Ransomware is die gebruikt wordt om bedrijven de toegang tot hun gegevens te ontzeggen en losgeld voor hun gegevens te eisen. Hackers kunnen veel geld verdienen met deze praktijk. Ransomware kan extreme gevolgen hebben voor bedrijven, van de kosten van het losgeld tot reputatieschade. Dit soort aanvallen zijn één van de meest gebruikte soorten malware. Bovendien blijft ransomware verspreiden en er worden steeds nieuwe varianten ontwikkeld.
Wat is een ransomware aanval?
Ransomware is een soort malware dat bestanden van slachtoffers codeert. Het ontzegt gebruikers of een organisatie toegang tot bestanden, databases of applicaties op hun computer. Om terug toegang te krijgen tot deze data moet er losgeld betaald worden. Als je dit niet betaalt kunnen hackers jouw data stelen. Betaal je het losgeld niet op tijd dan kan de data voor altijd verloren gaan of het losgeld kan toenemen. De kosten van het losgeld kunnen variëren van een paar honderd dollars tot duizenden dollars. Dit losgeld wordt meestal in cryptomunten gevraagd. Wanneer je het losgeld betaald, is er een kans dat de hackers jou een decryptie sleutel geven om jouw data te decoderen. Maar je kan nooit zeker weten of hackers effectief hun deel van de deal zullen nakomen.Ransomware heeft invloed op de bedrijfscontinuïteit, genereert hoge kosten en beschadigt gevoelige gegevens. Veel grote bedrijven worden getroffen door ransomware software. Deze aanvallen vinden plaats in allerlei sectoren, zelfs in ziekenhuizen en openbare diensten. Hackers kunnen elke consument of elk bedrijf aanvallen.De meeste overheidsinstellingen en cybersecurity organisaties adviseren om het losgeld niet te betalen. Zo worden hackers minder aangemoedigd om ransomware software te blijven gebruiken. Organisaties die dit losgeld betalen kunnen ook eerder te maken krijgen met herhaaldelijke ransomware aanvallen.
De geschiedenis van ransomware
Encrypting ransomware
De eerste malware afspersing aanval was de "AIDS trojan' die in 1989 door Joseph Popp geschreven werd. De "AIDS trojan" verborg bestanden op harde schijven, versleutelde de namen en er werd een bericht weergegeven over een bepaald stukje software dat verlopen was. Daarna werd het slachtoffer gevraagd te betalen om reparatiegereedschap te krijgen. Deze aanval heeft echter een grote tekortkoming. Het baseerde zich uitsluitend op symmetrische cryptografie. Deze fatale fout houdt in dat de decodeersleutel uit het Trojaans paard gehaald kan worden. Zo was het dus helemaal niet nodig om de hackers te betalen. De hacker achter deze afpersing werd ongeschikt geacht om hiervoor berecht te worden. Hij beloofde om zijn winsten te doneren aan het fonds voor AIDS onderzoek. Daarom de naam “AIDS Trojan”.Het idee om publieke sleutel cryptografie te gebruiken voor dit soort aanvallen werd geïntroduceerd door Adam L. Young en Moti Yung in 1996. Zij bekritiseerden de mislukte “AIDS Trojan” die uitsluitend op symmetrische cryptografie gebaseerd was. Young en Yung creëerden een cryptovirus met behulp van publieke sleutel cryptografie en ze verwezen naar deze aanval als een "cryptovirale afpersing".Rond 2006 werd afspersende ransomware prominenter en ze begonnen meer geavanceerde RSA-coderingsschema's te gebruiken en sleutelgrootten bleven steeds toenemen. Een voorbeeld hiervan is Trojaanse paarden zoals Gpcode, TROJ.RANSOM.A, Krotten, Archiveus, Cryzip, en MayArchive.
