Wat is ransomware en hoe hiertegen te beschermen

Ransomware is een vorm van malware die media, documenten en andere bestanden op de doel-pc versleutelt en toegang tot die bestanden wordt alleen verleend als aan de losgeldvereisten van de aanvaller is voldaan.

Momenteel zijn er twee soorten ransomware - een die bepaalde bestanden op een computer vergrendelt en een andere die het hele systeem vergrendelt. De laatste is meestal te vinden op smartphones.

Ransomware bestaat nu al meer dan tien jaar. De eerste gevallen van een dergelijke aanval werden in 2005 in Rusland gevonden met Trojan GPcoder.

Vroege geschiedenis: The Russian Connect

Het eerste bekende ransomware-virus dat op grote schaal problemen veroorzaakte, werd ontwikkeld door Russische georganiseerde criminelen en kwam naar voren in 2005 en 2006.

Deze met malware geïnfecteerde pc's in Rusland, Wit-Rusland, Oekraïne en Kazachstan. Een van de soorten malware heette Archievus en een andere genaamd Troj_Cryzip.A.

Terwijl de eerste de map 'Mijn documenten' versleutelde, identificeerde de laatste en bepaalde bestandstypen in een pc naar een met een wachtwoord beveiligde zip-map, die alleen zou worden ontgrendeld als het slachtoffer een paar honderd dollar aan de aanvaller via E-Gold overdroeg - elektronische valuta vóór Bitcoin.

E-Gold werd in 2009 stopgezet op aanwijzing van de Amerikaanse overheid omdat een groot aantal criminelen het gebruikte om geld wit te wassen. Daarna worden Bitcoin en prepaid debetkaarten gebruikt als een methode voor het verzamelen van losgeld.

Tegen het einde van het eerste decennium kwamen er ook talloze ransomware-aanvallen op die zich voordoen als wetshandhavingsinstanties. Deze aanvallers zouden de slachtoffers lastigvallen met valse beschuldigingen zoals inbreuk op het auteursrecht en 'boetes' opeisen voor deze niet-bestaande aanklachten.

De meest beruchte van deze wetshandhavende imitators was Reveton, een ransomware die lokaal zou werken. Afhankelijk van het land waar het slachtoffer is gevestigd, zou Reveton zich voordoen als de nationale politie.

De ontwikkelaars hebben lokalisatie-inspanningen geleverd voor bijna alle Europese landen, de VS, Australië, Canada en Nieuw-Zeeland. De ransomware gebruikte geen codering om de bestanden van de gebruiker te vergrendelen, wat het gemakkelijker maakte om te verwijderen met een antivirus of via de veilige modus.

In 2012 richtte een andere ransomware zich op Windows Master Boot Record (MBR) en verving het door een kwaadaardige code. Wanneer een geïnfecteerd systeem werd opgestart, zou de gebruiker instructies ontvangen om een ​​flink bedrag te betalen via QIWI - een betaalsysteem in Russische handen - om toegang te krijgen tot hun apparaat.

Moderne crypto-ransomware

Een van de moderne ransomware-methoden werd voor het eerst gevonden in 2012-2013. CryptoLocker was het eerste alom succesvolle malware-programma dat ten noorden van $ 27 miljoen aan losgeld vergaarde.

CryptoLocker is gecodeerd met een 256-bit AES-sleutel en een 2048-bit RSA-sleutel, waardoor de codering bijna onbreekbaar is, zelfs als de malware wordt verwijderd - waardoor het een van de meest effectieve manieren is voor aanvallers.

De slachtoffers van deze aanvallen werden gevraagd om $ 400 of meer te betalen om de decoderingssleutel te ontvangen en werden bedreigd met het verwijderen van de sleutel als ze niet binnen 72 uur betaalden.

In 2014 werd CryptoLocker verwijderd door een consortium van overheidsinstellingen, beveiligingsbedrijven en academische instellingen in Operatie Tovar. Later lanceerden ze ook een service voor mensen die getroffen zijn door CryptoLocker waarmee ze hun apparaten gratis konden decoderen.

Hoewel de dreiging van CryptoLocker niet lang duurde, maar het hielp aanvallers zeker de wereld van ransomware te verkennen en na te gaan hoe lucratief het kan zijn - resulterend in een aantal soorten ransomware die daarna op de markt worden vrijgegeven.

CryptoLocker werd gevolgd door TorrentLocker, een ransomware-programma dat opdook als een e-mailbijlage - meestal een woordbestand met kwaadaardige macro's - dat bepaalde soorten bestanden op de computer vergrendelde met een AES-codering.

De TorrentLocker is nog steeds actief en is de afgelopen jaren enorm geëvolueerd. De nieuwere versies hernoemen alle geïnfecteerde bestanden op een computer, waardoor het voor de gebruiker onmogelijk is om te identificeren welke bestanden zijn gecodeerd en de bestanden via back-up te herstellen.

Ransomware infecteert niet alleen Windows-pc, maar ook Linux en Mac OS. In 2015 werd een ransomware-stam aangetroffen die pc's op Linux infecteerde en in 2016 werd een stam gevonden die bedoeld was om Mac-computers aan te vallen.

In het afgelopen decennium zijn crypto-ransomware-aanvallen dramatisch toegenomen omdat nep-antivirus en andere misleidende apps in aantal zijn afgenomen. Alleen al in 2016 werden 638 miljoen gevallen van ransomware gemeld.

Hoe het te bestrijden?

Er is een gezond aantal websites en beveiligingsbedrijven die mensen proberen te informeren over de bedreigingen van malware en hen ook voorzien van hulpmiddelen om dit te voorkomen, en de informatie ontgrendelen die door een aanvaller is vergrendeld.

Populaire antivirusservice zoals Avast heeft hun decoderingstools voor Windows en voor Android bedacht om mensen te helpen de groeiende dreiging van ransomware aan te pakken. Deze tools zijn gratis te gebruiken en dekken een breed scala van ransomware, hoewel sommige van de nieuwe misschien niet worden gedekt, maar het kan je nog steeds een begin geven.

No More Ransom is een website die nieuws biedt over de nieuwste ontwikkelingen in de ecosfeer van ransomware en gebruikers naar hulpmiddelen leidt die kunnen worden gebruikt om deze bedreigingen te bestrijden. De website is een gezamenlijke inspanning van de Nederlandse politie, Europol, Kaspersky Lab en Intel Security.

Als u een tool hebt gevonden die u kan helpen bij het decoderen van de ransomware die op uw pc van toepassing is, hoeft u deze alleen te identificeren. ID Ransomware is een website die u hierbij helpt, het enige dat u hoeft te doen is een kopie van de losgeldbrief te uploaden.

Als u op zoek bent naar een tool die uw Windows-pc in realtime beschermt, dan is CyberReason Ransomfree het antwoord op uw behoeften.

Ransomware is een bedreiging geweest in het tijdperk van apparaten die met internet zijn verbonden en naarmate IoT gemeengoed wordt, kan het een nog groter probleem blijken te zijn.

Momenteel heeft ransomware alleen invloed op uw apparaat of bestanden en trekt het gebruikerstoegang in totdat het losgeld is betaald, maar met de opkomende populariteit van Smart Home-apparaten zou het verliezen van toegang tot uw apparaat slechts het begin van uw zorgen zijn.