Ransomware of in goed nederlands gijzelsoftware is een chantagemiddel dat door hackers wordt gebruikt het internet. Ransomware is een type van malicious malware die een computer en/of gegevens die erop staan blokkeert. Om vervolgens van de gebruiker geld te vragen om de computer weer te “bevrijden” door middel van een tegen betaling verstrekte code. Betalen blijkt echter niet (altijd) tot ontsluiting van de besmet geraakte computer te leiden, zo waarschuwt de Nederlandse overheid. En zelfs wanneer na betaling de code succesvol wordt gebruikt blijft de software op de computer staan en kan deze enkele maanden later opnieuw het systeem blokkeren en om nog meer geld vragen.

Ransomware, de werking 

RansomwareDe computers van de slachtoffers worden geïnfecteerd zoals ook andere malware vormen worden verspreid. De Ransomware kan reeds weken of maanden aanwezig zijn zonder dat de gebruiker dit weet of merkt. Nadat de Ransomware door de hacker, al dan niet automatisch, wordt geactiveerd wordt deze actief na de eerst volgende (her)start van het apparaat. Bij het heropstarten van de computer krijgt de gebruiker een scherm te zien met een boodschap. In deze boodschap krijgt het slachtoffer te lezen dat zijn of haar computer geblokkeerd is en pas na betaling weer wordt vrijgegeven.

Regelmatig wordt de indruk gewekt dat het bericht afkomstig is van een betrouwbare bron zoals een bestaande (overheids)instantie. De boete moet worden betaald wegens misbruik van het internet, bijvoorbeeld het downloaden van auteursrechtelijk beschermd materiaal of bekijken van (kinder)porno. Er bestaat zelfs Ransomware die (harde) kinderporno toont, zodat de gebruiker niet naar de politie of een reparateur durft te stappen.

Maar de politie en opsporingsdiensten gaan zo niet te werk. Bij verdenking met betrekking tot kinderporno wordt meestal een huiszoeking gedaan en de computer in beslag genomen, terwijl bij auteursrechtenschendingen de rechthebbende vaak middels een advocaat met een civielrechtelijke actie dreigt.

Wie Ransomware op zijn computer heeft, is voor de politie dus niet ineens een verdachte, ook niet wanneer deze Ransomware daadwerkelijk kinderporno toont. De criminelen zijn enkel op het geld uit en zullen de computer na de betaling mogelijk vrijgeven, maar mogelijk ook niet.

Er zijn meerdere gevallen bekend waarbij de computer daarna werd ontgrendeld, daarentegen zijn er ook genoeg gevallen van computers die niet werden ontgrendeld. Wanneer wordt betaald en de computer vrijgegeven, staat de software nog steeds op de computer, en is er geen garantie dat deze niet na enkele maanden nogmaals wordt geblokkeerd en om meer geld wordt gevraagd. Bij bedrijven kunnen de kosten voor ieder uur gemiste productie en voor het inschakelen van externe specialisten zo hoog zijn (met name omdat het vaak gaat om cruciale informatie en meerdere computers), dat soms gekozen wordt toch maar het losgeld te betalen. Voor de maker van de Ransomware is dit bijzonder lucratief. Want een middelgroot bedrijf heeft al snel honderden of duizenden computers en het losgeld moet voor elke computer separaat worden betaald.

Ransomware varianten

De Ransomware kan in drie vormen voorkomen:

  • Systeem gijzelen;
  • Bestand(en) gijzelen;
  • Combinatie van beide.

Ransomware wat kan ik zelf doen.

De kans op besmetting kan worden verkleind door:

  • Actuele software gebruiken. De fabrikanten van software brengen regelmatig updates uit om beveiligingslekken te dichten, zoals Microsoft Windows, Adobe Reader, Flash Player…
  • Niet surfen op het internet als je ingelogd bent op een account met administrator-rechten
  • Niet surfen op het internet zonder up-to-date antivirusprogramma.
  • Gebruik van een firewall.
  • Niet openen van verdachte bijlagen in e-mails.
  • Zorg ervoor dat de afzender een bekende is.
  • Niet downloaden en installeren van nepprogramma’s of van gehackte (illegale) software.
  • Geen links activeren zoals “klik hier”, van onbekende afzenders.
  • Voorlichting aan bedrijfspersoneel.

Besmetting is nooit volledig te voorkomen. Soms raken computers besmet via een reguliere website, die door criminelen is gehackt.

Met behulp van de volgende voorzorgsmaatregelen kunnen bedrijven de schade van een Ransomware aanval beperken:

  • Een geïsoleerde back-up server en noodbedrijfsruimte, zodat de meeste essentiële en urgente taken toch nog kunnen worden uitgevoerd.
  • Een calamiteitenplan dat rekening houdt met de mogelijkheid van een IT-crash.
  • Het verminderen van de afhankelijkheid van computers, o.a. door essentiële informatie ook op papier vast te leggen.
  • Het installeren van software (Sandblast) die op real-time basis Ransomware herkent en daarop direct actie neemt.
  • Het is verder mogelijk voor ondernemers en bedrijven zich voor schade door cybercriminaliteit te verzekeren.

Ransomware een voorbeeld: Ecopsvirus

EcopsvirusEen voorbeeld van Ransomware is het Ecopsvirus. Hierbij werdt het Belgisch overheidsmeldpunt voor internetmisbruik eCops misbruikt. Het virus blokkeerde de computer en toonde een site die zogezegd van de Belgische politie afkomstig was. De gebruiker zou illegale activiteiten uitgevoerd hebben. Met als consequentie dat zijn computer geblokkeerd werd. In de site stond een link om een boete te betalen. Maar dit was enkel om de gebruiker geld afhandig te maken. Goede Antivirusscanners herkennen het virus vandaag de dag als JS/Blacole.

Maar dit is inmidels een bekend voorbeeld van Ransomware. Deze worden herkent door goede Antivirusscanners. Maar wat met nog onbekende Ransomware virussen? Daarbij helpt een Antivirusscanner niet. Daar is een oplossing voor nodig die veel verder gaat. Sandblast is daar een goed voorbeeld van. 

Ransomware aangifte doen

Wie slachtoffer is geworden van Ransomware, doet er altijd goed aan om aangifte te doen bij de politie. De politie adviseert om hiervoor een afspraak te maken met het wijkteam en van tevoren aan te geven dat het om cybercrime gaat, zodat de juiste experts beschikbaar zijn.