Criminelen willen slachtoffers aansporen om te betalen na een ransomware-infectie met de hulp van soms professionele meertalige websites en persoonlijke ondersteuning. Wie doet het het best?


Hoe heeft technologie een impact op je business?
Ontvang elke week het zakelijk IT-nieuws rechtstreeks in je inbox!



 
Ransomware is, naast Pokémon Go, de rage van het moment. Er zit geld in software die de bestanden van een onschuldig slachtoffer versleutelt, en dat is criminelen niet ontgaan. Wie ransomware binnenhaalt en geen back-up heeft, kan zijn opties vaak op twee vingers tellen: alles verliezen of betalen.

Vertrouwen onder criminelen

De criminelen hopen natuurlijk dat je over de brug komt. Om dat te doen moeten ze vertrouwen en hulp bieden. Vertrouwen om mensen te laten zien dat ze hun bestanden wel degelijk kunnen ontsleutelen, hulp omdat niet ieder slachtoffer even technologisch aangelegd is. Dat is een probleem: vaak weten mensen niet wat hen overkomt en hebben ze al helemaal geen idee waar ze die mysterieuze bitcoins kunnen krijgen.
 
Het resultaat is een vreemd zakensysteem: langs de ene kant verspreiden cybercriminelen ransomware, langs de andere kant hebben ze een gebruiksvriendelijke interface en klantenondersteuning. Fsecure ging na hoe het gesteld is met de service van de voornaamste ransomware van het moment. Het bedrijf keek naar Cerber, Cryptomix, Jigsaw, Shade en Torrent Locker. De onderzoekers lieten een testcomputer infecteren door ransomware-virussen van de vijf respectievelijke families. Enkel virussen met een actieve command & control-server werden uitgekozen.
ransomware1

Christine Walters

Fsecure deed zich voor als Christine Walters, een getrouwde vrouw van ongeveer 40 jaar oud met een job en kinderen. Christine heeft geen kaas gegeten van technologie, en wist aanvankelijk niet wat haar overkomen was. Ze wil haar bestanden terug, maar is niet op haar mond gevallen en is bovendien nieuwsgierig. Fsecure evalueerde op die manier de vijf virussen op klantvriendelijkheid, zowel de interface als de helpdesk kwamen aan bod. Het hele onderzoek lees je hier, hieronder vatten we de essentie in het Nederlands samen.
 
Het onderzoek zelf heeft weinig nut, behalve dan dat het een leuke inkijk geeft in de realiteit van de ransomware. Het werpt een uniek licht op de spreidstand die cybercriminelen die zich bezig houden met ransomware moeten aanhouden. Wie zich te verdacht gedraagt of niet wil meehelpen, wekt immers geen vertrouwen op.
 
Hoewel de criminelen in kwestie computers versleutelen, is dat vertrouwen toch essentieel voor het overtuigen van de ‘klant’. Die moet immers over de brug komen met geld, als hij zijn bestanden gewoon opgeeft zijn de hackers geen cent rijker.
[related_article id=”167348″]

De interface

Cryptomix, Shade en Jigsaw zijn met voorsprong de minst afgewerkte ransomware-producten. Wie getroffen wordt door Cryptomix vindt slechts een .txt-bestand op zijn bureaublad waarmee hij of zij aan de slag moet. Share verandert dat bureaublad dan weer naar rode tekst op een zwarte achtergrond. Meteen krijg je als slachtoffer de optie om een e-mail te sturen voor meer informatie, vergezeld van een waarschuwing: zelf decrypteren zou in het verlies van gegevens resulteren.
 
Dat laatste klinkt agressief, maar wordt ironisch genoeg meteen getemperd: “Als je toch wil proberen om je bestanden zelf te ontsleutelen, maak dan alsjeblief een back-up aangezien decryptie anders onmogelijk wordt.”
 
ransomware2

Ontblote boezem

Fsecure bestempelde Jigsaw als de cryptomalware met de meest trieste interface. Groene tekst in een zwart kadertje prijkt vooraan, met op de achtergrond de ontblote boezem van een dame. Bovendien claimt Jigsaw dat het, ieder uur dat het slachtoffer niet betaalt, bestanden verwijdert. De beveiligingsfirma merkt op dat die insteek nefast is voor een aangename klantenervaring.
 
Torrentlocker komt voor de dag met iets meer professioneel zelfrespect. De malware is voorzien van een professionele webpagina met verschillende tabs voor ondersteuning, een FAQ en zelfs een demo-sectie. Daar kan je als gebruiker één bestand uploaden en laten ontsleutelen. Zo proberen de criminelen achter Torrentlocker het vertrouwen van hun slachtoffer te winnen.

Plagiaat

Gelukkig voor Torrentlocker leeft het in de illegaliteit: anders zou de ‘dienst’ meteen voor de rechter gesleept worden door Cryptolocker. De webinterface is immers volledig gestolen van die malware, tot op de naam linksbovenaan de website toe. Bovendien stelde Fsecure vast dat de webpagina in kwestie niet zomaar toegankelijk was. De beveiligingsfirma moest via een Tor-proxy werken om aan de homepage te raken. Fsecure breekt Torrentlocker verder af omdat de webpagina uitsluitend in het Nederlands is, maar dat zullen wij bij deze als een pluspunt zien.
 
