Soms kom ik bij het lezen van een artikel over wat u moet doen in het geval van een ransomware-aanval de volgende woorden tegen: “Overweeg om te betalen”. Dan zucht ik eens diep… en sluit ik het browservenster snel af. Waarom? Omdat u afpersers nooit moet betalen! En niet alleen omdat u op die manier criminele activiteiten sponsort. Er zijn andere redenen. En die gaan we hier nog eens bekijken:
Ten eerste sponsort u zo malware
Cyberschurken, kwaadwillende partijen, afpersers, groepen van cybercriminelen… ze zijn allemaal slecht, en als u ze losgeld betaalt, geeft u ze het inkomen dat ze nodig hebben om door te gaan met waar ze mee bezig zijn: het negatief beïnvloeden van de levens van onschuldige mensen. Dit zorgt voor een vicieuze cirkel: ze versleutelen uw gegevens, u betaalt ze en ze versleutelen weer gegevens van anderen…
In principe zijn er twee manieren om ervoor te zorgen dat afpersers met hun onhebbelijke gewoonte stoppen: ze kunnen ofwel opgerold worden (waar wij regelmatig bij helpen), of men kan ervoor zorgen dat hun activiteiten niet langer winstgevend zijn, waardoor ze een respectabelere baan zullen moeten vinden. Ze lijken zich niet te realiseren dat programmeurs een heel behoorlijk salaris kunnen verdienen.
Hoe kunnen we er dus voor zorgen dat hun activiteiten niet langer winstgevend zijn? Door ervoor te zorgen dat slachtoffers niet langer betalen. “Dat klinkt allemaal leuk en aardig”, hoor ik u zeggen, “wij willen ook wereldvrede en gelijkheid voor iedereen, maar mijn gegevens zijn net versleuteld en mijn bedrijf kan failliet gaan zonder toegang tot die informatie”. Zelfs dan: betaal niet! Lees nog even verder…
Ten tweede: er is geen garantie op het terugkrijgen van uw gegevens
Overeenkomsten met cybercriminelen staan nooit in steen geschreven, er is geen sprake van een contract. En zelfs als dat wel zo was, sinds wanneer respecteren criminelen de wet? Het losgeld betalen hoeft dus niet te betekenen dat u uw bestanden intact en onversleuteld terugkrijgt.
Kijk maar naar ExPetr/NotPetya — omdat een uniek gebruikers-ID volledig willekeurig werd gegenereerd, was het simpelweg onmogelijk om de bestanden te decoderen. Zelfs de aanvallers zelf kregen dit niet voor elkaar! Dus al het geld van de wereld had hier niet bij geholpen. En ExPetr/NotPetya is verre van een geïsoleerd incident. Het is niet ongebruikelijk voor cybercriminelen om programmeerfouten te maken. En hoewel dit soort fouten soms betekent dat wij een decoder kunnen creëren, is soms het tegenovergestelde het geval en kunnen zelfs de oorspronkelijke programmeurs niet meer bij de gegevens.
Er was onlangs een incident waarbij een cybersecurity-expert een groep cybercriminelen publiekelijk vroeg om een bug in hun ransomware-trojan te verhelpen om ervoor te zorgen dat de getroffen bestanden niet op onherroepelijke wijze beschadigd raakten. Ik weet niet of we hierom moeten lachen of huilen. Kortom: als u besluit om losgeld te betalen, onthoud dan dat dit nooit een garantie is op het terugkrijgen van uw bestanden.
Bovendien kunnen ze vervolgens nog meer losgeld eisen
Het is al eerder gebeurd: cyberschurken vielen een organisatie aan die maar liefst $ 6,5 miljoen betaalde om hun gegevens terug te krijgen. Twee weken later versleutelden dezelfde criminelen dezelfde gegevens opnieuw met dezelfde methode, en opnieuw kregen ze een behoorlijk bedrag aan losgeld van de organisatie!
Het echte probleem in dat voorbeeld was dat twee weken niet voldoende tijd bood om het lek te dichten waar de criminelen de eerste keer door naar binnen waren gekomen. Boeven die succes hebben, kunnen hetzelfde opnieuw proberen, gewoon omdat het kan. Ze hebben waarschijnlijk nog altijd uw gegevens (die kunnen ze hebben verwijderd, maar waarschijnlijk is dat niet zo).
De enige manier die kan helpen is door helemaal niet te betalen, ook niet één keer. Als u dat wel doet, loopt u het risico op een tweede, derde en vervolgens vierde eis tot losgeld, want de schurken zullen u als een eenvoudige, stabiele vorm van inkomsten zien.
Dus wat moet u doen?
Stel dat u correct hebt besloten om de afpersers niet te betalen. En dan? Uw bestanden zijn versleuteld/gestolen en de cybercriminelen dreigen alles openbaar te maken. Dat is een probleem. Hier leest u wat u moet doen:
Blijf kalm en ga op zoek naar een decryptor. Het kan zijn dat u er hier of hier al een vindt, of misschien verschijnt er later nog een. Wij brengen regelmatig decryptors uit en updaten deze als deel van ons proces van het bestuderen van malware en detecteren van indringers.
Neem contact op met de verkoper van uw beschermingssysteem. Onderzoek eerst hoe uw bestanden zijn versleuteld. Vraag vervolgens de verkoper om hulp bij de decryptie: het kan zijn dat zij weten wat te doen, en ze willen u als gewaardeerd klant waarschijnlijk graag helpen. Veiligheid staat bij de verkoper voorop, en ze moeten ook aan hun reputatie denken: die is onbetaalbaar voor een beveiligingsbedrijf.
Dat gezegd hebbende, het is natuurlijk altijd beter om uw beveiliging te versterken zodat u een infectie überhaupt kunt voorkomen. Maar betaal nooit! Als iedereen stopt met betalen, zullen de cyber-afpersers uiteindelijk met hun activiteiten stoppen en kan de wereld weer iets opgeluchter ademhalen.