Ransomware is big business. Malware die je computer blokkeert of zelfs je bestanden versleutelt, levert criminelen handenvol geld op. Wie zijn bestanden achter slot en grendel ziet verdwijnen, geeft maar al te vaak toe aan de eisen van de ransomware. Na het betalen van een som losgeld belooft de malware je bestanden terug te geven.

Of dat waar is, weet je pas achteraf. In tussentijd ben je in ieder geval handenvol geld kwijt. “Ik raad mensen altijd af om te betalen”, vertelt Mike Resseler. Hij is productspecialist bij back-upbedrijf Veeam en is erg op de hoogte van het reilen en zeilen van hedendaagse ransomware. “Enkel wanneer de geldstroom opdroogt, zal ransomware verdwijnen.”

Strategisch denken

Wie onvoorbereid is en besmet wordt, heeft vaak maar weinig opties. Resseler kwam bij ons langs in zijn hoedanigheid van ransomwarespecialist, om zowel eindgebruikers al professionals enkele tips te geven die het ergste moeten voorkomen. Een goede ransomwarestrategie is tweeledig. Langs de ene kant kan je maatregelen nemen om de kans op een besmetting te voorkomen, langs de andere kant moet je eveneens rekening houden met een rampscenario en je daarop voorzien.

Ransomware vindt zijn weg naar je computer via de gebruikelijke routes. “Ransomware maakt gebruik van slecht up-to-date gehouden software zoals Flash om binnen te raken”, illustreert Resseler. Ook Windows- en Officelekken laten besmettingen toe. Vaak gaat het om gekende en verholpen kwetsbaarheden, maar is een slachtoffer toch kwetsbaar omdat hij of zij de nodige updates negeerde. De eerste maatregel is dus voor de hand liggend: zorg er voor dat je besturingssysteem en al je software te allen tijde up to date is.

Kwalitatieve phishing

Een tweede belangrijke factor voor ransomware is ‘social engineering’. Denk daarbij aan phishingmails. “Sommigen zijn eenvoudig te herkennen aan de slechte vertaling van de tekst naar het Nederlands”, vertelt de malwarespecialist, “maar e-mails worden professioneler en het is steeds moeilijker om valse van echte exemplaren te onderscheiden.”

Phishingmails worden vandaag in correct Nederlands gestuurd en zien er op het eerste zicht helemaal koosjer uit. Slechts wanneer je begint na te denken vallen je enkele verdachte zaken op. Zo weet je ondertussen dat je bank nooit per mail naar gevoelige gegevens zal vragen en kan je al eens spieken om te zien welke url er onder een hyperlink schuilt. Komt de mail zogezegd van een bedrijf dat je vertrouwt, maar word je doorgestuurd naar een website met een wel erg verdachte naam? Dan kan je de e-mail zelf als phishing klasseren.

Weet ook wat je mag verwachten en wat niet. Resseler: “Een e-mail van PostNL maande me onlangs aan om een pakketje op te halen omdat ik anders kosten voor het stockeren ervan moest betalen. Ik had geen pakketje besteld, dus wist ik al meteen dat het om phishing ging.” De volgende tip vereist dus wat gezond verstand: phishing is professioneler dan ooit, wees achterdochtig en verifieer de herkomst van verdachte mails.

Werken met extensies

Bovenstaande maatregelen zijn erg algemeen, maar gezien de populariteit van ransomware kunnen we ze niet voldoende herhalen. Resseler heeft echter nog een heleboel heel concrete en praktische tips in petto. De eerste vereist wat aanpassingswerk, zeker van onervaren gebruikers. Via het optiemenu van verkenner kan je onder het tabblad Weergave afvinken dat bestandsextensies verborgen worden.

In Windows 10 is dat standaard, in oudere versies van Windows zitten de extensies vaak verborgen. Kan je ze zien, dan loop je als onervaren gebruiker het risico om een extensie te wissen en zo foto.jpg naar foto te hernoemen, zodat je besturingssysteem geen raad meer weet met het bestand. Daar staat dan weer tegenover dat je snel kan zien wanneer een bijlage of download een .exe- of .js-extensie heeft, wanneer je misschien een foto of video verwachtte. Kom je zoiets tegen, dan kan je er van op aan dat het om malware gaat. Daarom onze derde tip: zorg er voor dat bestandsextensies zichtbaar zijn en dubbelklik niet zomaar op uitvoerbare bestanden.

Gezonde achterdocht

Wie wat meer kennis van zaken heeft en een script of batchbestandje wil uitvoeren, gebruikt zijn kennisbagage best ten volle. “Open dergelijke bestanden eerst in kladblok”, raadt Resseler aan. “Zo weet je met zekerheid wat ze zullen uitspoken. Wanneer je toch een bestand wilt uitvoeren waarvan je niet 100 procent zeker bent wat het doet, kan je het proberen in een afgeschermde omgeving. Met VirtualBox kan je bijvoorbeeld een tijdelijke virtuele Windowscomputer maken waarin je scriptjes en exe-bestandjes kan uittesten, maar er zijn ook eenvoudigere alternatieven, zoals Sandboxie. Samengevat: Onderzoek wat een uitvoerbaar bestand echt doet wanneer je de herkomst niet 100% vertrouwt.

