icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest

Je browser is verouderd.

Update je browser voor meer veiligheid, snelheid en om deze site optimaal te kunnen gebruiken.

Klik hier om te lezen welke browsers geschikt zijn

mediapool-zeker-online-1200x800px

Zeker Online

Meer weten over privacy en digitale veiligheid? Schrijf je in voor de nieuwsbrief!

Ransomware (gijzel-software) voorkomen en verwijderen

Ransomware (gijzel-software) behoort  tot de grootste internetgevaren. Wat is het, wat doet het precies en hoe kun je jezelf er tegen wapenen?

Ronald Kamp

Ronald Kamp , Expert Elektronica Bijgewerkt op:12 februari 2020


Wat is ransomware?

Ransomware is een type malware, ofwel kwaadaardige software, die een computer blokkeert of bestanden versleutelt. Pas als je losgeld (ransom) betaalt zou je de computer of de bestanden weer kunnen gebruiken. Andere termen voor ransomware zijn cryptoware of gijzelsoftware.

CBT locker ransomwareRansomware is erg vervelend. Je kunt ongemerkt bijvoorbeeld je hele foto-archief of muziekverzameling, inclusief aangesloten back-ups, verliezen. Oudere varianten van ransomware blokkeren alleen de internetbrowser of het opstarten van de computer. Criminelen richten zich steeds vaker op bedrijven en instellingen, omdat daar meer geld te halen valt. Toch moet je als thuisgebruiker ook nog steeds opletten.

Kenmerken ransomware (gijzelsoftware)

  • Gijzelt bestanden door ze te versleutelen. Dit houdt in dat je bestanden niet meer kunt openen.
  • Er wordt betaling geëist in de digitale munteenheid Bitcoin. Omgerekend gaat het om honderden of zelfs duizenden euro's. Na een tijdslimiet wordt het bedrag soms opgehoogd.
  • Besmetting verloopt via kwaadaardige bestanden (meestal in e-mailbijlages) of via een lek op de pc door niet-bijgewerkte software. In dat laatste geval kan de ransomware op de pc komen zonder dat je zelfs ergens op hoeft te klikken.
    Verdachte bestanden in e-mails zijn: zip-, exe-, js-, lnk- en wsf-bestanden. Ook Word-bestanden die vragen om macro's in te schakelen zijn gevaarlijk.
  • Kijk uit voor nepmedewerkers van Microsoft die je opbellen. Je pc heeft zogenaamd een probleem en daarom willen ze op afstand inloggen, waarna ze je pc of bestanden blokkeren met ransomware.
  • Losgeld betalen is af te raden, maar kan een laatste redmiddel zijn.
  • De versleuteling is meestal niet zonder de sleutel ongedaan te maken. Als je geluk hebt is er wel een oplossing, zie de paragraaf Bestanden redden.
  • Ransomware kan ook bestanden besmetten op aangesloten externe harde schijven of netwerkopslag die in Windows Verkenner een schijfletter heeft (zoals E:, F:, G:). Bewaar een back-up daarom gescheiden van de pc.
  • Van sommige varianten zijn de sleutels door politie of beveiligingsonderzoekers gevonden, zie de paragraaf bestanden redden.
  • Namen van ransomware-varianten die bestanden versleutelen zijn bijvoorbeeld: Cerber, CTB-locker, Coinvault, CryptoLocker, LockerGoga, Locky, Petya, Ryuk, SamSam, Teslacrypt, TorrentLocker, WannaCry en Wildfire

Praktijkvoorbeelden ransomware-mails

Nepmails met ransomware proberen je te verleiden op een link te klikken of bevatten een besmette bijlage. In de mails worden bijvoorbeeld (te hoge) factuurbedragen, boetes, incasso's of mislukte afleverpogingen genoemd. De details ervan zouden in de bijlage of achter een link staan. De bijlages of links bevatten onder andere vermomde uitvoerbare bestanden (factuur.pdf.exe), javascript(.js)-bestanden of Word-bestanden met kwaadaardige macro's. Soms zijn ze verpakt in een zip-bestand.

Bedrijfsnamen die hierbij als zogenaamde afzender worden misbruikt zijn onder meer KPN, Ziggo, Intrum Justitia en transportbedrijven. Ook zogenaamde scans van (Xerox-)kopieerapparaten en melding van autoschade komen voor.

Lees meer over het herkennen van phishing (nepmails).

Bestanden redden

Helaas zijn bij een ransomware-besmetting bestanden vaak niet te redden als je geen back-up hebt. Doorloop de volgende stappen als je bestanden versleuteld zijn:

  • Verwijder eerst de malware, zodat bestanden niet opnieuw worden versleuteld. Doe een uitgebreide scan met je virusscanner en een second opinion met vertrouwde software als Malwarebytes of Hitman Pro.
  • Plaats een back-up van de bestanden terug. Voorwaarde is natuurlijk dat er een (recente) back-up is en dat deze niet versleuteld is door de cryptoware.
  • Als je geluk hebt, zijn de makers van de cryptoware opgepakt of hebben politie of beveiligingsonderzoekers ver-/ontsleutelingsgegevens weten te bemachtigen. Voor een overzicht van ransomware-decryptors, waarmee je zonder hulp van criminelen je bestanden kunt redden, kun je kijken op nomoreransom.org, een initiatief van onder meer EuroPol. Voor nieuwere ransomware is er vaak geen oplossing.
  • Zoek verborgen back-ups. Heb je geen back-up gemaakt, dan is er een kleine kans dat Windows dit automatisch heeft gedaan. Zoek deze schaduwkopieën als volgt:
    • Klik met je rechterknop een bestand of map.
    • Klik op Eigenschappen > tabblad Vorige versies.
    • Kijk of er een oudere versie staat die hersteld kan worden. Soms werkt dataherstelsoftware zoals het gratis recuva.
  • Betaal losgeld. Uiteraard raden we deze optie sterk af, maar als de getroffen data erg belangrijk voor je zijn, kunnen we ons voorstellen dat je overstag gaat. Ervaringen tonen aan dat slachtoffers de sleutels vaak krijgen, maar er is geen garantie.

