Al je vragen over ransomware worden hier beantwoord in onze ultieme gids. Ontrack is marktleider in het herstellen van data van ransomware-aanvallen.
Wat is ransomware? De complete gids
Ransomware is een vorm van schadelijke software die is ontworpen om de toegang tot een computersysteem te blokkeren of bij doxware om de persoonlijke gegevens van een slachtoffer online te publiceren. De aanvaller eist losgeld van het slachtoffer en belooft - niet altijd naar waarheid - de toegang tot de gegevens tegen betaling te herstellen.
Sinds de jaren tachtig zijn er verschillende ransomware-trojans verschenen. Maar de echte kansen voor aanvallers zijn toegenomen sinds de introductie van de Bitcoin. Met deze cryptocurrency kunnen aanvallers gemakkelijk geld van hun slachtoffers ontvangen zonder via traditionele kanalen te gaan.

Ransomware aanval
Een ransomware-aanval begint wanneer schadelijke software op een apparaat wordt gedownload. Het apparaat kan een laptop, smartphone of desktop computer zijn. Het downloaden van schadelijke software is vaak een fout van gebruikers of het gevolg van slechte beveiligingsprotocollen.
In de afgelopen jaren zijn phishing-aanvallen een populaire manier geworden om ransomware te verspreiden. Bij een phishingaanval voegt een cybercrimineel een geïnfecteerd document of een geïnfecteerde URL toe aan een e-mail. Dit wordt vermomd als een legitieme e-mail, in de hoop dat de ontvanger wordt misleid om deze te openen. Eenmaal geopend, wordt de ransomware op het apparaat geïnstalleerd.
De 'Trojan Horse' is een andere populaire aanvalsstijl. Dit houdt in dat ransomware online wordt vermomd als legitieme software. Nadat de gebruiker de software heeft geïnstalleerd worden de apparaten geïnfecteerd.
Zodra ransomware een systeem heeft geïnfecteerd, neemt deze belangrijke processen op het apparaat over en zoekt deze naar bestanden om te versleutelen. De ransomware kan gegevens op het apparaat door elkaar gooien of de bestanden verwijderen die het niet kan versleutelen. Alle externe apparaten die op de hostcomputer zijn aangesloten, worden ook geïnfecteerd. Het virus stuurt ook signalen naar andere apparaten op het geïnfecteerde netwerk in een poging deze ook te infecteren.
Phishing en Doxware
Phishing
Het meest voorkomende bezorgsysteem voor ransomware is via phishing-spam: bijlagen die in de e-mail van een slachtoffer binnenkomen en zich voordoen als een bestand dat ze kunnen vertrouwen. Volgens onderzoek van een beveiligingssoftwarebedrijf, Trend Micro, begint 91% van de cyberaanvallen en vervolgs het datalek met een spear-phishing-e-mail.
Nadat de bijlage is gedownload en geopend, kan de malware de computer van het slachtoffer overnemen en enkele bestanden van de gebruiker versleutelen. Wanneer dit gebeurt, kunnen de bestanden alleen worden ontsleuteld via een sleutel die alleen bekend is bij de aanvaller.
Er hebben zich ook situaties voorgedaan waarin malware een bericht weergeeft waarin wordt beweerd dat de ‘Windows’ omgeving van de gebruiker is vergrendeld. De gebruiker wordt vervolgens aangemoedigd om een "Microsoft" telefoonnummer te bellen en een zescijferige code in te voeren om het systeem opnieuw te activeren. Het bericht beweert dat het telefoongesprek gratis is, maar dit is niet waar. Terwijl de gebruiker met deze nep ‘Microsoft’ aan het bellen is, worden de kosten voor interlokale gesprekken in rekening gebracht.
Doxware
Een andere vorm van malware wordt leakware of doxware genoemd. Hier dreigt de aanvaller gevoelige gegevens vrij te geven op de harde schijf van het slachtoffer, tenzij er losgeld wordt betaald. Vaak richt de aanvaller zich op e-mails en Word-documenten. Er zijn ook mobiele varianten waarbij privéberichten, afbeeldingen en lijsten met contactpersonen van de telefoons van gebruikers worden vrijgegeven.
Het is bekend dat Doxware effectiever is dan ransomware - wat betreft het verkrijgen van het geld van het slachtoffer. Met ransomware kun je aparte back-ups maken van gegevens die niet langer toegankelijk zijn, maar met doxware kun je, als een aanvaller eenmaal informatie heeft die het slachtoffer niet openbaar wil maken, weinig anders doen dan betalen.
