De grootschalige ransomware-aanval WannaCry laat het gevaar van ransomware nog maar eens al te duidelijk zien. En dat terwijl je met goede antivirussoftware en een recente back-up tegen de meeste aanvallen wel beschermd bent. In dit artikel lees je hoe je jezelf wapent tegen ransomware en wat je hier praktisch over moet weten.

Wel of niet betalen?

Om geen gegevens te verliezen na een infectie met ransomware moet je nu actie ondernemen. In tegenstelling tot een doorsnee virusprobleem, dat meestal met enige technische kennis en tijd wel weer te boven is te komen, ben je met ransomware echt de pineut. Je bestanden zijn voor altijd ontoegankelijk omdat ze onleesbaar zijn gemaakt met sterke encryptie. Bij de meeste ransomware is de encryptie zo sterk dat geen enkel hulpprogramma je gegevens nog kan redden.

Net als bij sommige gijzelingssituaties wordt er geld verlangd en is er een tijdklok waarbinnen je aan de eisen moet voldoen. Als je niet direct betaalt, kan het bedrag aanzienlijk oplopen of de onverlaat meldt de enige 'sleutel' tot je gegevens te vernietigen. Het lijkt een slechte film. Het advies luidt uiteraard: nooit betalen. Je stimuleert hiermee de verspreiding en ontwikkeling van nog meer ransomware en misschien nog belangrijker: de kans is erg klein dat je een 'sleutel' krijgt om de encryptie ongedaan te maken.

Basispreventie

01 Windows Updates

Om ransomware het hoofd te bieden hebben we dit artikel opgedeeld in drie onderdelen, namelijk: 'werkt niet', 'werkt een beetje' en uiteindelijk de 'ultieme bescherming tegen ransomware'. Maar we beginnen bij de basis. We kunnen niet vaak genoeg benadrukken hoe belangrijk het is dat je zorgt dat je Windows-besturingssysteem geüpdatet blijft. Ga dus bij jezelf na of je weet hoe Windows Update werkt en hoe je controleert of de automatische updates wel echt automatisch binnenkomen.

02 Beveiligingssoftware

De vorige tip geldt ook voor je beveiligingssoftware. Het is essentieel dat je een beveiligingspakket installeert (al dan niet commercieel) met een zogenaamde 'realtime scanner'. Hierbij wordt over je schouder meegekeken of er niets geks gebeurt. Zonder het meest recente antigif is ook de beste beveiligingssoftware machteloos. Meestal gaat dit updateproces-automatisch, maar controleer dit zelf ook regelmatig even. Zorg er dus voor dat je weet waar je de update-functie kunt vinden.

03 Patchen, patchen, patchen

Naast het up-to-date houden van je besturingssysteem en beveiligingsprogramma, zorg je er natuurlijk ook voor dat je andere software bijgewerkt is. Beveiligingslekken in populaire programma's zijn altijd een doelwit van cybercriminelen. Het bijwerken van je software kan handmatig, maar dat is veel te omslachtig. Gebruik liever een programma als Personal Software Inspector of Patch My PC om dit voor je te doen. Beide oplossingen zoeken naar kwetsbare geïnstalleerde programma's en controleren of je de meest recente versie hebt. Weer een zorg minder!

Werkt niet

04 Windows Systeemherstel

Het is altijd verstandig om het extra vangnet van Windows Systeemherstel te activeren, maar dit biedt meestal geen uitkomst als je computer ransomware oploopt. Theoretisch kun je met Windows Systeemherstel je computer terugzetten naar een eerder moment dat alles nog wel werkte, maar moderne ransomware zal dit Windows-onderdeel actief aanvallen. De veilige modus van Windows wordt onklaar gemaakt en de herstelbestanden worden gewist. Schakel Windows Systeemherstel in ieder geval in voor 'je weet maar nooit'. Druk op Windows-toets+Pause en kies Geavanceerde systeeminstellingen / Geavanceerd / Systeembeveiliging. Activeer Windows Systeemherstel voor al je opslagschijven.

05 Direct uitschakelen

Er is kleine kans dat je merkt dat ransomware om zich heen begint te grijpen en bezig is om je bestanden onleesbaar te maken. Merk je dit wel, dan is het dringende advies om je systeem direct uit te schakelen. Je Windows-installatie kun je meestal als verloren beschouwen. Als je de harde schijf uitbouwt en via een usb-adapter aan een andere computer hangt, heb je mogelijk kans om nog iets van je data te redden. Verwijder uiteraard direct de netwerkkabel uit je computer of schakel je wifi-adapter uit. Voor wifi is op de meeste laptops een sneltoets aanwezig die werkt via een Fn-toetscombinatie, of een fysiek schuifje. Ontkoppel ook externe apparatuur en je NAS.

06 In de cloud

Het is een fabel dat je veilig bent tegen ransomware als je je gegevens bewaart in de cloud. Dit geldt niet voor specifieke cloud back-updiensten waarbij versies of snapshots worden bijgehouden, maar wel voor OneDrive, Dropbox en Google Drive. De meeste clouddiensten werken met synchronisatie. Als je iets aanpast op je computer in bijvoorbeeld je Dropbox, veranderen de gegevens vrijwel direct ook bij de clouddienst. Een document wordt door ransomware onleesbaar gemaakt met encryptie op je computer en vervolgens gesynchroniseerd naar je clouddienst. Bij onder andere Dropbox is het wel mogelijk om een eerdere bestandsrevisie terug te zetten. Omdat dit per bestand werkt en je dus niet in één keer de volledige clouddienst kunt herstellen naar bijvoorbeeld eergisteren, ben je dagen (of weken!) bezig om je bestanden te herstellen. Een back-updienst met versiebeheer heeft dit probleem niet. Voorbeelden zijn CrashPlan en Carbonite. De oplossingen bieden goede bescherming tegen de gevolgen van ransomware, maar goedkoop zijn ze niet.

Werkt een beetje

07 RDP

Ransomware misbruikt ook soms RDP. Met dit onderdeel, voluit 'Remote Desktop Protocol', kan je systeem op afstand worden overgenomen. Deze zakelijke functie wordt ook door sommige thuisgebruikers gebruikt, maar als je RDP nooit gebruikt kun je dit onderdeel beter uitschakelen. Start het programma SystemPropertiesRemote.exe als beheerder, bijvoorbeeld via Windows-toets+R of een zoekopdracht in je startmenu. Schakel alle opties die verbinding mogelijk maken uit.

08 Volledige bestandsnaam tonen

Windows verbergt standaard de extensie van bekende bestandstypen. Het bestand 'leesmij.pdf' wordt in de Windows Verkenner getoond als 'leesmij'. Hierdoor zie je niet dat het om een pdf-bestand gaat. Ransomware kan zich in een uitvoerbaar bestand vermommen als 'leesmij.pdf.exe'. De extensie .exe geeft aan dat het om een uitvoerbaar bestand gaat. Dit voorbeeldbestand wordt getoond door Windows als 'leesmij.pdf' waardoor je misschien achteloos denkt dat het om een pdf-bestand gaat. In werkelijkheid wordt het exe-bestand uitgevoerd en begint, als je beveiligingssoftware niet ingrijpt, de ellende. Open Windows Verkenner, klik linksboven op Organiseren, kies Map- en zoekopties en ga naar het tabblad Weergave. Verwijder het vinkje bij Extensies voor bekende bestandstypen verbergen.

09 Webmail

Ransomware wordt veelvuldig via mail verspreid. De meeste e-mailservers blokkeren uitvoerbare bestanden die via bijlagen worden meegestuurd, zelfs als deze verstopt zijn in een zip-archief. Neem de proef op de som en stuur jezelf een uitvoerbaar bestand. Komt de mail aan en kun je de bijlage openen? Dan wordt het tijd om over te stappen naar een dienst die dit soort bijlagen automatisch voor je blokkeert: wel zo veilig! Gmail en Outlook.com laten exe-bestanden bijvoorbeeld niet door.

Helemaal veilig ben je niet, want ransomware wordt ook verspreid via linkjes in e-mailberichten. Je klikt bijvoorbeeld vanuit een mailtje naar een website van waaruit de ransomware wordt gedownload. Leermoment: klik nooit vanuit je mail op linkjes van websites/bedrijven, zeker niet als er bijvoorbeeld een waarschuwing wordt gegeven dat je computer gevaar loopt. Dit klinkt als een open deur, maar het gebeurt in de praktijk nog erg vaak. Je kunt de website wel intypen in je browser en eventueel contact opnemen met het bedrijf om na te gaan of het een echte waarschuwing is of dat je te maken hebt met phishing of erger. Om deze mail-ellende tegen te gaan is het wederom aan te raden om een grote webmaildienst te gebruiken. Deze grote aanbieders hebben veel betere filters dan de mailfaciliteiten van een doorsnee internetaanbieder, waardoor veel (maar niet alle) ellende buiten je inbox wordt gehouden.

10 Read-only

Ransomware kan ook je NAS aanvallen als je deze vanaf je computer kunt benaderen. Als je lees- en schrijfrechten hebt op een map op je NAS, zijn je bestanden kansloos. Je zou ervoor kunnen kiezen om je belangrijkste bestanden te archiveren/back-uppen naar een aparte gedeelde map op je NAS. Zodra je je gegevens naar deze map hebt veiliggesteld, maak je de archiefmap 'read-only' (alleen lezen) via de beheermodule van je NAS. Dit is een omslachtige extra handeling, maar je raakt de gegevens in je archiefmap niet kwijt omdat de ransomware geen schrijfrechten heeft op de map (en alle bestanden in de map).

Ultieme bescherming tegen ransomware

11 Back-uppen

De enige echte remedie tegen ransomware is een goede back-up. Hierbij is het de bedoeling dat je bestanden niet toegankelijk zijn als je dagelijks met je computer werkt. Dit is het eenvoudigste te realiseren met een externe schijf of usb-schijf, een NAS is kwetsbaarder. Een voordeel van een externe harde schijf is de lage prijs per GB en snelheid. Het scenario: sluit de schijf aan, maak een volledige back-up (kloon) van je computer en verwijder de schijf uit je usb-aansluiting. Werk je back-up regelmatig bij.

