Go to Top

Bang voor ransomware? Pas vooral op voor Ranscam!

ransomware voorkomen

Ransomware-aanvallen zijn helaas niet zeldzaam. Tijdens zo’n aanval wordt een computer, server of een heel netwerk geïnfecteerd met een code die verbinding probeert te maken met een externe server en vervolgens alle data versleutelt. Slaagt de ransomware hierin verschijnt er een bericht waarin losgeld geëist wordt. De daders beloven je de sleutel voor het ontsleutelen van de data te geven, maar houden niet altijd hun woord. Ranscam gaat nog een stapje verder.

Betalen loont niet

In veel gevallen van ransomware-aanvallen waarbij bedrijven of consumenten het geëiste losgeld betaalden kregen ze uiteindelijke toch geen sleutel. Dit kan verschillende oorzaken hebben gehad: een verkeerde versleuteling van de ransomware waardoor de bestanden niet ontsleuteld konden worden, hackers die zo succesvol waren met zoveel slachtoffers dat ze de juiste sleutels niet meer konden vinden, hackers die op de hielen werden gezeten door de politie en daardoor zoveel haast hadden om weg te komen en te schuilen dat het erbij inschoot; het kan allemaal. Juist om deze mogelijke redenen voor het niet terugkrijgen van je data, al heb je wel betaald, waarschuwt de politie bijna overal ter wereld voor het betalen van losgeld bij een ransomware-aanval.

Kijk uit voor Ranscam

Er is ook een andere soort virus dat gevaar met zich meebrengt: Ranscam. Voor het eerst verschenen in 2016, maar ook in 2017 zijn er gevallen geweest van Ranscam-aanvallen. Ranscam is een computervirus dat beweert bestanden te versleutelen; er verschijnt dan een landingspagina waar losgeld in bitcoins wordt geëist. De druk wordt opgevoerd door te beweren dat bij elke druk op een toets van het toetsenbord een bestand verwijderd wordt.

In werkelijkheid is het echter nog erger. Ranscam is een soort nep-ransomware, verpakt in een .NET-uitvoerbaar-bestand. Er wordt beweerd dat bestanden versleuteld worden, maar in feite worden ze gewoon verwijderd. Wanneer het bericht verschijnt en het losgeld wordt geëist, zijn de bestanden al gewist, en Ranscam is niet in staat ze terug te halen. De landingspagina is ook niet echt een website, maar een JPEG-afbeelding. Daarom is er ook geen verborgen permanente netwerkverbinding naar de hackers.  Je kan klikken op een knop om je betaling te controleren, maar het enige wat die doet is een HTTP-GET-verzoek indienen voor twee PNG-afbeeldingen die de betalingscontrole moeten nabootsen. Het betalen van losgeld aan de hackers is daarom volkomen nutteloos. Een gedetailleerde beschrijving van het oorspronkelijke Ranscam-virus lees je hier: http://blog.talosintelligence.com/2016/07/ranscam.html.

Ranscam: domme ransomware

In dit artikel uit 2016 werd al gezegd dat dit soort ”domme ransomware” ook meteen het gevaarlijkst is. En dat is helemaal waar. Dit omdat als het wisproces in de Ranscam-code technisch op de goede manier wordt uitgevoerd, er bijna geen mogelijkheid is voor de gebruiker of zelfs datarecoveryexperts om de data terug te krijgen.  Gelukkig voor de gebruikers zijn de Ranscam-varianten die tot dusver ontdekt zijn nogal amateuristisch samengesteld. Maar dit betekent niet dat dit altijd zo zal blijven. Dit soort aanvallen kunnen een wereldwijde golf van computersabotages teweegbrengen, waarvan ook jij slachtoffer kan worden.

Ransomware voorkomen

De twee belangrijkste dingen om te onthouden, en dit geldt ook voor ’normale’ virussen of ransomware, zijn:

  • Open geen e-mails en/of bijlagen van onbekende afzenders. Gewoon verwijderen, mocht het belangrijk zijn zullen ze wel opnieuw contact met je opnemen.
  • Bezoek geen verdachte websites. Er zijn veel websites waar illegaal verkregen software, films, tv-series of manieren om softwarebeveiliging te omzeilen worden aangeboden. Het zijn juist dit soort websites die een bedreiging vormen voor de internetgebruiker. Sommige van deze sites zijn doordrenkt met computervirussen, en het bezoeken ervan met een bedrijfscomputer of eigen werkcomputer is gewoon not done!

Geen hoop meer na een Ranscam-aanval?

Al wordt er in veel artikelen op gewezen dat je data voorgoed verloren zijn als je slachtoffer bent geworden van een Ranscam-aanval, is het toch goed om je opslagmedia door een professionele datarecoveryprovider zoals Kroll Ontrack te laten nakijken. In de meeste gevallen is het toch nog mogelijk dat je gegevens kunnen worden gered door een expert. De data kunnen nog aanwezig zijn in de diepe datastructuren van een harde schijf als de wismethode van het Ranscam-virus niet 100 % doeltreffend was, of er kunnen nog kopieën van de data in andere delen van de opslagapparatuur gevonden worden. Ieder geval is uniek en dus kan het zeker nog niet te laat zijn voor je bestanden.

Kroll Ontrack geeft voor ieder specifiek geval een realistische beoordeling of data hersteld kunnen worden en hoe moeilijk dit zal zijn en hoe lang dit zal duren. Dus is het eerste wat je doet als je getroffen bent door Ranscam: je computer op de juiste manier afsluiten en contact opnemen met Kroll Ontrack.

Lees voor meer informatie over data recovery: https://www.ontrack.com/nl-nl/data-recovery/.

Picture copyright: Alexandra H. / pixelio.de
https://www.pixelio.de/media/531675

, , ,