Crypto Malware
Computervirussen zoals Cryptolocker en CTB-locker blijven dagelijks hardnekkig toeslaan. Het gaat om zogenaamde ransomware, een vorm van malware waarmee cybercriminelen je computergegevens gegijzeld houden door de bestanden te versleutelen.
Alleen wanneer je binnen de x aantal uur losgeld betaalt, zou je opnieuw toegang krijgen tot je data.
Via en misleidende mail met attachment komt de Trojan binnen. Zodra de gebruiker op het attachment klikt, wordt de Trojan geactiveerd en begint deze met het versleutelen van je bestanden. Alle bestanden waar de gebruiker schrijfrechten op heeft, worden versleuteld.
Vervolgens probeert de Trojan via internet contact te maken met de server van de cybercriminelen en verschijnt een boodschap, waarin staat dat de bestanden versleuteld zijn en binnen een beperkt aantal uren x aantal euro, dollar of BitCoins betaald moet worden om de sleutel te krijgen voor het decrypteren van de gegijzelde bestanden. Gebeurt dat niet binnen die tijd, dan wordt de sleutel vernietigd en zijn de bestanden voor altijd verloren. De encryptie is zo goed als onmogelijk te kraken zonder de geheime sleutel.
Let er op dat je die backup op een externe harde schijf of tape bewaart, die is losgekoppeld van je computer. De Trojan versleutelt namelijk alle gegevens binnen bereik. Dat zijn dus niet alleen bestanden op de besmette pc, maar ook data die toegankelijk is via aangesloten opslagmedia of via het netwerk.
Een andere mogelijkheid is om je backup in de cloud te bewaren. Ook dan moet je opletten wanneer die cloud backup automatisch met je pc wordt gesynchroniseerd.
Wees alert bij het openen van e-mailbijlagen, zelfs wanneer het bericht afkomstig lijkt te zijn van een gekende afzender of bijvoorbeeld je bank. Indien een e-mail verdacht lijkt, verwijder je hem best permanent. Klik hier voor meer informatie over frauduleuze e-mails.
Zorg ervoor dat je altijd over de nieuwste updates beschikt. Antiviruspakketten kunnen verschillende varianten detecteren en verwijderen, maar omdat het virus snel (dagelijks) wijzigt lopen ze vaak achter de feiten aan. Daarom is het belangrijk dat de laatste updates altijd geïnstalleerd zijn. Zorg er ook voor dat uitvoerbare attachments geblokkeerd worden in Outlook en je antivirussoftware.
Traditionele antivirusoplossingen zijn gebaseerd op signatures en werken met black- en whitelists voor het classificeren van “goed” en “slecht”. Bij het bestrijden van geavanceerde crypto malware, waarbij elke infectie uniek kan zijn, zullen enkel signature-based oplossingen nooit afdoende werken.
Wat nodig is, is een manier om processen anders te categoriseren. Door naast “goed” en “slecht”, de categorie “onbekend” toe te voegen, is een essentiële volgende stap gezet op het gebied van detectie. Verder kenmerkt de nieuwe aanpak van malwarebestrijding zich door niet enkel op basis van signatures een proces te herkennen, maar ook op basis van het gedrag ervan. Zodra een proces als “onbekend” wordt bestempeld, worden alle activiteiten van dit proces gemonitord en vastgelegd in een “journal”. Dit proces en de onderliggende executable, worden getest om te bepalen of deze legitiem zijn.
In het geval van een besmetting dient er in bijna alle gevallen een backup van de data terug geplaatst te worden. De minst interessante optie is het losgeld te betalen. Op deze manier financier je namelijk de criminele organisaties die hier achter zitten.
Bovendien krijg je geen enkele garantie dat de data terug beschikbaar zal zijn of dat ze binnen x aantal tijd niet opnieuw versleuteld wordt. Toch zijn er meer en meer bedrijven en organisaties die geen andere mogelijkheid zagen dan het betalen van het losgeld omdat ze niet over een recente backup beschikten.