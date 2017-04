Jouw computer kent je beter dan je partner, vrouw of kinderen dat doen. Je gebruikt hem voor allerhande zaken, waarvan je verkiest dat enkele het daglicht niet mogen zien. Je steekt er je zuurverdiende centjes in, want als je dat niet doet sta je haast buiten de maatschappij. En dan plots, op een onverwacht moment, doet hij raar. Misschien krijg je een foutmelding, of valt hij plots uit. Je eerste reactie is er dan uiteraard eentje van pure paniek: oh nee, wat nu? Maak je in de eerste plaats geen zorgen; hou het hoofd koel en zoek naar oplossingen. Misschien is het wel vals alarm, of is er een duidelijke aanwijsbare reden te vinden voor het vreemde gedrag. Zelfs als dat niet het geval is, mag je nog steeds hoop koesteren voor een goede afloop. In deze cursus overlopen we wat je kan doen indien jouw toestel kampt met ongewenst gedrag, ongewenste bezoekers of ander onkruid. Tegelijk kijken we hoe je die situatie kan voorkomen, zodat je je in de toekomst niet (meer) laat vangen. Welkom bij de basiscursus EHBV.

Vals alarm

Een goede antivirus is een vereiste voor elk stuk hardware met een brein. Dezer dagen is het zelfs geen slecht idee om je slimme lamp of thermostaat te voorzien van extra veiligheidsmaatregelen, indien dat in jouw situatie mogelijk is. Houd er echter rekening mee dat zelfs de beste antivirus zich al eens kan verslikken in zijn koffie omdat het programma ’s ochtends in zijn krant per ongeluk ‘voorspel’ leest in plaats van ‘voorstel’. Met die gekke analogie wil ik maar zeggen dat ook technologie soms faalt en dat het nog steeds af en toe nodig is om ons gezond verstand te gebruiken.

Herinner je je nog die wijsneus uit de lagere school die jouw woorden altijd verdraaide? Hij (of zij) zei exact hetzelfde als jij, maar ging telkens met de eer van de juf of meester lopen. Een antivirus is net hetzelfde: jij weet donders goed dat een louche website met duizend ‘Download hier!’-knoppen zal proberen je te verleiden tot het downloaden van een programma dat je niet nodig hebt, en eigenlijk ook niet op je computer wilt laten staan. Een antivirus zal je daar vaak toch even voor waarschuwen. Waarschijnlijk is dat maar goed; kan jij garanderen dat je ouders of jonge kinderen zich niet zullen laten vangen?

De meesten onder ons weten wel dat ze op dergelijke knoppen beter niet klikken.

Positief, of toch niet

Als een overbezorgde moeder zal een antivirusprogramma steeds over je schouder meekijken naar waar je mee bezig bent. Voor de onhandige, ietwat naïeve internaut is dat misschien geen slechte zaak, maar de meesten onder ons beseffen ongetwijfeld wel dat torrents gebruiken een risicovolle zaak kan zijn. Toch zal je antivirus geen seconde twijfelen om je daar voor de zoveelste keer attent op te maken. Schrik dus niet wanneer je regelmatig het bericht krijgt dat er mogelijk schadelijke bestanden zijn binnengedrongen op je toestel. Natuurlijk moet je er dan wel zelf voor zorgen dat je computer gezond blijft door regelmatig een manuele scan uit te voeren.

Dergelijke vals positieven komen bij iedereen regelmatig voor. Het zaakje wordt evenwel vervelender wanneer je meerdere antivirusprogramma’s in tandem gebruikt. Een antivirus is als Floyd Mayweather: een bokser die alles en iedereen tegen het canvas wil meppen en ervan overtuigd is dat hij de beste ooit is. Terwijl Rocky Balboa alvast opstaat om zijn plekje af te staan, zal ik je vertellen dat antivirusprogramma’s soms even kinderachtig met elkaar omgaan. Wie twee afzonderlijke aanbieders naast elkaar laat werken, zal onvermijdelijk vaker om de oren worden geslagen met vals positieven.

