Het aantal ransomware-aanvallen is gestegen naar een recordniveau. Het aantal nieuwe ransomware-varianten, zoals Cryptolocker, steeg in het eerste kwartaal zelfs tot ruim 700.000.

Deze kwaadaardige software komt vaak binnen via een misleidende email met bijlagen en/of links. Bij het openen van de bijlage en/of de link wordt er in de achtergrond kwaadaardige software gedownload. Deze auto-morphing (snel veranderende) software wordt meestal nog niet herkend door anti-malware oplossingen, waardoor de software “binnen” kan komen en zichzelf start. Na de start, versleuteld de software gedeelten van de harddisk en zelfs netwerkschrijven.

Op het beeldscherm verschijnt dan een bericht dat de gegevens op de computer versleuteld (encrypt) zijn en tegen betaling een ontsleutelcode (decrypt-key) gekocht kan worden. Deze betaling dient dan op een wijze plaats te vinden die moeilijk is te herleiden naar de begunstigde, zoals via Bitcoins.

Als u niet wil betalen om weer bij uw gegevens te kunnen, is de enige echt werkende oplossing een goede (geteste) back-up terugzetten. Naast de tijd dat dit kost (en het opnieuw installeren van het OS, software en configuraties), bent u ook alle gegevens/verwerkingen tussen de laatste back-up en het moment van versleuteling kwijt. Overigens is van een aantal slachtoffers ook de back-up versleuteld, omdat de ransomware al actief was in de achtergrond, bij het aansluiten van het backup-medium.

Wij helpen u graag met aanvullende preventieve maatregelen tegen ransomware. Daarvoor maken wij gebruik van het distributie-, installatie- en werkingsprincipe volgens de Kill Chain van Lockheed Martin, met behulp van de oplossingen van Palo Alto Networks:

Ransomware oplossingen

URL filtering

De malware categorie binnen de URL filtering database wordt continue bijgewerkt en zorgt ervoor dat de malicieuze URL in de phishing email niet bezocht kan worden.

WildFire

URL’s in emails worden doorgestuurd naar de WildFire Cloud, waar vanuit de Sandbox de URL wordt bezocht. Bevat deze malware dan wordt zowel de WildFire database bijgewerkt alsook de webserver in de malware categorie geplaatst.

Bestanden die nog niet als malware worden gezien door de reguliere AntiVirus update (24 uur update tijd) worden wel in de WildFire updates gezien (15 min. update tijd) en alsnog tegengehouden.

Spyware database

De Spyware database bevat ook DNS signatures van Botnet Controllers en Command&Control Servers. Hoewel de software zichzelf snel veranderd, is het domein waar de informatie naar toe gestuurd wordt (C&C server en destination-IP van gestolen informatie) veelal minder dynamisch.

Indien er toch een infectie heeft plaatsgevonden, dan zal de geïnfecteerde machine niet meer kunnen communiceren met de Botnet Controller en de C&C server. Doordat de communicatie onderbroken is, zal de besmette machine geen verdere actie kunnen ondernemen.