web analytics

Ransomware – een steeds groter wordend risico

Print Friendly, PDF & Email

Wat is ransomware?

Ransomware is een kwaadaardig programma dat een computer blokkeert en vervolgens aan de gebruiker geld vraagt om de computer weer te ‘bevrijden’

Na besmetting met ransomware kan je je systeem niet opstarten of zijn al je bestanden niet meer toegankelijk gemaakt. Alles is versleuteld en om de sleutel te verkrijgen moet je diep in de beugel tasten en de digitale gijzelnemers betalen voor de sleutel.

Ransomware in cijfers

Welke landen worden het meest getroffen

Ransomware is een wereldwijd fenomeen en tot nu toe zijn wij hier in Vlaanderen gelukkig niet te erg lastig gevallen ermee. Momenteel worden de Angelsaksische landen het meest getroffen.

Evolutie over de jaren

Ransomware is een relatief nieuw fenomeen. Het eerste ransomware virus dateert van 2005, maar de echte explosie van ransomware stel je vast vanaf 2012. Sindsdien is het aantal ransomware malware virussen steeds sterker aan toenemen.

Dat er aktief naar nieuwe vormen van ransomware wordt gezocht kan je zien in onderstaand plaatje. Maandelijks komt er een nieuwe variant uit.

Types ransomware

Scareware

Bogus antivirus software. Een pseudo antivirus programma vindt een hele massa ‘besmette’ bestanden op je systeem en om je systeem terug zuiver te krijgen moet je de betalende versie van het antivirusprogramma aankopen.

Locker ransomware

Je krijgt geen toegang tot je systeem. Je bestanden zijn niet vercijferd, maar er wordt wel losgeld gevraagd om je systeem terug vrij te geven. Al is deze vorm van ransomware zeer vervelend, is het terug herstellen van je systeem mogelijk zonder te moeten betalen aan de criminelen.

Voorbeelden: Politie/FBI-webpagina, Winlocker.

Master Boot Record ransomware

Door het overnemen van je Master Boot Record kan het virus een losgeld pagina vertonen.

Voorbeelden: Satana en Petya.

Het Petya Trojan (aka Trojan-Ransom.Win32.Petr) infecteert het MBR wat normaal opstarten van het systeem belet. Daarenboven vercijfert het ook de Master File Table (MFT) van het NTFS bestandssysteem, waardoor je ook niet meer aan je bestanden kan.

Encrypting ransomware

Door middel van zeer geavanceerde vercijfertechnieken worden alle bestanden op je systeem versleuteld. Je wordt aangemaand om de criminelen te betalen om de sleutel te verkrijgen die je toelaat je bestanden terug te ontcijferen.

Deze vorm van ransomware is één van de meest gevaarlijke, daar zelfs met de beste middelen die je aangeboden worden de kans heel klein is dat je zelf je gegevens terug kan ontcijferen.

Voorbeelden: o.a. CryptoLocker, Locky, CrytpoWall, Nanolocker, …

Als je bovenstaand plaatje bekijkt zie je dat:

  • je Bitcoin moet gebruiken als betaalmiddel (https://bitcoin.org/nl/aan-de-slag)
  • het bedrag 0,25 Ƀ (BTC of Bitcoin) is

    Koers op 24 april 2017

  • een deadline is, nadien verhoogt het losgeld

Daarna ben je

  1. Niet zeker dat men je de sleutel bezorgt
  2. Je er zelf in zal slagen om de ganse procedure uit te voeren

Welke types van Ransomware komen het meest voor

Onderstaande grafiek toont de evolutie van de verschillende types ransomware.

Kenmerken van ransomware malware

  • Quasi onbreekbare vercijfering;
    De gegevens op je systeem worden vercijferd. Om dat te doen maakt men gebruik van AES vercijfertechniek. Met behulp van een sleutel worden bestanden vercijferd. Het is dezelfde sleutel die gebruikt wordt om je bestanden te ontcijferen.
    Wat ransomware zo speciaal maakt is de criminelen de AES sleutel op zijn beurt vercijferen via het asymmetrische encryptiealgoritme RSA.
    RSA werkt met twee sleutels. De eerste RSA sleutel wordt gebruikt door de criminelen om de AES sleutel te vercijferen. Het is voor de tweede RSA sleutel, deze om de vercijfering van de AES sleutel ongedaan te maken, dat je moet betalen;
  • Kan alle types bestanden vercijferen;
  • Vervangt bestandsnaam en/of extensie;
  • Vertoon een losgeld bericht of afbeelding;
  • Vraagt betaling in Bitcoins;
  • Legt een tijdslimiet op. Na een bepaalde tijd verhoogt het losgeld;
  • Geavanceerde stealth technieken. Slaagt er in om anti-virusprogramma’s te verschalken;
  • Maakt gebruik van besmette PC’s in een BOTNET;
  • Verspreidt zich naar alle aangekoppelde apparaten. Dat betekent dat gegevens op Dropbox, OneDrive, Google Drive, aangekoppelde externe HD’s of USB’s, netwerkkoppelingen naar je NAS, … ook vercijferd worden;
  • Verspreidt zich naar andere PC’s in je LAN;
  • Steelt lokale gegevens (gebruikersnamen, wachtwoorden, email adressen, …) om die dan verder te verkopen;
  • Lokalisatie – taal van het slachtoffer. Steeds meer wordt goed Nederlands (en geen Google Translate) gebruikt in de berichten.

