Alle belangrijke informatie over ransomware
Ransomware is malware die ernstige economische schade kan toebrengen aan de getroffenen. Het Federaal Bureau voor Informatiebeveiliging wijst er in een informatieblad op dat cyberaanvallen door ransomware sinds 2016 gestaag toenemen. Het is daarom des te belangrijker dat gebruikers zich informeren over hoe deze ransomware werkt en hoe deze wordt beschermd.
Wat is ransomware?
Ransomware: definitie
Ransomware is malware die programma's en bestanden op een computer of server versleutelt. Criminelen chanteren bedrijven, maar ook particuliere gebruikers. Ze vragen geld voor het activeren van de versleutelde gegevens.
De term "ransomware" bestaat uit de Engelse term "ransom", in het Duits "ransom" en "software". Ransomware is dus "losgeldsoftware". In het Duits wordt het ook ransomware of chantage trojan genoemd. Een andere naam is "encryption trojan".
Hoe kom je aan de naam? Cybercriminelen maken software die alle of belangrijke bestanden op een computer of computersysteem van derden versleutelt. Sommige chantagesoftware vergrendelt ook de hele computer. De afpersers of aanvallers eisen dan losgeld van hun slachtoffers zodat de bestanden weer kunnen worden ontsleuteld of de computers kunnen worden ontgrendeld. De criminelen tonen het losgeld meestal direct op het scherm van het getroffen apparaat. Vaak is betaling in bitcoins vereist, zodat wetshandhavingsinstanties het pad van het geld niet gemakkelijk kunnen traceren.
Ransomware wordt via malware naar computers van derden gesmokkeld, bijvoorbeeld via trojans of computervirussen.
Ransomware: soorten en varianten
Er zijn in principe twee verschillende soorten ransomware:
- Screenlocker: Deze ransomware vergrendelt het scherm of het gebruik van de geïnfecteerde computer. Dit kwaadaardige programma blijft het vergrendelscherm duwen met het chantagebericht naar voren, ongeacht welk programma de gebruiker start. Een subvariant van deze ransomware is de zogenaamde "App-Locker". Dit kwaadaardige programma verhindert de toegang tot apps of programma's op de computer, tablet of smartphone. De ransomware blokkeert de toegang van de computer tot de server van de app. Net als bij de klassieke schermvergrendeling, stuurt de applocker de gebruiker ook een bericht over het gevraagde losgeldbedrag.
- Bestandsversleuteling: met deze variant worden sommige of alle bestanden op de geïnfecteerde computer versleuteld. Om afpersing te benadrukken stelen criminelen privéfoto's of bestanden en dreigen ze deze te publiceren als het gevraagde geld niet op tijd wordt betaald. Bestandsversleutelaars worden meestal geïmplementeerd als versleutelde Trojaanse paarden, ook wel bekend als "Crypto Trojaanse paarden". Sommige van deze kwaadaardige programma's versleutelen alleen individuele gebieden, zoals foto's of bankgegevens. Anderen coderen het hele computersysteem of alle bestanden op een server. De ransomware valt gericht de inhoudsopgave van de harde schijf aan.
Er zijn ook hybride vormen van ransomware die app- en schermloggers combineren met bestandsversleutelaars. Het herstellen van alle bestanden na de aanval wordt nog moeilijker voor de getroffenen.
Info: sinds wanneer zijn er encryptie-trojans?
Het chanteren van computergebruikers met software is geen nieuwe uitvinding. De zogenaamde “AIDS Trojan Disc” was al in 1989 in omloop. Het was een schijf die de bioloog Joseph L. Popp naar 20.000 deelnemers aan de Wereldaidsconferentie stuurde. De diskette bevatte malware die de harde schijf van de getroffen computer versleutelde.
De afperser Popp eiste 189 dollar van zijn slachtoffers voor het activeren van de gegevens. De getroffenen moeten het bedrag overmaken aan een bedrijf genaamd "PC Cyborg", gevestigd in Panama. De bedrijfsnaam gaf uiteindelijk zijn naam aan de eerste bekende ransomware: "PC Cyborg Trojan".
In 2011 werd uiteindelijk de eerste encryptie-trojan via internet verspreid. Het was TROJ_PGPCODER.A. De cybercriminelen eisten een losgeld van enkele honderden Amerikaanse dollars van de getroffen gebruikers om de computer weer te ontgrendelen.
Hoe werkt ransomware en hoe komt het op computers?
In tegenstelling tot computervirussen of internetwormen is ransomware meestal complexere software. Want eerst moet de malware bij de computer komen en daar de bestanden blokkeren of versleutelen. Hiervoor is uitgebreider programmeerwerk nodig.