De opkomst van CryptoLocker
Eind 2013 werd het versleutelen van ransomware terug prominenter met de opkomst van CryptoLocker. Deze ransomware gebruikt het Bitcoin digitale munt platform om het losgeld te verzamelen. In januari 2015 vonden ransomware aanvallen plaats op individuele websites via hacking. Daarna begonnen hackers ransomware met een tweedelige payload te gebruiken (de gebruiker wordt misleid om een script uit te voeren die de software downloadt en uitvoert). Hackers gebruikten proxies verbonden aan de verborgen services van Tor om hun locatie te verbergen. Ze begonnen ook hun technologie aan te bieden als een dienst op het dark web.
Non-encrypting ransomware
In augustus 2010 ontdekten de Russische autoriteiten een ransomware Trojaans paard, bekend als WinLock. WinLock gebruikte geen codering. In plaats daarvan beperkte het de toegang tot het besturingssysteem door pornografische beelden weer te geven. Ze vroegen gebruikers om een sms-bericht met een premium-tarief te verzenden om zo een code te ontvangen die gebruikt kan worden om de computer te ontgrendelen.Een voorbeeld van dit type ransomware is een ransomware trojan dat de Windows productactiverings melding imiteerde. Het werkte door een gesprek in wacht te zetten, wat grote internationale, interlokaletarieven veroorzaakte. Een ander voorbeeld is de ransomware Trojan gebaseerd op de Stamp.EK exploit kit die gedistribueerd werd via sites gehost op project hosting services.
Exfiltration (Leakware/Doxware)
Een variatie op de typische ransomware infectie was een cryptovirologie aanval uitgevonden door Adam L. Young. Deze aanval dreigde gestolen informatie te publiceren in plaats van het slachtoffer de toegang tot deze informatie te ontzeggen. De aanvaller dreigt om de informatie te publiceren tenzij er losgeld betaald wordt. Dit is een leadware of doxware aanval.
Mobile ransomware
Ransomware begon steeds populairder te worden. Het begon ook met het targeten van mobiele besturingssystemen. Mobiele ransomware richt zich doorgaans op het Android-platform omdat het apps van derden toestaat. Het is dus makkelijker om uit te buiten. Deze aanval zal er meestal uitzien als een blokkerend bericht boven op alle andere toepassingen. IOS toestellen kunnen echter ook uitgebuit worden via kwetsbaarheden in de iCloud accounts en het Find My iPhone systeem.
Hoe werkt een ransomware aanval?
Ransomware gebruikt asymmetrische encryptie. Dit betekent dat er twee sleutels gebruikt worden om een bestand te coderen en decoderen. De aanvallers maken deze sleutels. Ze bewaren de private sleutel op hun eigen server en geven deze sleutel alleen aan het slachtoffer wanneer die het losgeld betaald heeft. Dit is echter niet altijd het geval.Er zijn veel verschillende ransomware varianten en ze hebben allemaal verschillende implementatie details. Maar ze hebben allemaal dezelfde drie kern fasen.
Stap 1: Infectie en Distributie Vectoren
Hackers verspreiden ransomware op veel verschillende manieren, bijvoorbeeld via gerichte aanvallen of via e-mail spam aanvallen. Bij ransomware aanvallen is er altijd een aanvalsvector nodig om hun aanwezigheid te vestigen op een endpoint. Ransomware operators geven de voorkeur aan een paar specifieke infectievectoren.Phishing e-mails zijn daar één van. Een phishing e-mail is een e-mail waarin je een link naar een website met een schadelijke download of een schadelijke bijlage in terug vindt. Als de ontvanger voor deze truc valt, downloadt en voert de ransomware zichzelf uit.
Een ander voorbeeld is ransomware die gebruik maakt van services zoals het Remote Desktop Protocol. Op deze manier kan een aanvaller iemands referenties stelen, toegang krijgen tot een netwerk en rechtstreeks ransomware downloaden en uitvoeren.