Bedrijven als slachtoffer

In de USA zijn ongeveer 50% van de bedrijven het slachtoffer geweest van ransomware malware in 2016

Het is ook een blijvend actueel probleem met bijna 60000 besmettingen in Maart 2016

en aan die besmettingen is een prijs gekoppeld. Gedurende het eerste kwartaal van 2016 werd alleen al in de USA $209 miljoen betaald aan ransomware criminelen.

Het gemiddeld bedrag dat betaald werd is ook niet min.

Eens besmet wat zijn de cijfers van het herstellen van de schade

Ongeveer 80% van de bedrijven stelt dat ze in het geval een crypto aanval, met behulp van hun back-ups de schade zouden kunnen herstellen zonder het losgeld te betalen. Het niet betalen van het losgeld wordt gedaan ofwel uit principe, ofwel omdat het nooit zeker is dat men effectief de sleutel in handen zou krijgen, wat een ziekenhuis in Kansas USA overkwam.
De realiteit is echter dat slechts 42% van de slachtoffers, ondanks back-ups, de schade konden herstellen.

Waarom ook de thuisgebruiker aanvallen

Thuisgebruikers zijn een gemakkelijk doelwit. Daar waar de meeste bedrijven een IT-afdeling (of ten minste een IT-specialist) in huis hebben, is het aantal thuisgebruikers die deze kennis heeft quasi te verwaarlozen.

Daarnaast hebben thuisgebruikers:

  • meestal geen data back-ups;
  • weinig of geen cyber security inzicht of opleiding: ze klikken op bijna alles;
  • hun software is niet altijd up to date;
  • velen teren op hun “Tot nu toe ‘geluk’ gehad” mentaliteit;
  • Enkel een antivirus hebben is inefficiënt in het detecteren en blokkeren van malware. Ze hebben geen elementaire basis cyber veiligheidssoftware (Hitman PRO, Malwarebytes) draaien;
  • Enorm aantal Internet gebruikers (meer besmette PCs = meer geld);
  • Ook Android is niet langer  virus- en malwarevrij. Voor lijstje zie https://forensics.spreitzenbarth.de/android-malware/

Evolutie ransomware aanvallen op mobile apparaten

Verspreiding

Ransomware wordt onder meer verspreid via:

  • E-mail (60%)
  • Software lekken
  • Kwaadaardige code in legitieme websites
  • Drive-by downloads
  • BotNets
  • Van de ene naar de andere PC (LAN)
  • Redirects naar kwaadaardige websites

Het overgrote deel van de besmetting komt dus omdat een gebruiker via een e-mail het binnentrekken van de malware heeft gestart, door te klikken op een link in de mail, of door de bijlage te openen.

Het type van besmetting eens geactiveerd bevat meestal een ransomware aanval, en heeft in enkele maanden de exploits die niet-bijgewerkte programma’s te misbruiken, vervangen als grootste bedreiging.

December 2015

Mei 2016

Hoe gaat een ransomware besmetting in zijn werk

Onderstaand plaatje toont je de opeenvolgende stappen

Ook hier wordt duidelijk gesteld dat de gebruiker door een muisklik het hele gebeuren in werking zet.

Wat kan je preventief doen?

Veel hangt af van je besturingssysteem De meeste besmettingen gebeuren zoals verwacht op het Windows platform, maar er is ook malware voor Apple ( MacDefender en Flashback) en voor Linux ( Linux/Rst-B of Troj/SrvInjRk-A), weliswaar in veel kleinere mate.

Volgende lijst van weetjes kan je helpen en je gezond verstand gebruiken des te meer:

  • OS en apps up to date houden
  • Windows gebruikers:
    • Niet standaard werken onder admin account
    • MS-Office macro’s staan uit
  • Gebruik gevoelige plug-ins on-demand in je browser (Adobe Flash, Adobe Reader, Java, Silverlight)
  • Aangepaste privacy en veiligheids settings in je browser
  • Gebruik een ad-blocker
  • Open geen spam e-mails of  e-mails van onbekende zenders;
  • Download nooit bijlagen van spam- of verdachte e-mails.
  • Klik nooit op links in spam- of verdachte e-mails.