In tegenstelling tot de complexiteit van programmeren, is het verspreiden van ransomware eenvoudig en vergelijkbaar met besmetting met computerwormen of virussen. De malware kan bijvoorbeeld op een computer terechtkomen via geïnfecteerde e-mailbijlagen of via gemanipuleerde websites. Als u op een gecompromitteerde e-mailbijlage of een geïnfecteerde website klikt, wordt de ransomware gestart. Het installeert zichzelf op de computer.
Na de installatie bepaalt de ransomware waar de harde schijf van het systeem zich bevindt en waar de te versleutelen bestanden te vinden zijn. Het genereert dan een sleutel en overschrijft het master boot record.
De codering of vergrendeling van het scherm is dan niet altijd direct. Afhankelijk van het type programmering kunnen criminele hackers de gegevens op een gewenst moment versleutelen. Soms zijn bepaalde triggers geprogrammeerd, d.w.z. voorwaarden waaronder de ransomware actief wordt.
Zodra het begint, wordt het bestaande bestandssysteem overschreven en versleuteld door de ransomware. Na de herstart verschijnt de informatie over de afpersing met een betaalopdracht op het computerscherm. De software is meestal zo geprogrammeerd dat de melding bij elke muisklik of elke toetsaanslag verschijnt.
Sommige hackers programmeren de ransomware zo dat een deel van de versleutelde data altijd wordt geblokkeerd wanneer de computer opnieuw wordt opgestart. Andere chantagemethoden voorzien in verwijdering na een bepaalde periode, waarbij geen geld wordt overgemaakt.
Informatie:
Zelfs als het programmeren van ransomware niet triviaal is, is het voor hackers meestal gemakkelijk om programma's te kopen. Het Darknet speelt hierbij een belangrijke rol. Complete sets chantagesoftware zijn daar te koop. Vervolging op Darknet is moeilijk voor de autoriteiten, omdat de identiteit van de provider daar alleen met veel technische inspanning kan worden vastgesteld.
Hoe verdienen de afpersers er precies geld mee?
Na een ransomware-aanval geven de afpersers op een aparte pagina informatie over de betalingsmodaliteiten.
Betalen in nauwelijks traceerbare Bitcoin of via Paysafe of Ukash-kaarten is gebruikelijk. De cybercriminelen beloven op de weergegeven pagina dat ze de code voor decodering zullen verzenden zodra het geld is overgemaakt. Consumenten mogen echter niet automatisch verwachten dat afpersing stopt met betalen.
Afhankelijk van de grootte en het belang van de versleutelde gegevens rekenen de afpersers enkele honderden tot enkele duizenden dollars of euro's.
Hoe herken ik ransomware?
Helaas herkennen de meeste gebruikers ransomware pas nadat de pc al is geïnfecteerd. Dan verschijnt er een losgeldnota op het geblokkeerde scherm waarin staat dat de computer is vergrendeld of dat de bestanden zijn versleuteld. Veel gebruikers kunnen dan niet meer traceren wanneer hun computer is geïnfecteerd, bijvoorbeeld met een e-mailbijlage.
In sommige gevallen laten antivirusprogramma's een alarm afgaan nadat een virusscan is uitgevoerd. Niet alle antivirusprogramma's detecteren echter ransomware. Dit geldt ook voor software die niet de nieuwste virusdefinities gebruikt. De detectie van ransomware wordt bemoeilijkt door virusbescherming omdat de ransomware zichzelf vaak automatisch verwijdert nadat de kwaadaardige functie is uitgevoerd.
Zo bescherm je jezelf tegen ransomware
Net als andere malware maakt ransomware gebruik van beveiligingslekken in besturingssystemen, apps en software en onvoldoende bescherming van virusscanners om zichzelf op een computer of smartphone te installeren. U kunt deze maatregelen gebruiken om ransomware te voorkomen.
Maak back-ups van uw gegevens: |
Cybercriminelen gebruiken ransomware om te dreigen met het verwijderen van uw bestanden. Het is daarom een effectieve maatregel om regelmatig alle belangrijke bestanden op te slaan. U kunt het beste een offline opslagmedium gebruiken, zoals externe harde schijven. Koppel deze harde schijf na het opslaan altijd los van de computer. Dit is om ervoor te zorgen dat hackers er geen toegang toe hebben. Het is ook altijd raadzaam om een systeemback-up te maken. Als een hacker uw besturingssysteem en alle bestanden erop heeft verwijderd, kunt u dit eenvoudig herstellen met de back-up. Maak regelmatig back-ups. |
Gebruik een antivirusprogramma met bescherming tegen ransomware: |
Door een antivirusprogramma te gebruiken, verkleint u het risico om het slachtoffer te worden van chantagesoftware. Installeer altijd de nodige updates en updates van virusdefinities. |
Werk uw besturingssysteem altijd bij met nieuwe updates: |
Updates voor besturingssystemen zijn belangrijk voor de beveiliging van uw pc, omdat de updates meestal ook beveiligingslacunes dichten. |
Update je software: |
Of het nu browser- of kantoorprogramma's zijn, alleen bijgewerkte software biedt voldoende basisbeveiliging. Huidige programma's voorkomen bijvoorbeeld dat ransomware via bekende beveiligingslekken binnenkomt. |
Browser-plug-ins: |
Veel programma's voor virusbescherming bieden browserplug-ins die kwaadaardige scripts detecteren en voorkomen dat geïnfecteerde websites worden geopend. |
E-mailscanner: |
Activeer de e-mailscanner van uw antivirussoftware. Deze programma's voorkomen dat u geïnfecteerde bestandsbijlagen opent. De virusbescherming kan ransomware direct in quarantaine plaatsen en verwijderen. |
Gebruik een gastaccount om in te loggen: | Als je altijd als beheerder inlogt op je pc, kunnen criminelen ransomware gebruiken om nog gemakkelijker alle gevoelige delen van je computer te bereiken. Als u uw pc echter als gast met beperkte rechten gebruikt, kunnen criminelen uw computersysteem niet zo diep binnendringen en zijn ze beperkt in hun mogelijkheden. |
Ik heb ransomware op mijn computer - wat moet ik doen?
