Wat te doen bij een ransomware-aanval?
Het advies is om geen losgeld te betalen.
Je hebt geen garantie dat de betaling leidt tot de teruggave van je gegevens. Daarnaast steun je tegelijkertijd de criminele activiteiten achter de ransomware. Enkele slachtoffers die in het verleden losgeld hebben betaald, gaven aan dat er na een eerste betaling een hoger bedrag van hen werd geëist. In sommige gevallen werden de slachtoffers na enige tijd opnieuw door dezelfde ransomware getroffen.
Welke acties kun je doen?
-
Breng de betrokkenen op de hoogte
Neem voordat je zelf iets onderneemt direct contact op met de ICT-helpdesk en breng de IT-leverancier(s) binnen en buiten je organisatie op de hoogte. Als het goed is heb je de bellijst ergens uitgeprint voorhanden. -
Doe aangifte
Het is altijd zinvol om aangifte te doen bij de politie. Soms heeft de politie door eerdere aangiften de sleutel om je bestanden weer te ontgrendelen en kunnen ze je helpen. En door jouw aangifte krijgt de politie steeds meer inzicht in de technieken die criminelen gebruiken.
Zelfstandig ondernemers kunnen online aangifte doen met een DigiD.
Bedrijven maken voor het doen van aangifte van ransomware een afspraak op het politiebureau via 0900-8844. Zorg dat degene die namens je bedrijf aangifte doet daartoe een machtiging heeft. Neem eventuele logbestanden mee. Deze logbestanden bevatten mogelijk sporen, indicaties en bewijzen. Noteer ook alvast de (contact)gegevens van de aangever.
Je kunt je aangifte voorbereiden aan de hand van deze PDF: Checklist aangifte ransomwarebesmetting.
Je kunt de volgende vragen verwachten:
- Welke systemen zijn geraakt?
- Hoe ziet de netwerk-infrastructuur eruit en wat zijn de netwerkadressen?
- Welke veiligheidsmaatregelen (zoals virusscanners en firewalls) zijn er genomen?
- Was er een dreigement of waren er andere bijzondere omstandigheden?
- Wat is de geschatte (economische en imago)schade en hoeveel (persoons)gegevens zijn getroffen?
- Welke (herstel)acties heeft uw bedrijf ondernomen na het ontdekken van het incident?
-
Wat kun je verder doen?
- Als één van de computers binnen jouw bedrijfsnetwerk is getroffen door ransomware, overweeg deze dan te isoleren van de overige computers in het netwerk door bijvoorbeeld de netwerkverbinding te verbreken.
- Ga via een ander apparaat, bijvoorbeeld via een smartphone of tablet, naar de website van de Fraudehelpdesk. Op deze site vind je instructies over hoe ransomware verwijderd kan worden. Kom je hier niet verder mee, dan adviseren we je naar een erkend IT-specialist te gaan.
- Je kunt proberen de versleutelde bestanden zelf te ontsleutelen met herstelprogramma's, ook wel decryptors genoemd. Deze programma's vind je bijvoorbeeld op No More Ransom, een initiatief van onder meer de Politie en Europol. Er zijn echter geen garanties dat de beschikbare decryptors werken voor de specifieke ransomware die op jouw systeem staat.
- Is er geen decryptor beschikbaar, dan zijn back-ups de enige manier om je bestanden terug te krijgen. Met goede, recente, offline back-ups is de schade die ransomware kan aanrichten minimaal. Zorg er dus voor dat je van je belangrijke gegevens en documenten back-ups gemaakt worden.
- Bij een ransomware aanval vaak sprake van een 'datalek' in de zin van de Algemene verordening gegevensbescherming (AVG). Heeft ransomware bestanden versleuteld die persoonsgegevens bevatten? Dan is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Dit moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens.
publicatie
Politie: 7 stappen bij een cyberaanval
De politie heeft een brochure 'Samen tegen cybercrime' uitgebracht. Daarin vind je de signalen om een cyberaanval te herkennen. Daarna volgen 7 stappen die een IT-specialist moet nemen om bewijs te verzamelen.
publicatie
7 Momenten om een aanval te stoppen
De inlichtingendiensten AIVD en MIVD geven tips om cyberaanvallen tegen te gaan. Hoe gaan statelijke actoren te werk? Hoe kun je cyberaanvallen herkennen en voorkomen? De brochure neemt je mee in de verschillende fasen van een cyberaanval naar het model van de Cyber Kill Chain.
Deze publicatie is weliswaar gericht aan bestuurders, beleidsadviseurs en managers van de Rijksoverheid en de vitale sector, maar is ook interessant voor cybersecurity professionals, CISO's en CIO's. Weten wat de 7 fasen zijn die cyberaanvallers kunnen doorlopen, helpt om hen de pas af te snijden.
publicatie
Aan de slag met "Incidentresponsplan Ransomware"
Een ransomware-aanval op je bedrijf is heel ingrijpend. Onder de druk van zo'n aanval is het lastig om planmatig te werken. Wat zijn de essentiële stappen die je moet nemen? Bereid je bedrijf voor op een ransomware-aanval met het Incidentresponsplan Ransomware van het Nationaal Cyber Security Centrum (NCSC). Elk incident en elke organisatie is natuurlijk anders. Het incidentresponsplan biedt daarom geen pasklare oplossing voor alle mogelijke situaties, het is meer een inspiratiebron om snel mee aan de slag te gaan.
Hoe voorkom je ransomware?
Je kunt op verschillende manieren besmet raken met ransomware. Het virus kan verstopt zitten in onder andere advertenties op websites of bijlagen in e-mails. Vaak wordt de ransomware verspreid middels een e-mail, waarin de criminelen zich voordoen als een betrouwbare organisatie of kennis (ook wel bekend als phishing).
Ondernemers vertellen over hun ransomware-aanval
Meerdere ondernemers hebben hun ervaringen met ransomware gedeeld om zo andere ondernemers bewust en voorbereid te maken. Lees welke impact een ransomware-aanval had op een advocatenkantoor, een autodealer, een vaccinmaker, een family office en een voedingsmiddelenbedrijf.