Ransomware variant SamSam

Afgelopen weekend was het groot in het nieuws: de ransomware variant “SamSam” die tientallen slachtoffers in Nederland heeft gemaakt. Deze ransomware variant is net iets geavanceerder dan dat we gewend zijn van andere soorten ransomware. Waar de “doorsnee” ransomware varianten bestanden versleuteld en alleen kan worden ontsleuteld als er een bepaald bedrag is betaald, gaat “SamSam” verder. Door een tijdje op de achtergrond te “sluimeren” kunnen de makers eerst op hun gemak kijken waar ze zijn binnengekomen en of ze mogelijkheden zien om meer systemen over te nemen om meer schade aan te richten. Daarnaast kijken ze of het mogelijk is om back-ups onbruikbaar te maken of te verwijderen en dan pas gaan ze over tot het versleutelen van bestanden.

Hoe komt ransomware op jouw laptop of pc?
De meest voorkomende manier om ransomware te verspreiden is door middel van een e-mail met een bijlage. Als de ontvanger het bericht en de bijlage opent dan worden er op de achtergrond, veelal zonder dat de ontvanger het door heeft, gegevens versleuteld.

Waar herken je ransomware aan?
Als jouw laptop of pc versleuteld is met ransomware dan wordt er in veel gevallen een scherm getoond, waar de eis(en) op staan. Er zijn ook gevallen bekend waarbij er geen scherm wordt getoond, maar bestanden niet meer geopend kunnen worden en er een tekstbestand op de pc is geplaatst waarin instructies staan.

Wat te doen bij ransomware?
De eerste stap is, indien mogelijk, het versleutelde systeem los te koppelen van het netwerk om verdere versleuteling te voorkomen. Wat betreft de bestanden kun je aan de eis van betaling voldoen, maar bij het ingaan op deze eis krijg je niet de garantie dat de gegevens worden vrijgegeven en hiermee geef je toe aan de crimineel. In dit geval zou je kunnen kijken of iemand de versleuteling kan doorbreken, waardoor de bestanden weer bruikbaar zijn. Helaas is dit veelal niet mogelijk. Een andere oplossing is het terugzetten van een back-up van de versleutelde bestanden, maar dat kan alleen als je over een back-up beschikt en in het geval van “SamSam” proberen ze lokaal opgeslagen back-ups onbruikbaar te maken.

Wat is wijsheid?
Hier is geen passend antwoord op te geven. Dit verschilt per situatie. Kunnen de gegevens gemist worden? Is er een goede en recente back-up? Om welke ransomware gaat het? etc. Maar over het algemeen geldt mijn advies: niet betalen!

Wat kunnen we tegen ransomware doen?
Geen enkel systeem is waterdicht, maar we doen er alles aan om het risico te verkleinen. Hierbij is de menselijke factor erg belangrijk omdat we merken dat men vaak uit onwetendheid of nieuwsgierig toch verder klikt.

Een paar tips:

  • Open geen verdachte mail (of bijlagen) of mail van een onbekende;
  • Pas op met het openen van linkjes in mails en op websites;
  • Zorg voor een goede back-up van je gegevens en sla deze ergens veilig, het liefst extern, op;
  • Zorg voor een antivirusprogramma dat regelmatig updates ontvangt;
  • Open niet zomaar bestanden van bijvoorbeeld een USB-stick zonder deze eerst te scannen m.b.v. een antivirusprogramma;
  • Installeer geen software van onbekende bronnen;
  • Zorg ervoor dat je pc of laptop en netwerk goed beveiligd zijn;
  • Zorg dat programma’s regelmatig worden geüpdate met de meest recente “patches” en “updates”.

 

By | 2018-12-06T11:07:44+00:00 5 december, 2018 |
mm
Natasja is Security & Compliancy Manager bij Parentix. Sinds 1998 is ze werkzaam in de ICT branche en sinds juli 2014 in dienst bij Parentix. Interesse in: digitale recherche en cybercrime. Fun fact: Natasja is onze cloud hero op het gebied van cybercrime. Elke maand deelt ze met ons weer nuttige informatie in haar blogs!
X