Ransomware en andere malware voorkomen

De kans op dataverlies bij ransomware is groot, daarom is het belangrijk om besmetting te voorkomen en regelmatig te back-uppen voor als dit toch gebeurt. Volg onderstaande tips om de kans op virussen en cryptoware te verkleinen:

  • Installeer een goede virusscanner.
  • Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browseraanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  • Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  • Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  • Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  • En nogmaals: back-ups maken. Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Met (Apple's) macOS en Linux loop je veel minder risico. Maar ook deze systemen kunnen besmet worden.

Niet versleutelbare back-up maken

Er zijn verschillende manieren om een back-up te maken. Maar, let wel op dat niet elke manier van een back-up geschikt is om de versleuteling door ransomware te herstellen. Ransomware kan namelijk niet alleen de gegevens op het besmette apparaat versleutelen, maar ook externe opslagpunten.

  • Sluit voor het maken van een back-up, de usb-stick of externe harde schijf alleen aan op het moment van een back-up en koppel hem daarna los.
  • Bij een netwerkopslag kun je ervoor kiezen dat alleen de back-upsoftware bestanden mag opslaan op de netwerkschijf (bijvoorbeeld via FTP) en dat via Windows verkenner alleen bestanden gelezen worden.
  • Bij een cloud back-up, en ook sommige andere vormen van back-up, kun je bestanden terughalen als er versiebeheer aanwezig is. Als in de meest recente versie van een back-up bestanden zijn versleuteld, kun je nog altijd terug naar een oudere versie van de back-up.

Anti-ransomware programma's

Er is software die specifiek gericht is op het voorkomen van ransomware-besmetting en die als aanvulling op een virusscanner gebruikt moet worden, zoals Cybereason RansomfreeHitmanPro.Alert of Kaspersky Anti-Ransomware Tool. Er zitten wel nadelen aan: met sommige virusscanners geven ze problemen, ze zorgen soms voor extra vertraging en ook zijn sommige aardig aan de prijs.

Veel van de technieken die de programma's gebruiken zitten tegenwoordig ook in "normale" virusscanners. Om de kans op besmetting tegen ransomware te verkleinen kun je speciale anti-ransomware programma's overwegen, maar het is belangrijker om je te houden aan de andere punten uit het lijstje tips onder 'ransomware en andere malware voorkomen'. 

Kenmerken politievirus (ransomware zonder versleuteling)

  • Direct zichtbaar: toegang tot de computer of internetbrowser is geblokkeerd.
  • Doet zich vaak voor als bericht van een officiële instantie, zoals de politie of justitie. Er wordt bijvoorbeeld gezegd dat er illegale software of pornografisch materiaal is aangetroffen. Na een betaling van een boete zou de blokkering worden opgeheven.
  • Er wordt meestal betaling geëist via prepaid betaalkaarten zoals Paysafecard of soms via Bitcoin.
  • Besmetting verloopt meestal via besmette bestanden, bijvoorbeeld een e-mailbijlage of via een lek op de pc door niet-geüpdatete software.
  • Losgeld betalen is zinloos (de pc kan vaak niet eens meer door de criminelen worden gedeblokkeerd).
  • Het virus is te verwijderen zonder dat gegevens verloren gaan.

 

Let op!

Je kunt momenteel geen video's bekijken, omdat je hiervoor geen cookies hebt geaccepteerd. Wil je toch video's bekijken? Wijzig dan je cookie instellingen en accepteer de YouTube cookies

Instellingen aanpassen

.

Politievirus (ransomware zonder versleuteling) verwijderen 

  • Betaal nooit. De kans dat je computer vrijgegeven wordt is nihil, in tegenstelling tot bij de variant die bestanden versleutelt (cryptoware).
  • Probeer eerst Windows-systeemherstel. Hierbij wordt Windows teruggezet naar de stand van een eerder moment, zonder dataverlies.
  • Werkt systeemherstel niet? Kijk of je de pc in veilige modus kunt starten.
  • Lukt dat? Probeer de ransomware dan te verwijderen met het gratis Malwarebytes.
  • Wordt de computer geblokkeerd bij het opstarten of lukt verwijderen op een andere manier niet, probeer het dan met HitmanPro.Kickstart, onderdeel van HitmanPro en volg de Kickstart handleiding (van Surfright, de makers van HitmanPro). Door de computer via Kickstart op een usb-stick op te starten, kan de pc worden ontdaan van het virus.

Lukt ook dat niet, dan blijft er maar 1 optie over: de pc opnieuw (laten) installeren. Dat is ook de enige manier om er 100% zeker van te zijn dat het virus weg is. Dat gaat het eenvoudigst met een herstelschijf of -partitie. Let op: alle data op de computer wordt gewist.

Ook op Apple en Linux?

De meeste ransomware die tot op heden is gesignaleerd, is gericht op Windows-systemen. Maar er zijn bijvoorbeeld ook gevallen bekend dat de telefoon van iPhone-gebruikers was geblokkeerd. Kortom, waar je ook mee op internet gaat, houd dat apparaat up-to-date, gebruik altijd je gezonde verstand en een kritische blik. Zeker als iets ook maar een kleine twijfel oproept.

Lees ook: