Ransomware (gijzel-software) voorkomen en verwijderen
Ronald Kamp Expert ElektronicaBijgewerkt op:23 november 2023
Wat is ransomware?
Ransomware is een type malware, ofwel kwaadaardige software. Deze software blokkeert je computer of versleutelt je bestanden. Pas als je losgeld (ransom) betaalt zou je de computer of de bestanden weer kunnen gebruiken. Andere termen voor ransomware zijn cryptoware of gijzelsoftware.
Ransomware is erg vervelend. Je kunt ongemerkt bijvoorbeeld je hele foto-archief of muziekverzameling, inclusief aangesloten back-ups, verliezen. Criminelen richten zich steeds vaker op bedrijven en instellingen, omdat daar meer geld te halen valt. Toch moet je als thuisgebruiker ook nog steeds opletten.
Zo herken je ransomware (gijzelsoftware)
- Ransomware gijzelt bestanden door ze te versleutelen. Je kunt bestanden dan niet meer openen. Criminelen stelen vooral bij bedrijven ook data. En ze dreigen deze openbaar te maken.
- Er wordt betaling geëist in de digitale munteenheid Bitcoin. Voor particulieren gaat het omgerekend vaak om honderden of zelfs duizenden euro's. Na een tijdslimiet wordt het bedrag soms opgehoogd. Bij bedrijven eisen criminelen soms zelfs tonnen of miljoenen.
- Besmetting verloopt via kwaadaardige bestanden. Die bestanden staan meestal in bijlages van e-mails. Ze gaan via een lek op je computer door niet-bijgewerkte software. Of via een gerichte hack. Dat laatste geldt vooral voor bedrijven.
Verdachte bestanden in e-mails zijn: zip-, exe-, js-, lnk- en wsf-bestanden. Ook Word- of Excel-bestanden die vragen om macro's in te schakelen zijn gevaarlijk. - Kijk uit voor nepmedewerkers van Microsoft die je opbellen. Je pc heeft zogenaamd een probleem en daarom willen ze op afstand inloggen. Daarna blokkeren ze je pc of bestanden met ransomware.
- De versleuteling kun je meestal niet zonder sleutel ongedaan maken. Als je geluk hebt is er wel een oplossing, zie de paragraaf Bestanden redden.
- Ransomware kan ook bestanden besmetten op aangesloten externe harde schijven of netwerkopslag die in Windows Verkenner een schijfletter heeft (zoals E:, F:, G:). Bewaar een back-up daarom gescheiden van de pc.
- Van sommige varianten zijn de sleutels door politie of beveiligingsonderzoekers gevonden, zie de paragraaf Tips om bestanden te redden.
- Namen van ransomware-varianten die bestanden versleutelen zijn bijvoorbeeld: Cerber, CTB-locker, Coinvault, CryptoLocker, LockerGoga, Locky, Petya, Ryuk, SamSam, Teslacrypt, TorrentLocker, WannaCry en Wildfire.
Praktijkvoorbeelden ransomware-mails
Nepmails met ransomware proberen je te verleiden op een link te klikken of bevatten een besmette bijlage. In de mails worden bijvoorbeeld (te hoge) factuurbedragen, boetes, incasso's of mislukte afleverpogingen genoemd. De details ervan zouden in de bijlage of achter een link staan. De bijlages of links bevatten onder andere vermomde uitvoerbare bestanden (factuur.pdf.exe), javascript(.js)-bestanden of Word-bestanden met kwaadaardige macro's. Soms zijn ze verpakt in een zip-bestand.
Bedrijfsnamen die hierbij als zogenaamde afzender worden misbruikt zijn onder meer KPN, Ziggo, Intrum Justitia en transportbedrijven. Ook zogenaamde scans van (Xerox-)kopieerapparaten en melding van autoschade komen voor.
Lees meer over phishing (nepmails) herkennen.