Stap 2: Data Encryptie
Nadat de ransomware het systeem heeft uitgebuit, laat het schadelijke code vallen op het geïnfecteerde systeem en voert het deze code uit. Deze code zoekt naar waardevolle bestanden en codeert de bestanden van het slachtoffer. Deze gecodeerde gegevens kunnen Microsoft Word-documenten zijn, databases, afbeeldingen, enzovoort. Sommige ransomware-varianten zullen ook back-up kopieën van bestanden verwijderen om herstel zonder de decryptie sleutel moeilijker te maken. De ransomware kan zich ook verder verspreiden naar andere systemen.
Stap 3: Losgeld
Uiteindelijk moet de gebruiker het losgeld (uitgedrukt in cryptocurrency) binnen een bepaalde tijd betalen. Anders kunnen de bestanden voor altijd verloren gaan. Meestal zal dit eruit zien als een losgeld notitie op je desktop. Of tekstbestanden die in elke gecodeerde map met de losgeld notitie worden geplaatst.
Hoe herken je een ransomware aanval?
Het kan zijn dat je je direct realiseert dat je een fout hebt gemaakt nadat je een bijlage gedownload hebt die er onschuldig uitzag. Maar veel mensen realiseren zich niet dat hun computer aan een malware infectie lijdt. In het begin is er een grote kans dat er niks zal gebeuren. Je zal nog steeds toegang hebben tot je bestanden en voor zover je weet werkt alles perfect. After a while, the ransomware will start encrypting your files behind the scenes. Voordat je het weet kan je je bestanden niet meer bereiken en krijg je een losgeld notitie op je computerscherm.Het is bijna altijd te laat als je de ransomware al gedownload hebt. Daarom moet je letten op verdachte en onveilige websites. Je moet ook opletten voor e-mails met verdachte bijlagen. Een manier om dit soort e-mails te herkennen is om te kijken naar de afzender van de e-mail, de spelling, een hyperlink naar een onbekende website en een generieke begroeting. Een andere manier om deze e-mails te herkennen is als de afzender een gevoel van urgentie creëert of als ze aan jouw persoonlijke informatie proberen te raken.Duidelijke tekenen dat jouw computer een malware infectie heeft:
- De gecodeerde gegevens kunnen niet gekraakt worden.
- Bestandsnamen zijn vervormd.
- Bestandsextensies zijn gewijzigd.
- Er wordt een bericht weergegeven op je computer.
- Het losgeld is uitgedrukt in cryptomunten.
- De betaling moet binnen een bepaalde tijd gebeuren.
- De ransomware kan niet ontdekt worden door een standaard antivirusprogramma.
- Ransomware kan zich verspreiden naar het netwerk waarop de computer is aangesloten.
Hoe infecteert ransomware je computer?
Social engineering
Dit zijn allerlei trucs die hackers uitvoeren om je ertoe te brengen om een valse bijlage te downloaden of op een valse link te klikken. De schadelijke bestanden kunnen eruitzien als normale bestanden. Ze kunnen er ook uitzien zoals bestellingen, ontvangstbewijzen, facturen of berichten. Slachtoffers denken dat deze bestanden van een bedrijf met een goede reputatie komen. Zodra je het bestand download, is het al te laat. Je computer is nu geïnfecteerd met malware.
Malvertising
Hackers kopen advertentieruimte om je te misleiden zodat je ransomware download door op één knop te klikken. Dit kan gaan van populaire websites zoals youtube tot bekende social media netwerken. Hackers zullen er alles aan doen om aan jouw gevoelige data te raken.
Exploit kits
Dit is een gebruiksklare programmeercode die netjes in een hacking tool verpakt is. Iedereen kan deze kits gebruiken om beveiligingslekken in verouderde software te misbruiken.
Drive-by-downloads
Er zijn schadelijke websites die misbruik maken van verouderde browsers en apps. Ze downloaden ransomware op de achtergrond wanneer je naar deze onschuldig lijkende websites surft.
Waarom ben je kwetsbaarder voor een ransomware aanval?
