Ransomware: Q&A

Geschiedenis van ransomware

1986: De eerst bekende ransomware, de 1989 AIDS Trojan (ook bekend als «PC Cyborg»), is geschreven door Joseph Popp
2005: In mei, afpersing via ransomware verschijnt
2006: halverwege 2006, worms zoals Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, en MayArchive beginnen met geavanceerde RSA encryptie met steeds toenemende sleutelgrootte
2011: Een ransomware-worm welke het Windows productactivatiescherm nabootst verschijnt
2013: Een ransomware-worm gebaseerd op de Stamp.EK exploit kit verschijnt en een Mac OS X-specifieke ransomware worm betreed het toneel. CryptoLocker haalt 4,5 miljoen euro binnen in de laatste vier maanden van het jaar
2015: Meerdere varianten op meerdere platformen veroorzaken grote schade

Soorten ransomware

  • Encryptie Ransomware

De ransomware versleuteld persoonlijke bestanden en mappen (documenten, spreadsheets, afbeeldingen en video's).

De getroffen bestanden en mappen worden verwijderd. Na versleuteling vinden gebruikers een tekstbestand met betaalinstructies in dezelfde map als de nu ontoegankelijke bestanden.

Het probleem wordt mogelijk pas ontdekt bij een poging tot het openen van een van de bestanden.

Sommige varianten van encryptie-ransomware tonen een zogenaamd 'lock screen' of afpersbericht:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Lock Screen Ransomware — WinLocker

Vergrendelt het computerscherm en eist betaling.

Een afbeelding wordt over het volledige scherm getoond waardoor andere vensters niet zichtbaar zijn.

De persoonlijke bestanden worden niet versleuteld.

Polyransom2

  • Master Boot Record (MBR) Ransomware

De Master Boot Record (MBR) is het deel van de harde schijf van de computer dat ervoor zorgt dat het besturingssysteem kan opstarten.

MBR ransomware verandert het MBR waardoor het normale startproces verstoord wordt.

In plaats daarvan verschijnt er een afpersbericht.

Master-Boot.jpg

  • Ransomware die webservers versleutelt

Deze ransomware richt zich op webservers en versleutelt een aantal bestanden op de webserver.

Bekende kwetsbaarheden in Content Management Systemen worden veelal gebruikt om de ransomware op webservers te installeren.

Ransomware encrypting web servers

  • Mobiele apparaten (Android)

Mobiele apparaten (meestal Android) kunnen geïnfecteerd worden via “drive-by downloads”.

Infectie kan ook plaatsvinden via valse apps die zich voordoen als populaire diensten zoals Adobe Flash of een anti-virusproduct.

Mobile Ransomware

Moet ik betalen als ik geïnfecteerd ben?

Het betalen van losgeld wordt altijd afgeraden omdat dit geen garantie voor een oplossing van het probleem biedt. Er zijn een aantal zaken die per ongeluk fout kunnen gaan. Zo zou het bijvoorbeeld kunnen gebeuren dat er programmeerfouten in de malware zitten die de versleutelde data onherstelbaar maken zelfs als u de juiste sleutel heeft om de data te ontsleutelen.

Daarnaast geeft betalen een signaal aan de criminelen dat de ransomware effectief is. Het resultaat is dat cybercriminelen door zullen gaan met hun activiteiten en nieuwe manieren zullen zoeken om systemen uit te buiten. Dit zal resulteren in nog meer infecties en daardoor meer geld op hun rekening.

Hoe werkt een ransomware-aanval?

Een ransomware-aanval wordt meestal afgeleverd via een uitvoerbaar bestand, archief of afbeelding in een e-mailbijlage. Nadat de bijlage is geopend installeert de malware zich in het systeem van de gebruiker. Cybercriminelen kunnen de malware ook aanbieden vanaf websites. Zodra de gebruiker nietsvermoedend de website bezoekt wordt de malware in het systeem van de gebruiker geïnstalleerd.

De infectie is niet direct merkbaar voor de gebruiker. De malware draait onzichtbaar op de achtergrond tot het versleutelingsmechanisme gereed is. Hierna verschijnt er een dialoogscherm waarin de gebruiker geïnformeerd wordt over de versleuteling van zijn data en de eis om te betalen voor ontsleuteling. Op dat moment is het te laat om data nog te redden door middel van beveiligingsmaatregelen.

Voor meer informatie kunt u onderstaande video bekijken:

Wie zijn de slachtoffers van ransomware?

Iedere consument of bedrijf kan het slachtoffer worden van ransomware. Cybercriminelen zijn niet selectief en vaak infecteren zij het liefst zo veel mogelijk systemen om zoveel mogelijk te verdienen.

Neemt het aanval ransomware-aanvallen tegen bedrijven toe?

Ja. Cybercriminelen weten dat bedrijven eerder zullen betalen omdat de data vaak vertrouwelijke en bedrijfskritische data die nodig is om de bedrijfsactiviteiten voort te zetten. Daar komt bij dat het herstellen van data vanuit back-ups soms duurder kan zijn dan betalen van het losgeld.

Waarom is het zo lastig om een algehele oplossing te vinden tegen ransomware?

Ransomware is in opmars – Er zijn al meer dan 50 families van deze malware in omloop — en de ontwikkelingen gaan snel. Met iedere nieuwe variant komen er betere versleutelingen en nieuwe functionaliteiten!

Een van de redenen waarom het zo lastig is om een algehele oplossing te vinden is omdat versleuteling (encryptie) en het gebruik hiervan niet per definitie kwaadaardig is.

