2 november 2015 14:37

Ransomware: over herkomst, bescherming en herstel achteraf

Ransomware zoals cryptolocker, dat alle bestanden op je computer versleutelt totdat je losgeld betaalt, wordt steeds populairder. Een flinke dosis gezond verstand kan heel wat kwaad voorkomen.

“Wie heeft al te maken gehad met ransomware?” Een kleine twintig procent van aanwezigen steekt z’n handen in de lucht. We bevinden ons in een grote conferentiezaal in Las Vegas, waar enkele ervaringsdeskundigen samen met een agent van de Amerikaanse FBI vertellen wat ransomware precies is, hoe je besmetting kan voorkomen, en wat je eventueel kan doen wanneer je toch prijs hebt. Het seminarie is een onderdeel van de VeeamOn-conferentie, dus de sprekers richten zich vooral op grote bedrijven en KMO’s, maar ook als computergebruiker voor eigen rekening valt er hier het één en ander te leren.

Aids-trojan

Ransomware is ongeveer even oud als deze redacteur. “In 1989 verspreide PC Cyborg, ook gekend onder het alias AIDS trojan, zich via diskette van computer naar computer”, weet FBI-agent Andres Buel. Het virus, dat zijn naam kreeg omdat het zich via een aids-mailinglijst verspreide, nestelde zich op de computer van slachtoffers waar het tot 90 telde. “De 90ste keer dat je een besmet systeem opstartte, verscheen een rood scherm met de vandaag archaïsche vraag om 189 dollar naar een adres in Panama te sturen. De cybercriminelen zouden de computer vrijgeven zodra ze het geld aankregen.”

FBI & pedofilie

In 2012 zag Reveton het levenslicht. Dat stukje ransomware maakte gebruik van het gezag dat de FBI met zich meebrengt. De computer van gebruikers werd versleuteld en een bericht verscheen met daarop een officieel uitziende boodschap. De gebruiker was betrapt op het gebruiken van gepirateerde software en moest een ‘boete’ aan de FBI (de cybercriminelen) betalen om z’n systeem terug te krijgen. Ook bij ons maakte de malware furore, ook al heeft de FBI geen jurisdictie in België en Nederland wat toch een belletje zou mogen doen rinkelen.

“Niet alles aan Reveton was slecht”, herinnert Buel zich. “Eén slachtoffer meldde zich vrijwillig aan bij één van onze kantoren om het voorval op te klaren. Hij werd uiteraard niet gezocht, maar stond zijn computer vrijwillig af voor onderzoek. De FBI ontdekte dubieuze berichtjes naar minderjarige meisjes, en zo hielp Reveton de FBI een pedofiel te vangen.”

Gratis toolkits voor beginners

Vandaag is ransomware zoals Cryptolocker populairder maar ook gesofisticeerder dan ooit. Buel: “Online vind je eenvoudige kits waarmee een klein kind z’n eigen ransomware-scam kan starten. De software maakt bovendien gebruik van geavanceerde AES256-encryptie, en controle van de malware gebeurt via het anonieme Tor-netwerk.

Speervissen

De FBI ziet twee vectoren waarmee ransomware een systeem kan binnendringen. Spear fishing is de eerste. Een link in een betrouwbaar uitziende mail leidt naar een download, met alle gevolgen van dien. Dat het dom is om op een dergelijke link te klikken lijkt voor zich te spreken, maar de werkelijkheid is niet zo eenvoudig. “Dergelijke mails zijn dikwijls erg gericht. Ze lijken bijvoorbeeld intern te origineren en van de CEO van het bedrijf van het slachtoffer afkomstig te zijn”, aldus de agent van dienst.

Drive-by

De andere vector is nog moeilijker te omzeilen: drive by downloads infecteren een systeem zonder dat je als gebruiker noodzakelijk iets verkeerd doet, en dat je het losgeld kan betalen via bitcoin helpt je niet echt verder.

Gezond verstand en educatie

Wat kan je nu doen om ransomware van jouw systeem te houden? Drive by downloads vermijd je door je systeem up to date te houden. Thuis doe je dat zelf, op het werk moeten de systeemadministrators bij de pinken blijven. Kwetsbaarheiden in onder andere Flash en Java zijn populair voor de injectie van drive by-downloads, en hoewel zero-day-exploits niet te voorkomen zijn, helpt het als de software op z’n minst zo recent mogelijk is. “Of je kan flash deïnstalleren”, aldus een IT-specialist in de zaal.

