Ransomware is een van de meest ernstige vormen van malware. Als je systeem hiermee geïnfecteerd wordt, worden zowat alle bereikbare gegevensbestanden in snel tempo versleuteld zodat je er niets meer mee kunt. Er weer af komen is bijzonder lastig. Ransomware voorkomen, dát is wat je wil.
Technisch gezien dateert de allereerste vorm van ‘ransomware’ uit 1989, toen de AIDS Trojan werd verspreid via geïnfecteerde diskettes. Zodra een systeem 90 keren was opgestart werden bestandsnamen versleuteld en verscheen de melding dat je een betaling van 189 USD moest uitvoeren naar een Panamese postbus.
De echte vloedgolf van ransomware begon echter in 2016 en dat heeft ook te maken met de populariteit van Bitcoin. De georganiseerde misdaad had namelijk snel begrepen dat er met ransomware geld te verdienen viel, en geanonimiseerde betalingen met bitcoins pasten perfect in dat opzet.
In de loop van 2017 deden zich nog massalere aanvallen van ransomware voor (Wannacry en NotPetya). Inmiddels zijn op Dark Web RaaS-kits (Ransomware as a Service) al heel normaal, zoals Philadelphia en RaasBerry, zodat ook technisch minder onderlegde aanvallers ransomware - op bestelling - kunnen inzetten. Ransomware is vooral actief binnen Windows-omgevingen maar is ook al opgedoken in Android (bijvoorbeeld WannaLocker) en in macOS (bijvoorbeeld Patcher).
Ransomware verwijderen
Laten we eerst van een worst-case scenario uitgaan: je systeem is geïnfecteerd met ransomware. Zet dan onmiddellijk je toestel uit. De kans is immers reëel dat er nog onversleutelde databestanden zijn. Je kunt je systeem dan analyseren – en mogelijk ook de ransomware verwijderen - via een bootscan of je start die op met een live Linux-medium om de nog intacte data over te zetten.
Start je toch nog Windows op, koppel je toestel dan eerst los van je netwerk en het internet, ontkoppel tevens verwijderbare media en start bij voorkeur op in veilige modus. Met tools als Malwarebytes Antimalware krijg je de ransomware wellicht weg.
De vraag is natuurlijk ook: hoe krijg je geïnfecteerde data terug als je niet over back-ups beschikt? Ingaan op de eis tot losgeld raden we je zeker af. Niet alleen moedig je de aanvallers aan, de kans is klein dat je daadwerkelijk een decryptiesleutel ontvangt.
Met wat geluk is er een decryptietool beschikbaar voor jouw type ransomware. Je kunt je daarbij laten leiden door de site van ID Ransomware, die op basis van allerlei kenmerken, zoals een versleuteld voorbeeldbestand, de juiste ransomware tracht te identificeren, inclusief instructies om de encryptie ongedaan te maken.
Ook het bekende No More Ransom tracht de ransomware te herkennen om je op basis daarvan mogelijk een decryptietool aan te bieden. Lang niet alle ransomware-schade kan echter ongedaan worden gemaakt. Daarom raadt de site aan ook je versleutelde data te bewaren ingeval er een decryptietool beschikbaar komt.
Preventie
Bij malware en zeker bij ransomware is preventie is echt wel het sleutelwoord. Naast de evidente maatregelen kun je voor ransomware specifieke beveiligingstools inzetten. Er zit er zelfs een in Windows 10 ingebouwd.
Open het beveiligingscentrum en selecteer Virus- en bedreigingsbeveiliging / Bescherming tegen ransomware. Zet de schakelknop op Aan en voeg via Beschermde mappen je datamappen toe, zodat applicaties die data niet zonder meer kunnen aanpassen. Via Een app toestaan via Controlled Folder Access voeg je applicaties aan de uitzonderingslijst toe.
Het is echter onze ervaring dat je met deze functie wel vaker tegen vervelende belemmeringen aanloopt. Minder intrusief zijn de ‘vaccinatietool’ Bitdefender Anti-Ransomware en Cybereason RansomFree – die overigens beide naast elkaar op ons systeem draaien.
Deze laatste zet op strategische plekken gemonitorde mappen met dummy databestanden uit. Zodra ransomware dit lokaas aanpakt krijg je een melding en kun je het achterliggende proces stopzetten. Je kunt dit bijvoorbeeld uittesten door een aantal dummy bestanden tegelijk te hernoemen via de Verkenner.
Back-up, back-up, back-up
Antiransomwaretools zijn zeker zinvol maar 100% garantie krijg je niet. Het blijft dus belangrijk dat je regelmatig back-ups maakt. Nu zijn er weliswaar heel wat (gratis) tools die het back-upproces automatiseren, maar je moet met betrekking tot ransomware wel bepaalde voorwaarden in acht nemen.
Zo dien je goed te beseffen dat ransomware toegang heeft tot alle data waar je met je eigen account ook zonder verdere authenticatie bij kunt. Dat geldt bijvoorbeeld ook voor de lokale synchronisatiemap van je cloudopslagdienst en voor netwerkshares.
Plaats je back-ups op je nas, zorg er dan voor dat je hiervoor een map creëert met een apart account specifiek voor je back-upsoftware. Dat kan bijvoorbeeld met een uitstekende back-uptool als Veeam Agent for Microsoft Windows Free: plaats een vinkje bij This share requires access credentials en vul Username en Password in. Navigeer je zelf via de Verkenner naar die back-upmap, zorg dan dat je je nas zo hebt geconfigureerd dat jouw account alleen-lezen toegang krijgt.
Idealiter voer je die back-up naar je nas uit via ftp in plaats van smb, maar dat is jammer genoeg niet mogelijk met deze Veeam Agent. Dat kan bijvoorbeeld wel met SyncBackFree (geen stfp in de gratis versie).
Verder, wanneer je back-upt naar een verwijderbare schijf, zorg er dan voor dat je die telkens na de back-up ontkoppelt. Ook dat kan automatisch vanuit de Veeam Agent: plaats een vinkje bij When backup target is connected en bij Eject removable storage once backup is completed. Of je gebruikt een tool als USB Disk Ejector en neemt het bijhorende commando in een batchbestand op, bijvoorbeeld als volgt:
xcopy “c:\data\*.*” “e:\backupmap\*.*” /c /d /e /h /r
c:\progs\usb_disk_eject.exe /removelabel backupsJe doet er bovendien goed aan altijd over minstens twee recente back-upkopieën te beschikken, waarvan een offline en bij voorkeur ook offsite.