Voor Worddocumenten is het een stuk moeilijker om te ontdekken of ze malafide stukjes code herbergen. De installatie van viewers biedt soelaas. “Met een viewer kan je een bestand bekijken en er dingen uit kopiëren, maar je kan het niet bewerken”, legt de specialist uit. “Door de viewers van Officebestanden als standaardprogramma in te stellen, krijgt slechte code geen kans.” Wil je een bestand toch bewerken, dan kan je het nog steeds openen in de volledige versie van Word of Excel door er even rechts op te klikken en naar het menu Openen met te gaan. De viewer volstaat echter in de meeste gevallen als standaardprogramma en in de praktijk beschermt het je in veel gevallen van geïnfecteerde Officebestanden.

Lagere rechten

Op de computer in je bedrijf ben je waarschijnlijk geen administrator, op je exemplaar thuis vermoedelijk wel. De hoofdaccount van Windows heeft per definitie administratorprivileges. Die heb je nodig om je pc naar wens in te stellen en software te installeren, maar niet voor dagelijks gebruik. Je maakt best een tweede gebruikersaccount aan met weinig privileges. Wanneer je zo per ongeluk ransomware binnenhaalt, kan die niets doen.

Mike Resseler nuanceert dat wel: “Slimme ransomware wacht vandaag spijtig genoeg tot er opnieuw iemand als administrator inlogt en gaat dan alsnog aan de slag.” Toch heeft de manier van werken wel degelijk een groot voordeel. “Ransomware evolueert heel snel, maar beveiligingsspecialisten en antivirusbedrijven doen hun uiterste best om meteen een antwoord te bieden op de nieuwste malware.

Wanneer je enkele dagen na de besmetting inlogt als administrator zal je beveiligingssuite de nieuwe malware naar alle waarschijnlijkheid meteen herkennen en stoppen.” Door je computer niet de hele tijd als administrator te gebruiken, koop je jezelf dus tijd. De vuistregel: Log alleen in als administrator wanneer dat nodig is, en gebruik verder een gewone account met minder rechten.

Back-up-plan

Wie verstandig omgaat met zijn computer en bovenstaande vuistregels in het achterhoofd houdt, minimaliseert zijn kans op een malwarebesmetting. Ransomware gaat echter op zoek naar je meest waardevolle digitale bezittingen zoals onvervangbare vakantiefoto’s, dus extra maatregelen om jezelf te redden in het geval van een rampscenario zijn zeker niet overbodig.

Een goede back-up is in dit geval essentieel, al lost zelfs dat in het geval van ransomware de problemen niet zomaar op. “Wanneer je back-ups maakt naar een externe harde schijf of een NAS heb je toegang tot die volumes. Ransomware zal je back-ups dus vrolijk mee versleutelen zodat ze onbruikbaar worden.”

Ransomware kan niet aan de cloud dus het is sowieso een goed idee om je belangrijkste data toe te vertrouwen aan een dienst als Google Foto’s of Dropbox. Zelfs wanneer de inhoud van je Dropbox-map wordt versleuteld, kan je immers online nog terug naar eerdere versies van de bestanden. Locale back-ups die immuun zijn voor ransomware zijn mogelijk.

Mike Resseler is zelf productontwikkelaar van Veeam Endpoint Backup, een gratis en eenvoudig back-up-programma dat al geruime tijd de voorkeur van deze redacteur geniet. Met een recente update kan je Endpoint Backup de harde schijf laten uitwerpen na een succesvolle back-up. Zo kan ook ransomware er niet meer aan. Het nadeel: je moet de schijf even manueel uittrekken en weer insteken om ze opnieuw te gebruiken, of je computer meteen rebooten.

Gebruiksvriendelijk maar veilig

Resseler en zijn team werken momenteel aan een iets gebruiksvriendelijkere optie. “In een toekomstige versie van Endpoint Backup gaan we de back-ups zelfs versleutelen zoals ransomware dat ook doet. Zo kan de ransomware in theorie niet meer aan de back-ups en zijn je bestanden veilig.” De nieuwe versie staat gepland voor het begin van 2017.

Natuurlijk hoef je Veeam Endpoint niet te gebruiken voor goede en veilige back-ups. Het volstaat om je back-up schijf uit je computer te halen wanneer ze niet in gebruik is. Steek ze er bijvoorbeeld wekelijks in voor een grote back-up, en leg ze verder in de schuif van je bureau. Heb je een externe harde schijf op overschot en wil je de back-upschijf niet de hele tijd in- en uittrekken? Wissel dan af tussen de twee schijven, zodat je altijd een vrij recente, niet besmette back-up bij de hand hebt. Zodoende onze laatste tip: bescherm je back-ups van encryptie door clouddiensten te gebruiken en je externe schijf tijdig uit je pc te verwijderen.

Bovenstaande tips kosten soms wat moeite maar ze zijn het volgens ons waard. Door wat verstandig om te springen met je computer en het ding ietwat voorzichtig te gebruiken, kan je de kans op ransomware minimaliseren. Zelf af en toe actief met je back-ups bezig zijn, zodat je te allen tijde een vrij recente kopie van je belangrijkste bestanden bezit die niet aan een pc hangt, doet je risico al helemaal verdwijnen. Wanneer ransomware je dan toch gijzelt, kan je je zuurverdiende centjes bijhouden.