De meeste van die zaken blijken evident, maar ook de volgende zaken zullen je helpen:

  • Bewaar geen belangrijke gegevens op je PC
    • Zorg voor minstens 2 backups ervan op o.m.:
      • De cloud (Dropbox, Google Drive, OneDrive…)
      • Externe hardware (NAS, USB HD, …)
      • DVD-R
  • Dropbox/Google Drive/OneDrive/Externe HD niet standaard aankoppelen. (automount uitzetten)
    • Open deze 1 x per dag om data te synchroniseren en ontkoppel/sluit deze vervolgens.

Moet ik me als Linux gebruiker echt zorgen (beginnen te) maken?

Heel interessante lectuur is te vinden op https://news.sophos.com/en-us/2015/03/26/dont-believe-these-four-myths-about-linux-security/

In het kort staat er:

  • Er bestaat weldegelijk ransomware voor Linux: zie  Linux/Rst-B of Troj/SrvInjRk-A
  • Linux belet je niet om een phissing e-mail te ontvangen of om op een phissing website te belanden, waar je je persoonlijke of bankgegevens zal meedelen.
  • Herinner je Heartbleed of Shellshock
  • Virus schrijvers schrijven geen virussen voor Linux omdat het een klein marktaandeel heeft
    • Dat kan zo zijn voor ons persoonlijk gebruik van enkele populaire distro’s
    • In andere markten zoals het server landschap vind je meer dan 50% Linux servers
    • Bij supercomputers heeft Linux een quasi monopolie
    • En wat gedacht van Android, dat bovenop een Linux kernel draait
  • Windows malware kan niet draaien op een Linux platform
    • Klopt niet helemaal. Er komen steeds meer en meer cross-platform bedreigingen. Dat is het gevolg van specifieke multi-platform frameworks die ook onder Linux draaien zoals: Adobe Flash en Adobe Reader, Java, JavaScript, Perl, PHP, Python, Ruby, enz
    • Effe een voorbeeld: in juli 2012, was er een multi-platform backdoor Troj/JavaDl-NJ genaamd, dat ook onder Linux draaide…
  • Ik installeer software via de softwarebronnen, die te vertrouwen software bevatten
    • Ben je wel 100% dat die server niet besmet is?
    • Effe een voorbeeld: Zoek eens op Java installeren onder Linux. Je krijgt honderden sites die je aanraden deze of gene PPA te gebruiken om Java te installeren
      • $ sudo add-apt-repository ppa:…
    • Maar wie onderhoudt deze PPA, Is dat wel een legitieme website of softwarebron?
  • Linux bedreigingen in nummers
    • Het is een feit dat de typische Linux bedreigingen veel lager liggen dat Windows of Apple OS X bedreigingen.
    • Maar die bedreigingen zijn heel reëel. Linux servers (Google, Amazon, …) moeten non-stop aanvallen tegenhouden.
  • Verhoog je Linux veiligheid status door eens een kijkje te nemen op

Hoe de gegevens op je Linux systeem beschermen

Er is relatief weinig te doen tegen dit soort aanvallen. Een virusscanner zal immers geen malware aanval tegenhouden.

Je gezond verstand gebruiken (niet als admin werken, gebruik zo weinig mogelijk PPA’s, …) en maken dat je zelf niet aan de basis ligt door op een link te klikken die je naar een besmette website leidt is evident.

Zorg er in ieder voor dat je de nodige back-ups hebt van je belangrijke gegevens. Daarnaast moet je zo weinig mogelijk extra apparaten continue aangekoppeld laten. Ieder gemount/gekoppeld apparaat zal ook besmet worden als er ooit een ransomware besmetting toeslaat.

Wat te doen na een besmetting op een Windows platform

If you do not plan on paying the ransom and want to try to restore your files, you can follow the below guide. It’s important to understand that by starting the removal process, you risk of losing your files, as we cannot guarantee that you will be able to recover them.
Furthermore, your files may be permanently compromised when trying to remove this infection or trying to recover the encrypted documents.

Kijk op https://malwaretips.com/blogs/remove-your-personal-files-are-encrypted-virus/ om een stappenplan te vinden met behulp van Hitmap Pro en Malwarebytes, maar je moet er je hoop niet op vastpinnen.

 

 

909 totaal aantal vertoningen, 2 aantal vertoningen vandaag

Beoordeling

1 Reactie

  1. Maurice

    Gekeken naar NieuwsUur op de Nl TV ? Ze hadden het daarover deze avond.
    Was te laat afgestemd en heb de laatste minuut gezien en gehoord.
    Op het Ubuntu-forum heb ik daarover een bericht (topic) aangemaakt.
    In De Morgen (vandaag 13/05/2017) en in HLN, e.a., was daar ook een artikel over verschenen vandaag (computers gegijzeld …

    Reageren

Geef een reactie

%d bloggers liken dit: