De terreur van ransomware

De eerste infecties door de ransomware WannaCrypt werden op vrijdag 12 mei 2017 gemeld en daarna ging het snel met de verspreiding over de gehele wereld, met als gevolg schade aan ziekenhuizen in Engeland en in Nederland een verstoring van de bedrijfsvoering van Q-Park. De malware gebruikte een aangepaste NSA-exploit, EternalBlue, om zich te verspreiden en experts vermoeden dat we nog diverse golven van varianten op ons af krijgen gevuurd.

Vijf jaar geleden was ransomware al tien jaar een nauwelijks effectief soort malware, maar tegenwoordig is het overal en veruit de meest schadelijke malware op het net. Er zijn twee redenen voor die grote verandering: de opkomst van Bitcoin (nauwelijks traceerbare munteenheid) en het voorbeeld van de FBI-scareware dat sinds 2012 steeds minder te vinden is maar wel aangaf dat digitale afpersing lonend kan zijn.

Volgens Symantec zijn er 16 ransomware-families ontdekt in de tien jaar voor 2014, vaak maar op kleine schaal verspreid - zoals Cryzip, de eerste ransomware die in onze contreien te vinden was. In 2015 werd alleen al dat jaar liefst 27 families ontdekt.

Ransomware is moeilijk te stoppen, zelfs met een geüpdatete antivirusoplossing, hoewel dat lijkt te verbeteren. De enige betrouwbare verdediging is het stelselmatig backuppen van het systeem, hoewel ook de backup tegenwoordig doelwit is van ransomware als die bereikbaar is via geïnfecteerde computers. Het advies aan slachtoffers is altijd om niet te betalen, zodat het minder winstgevend wordt voor de cybercriminelen.

Een volgende stap in het afpersen van mensen kan dan worden het downloaden van kinderporno op het systeem van het slachtoffer en dan dreigen met openbaarmaking ervan.