Wat doen Nederlandse slachtoffers van de ransomware?

Pluimveehouders Christine en Erik Kunnen werden ook slachtoffer van ransomware. Ze betaalden niet.

Illustratie Peter Lipton

Het scherm veranderde twee keer van kleur, daarna verschenen foutmeldingen in beeld. Niets waarover Christine Kunnen en haar man Erik zich meteen ernstige zorgen maakten nadat ze de bijlage van een e-mail hadden geopend.

De ingeschakelde ‘computerman’ van het legpluimveebedrijf in het Limburgse Stramproy schrok wel. Hij adviseerde meteen aangifte te doen, wegens gijzeling van de computer met ransomware. Geen bestand was meer te openen.

Twee jaar later draait de computer weer, en maken ze elke dag handmatig back-ups. „Het is gewoonte, net als tandenpoetsen”, zegt Kunnen. Van de aangifte hebben ze nooit meer iets gehoord. „Een tegenvaller, maar het is in ieder geval geregistreerd dat we door een aanval alles zijn kwijtgeraakt.”

Losgeld hebben ze niet betaald, de oude bestanden zijn nog altijd besmet. Heel onhandig voor een bedrijf in de agrarische sector. „We missen alle administratie tot 2015, van pluimveerechten tot mestafzet.”

Stappenplan

De Nationale Politie en Europese politieorganisatie Europol proberen slachtoffers bij te staan via de site No More Ransom. Een tiental ICT-beveiligingsbedrijven is aangesloten bij de site. No More Ransom heeft een stappenplan voor als je computer gegijzeld is, zegt Jornt van der Wiel, beveiligingsexpert bij Kaspersky Lab, een van de aangesloten ICT-bedrijven. Stap één: trek de netwerkkabel uit je computer om verdere verspreiding van de malware te voorkomen. Stap twee: maak screenshots van je bureaublad en sla de ‘ransomware notes’ op. Zorg dat je iets hebt met je unieke ID erop, voor als je eventueel wilt betalen. Stap drie hangt af van wat de situatie is. Het kan zijn dat de computer is „terug te spoelen” door de back-ups terug te zetten, al dan niet voorafgegaan door het installeren van een antivirusprogramma. Wie geen back-ups heeft, is afhankelijk van herstelprogramma’s als TestDisk.

De laatste mogelijkheid is het losgeld betalen – en hopen dat je je bestanden terugkrijgt. Een garantie is er niet, zegt Van der Wiel. Ook maakt het je kwetsbaar voor nieuwe verzoeken om losgeld. Waarom is betalen dan toch een optie? „Als iemand alle foto’s van zijn overleden vader kwijt is, en dat is de enige kans, moet ik dan zeggen: doe het niet?”

Op No More Ransom staat niettemin dat het „nooit wordt aanbevolen” om te betalen. Parkeerbedrijf Q-Park, het enige Nederlandse bedrijf dat heeft gezegd slachtoffer te zijn van de laatste grote aanval, heeft zich aan dat advies gehouden. De criminelen eisten 300 euro in bitcoins van het bedrijf. Algemeen directeur Mark van Haasteren weet nog niet wat de schade van de aanval is en of het bedrijf aangifte zal doen. „Het hangt er vanaf of we er daadwerkelijk iets meer kunnen bereiken.”

Protocollen aanpassen

Q-Park volgde zijn eigen driestappenplan voor digitale aanvallen: eerst de geïnfecteerde computers uit het netwerk nemen, dan vergelijkbare computers controleren en tot slot alle systemen controleren. Dat leidde ertoe dat Q-Park naast de 11 parkeergelegenheden waar de apparatuur geïnfecteerd was, uit voorzorg nog 9 van de 262 locaties offline haalde.

Lees ook het opiniestuk van Ko Colijn: Laat cyberveiligheid niet aan de burger over

De leveranciers van de systemen van Q-Park hebben zelf de problemen opgelost. „We hebben ervaring met internetcriminaliteit, al was de omvang van deze aanval nieuw.” Vorig jaar was er nog een poging tot inbraak op de software van een lokale betaalautomaat. Van Haasteren: „De ontwikkelingen in de criminaliteit maken dat we meerdere keren per jaar onze protocollen aanpassen.”

Zou pluimveehouder Kunnen nu anders hebben gehandeld? „Dat denk ik wel”, zegt zij. „We zouden eerder onze omgeving hebben ingelicht over wat ons was overkomen. Dat had ons geholpen met de afhandeling, en anderen om het te voorkomen. Dit is niks om je voor te schamen. Het overkomt je, hoe intelligent of stom je ook bent.”