshandhavingsinstanties en beveiligingsbedrijven werken al jaren samen om slachtoffers te helpen hun bestanden terug te krijgen.
Tips om met ransomware versleutelde gegevens te herstellen:
- Als de module Ransomware-remediëring van Bitdefender is ingeschakeld op het moment van een ransomware-aanval, worden uw bestanden automatisch hersteld.
- Het is ook mogelijk om versleutelde ransomware-bestanden te herstellen door de originele bestanden terug te zetten van een externe of cloudback-up.
- Initiatieven zoals de website nomoreransom.org kunnen ransomware-slachtoffers helpen hun gegevens terug te krijgen, in gevallen waarin rechtshandhaving of beveiligingsleveranciers een manier hebben gevonden om bestanden voor specifieke ransomware-families te ontsleutelen.
- De FBI heeft de volgende aanbevelingen voor slachtoffers van ransomware:
-
- Dien online een tip in of neem contact op met uw lokale FBI-veldkantoor om hulp te vragen
- Dien een rapport in bij het Internet Crime Complaint Center (IC3) van de FBI.
Denk eraan! Het is belangrijk om regelmatig back-ups te maken van uw gegevens, op te letten voor ongewenste e-mails, al uw software en besturingssystemen voortdurend bij te werken, een beveiligingsoplossing te installeren die meerdere beschermingslagen tegen ransomware biedt, en niet toe te geven aan afpersing.