Help, mijn pc is gegijzeld!

Digitale media
beeld RD

Kwaadaardige software die na één klik de computer van slachtoffers vergrendelt. En boeven die losgeld eisen in ruil voor toegang: volgens experts is het dé trend in cybercriminaliteit. Vijf vragen over ransomware.

Wat is ransomware?

Ransomware is kwaadaardige software die zich op de computer van slachtoffers nestelt en deze vergrendelt. De ‘gijzelsoftware’ infiltreert de pc nadat de gebruiker nietsvermoedend op een linkje in een e-mail of op een website heeft geklikt. De mails die cyberboeven hiervoor versturen, zien er gelikt uit en zijn soms nauwelijks van echt te onderscheiden. Recent voorbeeld is een mail –zogenaamd afkomstig van kabelexploitant Ziggo– met de melding dat er nog een factuur openstaat. Betalen kan door te klikken op een link.

Wie dat doet, is onverbiddelijk overgeleverd aan criminelen. De computer springt op slot en op het scherm verschijnt een melding dat er losgeld (Engels: ransom, vandaar ransomware) moet worden betaald, compleet met betalingsinstructies. Vaak krijgt het slachtoffer slechts enkele dagen de tijd om het geld over te maken. De boeven ontvangen het bedrag het liefst in de vorm van digitale valuta, zoals bitcoin, wat opsporing bemoeilijkt.

Ransomware bestaat allang. De eerste meldingen ervan dateren uit 1989. Maar de gijzelsoftware maakte de afgelopen drie jaar een succesvolle comeback in de vorm van cryptoware. Die versleutelt bestanden, zoals familiefoto’s of belangrijke documenten, zodat de eigenaar er niet meer bij kan. Tegen betaling van vaak honderden euro’s beloven de criminelen het wachtwoord op te sturen waarmee de bestanden weer te openen zijn. Soms blokkeren ze –om de druk verder op te voeren– elk uur dat het slachtoffer niet betaalt, een nieuw bestand.

Politieorganisatie Europol schreef in een onlangs verschenen rapport dat cryptoware de belangrijkste dreiging is van dit moment. Tussen 2014 en 2015 werden wereldwijd 131.000 gevallen gerapporteerd, tussen 2015-2016 lag dat aantal al ruim boven de 700.000.

Wie zijn doelwit van gijzelsoftware?

Elke internetgebruiker is een potentieel doelwit van ran­somware. De software om een aanval uit te voeren, is vrijelijk te koop in de krochten van het internet, het zogenaamde dark web. Daardoor zijn ook handige amateurs in staat om pogingen tot afpersing te doen.

Software om een aanval uit te voeren, is vrijelijk te koop in de krochten van het internet

Vaker zitten er georganiseerde bendes achter grootschalige ransomwareaanvallen. Ze richten hun pijlen in toenemende mate ook op bedrijven, overheidsinstanties en gezondheidsinstellingen. En dat is lucratief, want organisaties zijn eerder geneigd losgeld te betalen. Zo onderzocht beveiligingsbedrijf McAfee een ransomwarenetwerk dat ziekenhuizen –voornamelijk in de Verenigde Staten– aanviel. Daarmee wisten internetcriminelen alleen al in het eerste kwartaal van 2016 maar liefst 121 miljoen dollar (ruim 109 miljoen euro) af te persen. Want organisaties zijn al snel geneigd te betalen. De gegijzelde gegevens zijn immers dikwijls gevoelig én cruciaal voor de continuïteit van de bedrijfsvoering. Bovendien is het geëiste losgeld vaak lager dan de kosten voor het herstel van de gegevens.

Hoe kun je een aanval voorkomen?

1. Vertrouw niemand. Dat klinkt nogal drastisch, maar werkelijk elke afzender waarvan u berichten ontvangt kan besmet zijn. Juist omdat we zo goed van vertrouwen zijn, klikken we té snel op linkjes of bijlagen. Met alle gevolgen van dien. Dat weten cyberboeven ook. Niet voor niets proberen ze mails van bedrijven zo goed mogelijk na te maken.

