Een van de meer recente soorten malware staat bekend als ransomware. Ransomware is een bijzonder vervelende vorm van malware die doorgaat en elk bestand op uw computer versleutelt en u vervolgens een losgeldbrief toont. Om uw apparaat te ontgrendelen, moet u het losgeld betalen om vervolgens een ontgrendelingscode te ontvangen. Historisch gezien decoderen de meeste ransomware-campagnes de bestanden daadwerkelijk zodra het losgeld is betaald, zoals: publiciteit over de hackers die zich aan hun afspraak houden, is een belangrijk onderdeel van het overtuigen van mensen te betalen.
Opmerking: het wordt over het algemeen aanbevolen om het losgeld niet te betalen. Dit blijft bewijzen dat ransomware winstgevend kan zijn, het is ook geen garantie dat u weer toegang krijgt tot uw gegevens.
Tip: Versleuteling is een proces waarbij gegevens worden versleuteld met een versleutelingscijfer en -sleutel. De versleutelde gegevens kunnen alleen worden ontsleuteld met behulp van de ontsleutelingssleutel.
Hoe werkt het?
Zoals elke malware, moet ransomware op uw computer komen om te kunnen werken. Er zijn veel mogelijke infectiemethoden, maar enkele van de meest voorkomende methoden zijn geïnfecteerde downloads op webpagina's, malvertising en kwaadaardige e-mailbijlagen.
Tip: Malvertising is het leveren van schadelijke software via advertentienetwerken.
Eenmaal gedownload naar uw computer, begint de ransomware de bestanden op de achtergrond te versleutelen. Sommige varianten doen dit zo snel mogelijk, u merkt misschien dat dit uw systeemprestaties beïnvloedt, maar heeft dan weinig tijd om er iets aan te doen. Sommige ransomware-varianten versleutelen gegevens langzaam, om de kans te verkleinen dat ze in actie worden opgemerkt. Een paar ransomwarevarianten lagen weken of maanden inactief om te worden opgenomen in eventuele back-ups die kunnen worden gebruikt om het systeem te herstellen.
Tip: Ransomware vermijdt doorgaans het versleutelen van kritieke systeembestanden. Windows zou nog steeds moeten werken, maar alle persoonlijke bestanden, enz. worden gecodeerd.
Zodra de ransomware alles op de computer heeft versleuteld, is de laatste handeling het maken van een losgeldbrief, meestal op het bureaublad. De losgeldbrief legt in het algemeen uit wat er is gebeurd, geeft instructies over hoe u het losgeld moet betalen en wat er zal gebeuren als u dat niet doet. Over het algemeen wordt ook een termijn gesteld, met de dreiging van een prijsverhoging of het schrappen van de sleutel die wordt gebruikt om mensen tot betaling aan te sporen.
Een aantal ransomwarevarianten bieden een functie waarmee je een klein aantal bestanden kunt ontsleutelen als een "goodwill"-gebaar om te bewijzen dat je bestanden kunnen worden ontsleuteld. De betalingsmethode is doorgaans bitcoin of verschillende andere cryptocurrencies. De losgeldbrief biedt over het algemeen een reeks links naar sites waar u de relevante cryptocurrencies kunt kopen, in een poging het voor mensen gemakkelijker te maken om ze te betalen.
Zodra u de betaling, of soms een betalingsbewijs, verstrekt, ontvangt u over het algemeen een decoderingssleutel die u kunt gebruiken om uw gegevens te decoderen. Helaas zijn er enkele varianten die nooit decoderen, zelfs niet als u betaalt - met andere woorden, u moet NIET betalen, maar naar andere oplossingen zoeken.
Het coderingsproces op uw computer wordt over het algemeen uitgevoerd met een willekeurig gegenereerde symmetrische coderingssleutel. Deze coderingssleutel wordt vervolgens versleuteld met een asymmetrische coderingssleutel, waarvoor de maker van de ransomware de bijbehorende decoderingssleutel heeft. Dit betekent dat alleen de maker van de ransomware het wachtwoord kan ontsleutelen dat je nodig hebt om je computer te ontsleutelen.
Tip: Er zijn twee soorten coderingsalgoritmen, symmetrisch en asymmetrisch. Symmetrische codering gebruikt dezelfde coderingssleutel om de gegevens zowel te coderen als te decoderen, terwijl asymmetrische codering een andere sleutel gebruikt om gegevens te coderen en te decoderen. Met asymmetrische codering kan één persoon meerdere mensen dezelfde coderingssleutel geven terwijl de enige decoderingssleutel behouden blijft.
Sommige ransomwarevarianten bevatten ook ondersteuningsfuncties waarmee u contact kunt opnemen met de persoon die de zwendel uitvoert. Dit is ontworpen om u door het betalingsproces te leiden, maar sommige mensen hebben het met succes gebruikt om te proberen de prijs te verlagen.
Tip: In sommige gevallen wordt ransomware ingezet als secundaire infectie om te proberen het bestaan van een ander virus te verdoezelen dat mogelijk andere gegevens heimelijk heeft gestolen. De bedoeling is in dit geval vooral om de logbestanden te versleutelen en de incidentrespons en het forensische proces te bemoeilijken. Dit type aanval wordt over het algemeen alleen gebruikt bij zeer gerichte aanvallen tegen bedrijven en niet bij algemene computergebruikers.
Hoe jezelf te beschermen?
U kunt de kans verkleinen dat u wordt geïnfecteerd door ransomware en andere malware door voorzichtig te zijn op internet. U moet geen e-mailbijlagen openen die u niet verwachtte, zelfs als u de afzender vertrouwt. Je zou moeten nooit schakel macro's in Office-documenten in, vooral als het document van internet is gedownload. Office-documentmacro's zijn een veelvoorkomende infectiemethode.
Een adblocker, zoals uBlock Origin, kan een goed hulpmiddel zijn om te beschermen tegen malvertising. Je moet er ook voor zorgen dat je alleen bestanden downloadt van legitieme en betrouwbare websites, aangezien malware vaak verborgen kan zijn in geïnfecteerde downloads die zich voordoen als gratis versies van betaalde software.
Het hebben en gebruiken van antivirus- of antimalwaresoftware is over het algemeen een goede back-stop-verdediging tegen malware die erin slaagt voorbij uw eerste verdedigingslinie te komen.
Help, ik ben besmet!
Als u zich in de positie bevindt dat ransomware uw computer heeft overgenomen, kunt u de ransomware mogelijk gratis ontgrendelen. Een behoorlijk aantal ransomware-programma's was slecht ontworpen en/of is al verwijderd door wetshandhavingsinstanties.
In deze gevallen is het mogelijk dat de hoofddecoderingssleutel is geïdentificeerd en beschikbaar is. Europol's EC3 (European Cybercrime Centre) heeft een tool genaamd “Crypto Sheriff” dat kan worden gebruikt om het type ransomware dat u heeft te identificeren en u vervolgens te koppelen aan de juiste decoderingstool, indien aanwezig.
Een van de beste beveiligingen die u tegen ransomware kunt hebben, zijn goede back-ups. Deze back-ups moeten worden opgeslagen op een harde schijf die niet is aangesloten op de computer of hetzelfde netwerk als de computer om te voorkomen dat ze ook worden geïnfecteerd. De back-up mag pas worden aangesloten op de getroffen computer als de ransomware is verwijderd, anders wordt deze ook versleuteld.