Het grootste nadeel van deze back-upmethode is dat er een fysieke handeling nodig is en je de discipline moet hebben om de back-up ook daadwerkelijk te draaien. Dit laatste is een probleem van back-uppen in het algemeen.

12 Handmatige back-up

Handmatig back-uppen heeft een groot voordeel ten opzichte van een geautomatiseerd back-upproces. Je maakt de back-up bewust en merkt het eerder als er iets misgaat. Omdat de externe schijf niet permanent verbonden is, overleven bijna al je bestanden de gevolgen van ransomware. Alleen de gegevens tussen het moment van back-uppen en de ransomware-besmetting gaan verloren. Deze schade kun je beperken door regelmatiger te back-uppen en/of gegevens gedeeltelijk alsnog te bewaren bij een clouddienst.

13 Aan de slag!

Je kunt een goede back-up op 101 manieren realiseren. In dit artikel gebruiken we een externe usb-schijf van 1 TB, ruim voldoende voor onze gegevens en besturingssysteem. Om de back-up te maken gebruiken we AOMEI Backupper Standard. Dit programma is gratis voor persoonlijk gebruik. AOMEI Backupper kan mappen, partities of je volledige systeem veiligstellen. We kiezen voor dit laatste scenario. Dit duurt langer, maar je hoeft ook niet na te denken of je iets vergeet. We gaan de back-up dusdanig instellen dat toekomstige reserve kopieën sneller klaar zijn. Download en installeer AOMEI Backupper Standard. Sluit de externe usb-schijf aan en start het programma.

14 Herstelmedium

Het herstellen van je back-up kan via het AOMEI Backupper-programma. Als je slachtoffer wordt van ransomware, kun je Windows als verloren beschouwen. Als je de externe schijf aansluit, is de kans groot dat ook deze wordt aangegrepen. Om je back-up dus veilig terug te kunnen zetten, mag Windows niet geladen worden. Je hebt een herstelmedium nodig van AOMEI Backupper.

Dit is een opstartbare cd of usb-stick die buiten Windows om werkt. Hiermee start je een veilige omgeving op van waaruit je je volledige systeem kunt herstellen. Het is raadzaam je herstelmedium direct aan te maken nadat je AOMEI Backupper geïnstalleerd hebt. Extra programma's zijn niet nodig, AOMEI Backupper brandt een herstel-cd/dvd of maakt zelf een opstartbare usb-stick voor je. Klik hiervoor op Utilities / Create Bootable Rescue Media en volg de wizard. Je kunt een Linux-opstartmedium aanmaken of kiezen voor een Windows PE-variant. Dit laatste is lastiger, meer informatie vind je op de website van de makers. De meeste mensen hebben voldoende aan een herstelmedium op basis van Linux.

15 Volledige systeemback-up

Klik op Backup en kies voor System Backup. Er verschijnen twee stappen in beeld. Bij 'step 1' hoef je niets te doen, AOMEI Backupper kiest zelf wat er veiliggesteld moet worden (alles!). Bij 'step 2' kies je de externe usb-schijf als doel-station voor de back-up. Wacht geduldig tot je back-up is afgerond. Het back-uppen van je volledige computer kost de eerste keer veel tijd. We gaan dit proces aanzienlijk versnellen voor de volgende back-ups bij de volgende tip. Vergeet je externe schijf niet los te koppelen van je computer! Klinkt misschien als een open deur, maar veel mensen hebben hun usb-schijf met back-ups permanent aangesloten, en dat is niet verstandig.

16 Back-up bijwerken

Zodra je één back-up hebt gemaakt met AOMEI Backupper, worden toekomstige back-ups sneller afgerond. Zodra je AOMEI Backupper opstart, wordt je meest recente back-up getoond in het beginscherm Home. Je ziet hier onder andere wanneer de back-up heeft gedraaid en of deze succesvol was. Onder dit overzichtje vind je drie knoppen: Restore, Backup en Advance. Klik op Backup en kies Incremental backup. Hiermee worden alleen de wijzigingen sinds de laatste back-up bijgewerkt op je back-upschijf.

17 Back-up terugzetten

Zonder ransomware-besmetting kun je reservekopieën van AOMEI Backupper terugzetten vanuit Windows. Start AOMEI Backupper en gebruik het tabblad Restore of herstel je back-up vanuit Home. Bij Home kun je ook kiezen voor Advanced / Explore image. Hiermee kun je eenvoudig individuele bestanden uit je back-up terughalen. Je back-up wordt gekoppeld als extra schijfletter in Windows Verkenner.

18 Herstel na besmetting

Als je systeem besmet is met ransomware of om een andere reden niet meer functioneert, heb je je herstelmedium nodig dat je bij stap 14 hebt aangemaakt. Door je computer hiermee op te starten krijg je een AOMEI Backupper-versie die lijkt op de Windows-versie. Gebruik het tabblad Restore om je back-up terug te zetten en maak hiermee je systeem, inclusief Windows, weer bruikbaar.