2. Klik nooit op links en open nooit bijlagen in mails van onbekende afzenders. Als u twijfelt of een mail echt is, bel dan gewoon het bedrijf op dat zegt de afzender te zijn. Grote bedrijven hebben dikwijls een klantenservice die actief is op sociale media als Twitter en Facebook. Op die manier kunt u ook snel de echtheid van een mail verifiëren.

3. Installeer goede antivirussoftware en houd deze up-to-date. En komen uw besturingssysteem of andere veelgebruikte programma’s met nieuwe versies, download en installeer deze dan. Nog beter: schakel automatisch bijwerken in.

4. Besturingssysteem Windows kent een optie om extensies van bestandsnamen weer te geven. Schakel deze in. Op deze manier kunt u zien met wat voor soort bestanden u van doen heeft. Krijgt u mails waarin bestanden met de extensie .exe, .vbs of .scr zijn bijgesloten, gooi die dan direct weg. Dit betreft vaak kwaadaardige software.

5. Maak regelmatig een back-up van belangrijke bestanden, zoals foto’s of documenten. Bewaar deze reservekopie niet op de computer zelf, maar gebruik hiervoor een externe harde schijf. Koppel deze na het maken van de back-up los van de pc, zodat internetcriminelen er niet alsnog bij kunnen. U kunt naast een fysieke reservekopie belangrijke bestanden ook opslaan in clouddiensten als Google Drive of Dropbox.

Wat moet je doen als je pc is gegijzeld?

Alle voorzorgsmaatregelen ten spijt kan het toch voorkomen dat ransomware de computer overneemt. Criminelen gaan steeds geraffineerder te werk en zijn hun bestrijders vaak net een stapje voor. Het advies van computerexperts en opsporingsdiensten is eensluidend: betaal geen losgeld. Hoe aantrekkelijk dat ook mag lijken –voor een paar honderd euro ben je af van alle gezeur–, dat is geen garantie voor een oplossing. Wie zegt dat de internetboeven de bestanden daadwerkelijk weer vrijgeven? En wat als de kwaadaardige software toch onherstelbare schade heeft aangebracht? Bovendien moedigt elke betaling boeven aan om hun praktijken voort te zetten.

Wat dan wel te doen? Ontkoppel allereerst uw computer van het internet om verdere verspreiding van de ransomware te voorkomen. Doe altijd aangifte bij de politie. Zet vervolgens de pc terug naar een systeemherstelpunt. Daarmee gaat de computer als het ware terug naar de instellingen van vóór de ransomwareaanval. Voorwaarde is wel dat er zo’n herstelpunt is gemaakt. Is dat niet het geval, dan kan de pc ook worden teruggezet naar de fabrieksinstellingen. Hebt u nooit een back-up gemaakt, dan bent u daarmee wel al uw bestanden kwijt.

Wat doet de politie tegen ran­somware?

Opsporingsdiensten zien de verspreiding van ransomware als een uiterst serieus en strafbaar vergrijp. De politie zet daarom speciale cybercrimeteams in met digitale rechercheurs die goed op de hoogte zijn van de nieuwste ontwikkelingen. Omdat cybercriminaliteit niet zelden grensoverschrijdend is, werkt de politie nauw samen met Europol, Interpol en de Amerikaanse FBI.

Sinds juli dit jaar is er –op initiatief van de Nederlandse politie, Europol en een aantal computerbeveiligingsbedrijven– een website online ter bestrijding van ran­somware. De site, nomoreransom.org, biedt advies over wat te doen bij een aanval, geeft hulp bij het doen van aangifte en bevat ‘gereedschap’ om besmettingen met ransomware ongedaan te maken. In de eerste twee maanden dat de site bestond, wisten zo al 2500 gedupeerden hun computer te bevrijden uit de greep van cyberboeven. Daarmee bespaarden ze gezamenlijk 1,35 miljoen euro.

Vorige maand werd bekend dat zich politiekorpsen uit dertien landen bij het initiatief willen aansluiten, onder meer uit Frankrijk, Italië, Portugal, Spanje, Zwitserland en het Verenigd Koninkrijk.