Iedereen kan het doelwit zijn van een ransomware infectie. Meestal richt ransomware zich op een bepaald softwareprogramma dat veel mensen gebruiken. Ransomware richt zich op een bepaalde kwetsbaarheid in die software om slachtoffers te vinden.Een patch of update zou dit soort problemen oplossen. Maar dit is niet zo makkelijk voor iedereen. Veel bedrijven maken gebruik van custom software en dat compliceert zaken. Deze custom software kan stoppen met werken, wat uiteindelijk zorgt voor een vertraging in de software patch of update.Elk apparaat in het netwerk dat verbonden is met het internet loopt risico.Sommige organisaties zien er misschien verleidelijker uit voor hackers dan andere. Bijvoorbeeld, overheidsinstanties, medische instellingen en advocatenkantoren kunnen eerder geneigd zijn te betalen.Er zijn nog veel andere redenen waarom een hacker jouw gegevens gemakkelijker kan stelen. Misschien:
- maak je bijna nooit een back-up
- weet je niet veel over internetbeveiliging of de gevaren van een cyberaanval
- heb je geen idee hoe je jezelf kunt verdedigen tegen gevaren van het internet
- wil je geen geld uitgeven aan cybersecurity oplossingen voor jouw computer
- geloof je dat een standaard antivirus jouw computer zal beschermen
- geloof je niet dat een cyberaanval jou kan overkomen
De impact van ransomware op bedrijven
Bedrijven die slachtoffer worden van ransomware infecties kunnen duizenden tot miljoenen dollars verliezen. Ze kunnen ook extra bijwerkingen ervaren, zoals merkschade en rechtzaken wanneer hackers de inbreuk op hun data blootleggen.
Waarom ontstaan er ransomware aanvallen?
Of misschien een betere vraag: Waarom verspreidt ransomware zich?Ransomware aanvallen evolueren snel om veel verschillende redenen. In de eerste plaats werken er veel meer mensen van thuis, wat phishing verhoogt. Phishing e-mails zijn gemakkelijk en handig om ransomware te verspreiden. Malware kits maken het eenvoudiger om nieuwe malware te maken. Hackers maken ook cross-platform ransomware en ze gebruiken nieuwe technieken. Ransomware verspreidt zich omdat het zo gemakkelijk geworden is. Zelfs als je niets weet over ransomware, kan je ransomware als service kopen.
Wat is ransomware-as-a-service of RaaS?
RaaS is een economisch model dat malware ontwikkelaars in staat stelt hun creaties te verkopen zonder ze zelf te moeten verspreiden. Dit maakt het gemakkelijk voor hen om geld te verdienen en de repercussies van cyberaanvallen te vermijden. Criminelen kunnen deze ontwikkelaars betalen voor hun creaties of ze kunnen hen betalen in de vorm van een percentage van hun winst.
Waarom is het zo moeilijk om de daders achter ransomware aanvallen te vinden?
Omdat hackers om losgeld vragen in cryptocurrency, zoals bitcoin, is het bijna onmogelijk om het geldspoor te volgen en criminelen op te sporen. Cybercriminelen zijn ook ransomware scams aan het bedenken om zo snel mogelijk winst te maken. Gemakkelijk beschikbare platformen om ransomware te ontwikkelen hebben de creatie van nieuwere en betere varianten versneld. Deze nieuwere varianten kunnen eenvoudige standaard security oplossingen omzeilen.
Soorten ransomware
- Crypto malware of encryptors zijn een veel voorkomend soort ransomware en ze kunnen heel wat schade veroorzaken. Deze encryptor gaat in het geheim aan de slag om jouw computer binnen te dringen, dan wacht het op een goed moment om de bestanden te coderen. Je kan zelfs toegang verliezen tot schijfstations die aangesloten zijn op jouw pc. Dit betekent dat je geen toegang meer zult hebben tot bestanden op deze harde schrijven en tot bestanden die in de cloud zijn opgeslagen, zoals OneDrive. WannaCry is een voorbeeld van dit soort ransomware. Deze ransomware heeft slachtoffers uitgebuit voor meer dan 50.000 dollar en het ontkende ziekenhuizen toegang tot hun patiëntgegevens.