Allemaal onzin

Niet alleen vals positieven zullen je een halve hartaanval bezorgen. Het is niet omdat je toestel trager lijkt te werken dan gewoonlijk dat er ook echt een probleem is. Misschien wordt je hardware wel een dagje ouder? Of misschien is er wel degelijk een probleem, maar bevindt zich dat eerder aan de harde kant van de waren dan aan de software? Voor je in het wilde weg allerlei ongepaste maatregelen begint te treffen, kan het lonen om eens te kijken of de boosdoener niet gewoon een slechtwerkend programma is. Kijk daarvoor naar je geheugenverbruik. Zitten al je RAM-GB’s vol, dan ligt daar je probleem. Heb je niets, nul, noppes, nada meer over op je harde schijf, dan kan ook dat een probleem vormen. Zijn je moeilijkheden van een andere aard – zie je bijvoorbeeld een kadertje met daarin “YOUR FILES HAVE BEEN LOCKED” – ja, dan heb je inderdaad wel een probleem.

Ja, nu mag je ervan uitgaan dat je een probleem hebt.

Onderhandelen met terroristen

Als je bovenstaand tekstje, of een variant daarop, ziet verschijnen op je scherm mag je je voor het eerst in deze cursus lichtelijk zorgen maken. Ransomware is zowat het grootste malwaregerelateerde probleem van deze tijd. Criminelen infecteren je toestel met een programma dat, van zodra het op je computer staat, meteen begint met alle bestanden die het vindt te encrypteren. Het resultaat is een toestel vol persoonlijke documenten en foto’s die je niet meer kan openen. Zoals je elders in deze Clickx namelijk kan lezen, is encryptie een heel sterk wapens tegen pottenkijkers. Wanneer het echter gebruikt wordt tegen jou, om te belemmeren dat jij nog toegang hebt tot je eigen bestanden, kan het je ergste nachtmerrie zijn.

In films op tv heb je waarschijnlijk al gezien dat de eerste richtlijn van Amerikaanse veiligheidsdiensten luidt ‘wij onderhandelen niet met terroristen”. Een begrijpelijke strategie: je wil je tegenstanders geen duimbreed toegeven, want ze vergane altijd meer en meer. Eens je hebt toegegeven, blijven ze het toch opnieuw proberen, want ze weten dat er iets te rapen valt. Zo gaat dat met ransomware ook. Zowat alle beveiligingsexperts ter wereld zullen je met aandrang aanraden om niet te betalen. Ransomware begon ooit met een ‘goede reputatie’ – er werden zelfs helpdesks en fora voorzien waar je terecht kon voor extra hulp – maar vandaag blijft daar maar weinig meer van over. Steeds vaker weigeren de hackers de encryptiesleutel uit te leveren, waardoor je achterblijft met versleutelde bestanden, en zonder de honderden euro’s die je betaalde als losgeld.

Vroeger kon je ransomware-criminelen nog vertrouwen, hoe gek dat ook klinkt.

Kat in zak

Meteen betalen is dus niet langer de logische stap. Toch zijn er nog meer dan genoeg mensen die alsnog het gevraagde bedrag ophoesten; we kunnen ze het niet kwalijk nemen (tip: wil je toch betalen, neem dan eerst contact op met de hackers en probeer af te dingen; heel vaak werkt dat). Wat moet je dan wel doen? Het aller-aller-allereerste dat je absoluut moet doen, is het getroffen toestel de mond snoeren. Verbeek alle verbindingen: wifi, bluetooth, ethernetstekkers,… De hele reutemeteut. Je wilt immers te allen prijze vermijden dat de ransomware zich weet te verspreiden naar andere toestellen. Zoals ‘water en de rest komt later’ een goed motto is, is ‘isolatie is beter dan inflatie’ een even goede raad voor deze situatie.

Hedendaagse cryptolockers gebruiken steeds vaker methodes om zichzelf te vermenigvuldigen. Heel bijbels is dat helaas niet: sommige programma’s proberen dat te doen door zichzelf te kopiëren naar usb-sticks, terwijl andere misschien je e-mailprogramma proberen te hacken. Op die manier word jij dan een soort onvrijwillige phisher die zijn vrienden en kennissen erbij zal lappen. De ergste ransomware begrijpt zelfs hoe de cloud werkt. Wanneer je een automatische back-up hebt lopen met een clouddienst – bijvoorbeeld voor Word-documenten – dan zal de cryptosoftware zich naar daar weten te verplaatsen. Als je dan samenwerkt met enkele collega’s aan eenzelfde document, dan zullen zij ook de rommel oplopen, vaak zelfs automatisch door een automatisch synchronisatieproces. Heb je pech, dan heb je het zelfs niet door wanneer je later op een ander toestel dat ene document wil raadplegen, waarna je opnieuw slachtoffer wordt van diezelfde ransomware.

