20 apr

Tips om ransomware te voorkomen

Wat is ransomware?

Ransomware is software (malware) welke je PC, telefoon, tablet en/of documenten gijzelt en zegt deze weer vrij te geven na het betaling van losgeld. Ransomware bestaat al enkele jaren echter deze wordt steeds effectiever.  Enkele jaren geleden werd alleen de pc gegijzeld (in de volksmond: Politie virus) echter tegenwoordig worden al je documenten en soms ook programmatuur versleuteld. De versleuteling is alleen ongedaan te maken als je beschikt over de code (private key) waarmee de gegevens zijn versleuteld en deze is in handen van criminelen. Deze criminelen zeggen de code aan u te willen verkopen zodat de documenten weer ontsleuteld kunnen worden. Gebruikelijke bedragen zijn € 500,- als u binnen enkele dagen betaald, duurt het wat langer dan kost het al snel €1000,-. Betaling dient te geschieden in bitcoins zodat de criminelen niet te traceren zijn.

Besmet met ransomware? dan heb je 2 opties: betalen of een back-up terug zetten. Lees wat te doen bij een ransomware besmetting voor meer details.

Het advies is om nimmer te betalen, immers als je betaald verdienen criminelen geld en wordt ransomware steeds geavanceerder. Bovendien is het altijd maar afwachten of je de code ook daadwerkelijk ontvangt.

Maak regelmatig een back-up van al je documenten!
Raak je dan toch besmet met ransomware dan, kan je de infectie verwijderen en alle versleutelde bestanden terug halen van de back-up.

Hoe raak je besmet?

De meeste besmettingen vinden plaats via phishing mailtjes. Deze e-mails bevatten vaak een zip bijlage met daarin een gemaskeerd uitvoerbaar bestand.  Andere manieren om besmet te raken zijn: bezoek besmette websites, advertenties die besmet zijn en worden getoond op goed bezochte websites (malvertising) en gebruik van illegale software.

Het is bekend dat criminelen handelen in geïnfecteerde computers(bots), dus als je reeds malware op je pc of netwerk hebt, ben je een makkelijk slachtoffer.

Ransomware voorkomen.

  1. Zorg ervoor dat ALLE beveiligingsupdates geïnstalleerd zijn, denk hierbij bv aan: Microsoft Windows en Office, Internet explorer, Java, Flash, Firefox, Chrome, Silverlight enz. Gebruik alleen ondersteunde software, dus geen Windows XP en Office 2003 ed.
  2. Stel de anti-spam oplossing zo in dat uitvoerbare en zip bestanden niet doorgelaten worden.
  3. Wijs gebruikers regelmatig op de gevaren van phishing. Lees hier hoe gebruikers phishing kunnen herkennen.
  4. Webmail blijkt in de praktijk een behoorlijk risico, overweeg webmail te blokkeren en/of alleen toe te staan op het draadloze gasten netwerk (niet met productie omgeving verbonden).
  5. Voorkom downloaden / installatie van illegale software.
  6. Zorg er voor dat gebruikers met administratieve rechten op pc of netwerk geen e-mail of internet toegang hebben (worse case scenario: Beheerder raakt besmet).
  7. Voorkom dat uitvoerbare bestanden gestart worden vanuit het gebruikersprofiel (%temp% en tijdelijke internet bestanden ed).
    Microsoft App locker / RES Workspace Manager – Adaptive Security  enWindows GPO’s kunnen je hierbij helpen.
  8. Zorg voor een adequate en bijgewerkte virusscanner op ieder systeem in je netwerk. Een virusscanner is meestal niet erg effectief in het tegenhouden van de nieuwste ransomware, echter helpt wel om bekende ransomware te stoppen.
  9. Blokkeer advertenties middels firewall of UTM oplossing.
  10. Ten overvloede, maak dagelijks een back-up van alle belangrijke bestanden en controleer of je bestanden kan terug halen van de back-up.

Wat te doen bij een ransomware besmetting.

Mocht je ondanks alles toch besmet raken met ransomware dan staan hieronder enkele tips.

  1. Stel de bron van de besmetting vast.
    Ransomware versleuteld documenten en verwijdert hierna het origineel. In sommige gevallen worden bestanden als: HELP_DECRYPT.TXT in de betreffende directoy’s achter gelaten (door zoek je netwerk op HELP_DECRYPT.TXT om te zien welke directory’s besmet zijn). De timestamp van deze bestanden geeft aan wanneer de bestanden versleuteld zijn en middels de eigenschappen van de file kan achterhaald worden wie het bestand heeft aangemaakt. Deze gebruiker is waarschijnlijk de infectie bron.
  2. Stop verdere besmetting.
    Als duidelijk is welke gebruiker geïnfecteerd is, dient de betreffende PC of Server van het netwerk verwijdert te worden om verdere besmetting te voorkomen. Schakel het betreffende gebruikers account tijdelijk uit.
  3. Onderzoek waar de besmetting vandaan komt.
    Als duidelijk is welke gebruiker geïnfecteerd is, is het de vraag hoe dit gebeurt is. Vaak kan de gebruiker meer vertellen wat er gebeurt is. Controleer altijd de mailbox van de betreffende gebruiker en informeer welke websites zijn bezocht en/of dat webmail gebruikt is (controleer eventueel de firewall logs).
  4. Neem maatregelen om besmetting van andere gebruikers te voorkomen.
    Als duidelijk is hoe de ransomware is binnengekomen, is het zaak om herhaling te voorkomen. Blokkeer verdachte websites of e-mail attachments
  5. Onderzoek welke bestanden versleuteld zijn.
    Na een ransomware infectie dient uitgezocht te worden welke bestanden allemaal versleuteld zijn. Doorzoek je netwerk op HELP_DECRYPT.TXT om te zien welke directory’s besmet zijn. Alternatief is om te zoeken naar bestanden die door de besmette gebruiker zijn gewijzigd na het infectie tijdstip. Herstel de besmette bestanden van een back-up. Doe dit nauwkeurig, als je er na 3 maanden achter komt dat je bestanden vergeten bent is het niet zeker dat deze nog terug gehaald kunnen worden van een back-up.
  6. Herinstalleer besmette machines.
    Er zijn tools (meestal van antivirus leveranciers) om ransomware zelf te verwijderen, echter ons advies is om de betreffende machine(s) opnieuw te installeren.

Geen recente back-up?

Als je geen recente back-up hebt….
Dan kan je de volgende opties nog overwegen:

  1. Controleer of shadow copy / previous versions / eerdere versies is ingeschakeld. Als dit het geval is kan het zijn dat de je de verwijderde originelen nog kan terug halen.
  2. Omdat de originelen verwijdert zijn, kan het zijn dat je middels recovery tools de onversleutelde versie nog kan herstellen van disk. Je kan dit zelf proberen of dit uitbesteden aan een professioneel bedrijf.

Meer informatie vindt je onder andere in de leaflet van de Informatie Beveiligings Dienst:

Voor vragen, opmerkingen en suggesties kunt u contact opnemen met Nova-Lan

Delen