Als je computer last heeft van ransomware, moet je voorlopig rustig blijven, ondanks de melding op het scherm.
-
Kijk op internet of er soortgelijke aanvallen zijn geweest als die van u. Veel afpersers vermelden ook het type Trojaans paard dat ze hebben bij het losgeldbriefje. Vaak laten de afpersers de browserfunctie nog steeds toe. Het losgeld moet immers meestal online en via het Tor-netwerk worden betaald. Als u het type infectie kent, kunt u op internet meestal geschikte oplossingen vinden om van de ransomware af te komen. Een mogelijk aanspreekpunt is "ID Ransomware". Daar vindt u oplossingen voor het doorbreken van encryptie door bekende ransomware.
-
Waarschuw de politie als er al gegevens zijn gestolen of verwijderd.
-
Als u een back-up van uw gegevens heeft, kunt u proberen de ransomware te verwijderen met een virusscanner of een online virusscanner. Nadat u het hebt verwijderd, moet u uw besturingssysteem opnieuw opstarten. Vervolgens kunt u de gegevens van de back-up terug naar uw computer overbrengen.
Ransomware verwijderen: hier is hoe
De enige manier om ransomware te verwijderen is door het te scannen met een up-to-date antivirusprogramma. Daarom moet u uw pc altijd uitvoeren met een krachtig antivirusprogramma.
Start er een virusscan mee. Als de ransomware werd verwijderd nadat deze was gestart, herkennen veel scanners de malware niet meer. Het enige dat hier kan helpen, is het opnieuw installeren van het besturingssysteem.
Bekende ransomware
In de afgelopen jaren is er een verscheidenheid aan ransomware geweest die consumenten en bedrijven over de hele wereld heeft geschaad.
- Petja: Deze malware zorgde ervoor dat pc's opnieuw werden opgestart en maakte bestanden op de getroffen machines onherkenbaar voor de computer. Petya heeft de bestanden daarom niet versleuteld, maar de toegang daartoe verhinderd. De hackers plaatsten het losgeldbriefje achter Petya op het lockscreen. Sinds het voor het eerst verscheen in 2016, is Petya echter gedecodeerd. Hierdoor kan er vandaag de dag nog nauwelijks schade worden aangericht met het originele bestand.
- Locky: De Locy ransomware verspreidde zich ook in 2016. Ze gebruikte voornamelijk e-mailbijlagen. De belangrijkste slachtoffers waren gezondheidsinstellingen. In Los Angeles betaalde een ziekenhuis 17.000 dollar om patiëntendossiers terug te krijgen. Eind 2016 waren de aanslagen bijna weer verdwenen.
- Wil huilen: In 2022-2023 verspreidde de Wannacry-ransomware zich snel over de hele wereld. Het maakte gebruik van een beveiligingslek in het Windows-besturingssysteem, vooral in Windows 7. Nadat Windows zijn gebruikers patches had geleverd, werd het beveiligingslek gedicht. De Amerikaanse geheime dienst NSA speelde een cruciale rol in Wannacry. Hij kende de kwetsbaarheid lang voordat deze door hackers werd gebruikt voor criminele doeleinden. Wannacry trof niet alleen particulieren, maar bedrijven over de hele wereld, waaronder Deutsche Bahn, de autofabrikanten Nissan en Renault, Chinese banken en ministeries uit landen over de hele wereld.
Conclusie: Ransomware is gevaarlijk - maar met preventie en bescherming kan het worden voorkomen
Ransomware kan grote schade aanrichten en vooral onzekerheid veroorzaken bij gebruikers. Als u echter voorzorgsmaatregelen neemt met back-ups en up-to-date programma's en up-to-date virusbescherming, kunt u het risico op infectie met ransomware verkleinen.