Stap 1: haal het getroffen toestel meteen van je netwerk af.

Redden wat te redden valt

Veel kan je niet doen tegen een lopende encryptie. Sluit je je computer hardhandig af, dan wordt het proces slechts gepauzeerd. Bij een volgende gebruik hervat het vanzelf. Daarom kan je je beter bekommeren om de netwerkverbindingen van dat toestel, in de hoop de rest van je netwerk te redden. De eerste stap die je kan zetten op weg naar herstel – de tweede stap na het ontkoppelen van je computer – is Google eens raadplegen. Meer en meer beveiligingsbedrijven proberen alle soorten ransomware te ontmantelen en dat lukt hen steeds beter. Door te zoeken naar de specifieke software die jou aanvalt, kan je misschien wel een encrytpiesleutel online vinden. Veel heb je echter niet om op af te gaan. Wel zal er steeds staan wie je aanvaller is, en dat is een begin. Je kan ook steeds gebruikmaken van de website id-ransomware.malwarehunterteam.com. Via deze website zal een online tool proberen je aanvallers te ontmaskeren vanop afstand.

Eens je achterhaald hebt door wie of wat je onder handen werd genomen, kan je altijd eens langsgaan op www.nomoreransom.org. Dat is een initiatief van verschillende securitybedrijven, de Nederlandse nationale politiediensten en interpol. De website werd vorig jaar pas opgericht, maar beschikt nu al over een indrukwekkende bibliotheek aan decryptiesleutels en -programma’s. Indien je jouw probleemgeval in de lijst ziet staan, is de kans groot dat je zo weer van het probleem verlost bent. Download het nodige en laat het los op jouw toestel.

De volgende stap is het schuldige bestand opsnorren en dat zo snel mogelijk verwijderen. Meestal is het niet zo moeilijk om dat te lokaliseren: aangezien ransomware meteen begint te werken, is het vaak het laatste bestand dat je gedownload of geopend hebt. Probeer desnoods alle bestanden van de afgelopen dagen te verwijderen om het zekere voor het onzekere te nemen.

Op nomoreransom vind je met wat geluk de sleutel tot jouw probleem.

Op hoop van zegen

Het is natuurlijk mogelijk dat deze oplossing in jouw geval niet werkt. Of misschien stond jouw probleem er zelfs helemaal niet tussen? Dan zijn er nog enkele websites die je kan raadplegen. Zo kan je bij Microsoft terecht die een poging zal doen om vanop afstand malware te verwijderen. Ga naar https://www.microsoft.com/en-us/safety/pc-security/malware-removal.aspx en download de tool. Het werkt voor verschillende soorten malware en richt zich niet specifiek op ransomware, maar het is het proberen waard. Op dit ogenblik is elke sprankel hoop beter dan niets. Ben je tamelijk technisch aangelegd en kan je wonderen verrichten vanuit het Windows Registry? Dan Moet je zeker deze website eens bezoeken: support.kaspersky.com/viruses/disinfection/8005. De tool die je hier vindt, helpt je bij het terugwinnen van je registry bij zowat iedere vorm van malware. Het is opnieuw niet veel, maar als je ermee kan werken, is het al iets.

Back-ups

De enige waterdichte remedie tegen ransomware is een goede back-upstrategie. We herhalen het bij Clickx tot in den treure, maar het is nu eenmaal zo. Back-ups kunnen je heel wat leed besparen, ook in deze situatie. Heb je een probleem, dan zet je je computer terug naar de fabrieksinstellingen, waarna het zal lijken alsof er niets gebeurd is. In het slechtste geval is je meest recente back-up dan al enkele dagen oud, waardoor je misschien toch enkele bestanden zal verliezen, maar het merendeel zal behouden blijven. Een degelijk strategie die je op voorhand in gebruik neemt, is je beste wapen tegen wat zelfs dit jaar nog een ware plaag zal zijn.

