Ransoftware (gijzel-software)


Ransomware (gijzel-software) voorkomen en verwijderen
Ransomware (gijzel-software) behoort  tot de grootste internetgevaren. Wat is het, wat doet het precies en hoe kun je jezelf er tegen wapenen?

Ronald Kamp
Expert Elektronica

Wat is ransomware?
Ransomware is een type malware, ofwel kwaadaardige software. Deze software blokkeert je computer of versleutelt je bestanden. Pas als je losgeld (ransom) betaalt zou je de computer of de bestanden weer kunnen gebruiken. Andere termen voor ransomware zijn cryptoware of gijzelsoftware.
Ransomware is erg vervelend. Je kunt ongemerkt bijvoorbeeld je hele foto-archief of muziekverzameling, inclusief aangesloten back-ups, verliezen. Oudere varianten van ransomware blokkeren alleen de internetbrowser of het opstarten van de computer. Criminelen richten zich steeds vaker op bedrijven en instellingen, omdat daar meer geld te halen valt. Toch moet je als thuisgebruiker ook nog steeds opletten.

Zo herken je ransomware (gijzelsoftware)
  • Ransomware gijzelt bestanden door ze te versleutelen.  Je kunt bestanden dan niet meer openen.
  • Er wordt betaling geëist in de digitale munteenheid Bitcoin. Omgerekend gaat het om honderden of zelfs duizenden euro's. Na een tijdslimiet wordt het bedrag soms opgehoogd.
  • Besmetting verloopt via kwaadaardige bestanden. Die bestanden staan meestal in bijlages van e-mails. Ze gaan via een lek op je computer door niet-bijgewerkte software. Of via een gerichte hack. Dat laatste geldt vooral voor bedrijven. 
Verdachte bestanden in e-mails zijn: zip-, exe-, js-, lnk- en wsf-bestanden. Ook Word- of Excel-bestanden die vragen om macro's in te schakelen zijn gevaarlijk.
  • Kijk uit voor nepmedewerkers van Microsoft die je opbellen. Je pc heeft zogenaamd een probleem en daarom willen ze op afstand inloggen. Daarna blokkeren ze je pc of bestanden met ransomware. 
  • De versleuteling kun je meestal niet zonder sleutel ongedaan maken. Als je geluk hebt is er wel een oplossing, zie de paragraaf Bestanden redden.
  • Ransomware kan ook bestanden besmetten op aangesloten externe harde schijven of netwerkopslag die in Windows Verkenner een schijfletter heeft (zoals E:, F:, G:). Bewaar een back-up daarom gescheiden van de pc.
  • Van sommige varianten zijn de sleutels door politie of beveiligingsonderzoekers gevonden, zie de paragraaf Tips om bestanden te redden.
  • Namen van ransomware-varianten die bestanden versleutelen zijn bijvoorbeeld: Cerber, CTB-locker, Coinvault, CryptoLocker, LockerGoga, Locky, Petya, Ryuk, SamSam, Teslacrypt, TorrentLocker, WannaCry en Wildfire.

Praktijkvoorbeelden ransomware-mails
Nepmails met ransomware proberen je te verleiden op een link te klikken of bevatten een besmette bijlage. In de mails worden bijvoorbeeld (te hoge) factuurbedragen, boetes, incasso's of mislukte afleverpogingen genoemd. De details ervan zouden in de bijlage of achter een link staan. De bijlages of links bevatten onder andere vermomde uitvoerbare bestanden (factuur.pdf.exe), javascript(.js)-bestanden of Word-bestanden met kwaadaardige macro's. Soms zijn ze verpakt in een zip-bestand.
Bedrijfsnamen die hierbij als zogenaamde afzender worden misbruikt zijn onder meer KPN, Ziggo, Intrum Justitia en transportbedrijven. Ook zogenaamde scans van (Xerox-)kopieerapparaten en melding van autoschade komen voor.
Lees meer over phishing (nepmails) herkennen.

Tips om bestanden te redden
Helaas zijn bij een ransomware-besmetting bestanden vaak niet te redden als je geen back-up hebt. Doorloop de volgende stappen als je bestanden versleuteld zijn:
  • Verwijder eerst de malware, zodat bestanden niet opnieuw worden versleuteld. Doe een uitgebreide scan met je virusscanner en een second opinion met vertrouwde software als Malwarebytes of Hitman Pro.
  • Plaats een back-up van de bestanden terug. Voorwaarde is natuurlijk dat je een (recente) back-up hebt die niet versleuteld is door de cryptoware.
  • Als je geluk hebt, zijn de makers van de cryptoware opgepakt. Of hebben politie of beveiligingsonderzoekers ontsleutelingsgegevens. Een overzicht van ransomware-decryptors vind je op nomoreransom.org. Het is een initiatief van onder meer Europol waarmee je onder hulp van criminelen je bestanden kunt redden. Voor nieuwere ransomware is er vaak geen oplossing.
  • Zoek verborgen back-ups. Heb je geen back-up gemaakt, dan is er een kleine kans dat Windows dit automatisch heeft gedaan. Zo zoek je deze schaduwkopieën:
  • Klik met je rechterknop een bestand of map.
  • Klik op Eigenschappen > tabblad Vorige versies.
  • Kijk of er een oudere versie staat die hersteld kan worden. Soms werkt
dataherstelsoftware zoals het gratis recuva.
  • Betaal losgeld. We raden deze optie erg af. Maar als de getroffen data erg belangrijk voor je zijn, kunnen we ons voorstellen dat je overstag gaat. Ervaringen tonen aan dat slachtoffers de sleutels vaak krijgen, maar er is geen garantie.

