Verwijder ransomware in 4 stappen
Ransomware is helaas weer helemaal in de mode dit jaar. De trojans die het systeem gijzelen worden veel verspreid naar computers die door een botnet zijn opgeslokt en behalve de beruchte politieransomware, zorgt ook de trojan Cryptolocker voor slapeloze nachten. Daarnaast steekt nu PowerLocker de kop op - een variant die cybercriminelen voor een fractie van de prijs van CryptoLocker kunnen uitventen.
De meeste ransomware kun je aanpakken zonder gegevens kwijt te raken, maar sommige geniepigere - zoals Cryptolocker - zorgen ervoor dat je de bestanden worden versleuteld. Daarnaast geldt voor de meeste ransomware een specifieke procedure. Soms is een scan en schoonmaakprogrammaatje voldoende, soms moet je offline in veilige modus werken en soms moet je nog geavanceerdere trucjes uit de kast trekken.
Stap 1: Verwijder de malware
Ik deel ransomware in drie categorieën: scareware, lockscreen-virussen en versleutelingsmalware. De eerste zien je het meest en komt meestal met een boodschap dat er iets mis is met je pc en dat je moet klikken om het probleem te verhelpen. Vervolgens wordt je gebombardeerd met pop-ups en meldingen, waardoor het lastig werken is op de pc. Over het algemeen is deze ransomware, die je probeert aan te zetten om 'antivirus' te kopen, het eenvoudigste te verwijderen. Je hebt vier opties, we gaan van de minst ingrijpende tot het ultieme middel als echt alles faalt.
Optie 1: Veilige modus
Een stapje moeilijker dan scareware zijn de lockscreen-virussen, waarvan de beruchte politieransomware een bekend voorbeeld is. Deze kun je meestal simpel genoeg verwijderen door naar de Veilige Modus te starten en vanuit daar een tool als Malwarebytes te draaien om het systeem te scannen en op te schonen.
Optie 2: Systeemherstel
Een andere manier is het terugzetten van een herstelpunt. Je documenten blijven op hun plek, maar systeembestanden worden teruggerold naar een eerder snapshot. Door het lockscreenvirus kom je niet meer bij Systeemherstel, maar er is gelukkig een optie om dit daar buitenom te doen.
Dit doe je door tijdens het opstarten op F8 te drukken om in het bootmenu van Windows te komen. Daar kun je kiezen voor het repareren van Windows. Als Systeemherstel niet is ingeschakeld, heb je hiervoor een Windows-CD of een Systeemherstel-CD nodig. Die laatste kun je ook zelf maken met een andere pc die dezelfde Windows-versie draait.
Optie 3: Offline virusscan
Als dit niet lukt, kun je ook proberen om een virusscanner te draaien vanaf een bootable schijf of USB-apparaat. Dat wordt vaak een offline virusscan genoemd. Er zijn veel van zulke tools online te vinden, zoals HitmanPro Kickstart, die zijn te booten vanaf een extern medium.
Optie 4: Zwaardere werk
Als het niet is gelukt met Veilige Modus, een opruimtool, Systeemherstel of het draaien van een offline virusscanner, dan kun je als allerlaatste mogelijkheid op bijvoorbeeld een laptop nog de fabrieksinstellingen terugzetten. Maar als de malware zo hardnekkig is, werkt dat waarschijnlijk ook niet. Zorg er dan voor dat een professional de schijf grondig wist en het geheugen leegt, voor er een heel nieuwe OS-installatie wordt gemaakt.
Stap 2: Herstel verborgen en versleutelde bestanden
Nu de malware is verwijderd, is het tijd om de schade te repareren. Als je geluk hebt, zijn je data niet versleuteld, maar ben je geraakt door ransomware die pictogrammen, snelkoppelingen en documenten zelf heeft verstopt. Dat is eenvoudig op te lossen door bij 'Computer > Organiseren > Map- en zoekopties' op het tabblad 'Weergave' te klikken en daar een vinkje te zetten bij 'Verborgen bestanden, mappen en stations weergeven'.
Als bestanden dan weer verschijnen, heb je geluk. De nachtmerrie is voorbij en dit kun je toepassen op de hele computer. Ga naar 'C:\Gebruikers\', klik op je gebruikersnaam en pak de verborgen mappen. Gebruik de rechtermuisknop bij deze mappen om 'Eigenschappen' te openen en vink bij 'Kenmerken' het onderdeel 'Verborgen' uit. Klaar!
Stap 3: Herstel versleutelde bestanden
Meestal is het niet mogelijk om daadwerkelijk gegijzelde bestanden te ontsleutelen, omdat de de sleutel daarvoor op de server van de cyberdieven staat. Sommige slachtoffers melden dat er gijzelnemers zijn die daadwerkelijk die sleutel overhandigen als er betaald is (dat schijnt nogal eens te gebeuren met de uitbaters van Cryptolocker) maar niets verplicht ze uiteraard te voldoen aan hun belofte. Dat gebeurt dan ook vaak niet en cybercentrum NCSC raadt dan ook terecht aan om niet te betalen. Hoewel veel Nederlanders dat toch doen.
Dit soort virussen is nóg een reden waarom je je pc regelmatig moet back-uppen. Als je hebt ingesteld dat er regelmatig automatisch een back-up wordt gedraaid, scan deze dan eerst via een niet-geïnfecteerde pc om te zien of er geen trojans naar de back-up zijn gekopieerd. Als de reservekopie schoon is en je de malware op de pc hebt verwijderd, kun je deze terugzetten.
Als je geen back-up hebt, kun je misschien nog bestanden terugkrijgen vanuit de Volume Snapshot Service (VSS) - een onderdeel van Systeemherstel. Klik met de rechtermuisknop op een bestand en kies 'Vorige versies terugzetten'. Als Systeemherstel is geactiveerd, worden er regelmatig back-ups bijgehouden van documenten. De applicatie Shadow Explorer is een front-end interface voor de VSS en daarmee kun je door snapshots bladeren.
Maar vertrouw hier niet te veel op. Hopelijk heb je hiervan geleerd dat het bijhouden van een back-up cruciaal is voor de continuïteit die je zo hard nodig hebt met het apparaat dat een belangrijk onderdeel is van je dagelijks leven.
Stap 4: Voorkom ransomware en andere infecties
Als de symptoombestrijding eenmaal is opgepikt, is het zaak om de infectiehaard aan te pakken. Het bestrijden van ransomware is eigenlijk niet anders dan het voorkomen van andere malware-infecties: de crux ligt in het gebruiken van antivirus en het bijgewerkt houden van de browser en diens componenten (Java, Flash, Acrobat, et cetera).
Houd alles bijgewerkt om te voorkomen dat je gepakt wordt door malware die binnenglipt via een van de vele plug-ins die inhaken op je browser. Blijf onverwachte bijlagen met een beetje gezond wantrouwen behandelen en kijk uit voor spam. Zo wordt Cryptolocker verspreid via zip-bestanden die als bijlage bij e-mailtjes worden verstuurd.
En, we kunnen het niet genoeg benadrukken, zorg voor die back-up. Vroeger of later crasht de schijf of raak je ondanks voorzorgmaatregelen geïnfecteerd met malware waardoor je bestanden niet meer te redden zijn. Denk bijvoorbeeld eens aan je fotoalbums. De back-up is van levensbelang!