Varianten van Ransomware
Er zijn veel verschillende varianten van ransomware, en er worden voortdurend nieuwe gemaakt. Hieronder staan de meest terugkerende en bekende soorten ransomware:
Anatova
In 2019 werd de ransomware Anatova voor het eerst ontdekt. Deze nieuwe ransomwarefamilie vermomt zichzelf als het icoon van een game of applicatie om de gebruiker te misleiden om het te downloaden. Dit is een uiterst geavanceerde vorm van malware. Het past zich snel aan en gebruikt ontwijkings- en verspreidingstechnieken om ontdekking te voorkomen. Dankzij het modulaire ontwerp kan het extra functionaliteiten bevatten om anti-ransomwaremethoden te dwarsbomen. Gelukkig ontdekte het McAfee Advanced Threat Research-team deze nieuwe ransomwarefamilie begin 2019 voordat het een significante bedreiging werd.
Dharma
De Dharma-ransomware, een variant van CrySiS, bestaat al sinds 2018, maar cybercriminelen blijven nieuwe varianten vrijgeven, die onmogelijk te decoderen zijn.
GandCrab
Schadelijke ransomware die AES-codering gebruikt en een bestand met de naam ‘GandCrab.exe’ op het systeem plaatst. GandCrab richt zich op consumenten en bedrijven met pc's met Microsoft Windows. Op 31 mei 2019 stuurden de cybercriminelen achter GandCrab een aankondiging waarin ze zeiden dat ze alle verdere GandCrab-ransomwareaanvallen stopten en beweerden dat ze meer dan $ 2 miljard aan losgeld hadden verdiend en van een "welverdiende pensioen" gingen genieten.
Emotet
Emotet was oorspronkelijk een vorm van malware die zich op banken richtte. De malware sloop je computer binnen en stal gevoelige privé-informatie. Emotet werd voor het eerst gesignaleerd in 2014 en heeft sindsdien verschillende versies gekend. Deze malware heeft zich geëvolueerd tot ransomware die zelfs door sommige anti-malwareproducten niet wordt gevonden. Sinds de oprichting heeft Emotet bankinloggegevens, financiële gegevens en Bitcoin-wallets gestolen van particulieren, bedrijven en overheidsinstanties in Europa en de VS.
Emotet heeft kenmerken die lijken op die van computerwormen. Hackers kunnen van deze kenmerken gebruikmaken om Emotet te verspreiden naar andere computers door middel van spammails. De spammails zien er legitiem uit en zijn opgesteld in verleidelijke taal, die het slachtoffer moet foppen en overhalen om op een link te klikken.
Emotet is een van de duurste en meest destructieve vormen van malware. Volgens het Department of Homeland Security, het Amerikaanse ministerie van binnenlandse veiligheid, kost het gemiddeld meer dan $ 1 miljoen om een Emotet-aanval op te ruimen.
Ryuk
Om zo veel mogelijk geld uit een aanval te slepen, richt Ryuk zich specifiek op grote organisaties. Volgens CrowdStrike heeft Ryuk tussen augustus 2018 en januari 2019 meer dan 705,80 bitcoins opgeleverd in 52 transacties met een totale waarde van $ 3.701.893,98. Deze ransomware baarde voor het eerst opzien met een aanval op de activiteiten van Tribune Publishing tijdens de kerstperiode van 2018. Aanvankelijk dacht het bedrijf dat de aanval slechts een serverstoring was, maar al snel was duidelijk dat het de Ryuk-ransomware betrof.
Een andere term voor ransomware zoals Ryuk, die grote ondernemingen als doelwit heeft, is 'big game hunting'. Deze grootschalige aanvallen gaan gepaard met uitgebreide campagnes die specifiek worden gericht op de afzonderlijke doelwitten, waardoor de effectiviteit van de aanvallen wordt verhoogd. 'Big game hunting' vergt daarom veel meer moeite van de hacker. Deze aanvallen worden normaliter dan ook uitgevoerd in fasen. Fase één kan bijvoorbeeld een phishingaanval zijn met als doel een bedrijfsnetwerk te infecteren met malware om het systeem in kaart te brengen en cruciale doelwitten te identificeren. Fasen twee en drie zullen dan een reeks afpersings- en losgeldaanvallen/eisen zijn.
Ben ik een doelwit voor ransomware?
Geen enkele branche is veilig voor de effecten van ransomware. Helaas zijn sommige branches gevoeliger voor succesvolle aanvallen dan andere. Hiervoor zijn verschillende redenen, waaronder de technologie die ze inzetten, de beveiliging die ze hebben, identiteitsbeheer en volwassenheid van bevoegdheden, en hun algehele cyberbeveiligingsprotocollen.
- Kans
- Potentieel financieel gewin
Moet ik het losgeld betalen?