- Lockers infecteren jouw besturingssysteem en sluiten jou volledig uit. Dit betekent dat je jouw computer niet meer kunt gebruiken en dat je alle toegang tot jouw apps en bestanden verliest. Elke keer je jouw computer opstart verschijnt er een melding die jou vertelt dat je het losgeld moet betalen om terug toegang te krijgen tot je computer.
- Scareware is valse software zoals antivirus software. Deze scareware waarschuwt je dat er iets mis is met je computer en vraagt geld om het probleem op te lossen. Sommige varianten van scareware vergrendelen je computer, terwijl andere varianten je bombarderen met irritante waarschuwingen en pop-ups.
- Doxware of leakware is een soort ransomware dat dreigt om jouw gestolen informatie online te plaatsen als je het losgeld niet betaalt.
- RaaS (Ransomware-as-a-Service) is een soort ransomware dat malware ontwikkelaars in staat stelt om geld te verdienen via niet-technische criminelen. Deze criminelen kopen de ransomware, verspreiden het en lanceren het. Zij betalen de ontwikkelaars een percentage van hun inkomsten. Dit soort ransomware is minder riskant voor ontwikkelaars en minder tijdrovend.
Ransomware varianten 2020 - 2021
Er zijn veel ransomware varianten die allemaal op verschillende manieren werken. Er zijn echter een paar opmerkelijke ransomware varianten die opvallen.
Ryuk
Ryuk is een zeer gerichte ransomware variant. Meestal wordt het geleverd via spear-phishing e-mails of door de Remote Desktop Protocol (RDP) methode te gebruiken. Ryuk codeert bestanden die niet van vitaal belang zijn voor de werking van een computer en presenteert vervolgens een losgeld eis. Deze ransomware variant staat bekend als één van de duurste soorten ransomware. De losgeld eisen kunnen oplopen tot ongeveer 1 miljoen dollar.
Maze
Maze staat bekend als de eerste ransomware variant die gegevensdiefstal en bestandsversleuteling combineert. Het begon gegevens openbaar te maken en te verkopen aan de hoogste bieder wanneer de losgeld eisen niet voldaan werden. De hacker groep achter de Maze ransomware heeft hun activiteiten beëindigd, maar sommige partners schakelden over naar andere ransomware.
REvil (Sodinokibi)
De REvil groep is een ransomware variant die ook op grote organisaties gericht is. Deze groep is ook gekend als Sodinokibi. Zij zijn één van de bekendste ransomware families en ze zijn verantwoordelijk voor veel grote data inbreuken. REvil is ook redelijk duur, soms eisen ze tot 800.000 dollar. Zij gebruiken de dubbele uitbuitingstechniek. Dit betekent dat ze losgeld eisen om de gegevens te decoderen en dat ze dreigen de gestolen gegevens vrij te geven als er geen tweede keer losgeld overgemaakt wordt.
Lockbit
Lockbit stond voor het eerst bekend als data encryptie malware en is sindsdien uitgegroeid tot Ransomware-as-a-Service (RaaS). Deze ransomware is ontworpen om grote organisaties snel te coderen om detectie te voorkomen.
DearCry
DearCry profiteert van vier onlangs bekendgemaakte beveiligingslekken in oudere Microsoft Exchange software. Deze ransomware codeert bepaalde soorten bestanden en toont een losgeld notitie waarin slachtoffers opgedragen worden om een mail te sturen naar de losgeld eisers. Slachtoffers krijgen een e-mail terug met instructies over hoe ze hun bestanden kunnen decorderen.
Nieuwe ransomware bedreigingen
Ransomware ontwikkelaars vinden voortdurend nieuwe varianten uit om detectie te voorkomen. Bedrijven moeten op de hoogte blijven van deze nieuwe methoden om hackers een stap voor te blijven. Hackers kunnen bijvoorbeeld DDL side loading en services gebruiken die lijken op legitieme functies. Ze kunnen zich ook richten op webservers. Een nieuwe methode om voor op te letten is spear-phishing. Spear-phishing is het uitvoeren van verkenning op potentiële targets voor hun netwerktoegang met hoge bevoegdheden.
