Computer vergrendeld door criminelen: betalen of niet?

NU.nl/Thomas Moerman

29/07/2016

Computers worden steeds vaker vergrendeld door criminelen, die slachtoffers vervolgens aftroggelen. Hoewel het aanlokkelijk lijkt, is betalen om deze ‘ransomware’ uit te schakelen meestal een slecht idee.
De 30-jarige Paul uit Amsterdam werd een tijd terug getroffen door 'ransomware', waardoor alle bestanden op zijn computer vergrendeld werden totdat er een geldbedrag werd gestort. "Ik kon helemaal niets meer met mijn computer", vertelt hij.

De criminelen vroegen in dit geval een bedrag van 150 euro, dat hij kon betalen via twee louche websites. Betalen leek hem geen goed idee: "Het zijn criminelen, dus je weet nooit zeker of je echt al je bestanden weer terugkrijgt."

“Ik kon helemaal niets meer met mijn computer” 
Ransomware-slachtoffer Paul

Uiteindelijk probeerde Paul zijn computer via wat tips online zelf te repareren, maar dat ging mis. Resultaat: de hele harde schijf leeg. "Het waren vooral veel foto's waarvan ik het jammer vind dat ze weg zijn. Ik ben daarna wel vaker gaan backuppen."

Explosie

Ransomware is niet iets nieuws; de eerste variant van het virustype werd al in 1989 gevonden. Wel is het lange tijd in vergetelheid geraakt, zegt onderzoeker Jornt van der Wiel van beveiligingsbedrijf Kaspersky.

Inmiddels is ransomware weer razend populair onder criminelen, met name de zogenoemde crypto-ransomware: ransomware waarbij gegevens worden versleuteld. Deze variant is lastiger te verwijderen dan de 'block'-variant, waarbij het scherm wordt geblokkeerd.

Het afgelopen jaar is het aantal crypto-ransomwareaanvallen maar liefst verzesvoudigd: In de periode 2014-2015 werden er nog 131.000 gevallen gerapporteerd door het bedrijf, in de periode 2015-2016 lag dat op 718.000, aldus Kaspersky.

In Nederland ligt dat aantal zelfs nog ver boven dat gemiddelde. het aantal besmettingen steeg het afgelopen jaar met maar liefst 1.224 procent van 814 naar 9.967.

Ook uit onderzoek van beveiligingsbedrijf Symantec komt het beeld naar voren dat ons land bovengemiddeld in het vizier staan van internetcriminelen: Nederland staat volgens het bedrijf wereldwijd op de vierde plek wat aantal ransomwarebesmettingen betreft, na respectievelijk de Verenigde Staten, Italië en België.

Makkelijk verkrijgbaar

Tot voor kort hadden computercriminelen het vooral gemunt op de normale computergebruiker, maar steeds vaker worden de pijlen ook gericht op bedrijven.

Het zijn dan vooral de kleinere bedrijven die getroffen worden, omdat zij vaker geen backups hebben en wel moeten betalen. Grotere bedrijven kijken vaak wat er meer kost: een duur IT-bedrijf inschakelen of betalen. Net als bij aanvallen op particuliere gebruikers, hebben de criminelen het bedrag goed uitgekozen zodat betalen vaak net iets aantrekkelijker is.

“Voor een paar honderd of duizend euro kun je al je eigen ransomware kopen” Jornt van der Wiel

De wereldwijde groei aan ransomware-aanvallen wordt onder meer mogelijk gemaakt doordat de software redelijk goedkoop of soms zelfs gratis te verkrijgen is. "Voor een paar honderd of duizend euro kun je al je eigen 'sample' kopen", zegt Van der Wiel. Er is zelfs opensource-ransomware beschikbaar, waarbij de broncode vrij toegankelijk en aanpasbaar is.

Er zijn een aantal redenen te bedenken waarom juist Nederland zo populair is onder criminelen, zegt beveiligingsonderzoeker Van der Wiel. Zo kan het zijn dat er hier gewoon veel te halen valt, maar het zou ook kunnen dat er een Nederlander betrokken is bij een ransomwarebende: "De berichten die mensen te zien krijgen zijn vaak in goed Nederlands geschreven. Het zijn geen Google Translate-vertalingen."

Niet betalen

Door die enorme toename aan ransomware staat deze vorm van malware ook op de agenda bij de Nationale Politie en de Europese politieorganisatie Europol. Deze week lanceerden de Europese politiekorpsen samen met Kaspersky en Intel Security nog een speciale site waarop slachtoffers 'sleutels' kunnen vinden waarmee de ransomware kan worden uitgeschakeld.

“Maak backups. Heel veel backups.”
Wilbert Paulissen, Nationale Politie

Het bestrijden van dit soort computercriminaliteit is echter vaak lastig, legt Van der Wiel uit. De servers die de criminelen gebruiken zijn vaak erg vluchtig; Gegevens zijn binnen twee dagen vaak alweer verplaatst naar een ander, onbekend adres waardoor het opsporingswerk lastig is.

Ook Wilbert Paulissen van de Nationale Politie geeft toe dat het niet eenvoudig is. "Het beste advies dat we kunnen geven is: betaal niet, en maak backups. Heel veel backups", zegt Paulissen.

Betalen wordt ten eerst afgeraden omdat dat dat er voor zorgt dat er geld naar de criminelen blijft vloeien en het verspreiden van ransomware dus wordt gestimuleerd. Ten tweede omdat het inderdaad nooit zeker is of de gebruiker daadwerkelijk weer toegang krijgt tot haar of zijn bestanden.

Maar dat blijkt vaak makkelijker gezegd dan gedaan. Wanneer er waardevolle documenten of foto's verloren dreigen te gaan, grijpen veel slachtoffers van ransomware uiteindelijk toch maar naar de portemonnee.