Zo bescherm je je tegen ransomware

Alieke van Sommeren
0

Inhoudsopgave

Met slechts twee eenvoudige maatregelen kun je je snel en effectief tegen ransomware beschermen. Zorg ervoor dat je altijd een back-upkopie hebt van alle onmisbare bestanden en dat Windows geen schadelijke software kan uitvoeren.

Ondanks alle voorzorgsmaatregelen kan het zomaar gebeuren dat je besmet raakt met ransomware als WannaCry. Dit soort gijzelsoftware versleutelt vervolgens alle bestanden waar je toegang toe hebt. Het maakt niet uit of ze op je harde schijf, usb-schijven of netwerkopslag hebt staan. De enige veilige manier om nog iets te redden zijn je back-ups die buiten het bereik van de ransomware zijn gebleven. In het simpelste geval kopieer je belangrijkste bestanden naar een usb-schijf. Die sluit je alleen op je pc aan als je bestanden wilt bewaren of herstellen. Bestanden die niet veranderen, kun je een aantal jaren veilig bewaren door ze op cd of dvd te branden.

Back-up maken

Nieuwere bestanden kun je in de cloud opslaan bij Dropbox, Google Drive of OneDrive. Als ransomware erin slaagt om toe te slaan, worden de versleutelde bestanden op je systeem wel gesynchroniseerd met de clouddienst, maar de meeste cloudaanbieders beschikken over versiebeheer waardoor je terug kunt gaan naar een eerdere (niet versleutelde) versie van je bestanden.

Als back-uplocatie is in principe ook een NAS of router met usb-schijf geschikt. Maar als een ingelogde gebruiker via de Verkenner toegang kan krijgen tot netwerkschijven, dan kan ransomware dat ook! In het ideale geval stel je je NAS daarom zo in dat de map waar je back-ups in belanden niet via SMB te beschrijven is. Bestanden die je wilt bewaren kopieer je dan bijvoorbeeld via ftp naar de NAS. Daar kun je een aparte ftp-client voor gebruiken. Mocht je NAS een eigen gebruikersbeheer aanbieden, maak dan voor je back-ups een extra account aan dat alleen toegang heeft tot de back-upmappen. Geef alle andere gebruikers op die mappen alleen leesrechten.

Automatisch kopiëren

Er zijn enorm veel tools om bestanden automatisch te back-uppen. De kans is groot dat je al een favoriete tool hebt. Wij hebben zelf goede ervaringen met de opensourcesoftware Duplicati. Deze tool is eenvoudig te bedienen en erg flexibel. Hiermee kun je bestanden kopiëren naar lokale opslagmedia, FTP-, SFTP- en WebDAV-servers en diverse clouddiensten. Voordat de bestanden geüpload worden, kan Duplicati de bestanden lokaal versleutelen met AES-256. Behalve AES kan Dupicati ook overweg met GnuPG.

Dankzij deze versleutelmethoden kan een aanvaller die onbedoeld toegang krijgt tot de opslaglocatie niets met de back-ups beginnen. De doellocaties zijn ook te combineren. Je kunt Duplicati zo instellen dat documenten ieder uur naar de cloud worden weggeschreven en dat er verschillende versies met uiteenlopende retentietijden bewaard moeten blijven.

Duplicati maakt automatisch kopieën van je bestanden en versleutelt ze met AES. De keuze aan doellocaties is groot:
van FTP en WebDAV tot clouddiensten.

Het is altijd slim om back-ups weg te schrijven naar meerdere locaties. Duplicati maakt dit heel makkelijk: je maakt gewoon meerdere jobs aan. Vergeet ook niet om af en toe een image te maken van de complete systeemschijf waarop Windows staat, zodat je na een infectie terug kunt naar een schone situatie. Sinds Windows 8 kan dat supersimpel met onze eigen tool c’t WIMage (zie c’t 6/2016 pagina 134 en de bijgewerkte info). Nadat je je eigen back-upoplossing heb ingeregeld, moet je zeker ook een testrun uitvoeren om je bestanden terug te zetten, het liefst op een lege schijf.

Infectiepreventie

Met back-ups ben je dan wel ingedekt tegen de gevolgen van ransomware, maar beter is het om te voorkomen dat je besmet raakt. Ransomware wordt vooral verspreid via e-mails met geïnfecteerde bijlagen en via zogenaamde exploitkits. De laatste misbruiken veiligheidsgaten in besturingssystemen, browsers en plug-ins.

Tegen beide aanvalsmethodes kun je je wapenen: schadelijke software die via e-mail binnenkomt, wordt pas uitgevoerd als de bijlage wordt geopend. Let dus goed op als je een bericht met een bijlage binnenkrijgt. Vraag bij twijfel bij de afzender na of die daadwerkelijk een e-mail met een bijlage heeft gestuurd en waarom.

Niet te vertrouwen

Als het een Officedocument is en je vertrouwt het niet, voer dan zeker niet de ingebedde macro’s uit. Het starten van Officemacro’s is net zo link als het uitvoeren van .exe-bestanden! Macro’s kunnen willekeurige code via internet binnenhalen en uitvoeren.

Dit geldt ook voor mails met batch- of scriptbestanden met extensies als .bat, .cmd, .js, .vbs en .wsf. Maar ook .com, .scr en .pif zijn gevaarlijk. Sterker nog: zelfs in pdf-bestanden kan schadelijke code verwerkt zijn. Een trojan zit vaak in zip-archieven verstopt. Deze worden dan versleuteld om virusscanners om de tuin te leiden, waarbij het bijbehorende wachtwoord in de mail staat.

Macro’s temmen

Om te voorkomen dat je macro’s per abuis opent, kun je bij de instellingen van je officepakket aangeven dat ze niet automatisch geopend moeten worden. In Office 2016 vind je die opties bij ‘Bestand / Opties / Vertrouwenscentrum / Instellingen voor Vertrouwenscentrum / Instellingen voor macro’s / Alle macro’s uitschakelen, met melding’. Op die manier wordt macrocode alleen uitgevoerd als je het gele uitroepteken bovenaan het document aanklikt.

Als je de pc zodanig wilt beveiligen dat anderen er nog veilig mee kunnen werken, kies dan voor de optie ‘Alle macro’s uitschakelen, zonder melding’. Een aantal documenten probeert je namelijk zo ver te krijgen om op het gele balkje te klikken. Als er geen gele balk verschijnt, kan er ook niet op worden geklikt. Voor veel officeformaten biedt Microsoft viewers aan (voor Word, Excel en PowerPoint) die geen macro’s ondersteunen.

Opensource office

Bij OpenOffice en LibreOffice heb je dankzij de beperkte compatibiliteit minder kans op infectie omdat de trojan-downloader zijn werk niet goed kan uitvoeren. Om ervoor te zorgen dat je niet per ongeluk een gevaarlijk script uitvoert, kun je de zonet genoemde scriptformaten koppelen aan de teksteditor van Windows. In dat geval opent Notepad en zie je de broncode voor je neus, maar wordt er geen code uitgevoerd.

Via het Register kun je bovendien de Windows Script Host uitschakelen. Die is verantwoordelijk voor het uitvoeren van de meeste scriptformaten. Maak onder HKEY_ LOCAL_MACHINESoftwareMicrosoftWindows Script HostSettings een string aan met de naam Enabled en stel de waarde in op 0. Mocht je achteraf last krijgen van problemen doordat een programma niet meer werkt, dan kun je WSH weer activeren door de 0 te veranderen in een 1.

Browsen grootste risicofactor ransomware

Tijdens het internetten loop je het meeste risico om schadelijke software binnen te halen. Zorgt dat je je besturingssysteem en programma’s up-to-date houdt. Installeer Windows-updates zodra ze aangeboden worden en let vooral op de programma’s die vaak het doelwit zijn van aanvallen, zoals browsers, Flash, Java en Adobe Reader. Het meest relaxed om te surfen is Chrome: de browser houdt zichzelf up-to-date en heeft een geïntegreerde Flash-player, die ook continu wordt bijgewerkt . Pdf-documenten worden door Chrome zelf afgehandeld, zodat je niet bent aangewezen op een (snel verouderende) versie van Adobe Reader.