Je zou denken dat het betalen van losgeld om toegang te krijgen tot je gegevens al erg genoeg was, maar dat kan verbleken in vergelijking met de daadwerkelijke kosten van een aanval. Dit kan zijn:
- Schade en vernietiging (of verlies) van gegevens
- Verloren productiviteit
- Verstoring van de normale werkzaamheden na een aanval
- Forensisch onderzoek
- Herstel en verwijdering van gegijzelde gegevens en systemen
- Reputatieschade
Opleiding van medewerkers als directe reactie op de aanvallen
Als je met het bovenstaande rekening houdt, is het geen wonder dat de schade door ransomware naar verwachting dit jaar oploopt tot $ 11,5 miljard, met een iedere 14 seconden een aanval (vorig jaar iedere 40 seconden).
Wat te doen als je wordt aangevallen door ransomware
- Blijf kalm. Overhaaste beslissingen kunnen verder gegevensverlies veroorzaken. Als je bijvoorbeeld een infectie ontdekt en plotseling de stroom naar een server uitschakelt, in plaats van deze op de juiste manier uit te schakelen, kun je naast de geïnfecteerde gegevens ook andere gegevens verliezen.
- Betaal nooit het losgeld omdat aanvallers je gegevens mogelijk niet ontgrendelen. Er zijn veel gevallen van slachtoffers die het gevraagde losgeld betalen en hun gegevens niet terugkrijgen. In plaats van dit risico te lopen, zouden bedrijven moeten samenwerken met experts op het gebied van data recovery die mogelijk weer toegang kunnen krijgen tot gegevens (door reverse-engineering toe te passen op de malware).
- Controleer je meest recente set back-ups. Als ze in tact en up-to-date zijn, wordt het gegevensherstel gemakkelijker, door de back-up op een ander systeem te herstellen.
- Neem contact op met een expert om herstelopties te bekijken. Een deskundige gegevensherstelspecialist zal je scenario onderzoeken om te zien of er al een oplossing bestaat; zo niet, dan zouden ze er op tijd één moeten kunnen ontwikkelen.

Hoe je een ransomware-aanval kunt voorkomen
Ransomware varianten zijn gericht op verschillende zakelijke branches. De hoogste risicodoelstellingen zijn de gezondheidszorg, financiële instellingen en overheidsinstanties. Degenen die risico lopen, moeten voorzorgsmaatregelen nemen om hun risico te verminderen en de effecten van een aanval te verminderen.

- Zorg ervoor dat je up-to-date back-ups hebt - op deze manier is het herstellen van je bestanden vanaf een back-up de snelste manier om weer toegang te krijgen tot je gegevens als er iets gebeurt.
- Wees voorbereid door regelmatig back-ups te testen. Organisaties moeten bekend zijn met wat er in back-uparchieven wordt opgeslagen en ervoor zorgen dat de meest kritieke gegevens toegankelijk zijn als ransomware zich richt op back-ups.
- Implementeer beveiligingsbeleid. Gebruik de nieuwste antivirus- en antimalwaresoftware en controleer consequent om infecties te voorkomen.
- Ontwikkel IT-beleid dat infecties op andere netwerkbronnen beperkt. Bedrijven moeten voorzorgsmaatregelen nemen, dus als een apparaat geïnfecteerd raakt met ransomware, ervoor zorgen dat het niet doordringt tot het hele netwerk.
- Geef gebruikerstrainingen, zodat alle medewerkers een mogelijke aanval kunnen herkennen. Zorg ervoor dat medewerkers op de hoogte zijn van best practices om te voorkomen dat ze per ongeluk ransomware downloaden of het netwerk openstellen voor buitenstaanders.
- Zorg ervoor dat je content scant en filtert op je mailservers. Scan elke inkomende e-mail op bekende bedreigingen en blokkeer alle soorten bijlagen die een bedreiging kunnen vormen.
- Download onze beste tips om ransomware te voorkomen.
- Bekijk ons ransomware-webinar.
Hoe Ontrack organisaties heeft geholpen die door ransomware zijn getroffen
Bij Ontrack volgen we constant 271 verschillende soorten ransomware. Ransomware verandert en ontwikkelt zich voortdurend, dus we willen ervoor zorgen dat we de laatste veranderingen en vorderingen in de gaten houden en bestuderen. Door ransomware en zijn steeds veranderende vormen te bestuderen, is de kans groter dat we gegevens kunnen herstellen die verloren zijn gegaan als gevolg van een aanval.
Begin direct met het herstellen van uw gegevens!
Neem direct contact op met ons team van experts. Ontrack data recovery is geschikt voor iedereen - van de grootste bedrijven en overheidsinstellingen tot de consument die digitale foto's kwijt is geraakt.
0800 4 200 008 Neem contact op