Digitaal gegijzeld door ransomware… Wat nu?

ransomeware.jpg

Je denkt dat het jou niet gebeurd, maar ineens is je laptop geblokkeerd en krijg je een ‘verzoek’ tot betaling. Wat doe je dan?

Ransomware; het begon allemaal onschuldig. Een binnengekomen e-mailbericht meldde dat er een poging was gedaan een pakketje aan de deur af te leveren maar dat er op dat moment niemand thuis bleek.
Het nieuwe aflevermoment kon uitsluitend via het meegezonden formulier worden aangegeven.
Een dubbelklik op het ‘formulier’ leverde echter de bezorging van Rundas.A op.

Rundas.A manifesteert zich als volgt: Windows 10 start nog wel op maar de documenten op de harde schijf zijn (op één document na) versleuteld. Slechts tegen betaling kunnen deze worden ontgrendeld, aldus het enige nog leesbare Pdf-document waarin de instructies te lezen zijn hoe te handelen. Het gebruikelijke stramien van ransomware was ook hier: betalen in digitale valuta (Bitcoins) via een anonieme website op het Darknet, de ‘Dark Side’ van het internet waar je alleen via bijvoorbeeld de browser TOR bij kan komen.

Een blik op de website www.nomoreransom.org stemde ook treurig: Bij alle vormen van ransomware waar wél een ontgrendelsleutel voor gevonden is, staat Rundas.A (nog) niet genoemd. Wat nu? De computer maar leegmaken, uithuilen en opnieuw beginnen met de back-up. Oh ja, die laatste was er even niet….

Gelukkig(?) werden de documenten op de harde schijf gesynchroniseerd met de persoonlijke OneDrive. Een blik op OneDrive leerde al snel dat deze zijn werk zoals gebruikelijk voortreffelijk had gedaan: alle lokale documenten waren automatisch gesynchroniseerd en dus op OneDrive eveneens voorzien van een versleuteling. Ook de aparte herstelpartitie op de computer bleek aangetast. Via de ingebouwde herstelfuncties van Windows 10 liet de ransomware zich dus niet verjagen.

Tijd voor plan B

Allereerst werd er een back-up gemaakt van de versleutelde bestanden op de laptop, mocht er in de toekomst toch een sleutel worden gepubliceerd.

Met de Media Creation Tool van Microsoft, te vinden op www.microsoft.com/nl-nl/software-download/windows10, werd een USB-stick aangemaakt met de meest recente Windows 10 installatiebestanden. De tool maakt de USB-stick tevens ‘bootable’ waardoor de laptop veilig vanaf USB-stick kan worden gestart.

Om de computer vanaf een USB-stick te laten opstarten dient je nog wel even in de BIOS te graven om de opstartvolgorde van de computer te wijzigen. Je wilt immers vanaf een USB-stick opstarten en niet, zoals gebruikelijk, vanaf de harde schijf. De wijze waarop je de BIOS kunt benaderen is afhankelijk van het merk en type computer maar vaak dien je direct nadat de computer is aanzet de Esc-toets of een functietoets (F1 of F2, F10) in te drukken om in de BIOS te komen. Google is ook hier je beste vriend!

Daarna werden in de eerste fase van het Windows 10 installatieproces alle partities verwijderd, opnieuw aangemaakt en geformatteerd. De USB-stick voorzag de computer daarmee van een verse en virusvrije partitie Windows 10. Als eerste actie na het installeren van Windows 10 werd een antivirus¬programma met Firewall geïnstalleerd.

Via de browser werd ingelogd op de persoonlijke OneDrive. In OneDrive werden alle mappen en eveneens versleutelde bestanden verwijderd. In de prullenbak van OneDrive stonden namelijk de oorspronkelijke en onaangetaste bestanden die met de optie ‘Alle items terugzetten’ weer keurig werden teruggezet, inclusief de mapnamen waar deze oorspronkelijk in waren opgeslagen voordat de malheur toesloeg.

Omdat de persoon in kwestie over een Office 365 abonnement beschikt was het vrij eenvoudig om Office 2016 weer op de computer te zetten door in te loggen op http://login.microsoftonline.com en daar te klikken op ‘Office 2016 installeren’.

Conclusie

Ransomware

In een onbewaakt ogenblik kan je zo maar ransomware in huis halen. Gebruik daarom altijd een goed antiviruspakket. Jaarlijks worden er tests uitgevoerd om na te gaan welk pakket de beste bescherming biedt. Voorkomen is beter dan genezen: antiviruspakketten detecteren en blokkeren Rundas.A momenteel wel maar kunnen deze, indien al aanwezig, nog niet verwijderen!

E-mailberichten van onbekenden

Pas op met e-mailberichten van onbekende afzenders. Indien een e-mail op het eerste gezicht toch vertrouwd lijkt, controleer de spelling dan eens goed. Virussen en malware worden doorgaans vanuit het buitenland afgevuurd op nietsvermoedende gebruikers en bevatten vaak (maar niet altijd) spel- en taalfouten. Daarnaast is een dergelijke e-mail meestal niet voorzien van een persoonlijke aanhef.
Dus niet ‘geachte heer Janssen’ maar ‘Geachte klant’.

Windows 10 herstellen

Een besmette computer kan via de volgende stappen weer worden voorzien van een ‘schone’ Windows 10:

  1. Verwijder alle schijfpartities
  2. Installeer Windows 10 op een nieuwe en geformatteerde partitie met behulp van de USB-stick die je met de Media Creation Tool hebt gemaakt
  3. Bewaar de USB-stick met Windows 10 (de herstelpartitie is immers ook weg)
  4. Installeer een antiviruspakket
  5. Installeer de overige software of log in op de Office365 site om Office 2016 opnieuw te installeren

OneDrive persoonlijk herstellen

Jouw persoonlijke OneDrive heeft een prullenbak die in voorkomende gevallen als back-up kan dienen.

Website

Op de site http://www.nomoreransom.org/en/decryption-tools.html staan sleutels voor een aantal ransomware-varianten. Hiermee kunnen besmette bestanden worden ontdaan van een specifieke versleuteling.

Betalen of niet?

Een andere mogelijkheid is om de afpersers te betalen. Het is nagenoeg onmogelijk in te schatten hoe groot de kans is dat je de sleutel ook werkelijk krijgt. Google dus voor je betaalt naar de naam van de ransomware om een beeld te krijgen van de snode lieden achter deze ellende. Je komt dan misschien op fora terecht waar ervaringen van andere slachtoffers staan. Mogelijk achterhaal je zo of betalen succesvol is. Andere experts zijn van mening dat er nooit moet worden betaald voor ransomware; Je zou ermee laten zien dat criminaliteit loont, en dat er alleen maar meer ransomware bij komt.