Cyberaanvallen maken het leven van internetgebruikers bijzonder moeilijk. Ransomware is een van de meest ontwrichtende soorten aanvallen die hackers gebruiken. Jammer genoeg komen aanvallen met ransomware steeds vaker voor en maken deze steeds meer slachtoffers. Een recent voorbeeld dat afgelopen week het nieuws beheerste is WannaCry, dat meer dan 200.000 computers in meer dan 74 landen infecteerde.
Kleine bedrijven en start-ups zijn heel kwetsbaar voor dit soort cyberaanvallen. In 2016 alleen al werd 43% van de aanvallen uitgevoerd op kleine bedrijven en dat aantal blijft toenemen. Door een kleiner budget en een gebrek aan middelen is het soms bijna onmogelijk om uw gegevens terug te krijgen, de aanvaller te vinden of zelfs het losgeld te betalen.
Daarom heb je een strategie nodig om ransomware te voorkomen voordat deze de dagdagelijkse activiteiten volledig verstoort.
Wat is ransomware?
Laten we eerst even beginnen met wat basics: wat is ransomware eigenlijk? Ransomware is een soort malware die toegang krijgt tot het besturingssysteem van een apparaat en de gegevens van de gebruiker versleutelt, waardoor de gebruiker geen toegang meer heeft tot die informatie. Om opnieuw toegang te krijgen tot de geblokkeerde gegevens, moet de persoon het losgeld betalen dat de hacker eist.
Tot het losgeld betaald is, zal de aanvaller de gegevensbestanden niet ontsleutelen of opnieuw vrijgeven aan het bedrijf. Als je het losgeld betaalt, weet je zelfs niet zeker dat je de gegevens in dezelfde staat terugkrijgt als ze werden gestolen of dat de hacker geen kopie voor zichzelf heeft gemaakt.
Soorten ransomware die start-up schade kunnen toebrengen
Om te voorkomen dat je een slachtoffer van ransomware wordt, is het belangrijk dat je meer weet over de verschillende soorten ransomwareaanvallen en hun intensiteit. Er zijn een aantal tekenen waaruit je kunt afleiden welk type ransomware de systeemgegevens gijzelt.
Scareware
Dit type ransomware is het minst schadelijk en, in tegenstelling tot zijn naam, niet erg alarmerend. Wanneer een apparaat wordt aangevallen door scareware, geeft deze een waarschuwing voor een groot aantal problemen in het systeem weer. De waarschuwingen bestaan uit valse antivirus- of opruimtools waarmee losgeld wordt gevraagd om die waarschuwingen op te lossen.
Bij dit soort ransomwareaanval blijft het systeem werken en blijven de gegevens veilig. Als je hier echter niets aan doet, zal je pop-ups met waarschuwingen blijven zien waarin wordt gemeld dat er nieuwe problemen in uw systeem werden 'ontdekt'.
Lock-screen ransomware
Deze is redelijk makkelijk te herkennen. Een bevroren scherm wanneer je het apparaat opstart, is meestal een teken dat het apparaat mogelijk geïnfecteerd met lock-screen ransomware. Deze ransomware met het bevroren scherm toont soms een logo van de FBI of het ministerie van Justitie met de boodschap dat je hebt deelgenomen aan illegale activiteiten en een boete moet betalen.
Encrypting ransomware
Encrypting ransomware is het meest populair en het moeilijkst om op te lossen (en ook het soort ransomware dat werd gebruikt in de bovenvermelde, wijdverspreide WannaCry-aanval). Zoals de naam aangeeft, versleutelt encrypting ransomware de bestanden van het geïnfecteerde apparaat en eist geld om de gegevens te ontsleutelen. Deze ransomware wordt beschouwd als een van de schadelijkste soorten ransomware, want zodra je hiervan het slachtoffer wordt, is het heel onwaarschijnlijk dat je jouw gegevens terugkrijgt zonder te betalen.
Hoe ransomware voorkomen
Nu weten we wat ransomware is en hoe het eruit kan zien. Maar voorkomen is de beste verdediging. De beste manier om uw apparaat te beschermen tegen een ransomwareaanval is door een aantal doeltreffende voorzorgsmaatregelen te nemen, zoals beschreven in dit artikel. Alle besproken methoden zorgen ervoor dat je een infectie met ransomware kunt voorkomen zonder extra kosten.
Gegevensback-up
Een heel eenvoudige tip: zorg dat je een back-up maakt van alle waardevolle en gevoelige gegevensbestanden. Je kan een kopie van de waardevolle gegevens bewaren in de cloud (veel bedrijven bieden gratis services tot een bepaalde limiet aan). Je kan de gegevensback-ups ook bewaren op verwijderbare schijven.
Hiermee voorkom je niet dat de aanvaller toegang krijgt tot de systemen, maar je kan wel de bestanden blijven gebruiken, de ransomware verwijderen en alle kostbare bedrijfsgegevens herstellen.
Betere spam- en e-mailbeveiliging
Ransomwareaanvallers verspreiden hun destructieve malware via botnets en versturen grote aantallen spammails. Ze maken een link aan die de malware direct downloadt vanuit een e-mail. Je moet enkel nog in de val trappen! Dankzij recente verbeteringen in e-mail kan je de antispamfilters zelf instellen en aanpassen. Stel de spamfilter zo in dat met virussen besmette e-mails niet in de inbox terechtkomen.
Door werknemers te leren hoe ze phishingmails kunnen identificeren, kan je bovendien voorkomen dat ransomware in jullie netwerk binnendringt, omdat deze vervalste e-mails vaak worden gebruikt om mensen geïnfecteerde bijlagen te laten downloaden. Phishingsimulatietesten zijn een beproefde methode om werknemers kennis te laten maken met veelgebruikte tactieken zodat ze geen slachtoffer worden.
Installeer firewallbeveiliging en antivirussoftware
De meeste ransomware heeft toegang nodig tot jullie Command and Control-servers zodat ze belangrijke keys kunnen bemachtigen die nodig zijn tijdens het encryptieproces. Windows Firewall en andere firewalltoepassingen kunnen dit soort verkeer echter herkennen en blokkeren, waardoor het virus geen gegevens kan versleutelen. Zo wordt de aanval gestopt nog voordat deze begonnen is.
Blokkeer gevaarlijke bestandsextensies
Extensies zoals .pif, .cmd, .bat, .scr, .vbs, .rtf, .docm, .rar, .zip, .js en .exe zijn gevaarlijke bestandsbijlagen die ransom Trojans kunnen bevatten. Het zou een slimme zet zijn van jullie bedrijf om het e-mailprogramma zo te configureren dat het inkomende berichten met mogelijk schadelijke inhoud tegenhoudt.
Je blokkeert best alle bijlagen die geactiveerd moeten worden of macro's vereisen in Office-documenten of die scripts willen uitvoeren.
Gebruik geen remote services
Soms gebruiken ransomwareaanvallers apps voor ondersteuning op afstand om een apparaat te infecteren. Een dergelijke aanval werd uitgevoerd door onverwachte ransomware in maart 2016 met behulp van de TeamViewer-app voor ondersteuning op afstand. Om dit soort aanvallen te voorkomen, gebruik je best two-factor authenticatie wanneer je verbinding maakt met een remote service.
Geef ‘vssadmin.ext’ een andere naam
Een aanvaller kan het bestand vssadmin.exe gebruiken en de opdracht Delete Shadows/All/Quiet invoeren om schaduwvolumekopieën van je bestanden te verwijderen, waardoor je geen toegang meer heeft tot eerder herstelde versies van de bestanden.
We raden je aan om het bestand vssadmin.exe een andere naam te geven zodat de ransomwareaanvaller het bestand niet kan vinden en verwijderen.
Laatste redmiddel – Zoek een decryptor
Als je toch het slachtoffer wordt van een ransomwareaanval, heb je misschien het geluk om geïnfecteerd te worden door ransomware die al werd ontsleuteld door een beveiligingsexpert. Er bestaan heel wat gratis tools om ransomware te ontsleutelen. Misschien zit er wel eentje tussen die geschikt is voor de ransomware op jouw apparaat en kan je het programma gebruiken om opnieuw toegang tot jouw gegevens te krijgen.
Conclusie
In een periode van dergelijke cyberdreigingen kan ransomware een bedrijf veel schade berokkenen en zelfs activiteiten volledig stilleggen. Je wacht beter niet tot je een slachtoffer wordt, in de hoop dat iemand al een tool voor ontsleuteling heeft ontwikkeld. Breng de nodige veranderingen aan in de IT van het bedrijf om deze aanvallen te voorkomen.
Als je zelf te weinig IT-kennis hebt, huurt je best een dag een IT-consultant in om het netwerk bij te werken en aan te passen. Daar mag het echter niet bij blijven. Laat de consultant elke drie tot zes maanden terugkomen om updates uit te voeren en de configuratie aan te passen aan de laatste best practices. De IT-sector is voortdurend in verandering en als je niet beschermd bent tegen de meest recente aanvallen, maakt je het bedrijf kwetsbaar voor gegevensdiefstal en ransomwareaanvallen.