De eerste crypto-malware maakte gebruik van symmetrische cryptografie met dezelfde sleutel voor versleuteling en ontsleuteling. Versleutelde data kon over het algemeen succesvol worden ontsleuteld met de hulp van beveiligingsbedrijven. Naarmate de tijd vorderde begonnen cybercriminelen gebruik te maken van asymmetrische cryptografie waarbij er twee sleutels zijn, een publieke sleutel voor de versleuteling en een privé sleutel nodig voor de ontsleuteling.

De CryptoLocker Trojan is een van de bekendste ransomware die gebruik maakt van een publieke sleutel algoritme (asymmetrische cryptografie). Iedere computer die geïnfecteerd raakt verbindt met de command-and-control server (centrale server waarvandaan de malware aangestuurd kan worden) om de publieke sleutel te downloaden. De privésleutel is enkel toegankelijk voor de criminelen die de ransomsoftware hebben geschreven. Meestal heeft de gebruiker uiterlijk 72 uur de tijd om het gevraagde losgeld te betalen voordat de privésleutel voor altijd verwijderd wordt en ontsleuteling van alle bestanden onmogelijk is geworden.

Voorkomen heeft dus de absolute topprioriteit! De meeste anti-virussoftwarepakketten beschikken al over een component die helpt in het herkennen van ransomware in een vroeg stadium van infectie zonder dat daarbij gevoelige data verloren gaat. Het is belangrijk dat gebruikers erop letten dat deze functionaliteit geactiveerd is binnen hun anti-virusoplossing.

Wat is de kans dat jullie slachtoffers van ransomware kunnen helpen in het terugkrijgen van toegang tot hun bestanden?

Het “No-More-Ransom” project is nog maar net gestart. Beveiligingsbedrijven en opsporingsdiensten zijn continue samen aan het werk om zoveel mogelijk sleutels te identificeren van zoveel mogelijk varianten. Als u informatie heeft waarvan u de overtuiging heeft dat deze kan helpen, deel deze dan met ons.

Wat is Crypto Sheriff en hoe gebruik ik het?

De Crypto Sheriff is is een applicatie ontwikkeld om ons te helpen het soort ransomware dat uw systeem beinvloed te herkennen. Hiermee kunnen we controleren of er een ontsleuteloplossing beschikbaar is. Onderstaande video laat zien hoe dit werkt:

Jullie ontsleutelprogramma werkt niet terwijl ik zeker weet dat ik de juiste gebruik - waarom?

Dit is mogelijk. Soms krijgen we enkel een deel van de sleutels. Blijf dus de website in de gaten houden. Op het moment dat meer sleutels beschikbaar komen worden die zo snel mogelijk gepubliceerd.

Wanneer is het mogelijk om bestanden te ontsleutelen die versleuteld zijn met ransomware?

Dit is mogelijk in de volgende gevallen:

  • De malwaremakers hebben een programmeerfout gemaakt waardoor het mogelijk is de encryptie te breken. Dit was bijvoorbeeld het geval bij de Petya ransomware en bij de CryptXXX ransomware.
  • De malwaremakers hebben spijt van hun acties en publiceren de sleutels of een master key, zoals bij de TeslaCrypt zaak.
  • Opsporingsinstanties nemen een server in beslag met sleutels daarop en publiceren deze. Een voorbeeld daarvan is CoinVault.

Soms werkt het ook om het losgeld te betalen, maar er is geen garantie dat betalen uiteindelijk zal leiden tot het ontsleutelen van uw bestanden. Daar komt bij dat u het verdienmodel van de criminelen in stand houdt. De criminelen zullen daarom met hun activiteiten doorgaan waardoor meer en meer mensen slachtoffer zullen worden van ransomwarebesmettingen.

Waarom zijn jullie het No More Ransom initiatief gestart?

Het is geen geheim dat ransomware, die data versleuteld op het systeem van een gebruiker en daarna losgeld eist, een groot probleem is geworden voor cybersecurity in het afgelopen paar jaar. Het is zo wijd verspreid geraakt dat we het een epidemie kunnen noemen. Het aantal door ransomware aangevallen gebruikers is stijgende. Tussen april 2015 en maart 2016 zijn 718.000 gebruikers het doelwit van ransomware geweest. Dit is een toename van 550% in vergelijking met de periode 2014-2015.

De politie kan cybercrime, en ransomware in het bijzonder, niet in zijn eentje verslaan. Beveiligingsonderzoekers kunnen dan weer niet zonder de hulp van opsporingsdiensten (politie). Deze gedeelde verantwoordelijkheid voor het gevecht tegen ransomware wordt onderkend en gedeeld door de politie, het openbaar ministerie, Europol en IT-beveiligingbedrijven. Het vereist namelijk een gezamenlijke aanpak. Samen zullen we er alles aan doen wat in onze macht ligt om het verdienmodel van criminelen te verstoren en om bestanden bij de rechtmatige eigenaar terug te krijgen zonder uiteindelijk geld te hoeven betalen.

Zijn er vergelijkbare initiatieven in mijn land?

No More Ransom is een internationaal initiatief dat laat zien hoe waardevol publiek-private samenwerking is in de serieuze aanpak tegen cybercrime. Deze samenwerking gaat verder dan geografische grenzen. Het hoofddoel van het project is kennisdeling en gebruikers leren hoe zij ransomwarebesmettingen kunnen voorkomen. Wij geloven dat dit uiteindelijk zal leiden tot het ondersteunen van herstel van de schade die wereldwijd slachtoffers is aangedaan. Door de toegang tot systemen te herstellen ondersteunen we gebruikers, laten zien dat er actie ondernomen kan worden en dat het belonen van criminelen door losgeld te betalen kan worden vermeden.

In de initiële fase bevat de website vier ontsleutelprogramma's voor verschillende malware varianten. Alle programma's op de website zijn gratis, en werken voor iedere gebruiker die besmet is met de op de website genoemde ramsomware-varianten - ongeacht waar deze gebruikers zich wereldwijd bevinden.