Tips om bestanden te redden
Helaas zijn bij een ransomware-besmetting bestanden vaak niet te redden als je geen back-up hebt. Doorloop de volgende stappen als je bestanden versleuteld zijn:
- Verwijder eerst de malware, zodat bestanden niet opnieuw worden versleuteld. Doe een uitgebreide scan met je virusscanner en een second opinion met vertrouwde software als Malwarebytes of Hitman Pro.
- Plaats een back-up van de bestanden terug. Voorwaarde is natuurlijk dat je een (recente) back-up hebt die niet versleuteld is door de cryptoware.
- Als je geluk hebt, zijn de makers van de cryptoware opgepakt. Of hebben politie of beveiligingsonderzoekers ontsleutelingsgegevens. Een overzicht van ransomware-decryptors vind je op nomoreransom.org. Het is een initiatief van onder meer Europol waarmee je onder hulp van criminelen je bestanden kunt redden. Voor nieuwere ransomware is er vaak geen oplossing.
- Zoek verborgen back-ups. Heb je geen back-up gemaakt, dan is er een kleine kans dat Windows dit automatisch heeft gedaan. Zo zoek je deze schaduwkopieën:
- Klik met je rechterknop een bestand of map.
- Klik op Eigenschappen > tabblad Vorige versies.
- Kijk of er een oudere versie staat die hersteld kan worden. Soms werkt dataherstelsoftware zoals het gratis recuva.
- Betaal losgeld. We raden deze optie erg af. Maar als de getroffen data erg belangrijk voor je zijn, kunnen we ons voorstellen dat je overstag gaat. Ervaringen tonen aan dat slachtoffers de sleutels vaak krijgen, maar er is geen garantie.
Ransomware en andere malware voorkomen
De kans op dataverlies bij ransomware is groot, daarom is het belangrijk om besmetting te voorkomen en regelmatig te back-uppen voor als dit toch gebeurt. Volg onderstaande tips om de kans op virussen en cryptoware te verkleinen:
- Installeer een goede virusscanner.
- Houd alle software up-to-date. Denk aan je besturingssysteem, internetbrowser, browseraanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Schakel Adobe Flash en Java uit.
- Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel.
- Schakel geen macro's in bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
- Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel bestandsextensies weergeven in, zodat je de vermomming kunt doorzien.
- En nogmaals: back-ups maken. Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.
Met (Apple's) macOS en Linux loop je veel minder risico. Maar ook deze systemen kunnen besmet worden.
Niet versleutelbare back-up maken
Er zijn verschillende manieren om een back-up te maken. Maar, let wel op. Niet elke manier van een back-up geschikt is om de versleuteling door ransomware te herstellen. Ransomware kan namelijk niet alleen de gegevens op het besmette apparaat versleutelen, maar ook externe opslagpunten.
- Sluit voor het maken van een back-up, de usb-stick of externe harde schijf alleen aan op het moment van een back-up en koppel hem daarna los.
- Bij een netwerkopslag kun je ervoor kiezen dat alleen de back-upsoftware bestanden mag opslaan op de netwerkschijf (bijvoorbeeld via FTP). Kies er ook voor dat via Windows-verkenner alleen bestanden gelezen worden.
- Bij een cloud back-up kun je bestanden terughalen als er versiebeheer aanwezig is. Ook bij sommige andere vormen van back-up kan dat. Als in de meest recente versie van een back-up bestanden zijn versleuteld, kun je nog altijd terug naar een oudere versie van de back-up.
Ransomware ook op Apple en Linux?
De meeste ransomware is gericht op Windows-systemen. Maar er zijn bijvoorbeeld ook gevallen bekend dat de telefoon van iPhone-gebruikers was geblokkeerd. Kortom, waar je ook mee op internet gaat, houd dat apparaat up-to-date, gebruik altijd je gezonde verstand en een kritische blik. Zeker als iets ook maar een kleine twijfel oproept.