Wat te doen bij een ransomware aanval?

Het advies is om geen losgeld te betalen.

Je hebt geen garantie dat de betaling leidt tot de teruggave van je gegevens. Daarnaast steun je tegelijkertijd de criminele activiteiten achter de ransomware.
Enkele slachtoffers die in het verleden losgeld hebben betaald, gaven aan dat er na een eerste betaling een hoger bedrag van hen werd geëist. In sommige gevallen werden de slachtoffers na enige tijd opnieuw door dezelfde ransomware getroffen.

Hieronder enkele zaken die wel verstandig zijn om te doen als je slachtoffer bent geworden van ransomware:

  1. Breng de betrokkenen op de hoogte

    Neem voordat je zelf iets onderneemt direct contact op met de ICT-helpdesk en breng de IT-leverancier(s) binnen en buiten je organisatie op de hoogte.

  2. Doe aangifte

    Het is altijd zinvol om aangifte te doen bij de politie, dit kan via 0900-8844. Hiervoor maak je een afspraak met de politie in de buurt en kan je aangeven dat het gaat om een aangifte voor ransomware. Ter voorbereiding van de aangifte, zorgt je dat degene die namens je bedrijf aangifte doet daartoe een machtiging heeft. Neem eventuele logbestanden mee (deze bevatten mogelijk sporen, indicaties en bewijzen) en noteer alvast de (contact)gegevens van de aangever.
     

    Je kunt de volgende vragen verwachten:

    • Welke systemen zijn geraakt?
    • Hoe ziet de netwerk-infrastructuur eruit en wat zijn de netwerkadressen?
    • Welke veiligheidsmaatregelen (zoals virusscanners en firewalls) zijn er genomen?
    • Was er een dreigement of waren er andere bijzondere omstandigheden?
    • Wat is de geschatte (economische en imago)schade en hoeveel (persoons)gegevens zijn getroffen?
    • Welke (herstel)acties heeft uw bedrijf ondernomen na het ontdekken van het incident?
  3. Wat kun je verder doen?

  • Als één van de computers binnen jouw bedrijfsnetwerk is getroffen door ransomware, overweeg deze dan te isoleren van de overige computers in het netwerk door bijvoorbeeld de netwerkverbinding te verbreken.
  • Ga via een ander apparaat, bijvoorbeeld via een smartphone of tablet, naar de website van de Fraudehelpdesk. Op deze site vind je instructies over hoe ransomware verwijderd kan worden. Kom je hier niet verder mee, dan adviseren we je naar een erkend IT specialist te gaan.
  • Je kan proberen de versleutelde bestanden zelf te ontsleutelen met herstelprogramma's, ook wel decryptors genoemd. Deze programma's vind je bijvoorbeeld op No More Ransom, een initiatief van onder meer de Politie en Europol. Er zijn echter geen garanties dat de beschikbare decryptors werken voor de specifieke ransomware die op jouw systeem staat.
  • Is er geen decryptor beschikbaar, dan zijn back-ups de enige manier om je bestanden terug te krijgen. Met goede, recente, offline back-ups is de schade die ransomware kan aanrichten minimaal. Zorg er dus voor dat je van je belangrijke gegevens en documenten back-ups gemaakt worden.
  • Bij een ransomware aanval vaak sprake van een 'datalek' in de zin van de Algemene verordening gegevensbescherming (AVG). Heeft ransomware bestanden versleuteld die persoonsgegevens bevatten? Dan is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Dit moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens.
Illustratie van een laptop met een slotje.

Je kunt de kans sterk verkleinen op een ransomware aanval. Maak het cybercriminele niet te makkelijk en lees wat je kunt doen om je bedrijfsvoering te beschermen.