Ransomware is een vorm van malware die media-, document- en andere bestanden op de doel-pc versleutelt en toegang tot die bestanden pas wordt verleend als aan de losgeldeisen van de aanvaller is voldaan.
Momenteel zijn er twee soorten ransomware: een die bepaalde bestanden op een computer vergrendelt en een andere die het hele systeem vergrendelt. Dat laatste is vooral te vinden op smartphones.
Ransomware bestaat al meer dan een decennium. De eerste gevallen van een dergelijke aanval werden in 2005 in Rusland gevonden met Trojan GPcoder.
Vroege geschiedenis: The Russian Connect
Het eerste bekende ransomware-virus dat op grote schaal voor problemen zorgde, is ontwikkeld door Russische georganiseerde criminelen en kwam op de voorgrond in 2005 en 2006.
Deze malware besmette pc’s in Rusland, Wit-Rusland, Oekraïne en Kazachstan. Een van de soorten malware heette Archievus en een andere genaamd Troj_Cryzip.A.
Terwijl de eerste de map ‘Mijn documenten’ versleutelde, identificeerde en verplaatste de laatste bepaalde bestandstypen op een pc naar een met een wachtwoord beveiligde Zip-map, die alleen zou worden ontgrendeld wanneer het slachtoffer een paar honderd dollar aan de aanvaller overmaakte via E-Gold – elektronische valuta vóór Bitcoin.
E-Gold werd in 2009 stopgezet op aanwijzing van de Amerikaanse overheid omdat een groot aantal criminelen het gebruikten om geld wit te wassen. Daarna worden Bitcoin en prepaid-betaalpassen gebruikt als methode om losgeld te innen.
Tegen het einde van het eerste decennium doken ook talloze ransomware-aanvallen op die zich voordeden als wetshandhavingsinstanties. Deze aanvallers zouden de slachtoffers lastigvallen met valse beschuldigingen zoals inbreuk op het auteursrecht en ‘boetes’ uitlokken voor deze niet-bestaande beschuldigingen.
De meest beruchte van deze wetshandhavers was Reveton, een ransomware die lokaal zou werken. Afhankelijk van het land waar het slachtoffer is gevestigd, zou Reveton zich voordoen als de nationale politie.
De ontwikkelaars hebben lokalisatie-inspanningen geleverd voor bijna alle Europese landen, de VS, Australië, Canada en Nieuw-Zeeland. De ransomware gebruikte geen encryptie om de bestanden van de gebruiker te vergrendelen, wat het verwijderen met een antivirusprogramma of via de veilige modus gemakkelijker maakte.
In 2012 richtte een andere ransomware zich op Windows Master Boot Record (MBR) en verving deze door een kwaadaardige code. Wanneer een geïnfecteerd systeem werd opgestart, zou de gebruiker instructies ontvangen om een flink bedrag te betalen via QIWI – een betalingssysteem in Russische handen – om toegang te krijgen tot hun apparaat.
Moderne crypto-ransomware
Een van de moderne ransomware-methoden werd voor het eerst gevonden in 2012-13. CryptoLocker was het eerste algemeen succesvolle malwareprogramma dat meer dan $ 27 miljoen aan losgeld opleverde.
CryptoLocker wordt versleuteld met een 256-bits AES-sleutel en een 2048-bits RSA-sleutel, waardoor de versleuteling bijna onbreekbaar is, zelfs als de malware wordt verwijderd, waardoor het een van de meest effectieve manieren is voor aanvallers.
De slachtoffers van deze aanvallen werden gevraagd om $ 400 of meer te betalen om de decoderingssleutel te ontvangen en werden bedreigd met verwijdering van de sleutel als ze niet binnen 72 uur betaalden.
In 2014 werd CryptoLocker neergehaald door een consortium van overheidsinstanties, beveiligingsbedrijven en academische instellingen in Operatie Tovar. Later lanceerden ze ook een service voor mensen die getroffen zijn door CryptoLocker, waarmee ze hun apparaten gratis konden decoderen.
Hoewel de dreiging van CryptoLocker niet lang duurde, heeft het aanvallers zeker geholpen om de wereld van ransomware te verkennen en vast te stellen hoe lucratief het kan zijn.
CryptoLocker werd gevolgd door TorrentLocker, een ransomware-programma dat opdook als een e-mailbijlage – meestal een word-bestand met kwaadaardige macro’s – dat bepaalde soorten bestanden op de computer vergrendelde met een AES-codering.
De TorrentLocker is nog steeds actief en heeft de afgelopen jaren veel geëvolueerd. De nieuwere versies hernoemen alle geïnfecteerde bestanden op een computer, waardoor het voor de gebruiker onmogelijk is om te identificeren welke bestanden zijn versleuteld en de bestanden via een back-up te herstellen.
Ransomware infecteert niet alleen Windows PC, maar ook Linux en Mac OS. In 2015 werd een ransomware-stam gevonden die pc’s met Linux infecteerde en in 2016 werd een stam gevonden die bedoeld was om Mac-computers aan te vallen.
In het afgelopen decennium zijn crypto-ransomware-aanvallen dramatisch toegenomen, aangezien het aantal valse antivirus- en andere misleidende apps is afgenomen. Alleen al in 2016 werden 638 miljoen gevallen van ransomware gemeld.
Hoe het te bestrijden?
Er is een behoorlijk aantal websites en beveiligingsbedrijven die mensen proberen te informeren over de bedreigingen van malware en hen ook tools bieden om dit te voorkomen en de informatie die door een aanvaller is vergrendeld, te decoderen.
Populaire antivirusservices zoals Avast hebben hun decoderingstools voor Windows en Android ontwikkeld om mensen te helpen de groeiende dreiging van ransomware aan te pakken. Deze tools zijn gratis te gebruiken en dekken een breed scala aan ransomware, hoewel sommige van de nieuwe er misschien niet onder vallen, maar het kan je toch een begin geven.
No More Ransom is een website die nieuws geeft over de laatste ontwikkelingen in de ransomware-ecosfeer en gebruikers doorverwijst naar tools die kunnen worden gebruikt om deze bedreigingen te bestrijden. De website is een gezamenlijke inspanning van de Nederlandse Politie, Europol, Kaspersky Lab en Intel Security.
Als u een tool hebt gevonden die u kan helpen bij het ontsleutelen van de ransomware die momenteel uw pc aantast, hoeft u deze alleen maar te identificeren. ID Ransomware is een website die u daarbij helpt, u hoeft alleen maar een kopie van de losgeldbrief te uploaden.
Als u op zoek bent naar een tool die in realtime bescherming biedt voor uw Windows-pc, dan is CyberReason Ransomfree het antwoord op uw behoeften.
Ransomware vormde een bedreiging in het tijdperk van apparaten met internetverbinding en naarmate IoT gemeengoed wordt, kan het een nog groter probleem blijken te zijn.
Momenteel heeft ransomware alleen invloed op uw apparaat of bestanden en wordt de gebruikerstoegang ingetrokken totdat het losgeld is betaald, maar met de opkomende populariteit van Smart Home-apparaten, zou het verliezen van de toegang tot uw apparaat slechts het begin van uw zorgen zijn.