Virusremmer

Op iedere Windows-pc met internetverbinding hoort een virusscanner te staan. Ga er echter niet vanuit dat die scanner alle bedreigingen buiten de deur kan houden. Het kan een poosje duren voordat schadelijke software die net via mail is binnengekomen door je virusscanner herkend wordt.

Cybercriminelen testen hun schadelijke software namelijk met verschillende virusscanners en passen de software net zo lang aan tot hij langs elke virusscanner komt. Pas als de trojan niet meer wordt herkend, gaat hij de deur uit richting potentiële slachtoffers. Sommige ontwikkelaars van virusscanners als Bitdefender en Kaspersky maken reclame met het feit dat hun producten ransomware aan de hand van gedrag herkennen en blokkeren. De effectiviteit daarvan hebben we nog nooit kunnen testen, omdat er ook steeds andere beschermende functies van virusscanners actief zijn.

De tool Malwarebytes Anti-Ransomware identificeert ransomware aan de hand van hun gedrag om ze op tijd te kunnen blokkeren.

Je kunt ook detectietools installeren die onafhankelijk van je virusscanner werken. Om de kans te vergroten dat je ransomware vroeg in de kraag grijpt, kun je gespecialiseerde anti-malwaretools gebruiken zoals Malwarebytes Anti-Ransomware. Deze tool probeert om ransomware aan de hand van typisch gedrag te herkennen. Bij een test met Tesla Crypt 3 werd daadwerkelijk geen enkel bestand versleuteld. Bij Locky moesten twintig van de honderden bestanden er alsnog aan geloven voordat Anti-Ransomware de stekker eruit trok. Wees wel voorzichtig bij het gebruik van de tool, want het gaat om een bètaversie. De ontwikkelaar raadt af om het programma op productiesystemen te gebruiken. Bij onze test hadden we geen last van problemen of valse alarmen. De tool is op dit moment gratis, maar in de toekomst wordt het opgenomen in het betaalde softwarepakket van de ontwikkelaar.

Neem UAC serieus

Om te kunnen versleutelen, gebruikt ransomware de rechten van de aangemelde gebruiker. Om het de slachtoffers zo lastig mogelijk te maken gegevens te herstellen zonder losgeld te betalen, vernietigen Locky en TeslaCrypt ook de zogenaamde schaduwkopieën, die Windows om de zoveel tijd automatisch aanmaakt. In sommige gevallen kun je uit die kopieën de originele bestanden terughalen. Om deze te wissen, gebruiken trojans de Windows-tool vssadmin.exe, maar die werkt alleen met beheerdersrechten.

Het toekennen van die uitgebreide rechten gebeurt normaliter via een verzoek richting het Gebruikersaccountbeheer (UAC: User Account Control). Als de ontwikkelaars van de schadelijke software slim zijn, hoeft zo’n verzoek niet gedaan te worden. Locky gebruikt bijvoorbeeld een bekende truc om de tool zonder instemming van de gebruiker met administratorrechten uit te voeren.

Ja of nee

Als je na de infectie niet zomaar toestemming geeft via het UAC-venster, kun je het wissen van eventuele schaduwkopieën voorkomen. Mocht je zo’n UAC-venster voor je neus krijgen: druk niet te snel op ja en speel op safe met een nee. Als je de details openklapt, geeft Windows aan wat er gaat gebeuren. Bij het wissen van schaduwkopieën noemt het venster meestal de systeemtool vssadmin.exe.

Parameters als ‘shadowcopy delete’ zijn verdacht. De naam van het programma en de geverifieerde uitgever zeggen weinig. De trojans zetten systeemtools in, dus daar wordt meestal alleen een geverifieerd Microsoft-programma genoemd. Om ervoor te zorgen dat je het UAC-venster überhaupt in beeld krijgt, moet je controleren dat het Gebruikersaccountbeheer minimaal op de één na hoogste stand staat. Je vindt de instellingen via een zoekopdracht naar UAC via het Startmenu.

