PAS OP VOOR CRYPTOLOCKER.

april 5, 2016

Cryptolock
Helaas zien we het tegenwoordig bijna wekelijks, computersystemen besmet met zogenaamde “Cryptoware”.

Wat betekent dit nou precies?
Cryptoware is een variant van ransomware, vrijvertaald betekent dit gijzelingssoftware. Hier heeft het ook veel van weg. De bestanden die voor ons het meest belangrijk en dierbaar zijn (denk aan foto’s, Word, Excel of PDF documenten en zelfs emailarchieven) worden gegijzeld en zijn niet meer te openen of te gebruiken totdat er een behoorlijk bedrag aan losgeld betaald is.

Dit varieert van 500 tot 1500 euro op dit moment. Dit losgeld moet veelal betaald worden in Bitcoins, een digitale munteenheid waarvan de koers sterk fluctueert.

Hoe werkt het?
Er zijn verschillende verspreidingsvormen van deze virusvariant, zelfs via het bezoeken van websites, maar het meest voorkomende is via fake emails met een bijlage. Deze mails lijken verstuurd te zijn door bijvoorbeeld een transportbedrijf, de bank of een incassokantoor. In de bijlage zit dan een zogenaamde pakbon of aanmaning. Wanneer deze geopend wordt begint de ellende. Op de achtergrond wordt contact gemaakt met het internet en er wordt een programma binnengehaald en geïnstalleerd. Dit programma begint de bestanden op de harde schijf na te lopen en te versleutelen met een zware encryptie. Hierna zijn de bestanden niet meer te openen, tenzij ze weer “ontsleuteld” worden. Maar hiervoor is een unieke sleutel nodig die alleen bekend is bij de bedenker van het virus. Deze sleutel is ook nog eens per computer verschillend.

Alsof dit nog niet vervelend genoeg is, gaat het virus niet alleen op zoek naar bestanden op de harde schijf van de computer. Ook eventuele aangesloten externe harde schijven, USB sticks en zelfs netwerklocaties, zoals een NAS, server of gesynchroniseerde clouddienst worden aangevallen.

Hoe krijg ik het eraf?
Het virus zelf is redelijk eenvoudig te verwijderen door het gebruik van een betrouwbare virusscanner. Wij adviseren hiervoor het gebruik van ESET Smart Security. Maar dan ben je er nog niet, de bestanden blijven versleuteld. Hier kan een virusscanner niets aan veranderen. De makkelijkste oplossing hiervoor is de versleutelde bestanden te verwijderen en ze te vervangen door de versies uit een recente backup. Wanneer je zeker weet dat het virus verwijderd is en de bestanden teruggezet zijn, kan je weer verder alsof er niks aan de hand was.

Maar ik heb geen backup…
Dan heb je waarschijnlijk een probleem. Er is nog een mogelijkheid dat Windows zelf een systeembackup heeft gemaakt, in dat geval zijn bestanden soms nog terug te zetten naar een vorige versie. Dit kan je testen door op een map of bestand met de rechtermuisknop te klikken en te kiezen voor “vorige versies”. Er wordt dan een overzicht getoond met de opgeslagen versies van het bestand. Deze kunnen dan eventueel teruggezet worden. Helaas staat deze optie bij veel systemen niet standaard aan.

Mocht dit ook geen oplossing bieden dan is er eigenlijk nog maar 1 optie over: betalen en hopen dat de unieke sleutel opgestuurd wordt. Want ook al is er betaald, dit bied nog geen 100% garantie op herstel.

Hoe voorkom ik deze ellende?
De volgende punten zijn van belang:
• Zorg voor een goede en up-to-date antivirus oplossing (incl. firewall en emailscanning).
• Zorg ervoor dat Windows en andere geïnstalleerde programma’s zoals Java up-to-date zijn.
• Klik niet zomaar op mailtjes of onbekende websites, gebruik je gezond verstand.
• En het allerbelangrijkst: Zorg voor een goede en actuele backup.
• Zorg er ook voor dat deze backup niet zomaar te benaderen is, anders worden de backupbestanden tijdens een besmetting ook versleuteld.
Mocht je vragen of meer informatie willen over dit onderwerp neem dan contact met ons op of kom eens langs. Wij kunnen o.a. helpen met het beveiligen van systemen en het opzetten van een goede backup procedure.