Spear fishing richt zich niet op zwaktes in de IT-infrastructuur, en dus is het voorkomen er van niet zo eenvoudig als het patchen van oude software. Buel: “Educeren en informeren is de sleutel.” Zoals vaak zijn jij en je collega’s de zwakste schakel, en dus moet je er alles aan doen om je niet in de luren te laten leggen door verdachte mails.

Virtuele beveiliging

Wie een grote IT-omgeving managed, mag zijn virtuele machines niet vergeten. Shea Hart van beveiligingsbedrijf CDW staat er van verstelt hoe vaak administrators dat vergeten. “Ze migreren succesvol naar een hoogtechnologische gevirtualiseerde omgeving, maar denken er niet aan om de virtuele computers van de nodige bescherming te voorzien.”

Als consument ben je alvast goed bezig: je leest dit artikel en bent op de hoogte van de gevaren van verdachte links. Bedrijven moeten die kennis overbrengen naar personeel dat om de één of andere reden deze website niet frequenteert. Jaarlijkse opfrissessies zijn daarbij een minimum.

IT-rechten zijn geen recht

Trapt één van de werknemers van een bedrijf toch in een phishing-mail, dan kom je te weten hoe goed het IT-departement over de beveiliging van de bedrijfsinfrastructuur heeft nagedacht. Een cryptovirus, binnengehaald door een werknemer, heeft per definitie niet meer rechten op het systeem dan die werknemer. Zorg er dus voor dat iedereen binnen het bedrijf enkel toegang heeft tot waar hij of zij echt aan moet kunnen. Dat geld niet alleen voor de lagere regionen van een bedrijf, zelfs managers moeten geen administratorrechten op het hele serverpark hebben. Een mooie functie met veel verantwoordelijkheid maakt je nog geen IT-specialist.

Back-up red de dag

Zelfs wie alle denkbare voorzorgen maakt, houdt er best rekening mee dat hij vroeg of laat prijs zal hebben. Wat je dan kan doen, hangt van de situatie af. Idealiter heb je een goede back-up strategie opgezet. Dat wil niet alleen zeggen dat je systemen en bestanden gerepliceerd zijn op andere media, maar ook dat je terug kan gaan in de tijd. Bob Eadie, computer systems manager van het prestigieuze Bedford-internaat in het VK.

“Onze leerlingen kennen vrij veel van computers, en ze brengen dan ook veel IT-innovaties aan”, aldus Eadie. Zo maken wij onder anderen gebruik van Dropbox en Google Drive.” Op een dag klikte één van de studenten op een verkeerde link en kreeg hij een cryptolocker te pakken. “Die begon prompt met het versleutelen van bestanden, en maakte zijn weg naar de netwerkdrives van verschillende departementen.” De student in kwestie maakte gebruik van Dropbox, maar het weekend brak aan en niemand had door wat er gaande was tot de volgende werkdag. Resultaat: een heleboel versleutelde bestanden, die eveneens met de cloud gesynchroniseerd waren.

Synchronisatie van malware

“Onze schoolinfrastructuur was geback-upped, met dagelijkse, wekelijkse en zelfs semestriële versies”. Eadie kon zo teruggaan naar de recentste back-up voordat de cryptolocker bestanden versleutelde. Omdat niet alle drives en bestanden geraakt werden, koos hij voor een item level restore. Daarmee herstel je een back-up gedeeltelijk. “Dat ging erg snel en pijnloos”. Als voorzorgsmaatregel zorg je er dus best voor dat ook jij naar oudere back-ups kan terugkeren. Een geïnfecteerd systeem dat op vier plaatsen gekopieerd staat is immers vrij waardeloos in zo’n geval.

Betalen?

Wat zijn nu de opties als je getroffen wordt door malware, maar geen back-ups hebt? In dat geval kan je twee kanten uit: betalen of niet betalen. De FBI-agent in de zaak blijft op de vlakte wat die vraag betreft. “Betalen is een optie. Sommige verspreiders van malware behandelen de hele infectie als een zakentransactie. Wie betaalt krijgt zijn gegevens terug. Er zijn echter geen garanties.” Tijdens de VeeamOn-conferentie sprak de Amerikaanse FBI echter ook op een securitycongres in Boston, en daar was de agent duidelijker: “Wil je je gegevens terug en is er geen andere manier; betaal dan het losgeld.”