Kennismaking met ransomware: Cryptowall 3.0

Eind maart 2015 maakte ik kennis met het beruchte Cryptowall 3.0 virus. Een heel venijnig soort ‘ransomware‘ waarmee je persoonlijke bestanden versleuteld worden en je vervolgens een unieke code kunt kopen om de versleuteling ongedaan te maken. De bende die erachter zit maakt gebruik van het TOR-netwerk en Bitcoins, waarmee het losgeld voor je data anoniem kan worden betaald. Net als bij vele anderen was mijn kennismaking met het virus niet bepaald gezellig. Op de enige Windows-pc die wij in het netwerk hadden verscheen ineens de melding dat het gedaan was met mijn bestanden, tenzij ik via schimmige kanalen contact opnam met de cybercriminelen. Alle persoonlijke documenten, foto’s etc. waar het virus grip op had, inclusief de bestanden op onze thuisserver waren onleesbaar geworden. 

Onmiddellijk ben ik begonnen met inlezen in deze materie. Wat heb ik nu aan mijn fiets hangen? Vooral op Engelse fora zijn veel pogingen te vinden waar experts en slachtoffers pogingen doen om gegevens terug te halen. Ja, de geïnfecteerde pc was uitgerust met antivirus en werd beschermd tegen malware, toch? Ik moet toegeven dat er een soort luiheid ingeslopen was: jarenlang heb ik geen echt schadelijke virussen meer gezien en na mijn overstap naar Linux enkele jaren geleden leek die bedreiging ook niet meer aan de orde. Linux is vrijwel ongevoelig voor virussen. Maar Windows niet. Ironisch is dat het virus dus óók mensen treft die in dure antivirus software hebben geïnvesteerd. Mensen die niet lui zijn en bewust dergelijke catastrofes willen voorkomen.

Helaas blijkt dit Cryptowall-virus zo geraffineerd dat het rekening houdt met antivirus, herstelpunten, versiebeheer en andere methoden om het versleutelen ongedaan te maken. Er zijn veel schrijnende voorbeelden te lezen van mensen die ingaan op het betalen van het losgeld in de hoop hun enige familiefoto’s en belangrijke documenten terug te krijgen. Het is echter absoluut niet zeker is dat dat ook lukt. De criminelen reageren niet altijd. Bovendien lijkt het al niet eenvoudig om voor deze transactie 1.16 BTC (omgerekend bijna 500 Euro) aan te schaffen.

Een van de bekende manieren waarop het virus zich verspreidt is via advertenties op websites. Daarbij worden gericht de bedrijven gehackt die online advertenties (bannercampagnes) op websites plaatsen en worden vertrouwde websites ineens bronnen van het virus. Een andere manier is meer klassiek: via phising. Het slachtoffer klikt op een link in een malafide e-mail bericht waarmee het schadelijke script begint te lopen. Mijn besmetting is vermoedelijk gekomen bij het zoeken en installeren van een pdf-programma.

Gelukkig is de schade voor mij beperkt gebleven. Ik maak regelmatig externe backups. Had ik twee jaar geleden te maken met het virus, dan was de ramp niet te overzien. Toen had ik namelijk een bestandsserver (NAS) met twee harde schijven die de inhoud spiegelde. Viel er een uit, dan ving de andere het op. That’s it. Zou ik toen het virus hebben gekregen, dan zou ik met twee onbruikbare harde schijven hebben gezeten. Daarna heb ik gekozen voor fysieke splitsing, omdat dat bij bliksem, brand of diefstal de risico’s beter spreidt. Nu zat er een week tussen de externe backup en de besmetting. Daarmee ben ik wel wat data verloren, maar niet >20 jaar aan opgebouwd beeldmateriaal zoals ik her en der lees. Lesson learned. De zwakke schakel pc in het netwerk is na deze leerervaring in elk geval meteen verlost van Windows. Nu hebben we alleen nog Linux-pc’s in huis. Eindelijk lui achterover leunen! 😉 (of toch niet?)

Marc de Koning

Zelfstandig communicatieprofessional die met plan en praktijk mensen en organisaties communicatiever maakt.

Facebook Twitter LinkedIn 

Geplaatst in Blogs

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

Time limit is exhausted. Please reload CAPTCHA.