Hoe je jezelf kan beschermen tegen een ransomware aanval
Bij het voorkomen van ransomware gaat het meestal om back-ups en beveiligingsprogramma's. Er zijn een aantal stappen die je kunt nemen om de kosten en impact van ransomware te verlagen. Bepaalde best practices kunnen de blootstelling aan ransomware verminderen.
Gebruik best practices
Continue data back-ups
Het betalen van het losgeld is niet de enige manier om jouw gegevens te beschermen. Regelmatige, geautomatiseerde data back-ups zorgen ervoor dat je kunt herstellen van een ransomware aanval. Zelfs buiten de ransomware bescherming is het een goed idee tegen corruptie of schijfhardware storingen. Door een back-up te maken van bestanden naar de cloud en op een externe harde schijf, kan je jouw computer opkuisen en jouw bestanden terug installeren in het geval van een ransomware aanval. Het is ook een goed idee om je back-ups te beveiligen door ervoor te zorgen dat ze niet aangepast of gewist kunnen worden.
Patching
Een andere belangrijke best practice is patching. Cybercriminelen zullen vaak zoeken naar kwetsbaarheden die vermeld worden in patches en zich richten op systemen die deze patch nog niet hebben uitgevoerd. Daarom is het belangrijk om je systemen altijd zo snel mogelijk te updaten en te patchen.
Jouw e-mail beschermen tegen phishing en spam
E-mail phishing en spam zijn de meest voorkomende manieren waarop ransomware verspreid wordt. Je kan een tool zoals Secure Email Gateways met targeted attack protection gebruiken om schadelijke e-mails te detecteren en blokkeren. Als je dit soort hulpmiddelen niet gebruikt, moet je altijd naar de afzender van de e-mails kijken en andere tekenen van phishing. Andere tekenen van phishing zijn de slechte spelling van de e-mail, een verdachte hyperlink naar een onbekende webpagina of een ongevraagde bijlage. Phishing aanvallen proberen altijd om een gevoel van urgentie te creëren.
Cyber Awareness training en educatie
Ransomware wordt vaak verspreid omdat mensen zich niet bewust zijn van de gevaren. Werknemers worden vaak misleid door phishing e-mails of social engineering. Het is van cruciaal belang te leren hoe je ransomware aanvallen kunt identificeren en voorkomen. Het is ook belangrijk om op de hoogte te blijven van de nieuwste ransomware bedreigingen.
Gebruikersauthenticatie
Hackers gebruiken graag het Remote Desktop Protocol (RDP). Daarom is sterke gebruikersauthenticatie belangrijk. Dit kan het moeilijker maken voor hackers om wachtwoorden te raden of te stelen.
Bescherm jouw mobiele apparaten tegen ransomware met mobile attack protection producten
In combinatie met MDM-tools (Mobile Device Management), kan het applicaties analyseren die de omgeving in gevaar kunnen brengen.
Verdedig jouw internetverkeer tegen ransomware
Gebruik beveiligde webgateways om internetverkeer te scannen en schadelijke webadvertenties te identificeren. Let op waar je op klikt en installeer geen software van onbetrouwbare bronnen. Andere tips om veilig te surfen op het web zijn het vermijden van publieke Wi-Fi netwerken en om te overwegen een VPN te gebruiken.
Monitoring
Monitor jouw server en netwerk met monitoring tools om ongebruikelijke activiteit te detecteren.
Installeer antvirus software en implementeer anti-ransomware oplossingen
Installeer antivirus software om schadelijke programma's te detecteren en installeer whitelisting software om te voorkomen dat onbevoegde applicaties uitgevoerd worden. Implementeer ook nog anti-ransomware oplossingen om ransomware aanvallen te voorkomen.
Waarom je best het losgeld niet betaalt
Nadat je bestanden gecodeerd zijn, wordt er een losgeld notitie op het scherm weergegeven. Op deze notitie staat welk bedrag betaald moet worden. Slachtoffers krijgen meestal een specifieke hoeveelheid tijd om het losgeld te betalen. Hackers kunnen ook dreigen om het datalek bloot te stellen aan het publiek.De meeste deskundigen adviseren om het losgeld niet te betalen, omdat je er nooit zeker van kan zijn dat je de sleutel zal ontvangen om de data te decoderen. Bedrijven die het losgeld betalen, hebben ook een grotere kans om nog eens aangevallen te worden.
Hoe kan je ransomware verwijderen
Niemand wil een losgeld notitie op zijn computer zien staan. Als je vermoedt dat je geïnfecteerd bent door ransomware, is het belangrijk dat je snel aan het werk gaat. Er zijn nog steeds verschillende stappen die je kan nemen om de schade te minimaliseren.
Isoleer het geïnfecteerde apparaat en stop de verspreiding
Het is belangrijk om het betrokken apparaat zo snel mogelijk los te koppelen van het netwerk, internet en andere apparaten. Op deze manier kan je infecties op je andere apparaten voorkomen. Het is ook belangrijk om andere apparaten te onderzoeken die geïnfecteerd kunnen zijn en ze te isoleren. Elk apparaat dat op het netwerk is aangesloten kan een bedreiging vormen, waar ze ook zijn. Op dit moment is het ook een goed idee om de draadloze connecties af te sluiten (Wi-Fi, Bluetooth, …).
Beoordeel de schade en zoek patient zero
Bepaal welke apparaten geïnfecteerd zijn door je bestanden te controleren. Onlangs gecodeerde bestanden hebben vreemde bestandsextensienamen en bestandsnamen. Je kan ook problemen ondervinden bij het openen van deze bestanden. Wanneer apparaten niet volledig gecodeerd zijn, moet je dit apparaat isoleren en uitschakelen om meer schade te voorkomen. Je moet deze aanvallen altijd onderzoeken. Maak een lijst van alle geïnfecteerde apparaten en systemen. Om patient zero te vinden, moet je zoeken naar het apparaat met het hoogste aantal geopende bestanden. Je kan ook jouw antivirus- of monitoringplatforms controleren op waarschuwingen. De meeste schadelijke software komt via e-mails in het systeem terecht, dus je werknemers onderzoeken is ook een goed idee.
Identificeer de ransomware en meld de aanval aan de autoriteiten
Eerst en vooral is het belangrijk om te ontdekken met welke ransomware-variant je te maken hebt. Je kan meerdere tools online vinden om gecodeerde bestanden te analyseren om uit te vinden met welke ransomware variant je te maken hebt. Een andere optie is om een zoekmachine te gebruiken om het e-mailadres van de losgeld notitie op te zoeken om uit te vinden met welke ransomware variant je te maken hebt. Als je eenmaal hebt gevonden om welke variant het gaat, kun je alle betrokkenen waarschuwen en hen vertellen over de tekenen van deze ransomware infectie. Je kan contact opnemen met experten op het gebied van incidentrespons of computer forencics om je te helpen bij deze aanval. Maar het belangrijkste is dat je deze aanval moet melden aan de wetshandhaving.Je moet ook de GDPR-wetten van jouw land opvolgen en het persoonsgegevens lek melden aan de juiste instanties. Anders kan jouw bedrijf hoge boetes krijgen.
Evalueer jouw back-ups en onderzoek je decoderingsopties
Idealiter heb je een back-up gemaakt. Dit betekent dat je je systeem kan opkuisen met een antivirus- of antimalware-oplossing en dat je je bestanden kan herstellen. Als je geen back-up kan gebruiken, is er mogelijk nog steeds een kans om jouw gegevens terug te krijgen. Er is een kleine kans dat je de decodeersleutel voor jouw ransomware variant online kunt vinden. Als je al je opties hebt uitgeput, is het misschien tijd om je verlies te accepteren.