Bekijk daarnaast je huidige antivirusprogramma eens een keer met een microscoop. Meer en meer betalende programma’s bieden namelijk een antiransomwarefunctie aan die volgens de eerste rapporten uitstekend lijken te werken. Wanneer een programma drie bestanden geëncrypteerd heeft, kan het vaak al ontdekt zijn en gestopt worden. Vaak kunnen deze nieuwe antivirussen zelfs ransomware detecteren nog voor die aan zijn taak begonnen is. Kijk daarom na of jouw huidige programma dat ook voorziet, anders is het misschien tijd om over te stappen.

Malwarebytes heeft een redelijk betrouwbaar (en gratis) antiransomware-programma.

Alledaagse rommel

We hebben een groot stuk van deze cursus gespendeerd aan ransomware. Met reden natuurlijk, aangezien ransomware al zovele nietsvermoedende slachtoffers heeft gemaakt. Natuurlijk is ransomware niet de enige rommel die jouw computer kan aanvallen. Indien je met eender welk ander probleem zit, zijn de stappen echter steeds gelijkaardig aan elkaar. Je begint uiteraard met je antivirusprogramma te laten lopen. Zelf begin ik steeds met een snelle scan. Zo krijg je op enkele minuten tijd een snel overzicht van wat er gaande is. Krijg je daarbij meteen veel meldingen, dan weet je dat er werk aan de winkel is. Krijg je echter de melding dat er niets werd gevonden, dan weet je dat er meer aan de hand is.

Een volledige scan uitvoeren is dan de volgende stap. Opnieuw hetzelfde: zie je meldingen, dan kan je aan de slag. De meeste bedreigingen zal je antivirus zelf kunnen verwijderen, of toch minstens in quarantaine kunnen plaatsen. In het geval van quarantaine moet je de bedreiging dan nog slechts handmatig verwijderen. Zie je niets, dan weet je opnieuw dat het probleem sluwer is dan een standaard virus.

Cavalerie

Zie je na een scan van je volledige computer nog steeds geen duidelijk probleem opduiken, of krijg je een gevonden virus niet zomaar weg – die virussen bestaan – dan is het tijd om de cavalerie erbij te halen. Download eerst Malwarebytes Antimalware. Deze software is volledig gratis en is een expert in het opsporen en verwijderen van virussen die graag verstoppertje spelen. Ook andere crapware, zoals bugs, wormen, keyloggers en ander gespuis dat zich graag verstopt, zal met Malwarebytes gevonden worden. Werkt ook dat niet, dan kan je het nog een keer proberen met SuperAntiSpyware. Dat gelijkt op Malwarebytes, maar kan je gebruiken als nuttige aanvulling.

Werkt al dat zware geweld niet, dan kan je nog iets anders proberen: exact hetzelfde doen, maar dan in veilige modus. Bij Windows 7 kon je dat nog doen via de startknop of door op een F-knop te drukken bij het opstarten. In Windows 10 heeft dat net iets meer voeten in de aarde: druk op de SHIFT-toets terwijl je op HEROPSTARTEN klikt. Navigeer nu naar PROBLEEM OPLOSSEN, GEAVANCEERDE OPTIES, WINDOWS OPSTARTOPTIES, HEROPSTARTEN en VEILIGE MODUS. In deze modus krijgen je antivirusprogramma’s beter de kans om hun werk te doen. Let wel op met wat je doet, want je computer loopt in deze modus de kans om zwaarder beschadigd te raken wanneer je lompe dingen gaat doen. Doe daarom alleen wat je moet doen, en blijf verder overal af.

Werkt dit alles nog steeds niet, dan kan je, net als bij ransomware, ervoor opteren om je computer volledig schoon te maken naar de fabrieksinstellingen. In het beste geval heb je dan opnieuw een back-up die je kan overzetten. Anders moet je helemaal opnieuw beginnen met instellen en je favoriete programma’s te installeren. Maar je zal wel verlost zijn van je problemen. Wij wensen je alvast veel succes.