© CIDimport

Zo verspreidt ransomware zich

Geplaatst: 11 september 2017 - 09:35

Aangepast: 26 augustus 2022 - 16:54

Redactie ID.nl

Een paar weken geleden was de wereld ineens in de ban van WannaCry. Een nieuwe ransomware die duizenden pc’s besmette. Voor het eerst werd ook voor het grote publiek (en veel politici) duidelijk hoe gevaarlijk ransomware kan zijn. En dat terwijl het bepaald geen nieuw verschijnsel is…

Zo verspreidt ransomware zich-15747845

© CIDimport

  Lees hier wat dit betekent.

Hoewel ransomware de afgelopen maanden veel aandacht heeft gekregen in de media, is het niet bepaald een nieuwe bedreiging. De eerste afperstrojaan dateert uit 1989 – toen nog via een diskette verspreid. Tegenwoordig gaat de verspreiding van ransomware een stuk simpeler: meestal wordt gebruik gemaakt van gemanipuleerde websites. Het klikken op een link naar zo’n gevaarlijke website kan al genoeg zijn om geïnfecteerd te raken. Tussen de bestanden die naar een pc worden gedownload om de site op te bouwen in uw
browser, zit ook de schadelijke code van de ransomware verstopt. De boeven kunnen hierbij twee wegen bewandelen. Zo kunnen ze een site bouwen die automatisch de malware naar de pc stuurt als iemand de pagina’s bezoekt. Om mensen te verleiden de site te bezoeken, worden onder andere spamcampagnes per e-mail of sociale media uitgevoerd. Ook url-jacking en zoekmachinemanipulatie komen veel voor. Bij het laatste eindigt de gevaarlijke site heel hoog in de zoekresultaten, waardoor-ie vaak wordt aangeklikt. Bij url-jacking registreren de boeven een groot aantal webadressen die minimaal afwijken van een veel bezochte site en hopen zo slachtoffers te vangen die een tikfout maken (en bijvoorbeeld googel typen in plaats van google).

Een andere weg die de criminelen kiezen is het inbreken op een populaire website en op die manier malware te verspreiden. Of: men
hackt de servers van een bedrijf dat advertentiebanners verzorgt op andere sites. Met een zo’n hack kunnen ze dan een nog veel groter aantal potentiële slachtoffers bereiken. Voor de verspreiding van ransomware wordt daarnaast veel gebruik gemaakt van e-mails
met gevaarlijke bijlagen. De mails zitten vaak erg slim in elkaar en geven de ontvanger het gevoel dat hij de bijlage snel moet openen,
omdat het bijvoorbeeld om een laatste betaalherinnering zou gaan. Het grote verschil tussen ‘gewone’ malware en ransomware is dat bij de laatste de infectie vrijwel meteen duidelijk wordt. De meeste malware probeert zijn schadelijke werk op de achtergrond te doen om onopgemerkt te blijven. Zo kan de crimineel de rekenkracht van de geïnfecteerde pc langer misbruiken voor bijvoorbeeld het uitvoeren van DDoS-aanvallen en het verspreiden van spam. Ransomware is geheel niet geheimzinnig. Sterker nog, binnen de kortste keren krijgt het slachtoffer een niet te missen melding voor zijn neus met – samengevat – de mededeling: uw bestanden zijn versleuteld. Wilt u ze ontsleutelen, dan kost u dat 800 euro.

Na de infectie?

Internetgebruikers merken de infectie vrijwel altijd pas op als het te laat is. Het scherm is geblokkeerd of het scherm met de boodschap van de afpersers kan niet meer worden gesloten. Vorig jaar verspreidde de encryptietrojaan Petya zich in razendsnel tempo naar tienduizenden pc’s. Petya dwingt de pc om te herstarten. Tijdens de herstart manipuleert de ransomware de normale opstartprocedure. De gebruiker wordt misleid om te geloven dat de bestandsstructuur wordt gecontroleerd – net zoals gebeurt na een systeemcrash. In werkelijkheid echter maakt Petya de bestanden ontoegankelijk voor de gebruiker.

Zo verspreidt ransomware zich-16023452

© CIDimport

Toegangspoorten voor malware sluiten

Zoals gezegd komt veel malware op de pc van een slachtoffer terecht met behulp van gemanipuleerde websites. Zodra iemand zo’n site bezoekt, gaat de kwaadaardige software razendsnel na of de bezoekende pc kwetsbaar is (bijvoorbeeld doordat updates niet zijn uitgevoerd). Het maakt daarbij niet uit of het een kwetsbaarheid betreft in Windows, of een die zich bevindt in andere software op de pc (bijvoorbeeld de browser, Java of Adobe). Als zo’n ‘gat’ wordt gevonden, heeft de malware een ingang tot de computer van de bezoeker. Deze methode met zogenoemde exploits is immens populair onder cybercriminelen. Ook ransomware wordt via deze manier verspreid. Het goed up-to-date houden van de pc valt helaas niet mee. Naast updates waar de gebruiker op wordt geattendeerd (zoals Windows en Adobe), zijn er ook wekelijks honderden updates voor andere software die niet zo duidelijk aan de gebruiker worden gecommuniceerd. Het is dan ook belangrijk dat beveiligingssoftware specifieke bescherming biedt tegen exploits. G DATA heeft de technologie Exploit Protection in alle consumentenproducten voor Windows geïntegreerd. De technologie neemt waar wanneer een exploit op abnormale wijze toegang wil tot het systeem. In dat geval wordt de gegevensstroom gewijzigd en de malware gestopt. Hierdoor kan G DATA pc’s beschermen tegen bijna alle exploits, ook als deze nog nooit eerder zijn waargenomen (de zogenaamde zero-days).

Zo verspreidt ransomware zich-16023455

© CIDimport

In de ransomware Spora toonden cybercriminelen een nieuwe tactiek: ze bieden het slachtoffer een ‘klantenservice’. Men kan op de betaalpagina van Spora chatten met de boeven en er zijn verschillende decryptieniveaus voor verschillende prijzen.

G DATA AntiRansomware-technologie

Afperstrojanen kunnen worden gedetecteerd door bestaande processen in moderne beveiligingssoftware, maar deze technieken zijn niet altijd toereikend. G DATA heeft een nieuwe methode ontwikkeld om pc’s te beschermen tegen ransomware, ook tegen de varianten die nog nooit eerder zijn waargenomen. Op basis van bepaalde (gedrags)kenmerken van afperstrojanen worden deze herkend en gestopt. Eén voorbeeld van veel voorkomend gedrag van ransomware is het wissen van de Shadow Copies, een soort automatische back-upfunctie binnen Windows. Als de AntiRansomware-module dat waarneemt, weet de beveiligingssoftware voldoende en blokkeert het de uitvoering van de code. Zo is er een hele verzameling aan criteria waar code op wordt gecontroleerd. Deze unieke en zeer effectieve technologie is geïntegreerd in alle consumentenproducten van G DATA voor Windows.

Zo verspreidt ransomware zich-16023458

© CIDimport

Ervaren gebruikers kunnen in de consumentenproducten van G DATA voor virusbescherming de geavanceerde instellingen naar hun eigen voorkeur wijzigen.

 

Deel dit artikel
Voeg toe aan favorieten