Ransomware en andere malware voorkomen
De kans op dataverlies bij ransomware is groot, daarom is het belangrijk om besmetting te voorkomen en regelmatig te back-uppen voor als dit toch gebeurt. Volg onderstaande tips om de kans op virussen en cryptoware te verkleinen:
  • Installeer een goede virusscanner.
  • Houd alle software up-to-date. Denk aan je besturingssysteem, internetbrowser, browseraanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Schakel Adobe Flash en Java uit.
  • Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel.
  • Schakel geen macro's in bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  • Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel bestandsextensies weergeven in, zodat je de vermomming kunt doorzien.
  • En nogmaals: back-ups maken. Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.
Met (Apple's) macOS en Linux loop je veel minder risico. Maar ook deze systemen kunnen besmet worden.

Niet versleutelbare back-up maken
Er zijn verschillende manieren om een back-up te maken. Maar, let wel op. Niet elke manier van een back-up geschikt is om de versleuteling door ransomware te herstellen. Ransomware kan namelijk niet alleen de gegevens op het besmette apparaat versleutelen, maar ook externe opslagpunten.
  • Sluit voor het maken van een back-up, de usb-stick of externe harde schijf alleen aan op het moment van een back-up en koppel hem daarna los.
  • Bij een netwerkopslag kun je ervoor kiezen dat alleen de back-upsoftware bestanden mag opslaan op de netwerkschijf (bijvoorbeeld via FTP). Kies er ook voor dat via Windows verkenner alleen bestanden gelezen worden.
  • Bij een cloud back-up kun je bestanden terughalen als er versiebeheer aanwezig is. Ook bij sommige andere vormen van back-up kan dat. Als in de meest recente versie van een back-up bestanden zijn versleuteld, kun je nog altijd terug naar een oudere versie van de back-up.

Anti-ransomware programma's
Er is software die specifiek gericht is op het voorkomen van ransomware-besmetting. Die gebruik je als aanvullen op een virusscanner. Denk aan Cybereason Ransomfree, HitmanPro.Alert of Kaspersky Anti-Ransomware Tool. Er zitten wel nadelen aan: met sommige virusscanners geven ze problemen, ze zorgen soms voor extra vertraging en ook zijn sommige aardig aan de prijs.
Veel van de technieken die de programma's gebruiken zitten tegenwoordig ook in 'normale' virusscanners. Om de kans op besmetting tegen ransomware te verkleinen kun je speciale anti-ransomware programma's overwegen. Maar het is belangrijker om je te houden aan de andere punten uit het lijstje tips onder 'ransomware en andere malware voorkomen'.

Kenmerken politievirus (ransomware zonder versleuteling)
  • Direct zichtbaar: toegang tot de computer of internetbrowser is geblokkeerd.
  • Is vaak een bericht van een officiële instantie, zoals de politie of justitie. Er wordt bijvoorbeeld gezegd dat er illegale software of pornografisch materiaal is aangetroffen. Als je boete betaalt, zou de blokkering worden opgeheven.
  • Er wordt meestal betaling geëist via prepaid betaalkaarten zoals Paysafecard of soms via Bitcoin.
  • Besmetting verloopt meestal via besmette bestanden, bijvoorbeeld een e-mailbijlage. Of via een lek op de pc door niet-geüpdatete software.
  • Losgeld betalen is zinloos. Criminelen kunnen vaak de pc niet eens meer deblokkeren.
  • Je kunt het virus verwijderen zonder dat gegevens verloren gaan.

Politievirus (ransomware zonder versleuteling) verwijderen 
  • Betaal nooit. De kans dat je computer vrijgegeven wordt is nihil, in tegenstelling tot bij de variant die bestanden versleutelt (cryptoware).
  • Probeer eerst Windows-systeemherstel. Hierbij wordt Windows teruggezet naar de stand van een eerder moment, zonder dataverlies.
  • Werkt systeemherstel niet? Kijk of je de pc in veilige modus kunt starten.
  • Lukt dat? Probeer de ransomware dan te verwijderen met het gratis Malwarebytes.
  • Wordt de computer geblokkeerd bij het opstarten? Of lukt verwijderen op een andere manier niet? Probeer het dan met HitmanPro.Kickstart, onderdeel van HitmanPro en volg de Kickstart handleiding (van Surfright, de makers van HitmanPro). Door de computer via Kickstart op een usb-stick op te starten, kan de pc worden ontdaan van het virus.
Lukt ook dat niet, dan blijft er maar 1 optie over: de pc opnieuw (laten) installeren. Dat is ook de enige manier om er 100% zeker van te zijn dat het virus weg is. Dat gaat het eenvoudigst met een herstelschijf of herstelpartitie. Let op: alle data op de computer wordt gewist.

Randsomware ook op Apple en Linux?
De meeste ransomware is gericht op Windows-systemen. Maar er zijn bijvoorbeeld ook gevallen bekend dat de telefoon van iPhone-gebruikers was geblokkeerd. Kortom, waar je ook mee op internet gaat, houd dat apparaat up-to-date, gebruik altijd je gezonde verstand en een kritische blik. Zeker als iets ook maar een kleine twijfel oproept.