Tips voor gevorderden

Windows heeft met SRP (Software Restriction Policies) een krachtige tool om het uitvoeren van schadelijke software tegen te gaan. Mocht je die beschermingslaag willen activeren: zorg dan dat je goed weet waar je mee bezig bent. Anders loop je de kans dat je behalve trojans ook jezelf buitensluit. Met SRP kun je er voor zorgen dat er alleen programma’s uitgevoerd mogen worden die op een whitelist staan. Je kunt Windows de programma’s laten starten die je dagelijks gebruikt en een programma dat je net hebt gedownload laten blokkeren. Of dat nu malware of een gewenst programma is.

Het gebruik van een whitelist is echter bewerkelijk en wordt dan ook vooral zakelijk toegepast, waarbij de beheerder de centrale whitelist onderhoudt. Consumenten hebben er echter niet zo veel aan. Een afgezwakte vorm is het blokkeren van programma’s in bepaalde mappen. Het downloadscript van Locky slaat de malware bijvoorbeeld op in de temp-map. Als door restricties het starten van programma’s uit die map verhinderd wordt, kan de ransomware niet uitgevoerd worden.

CryptoPrevent is een effectieve tool tegen ransomware. Het stelt een aantal Software Restriction Policies in om te voorkomen dat bestanden in bepaalde mappen of met een specifieke extensie kunnen opstarten.

Bijwerkingen

Dat heeft echter ook bijwerkingen. Een software-update die bestanden tijdelijk in die map parkeert, kan zo ook zijn werk niet doen. Als je met SRP wilt experimenteren, maak dan eerst een herstelpunt aan. Dat voorkomt dat je het systeem na een foutieve configuratie niet meer goed aan de praat krijgt. De tool CryptoPrevent heeft een gratis basisversie die wat basisrestricties instelt die ransomware zou moeten blokkeren. Daarmee kun je ook het whitelisten makkelijker maken. En systeemtools blokkeren die door malware gebruikt worden om meer schade aan te richten, zoals vssadmin.exe.

Als je Windows-domeinen beheert, moet je eens kijken naar de AppLocker-functie van het besturingssysteem. Daarmee kun je zeer gedetailleerd aangeven welke programma’s de Windows-clients mogen uitvoeren. De clients moeten minimaal Windows 7 Ultimate of Enterprise draaien. Administrators van Linux-fileservers kunnen geïnfecteerde Windows-clients binnen het netwerk met de tool Fail2ban tegenhouden als ze bestanden op de server willen versleutelen.

Onkreukbaar

De drie belangrijkste tips om je te beschermen tegen ransomware zijn in willekeurige volgorde: back-ups, back-ups en nog eens back-ups. Kies een oplossing die past bij je persoonlijke voorkeur, zodat je je digitale erfenis makkelijk kunt herstellen. Met de hier beschreven preventieve maatregelen krijg je met een beetje geluk nooit ransomware op je pc. Maar de zekerheid dat je ransomware hiermee buiten de deur houdt, kunnen we niet geven. Ransomware is een lucratief aangelegenheid. Cybercriminelen toveren dan ook steeds weer nieuwe trucs uit de hoge hoed om hun geldstroom veilig te stellen. Mocht je vermoeden dat je ransomware op je pc hebt binnengekregen, zet dan direct je pc uit en lees in het artikel Ransomware verwijderen en bestanden redden hoe je ervan af komt. In het artikel Ransomware geanalyseerd staan wat meer achtergronden.

(Ronald Eikenberg / Alieke van Sommeren)

 

Meer over

Malware

Deel dit artikel

Lees ook

Webradio via je router

Om radio via internet te luisteren heb je een audiospeler nodig waarmee je zo'n stream kunt beluisteren. Maar dat kan ook makkelijker: een Fritzbox ka...

Smart-home met DECT-switches

Bij een smart-home denk je vaak aan thermostaten, beveiligingscamera's, lampen en andere apparaten die je via wifi kunt aansturen. Maar dat kan bij ee...

Interessant voor jou

0 Praat mee

avatar
  Abonneer  
Laat het mij weten wanneer er