Hoe ransomware mijn leven op zijn kop zette

De meeste media en mensen beschouwen ransomware als een redelijk nieuw fenomeen. Dat is niet vreemd, als je kijkt naar de enorme toename van gevallen in de afgelopen drie jaar. Maar toch klopt het niet: het probleem is al relatief oud. Voor het begin, moeten we teruggaan naar begin december 1989.

Op dat moment werkte ik voor een Belgische verzekeringsmaatschappij. Ik ontving een diskette (voor de jongeren onder ons: dat is zeg maar een voorloper van een USB-stick) met daarop een programma waarvan ik moest bepalen of het wel of niet nuttig kon zijn voor het bedrijf. Bij het insteken van de diskette, werd een enquête geopend die als doel had in te schatten hoe groot het risico was dat jij – als respondent- besmet zou kunnen worden met HIV / AIDS. Op zich inderdaad wellicht nuttig voor een verzekeringsmaatschappij, dacht ik nog.

Er begonnen vreemde dingen te gebeuren

De volgende dag begonnen de problemen. Ik startte mijn pc op en ontdekte dat deze ogenschijnlijk niets deed. Het enige dat ik zag, was een bericht op mijn scherm. Het berichte meldde mij dat ik geld moest overmaken naar een postbus in Panama. Deze boodschap kwam vervolgens ook uit mijn matrix-printer rollen. Ik startte mijn pc meerdere keren opnieuw op, aangezien dat -ook vandaag de dag nog- vaak helpt om problemen op te lossen. Dit keer had het echter geen nut, dezelfde boodschap bleef verschijnen. Ik dacht aan een bug in het programma. Ik besloot de pc te herstarten vanaf een systeemdiskette en merkte op dat het pad was gewijzigd en dat directories waren versleuteld. Het programma veranderde bestanden op de hard drive van slachtoffers en nadat de pc een paar keer was herstart, blokkeerde de malware de  computer. Vervolgens werd een bericht getoond waarin om betaling werd gevraagd om de software  te ‘leasen’: er was zelfs een EULA met de algemene voorwaarden. Maar ja, wie leest die nou werkelijk? Toen ook niemand. Het goede nieuws was dat ik het probleem kon omzeilen na mijn analyse. Het was relatief eenvoudig om alles te herstellen naar de oorspronkelijke situatie, als je de extensies en bestandsnamen kende.

Op het journaal

Die avond keek ik naar het journaal en ontdekte ik dat ik niet de enige was die deze diskette had ontvangen: de diskette was naar alle abonnees van PC Business World Magazine gestuurd. Meer dan 10.000 diskettes waren over de hele wereld verspreid en verschillende bedrijven verloren veel geld, aangezien back-ups toen nog veel ongebruikelijker waren dan nu. De diskette werd de AIDS information diskette genoemd.

De Belgische commerciële zender VTM kreeg lucht van het feit dat ik het probleem zelf had weten op te lossen en interviewde mij de volgende dag. Dat was mijn eerste optreden op tv.

Wat het allemaal het opgestart

Op dat moment besefte ik niet dat de AIDS-diskette de eerste ransomware was. Ik heb ook de impact ervan op mijn persoonlijke leven en mijn carrière onderschat. Toch besloot ik de diskette te bewaren als aandenken en als artefact bij een leuke anekdote. Ik heb hem al die jaren veilig bewaard. Inmiddels hangt hij ingelijst aan de muur van mijn woonkamer. Het is een echt collectors’ item geworden, naar het schijnt ben ik de enige in de security-gemeenschap die hem nog heeft.

Wie heeft het gedaan?

Onderzoekers hebben later vastgesteld dat Dr. Joseph Popp, een bioloog die aan Harvard heeft gestudeerd, achter de aids-diskette zat. Helaas heeft Dr. Popp heel veel cybercriminelen op ideeën gebracht. Het duurde tot 2005 voordat we het volgende geval van ransomware zagen in de gedaante van GpCode. Vanaf 2012 volgde een onophoudelijke stroom van politievirussen, cryptolockers en andere ransomware.

Deze blog is ingezonden door Eddy Willems, Security Evangelist bij G DATA.