Koning in de categorie interface: Cerber. De ransomware pakt uit met een professioneel uitziende webpagina met ondersteuning in de twaalf meest gesproken talen. De pagina toont de huidige prijs, de deadline om te betalen, een FAQ, een demo-decryptiepagina en een contactformulier voor verdere vragen. Bovendien gebruikt Cerber een audioboodschap om het slachtoffer te laten weten wat er gebeurd is. Dat klinkt vervelend, maar is handig voor de visueel beperkte medemens. Dat je als een gebruiker om ‘veiligheidsredenen’ een captcha moet invullen alvorens je aan de slag kan op de website, zullen de makers ongetwijfeld grappig gevonden hebben.
 
ransomware3

Ransomware voor de veiligheid van het net

Op de desktop laat Cerber bovendien een handige teksbestand met instructies achter. Daarin prijst de malware zichzelf aan als product, en stelt het dat het als doel heeft het internet een veiligere plaats te maken. Ok dan.
 
Het hoofddoel van de ondersteuning van de ransomware-malware is het faciliteren van de betaling. Iedere geteste malware-’provider’ staat er immers op betaald te worden in bitcoin, en voor de minder technologie-gezinde computereigenaars klinkt dat als Chinees.
 
De support van Cerber antwoorde prompt maar bleek erg rigide in zijn opstelling. Een beetje hulp met het betalen via bitcoin kon er nog net af, maar meer niet. Pogingen om via onderhandelingen de prijs naar omlaag te halen, vielen telkens op dovemansoren.
[related_article id=”167166″]

Het Apple van de cryptolockers

Cryptomix en Shade kunnen beiden eveneens prat gaan op een uitstekend ondersteuningsteam: vaak duurde het slechts enkele minuten voor Fsecure een antwoord kreeg. Met de mensen van Cryptomix viel al bij al goed te praten. Christine, de fictieve huismoeder, moest aanvankelijk 3 bitcoin op tafel leggen, goed voor 2.000 dollar. Al snel werd die prijs gehalveerd.
 
ransomware4
 
“Nog steeds te veel,” klonk het bij Christine, die er op wees dat gelijkaardige diensten lagere tarieven hanteerden. Uiteindelijk moest ze 650 dollar betalen maar tegen dan leek de ondersteuningsagent van de ransomware-gangsters de dame beu. Hoe bitcoin werkt, moest ze zelf maar uitdokteren. De deadline voor de betaling werd dan weer wel probleemloos verlengd, al ging de prijs meteen terug de hoogte in.
 
De beveiligingsonderzoekers rapporteerden een gelijkaardige ervaring bij Shade, al lagen de bedragen daar van het begin af aan een stuk lager. Na even onderhandelen haalde Shade de prijs naar omlaag van 400 dollar tot 280 dollar (te betalen in bitcoin). Een aanbod om de interface van Shade te verbeteren met gratis grafische design-ervaring in ruil voor extra korting, werd afgewezen.
 
Torrentlocker stelde teleur: ondanks het handige contactformulier kwam er geen respons op de verschillende contactpogingen van het onderzoeksteam.

Goede service achter de borsten

Jigsaw’s ondersteuningsagent bleek een meester in zijn vak. De vriendelijke en behulpzame assistent bleef ten allen tijde vriendelijk, zocht op waar Christine in haar buurt op de beste manier aan bitcoin kon raken en leek zelfs oprecht opgelucht toen bleek dat de fictieve dame haar bestanden toch had geback-upped naar de Google cloud. Hij claimde verrast te zijn dat de dame geïnfecteerd was geraakt, daar de ransomware volgens hem enkel gericht was op bedrijven. De agent suggereerde dat een groot bedrijf achter de creatie er van lag, maar dat lijkt de onderzoekers van Fsecure onwaarschijnlijk.
 
ransomware

Altijd onderhandelen

Fsecure concludeert dat er veel verschil zit in de beschikbare ransomware. De mooiste interface garandeert niet meteen de beste ondersteuning, zoals Jigsaw aantoont. Verder loont het de moeite om als slachtoffer de conversatie met de criminelen op een beleefde manier aan te gaan. Drie van de vier ransomware-verdelers waarmee Fsecure in contact raakte, waren immers bereid om te prijs aan te passen. Ook de deadlines zijn eerder suggesties: iedereen was bereid om de deadline te verlengen al ging daar in de regel een meerprijs mee gepaard.

Bescherm jezelf

Voorkomen blijft natuurlijk beter dan genezen. Een verstandig back-up-systeem kan alvast helpen. Heb je een betrouwbare back-up liggen, dan kan je de ransomware gewoon negeren en na een beetje moeite gratis terug aan de slag gaan op een propere computer. Natuurlijk moet je oppassen voor verdachte e-mails. Phising wordt steeds moeilijker te onderscheiden van legitieme mails. De dagen van de Nigeriaanse prinsen en het gebroken Nederlands zijn voorbij, waardoor het gemakkelijker is om je te laten inpakken door een onverwachte mail.
 
Vergeet tot slot de updates niet: zelfs wanneer je er ongeluk een bestand binnenhaalt dat geïnfecteerd is met ransomware, moet dat bestand toegang krijgen tot je systeem. Dat gebeurt meestal door lekken in Windows, Flash of Office die meer wel dan niet al maanden geleden gepatched zijn. Zolang je de relevante updates blijft uitstekken, blijf je natuurlijk kwetsbaar.