Experts raden pc herstarten na ransomware-aanval stellig af

Beveiligingsexperts raden gebruikers af hun computer opnieuw op te starten na een ransomware-infectie. Dat kan in bepaalde omstandigheden de malware juist helpen. Het advies luidt dan ook om de computer in de slaapstand te zetten, van het netwerk los te koppene en een professioneel beveiligingsbedrijf in te schakelen.

Volgens beveiligingsexperts waar ZDNet mee sprak, is het helemaal uitschakelen van een computer ook een optie, maar is de slaapstand beter. Bij deze stand slaat het systeem namelijk een kopie van het geheugen op, waarbij sommige slordige ransomware-varianten soms kopieën van hun encryptiesleutels achterlaten.

Reboot populaire reactie

Het klinkt misschien vanzelfsprekend dat je een geïnfecteerd systeem niet zomaar moet rebooten. Toch blijkt uit onlangs gepubliceerd Amerikaans onderzoek onder 1.180 volwassenen die de afgelopen jaren het slachtoffer zijn geworden van ransomware, dat het een populaire reactie is. Ruim 30 procent van de slachtoffers koos ervoor de geïnfecteerde computer opnieuw op te starten als een manier om de infectie aan te pakken.

Bron: Simoiu et al.

Het opnieuw opstarten van een computer in de veilige modus is alleen een juiste aanpak om oudere screenlocker-typen van ransomware te verwijderen. Maar voor moderne ransomware-versies, die bestanden daadwerkelijk versleutelen, is het alles behalve raadzaam om deze weg te bewandelen.

Ransomware hervat na reboot

“Over het algemeen is de ransomware die je gegevens codeert, ontworpen om door aangesloten, toegewezen en gemounte schijven van een bepaalde machine te speuren. Soms struikelt de malware of wordt het geblokkeerd door een toestemmingenprobleem en stopt de encryptie. Maar als de machine opnieuw opstart, wordt ook de malware opnieuw opgestart en probeert het alsnog de taak te voltooien”, zegt Bill Siegel, CEO en mede-oprichter van Coveware, een bedrijf dat ransomware-hersteldiensten levert.

Hij merkt op dat een gedeeltelijk versleutelde machine slechts gedeeltelijk gecodeerd is vanwege een ‘gelukkige’ fout of probleem. Slachtoffers moeten zijn inziens daar misbruik van maken en de malware niet zijn werk laten doen en het geïnfecteerde systeem dus niet opnieuw opstarten.

Twee herstelfasen

Bovendien is er in een herstelproces voor ransomware sprake van een tweetal fasen. Zo is de eerste fase het vinden van de artefacten van de ransomware om deze vervolgens te verwijderen van een geïnfecteerde host. Denk dan aan processen en persistentiemechanismen na een herstart. De tweede fase is het herstellen van de gegevens, als er een back-upmechanisme beschikbaar is. 

Het overslaan van de eerste fase zorgt ervoor dat door het opnieuw opstarten van de computer het proces van de ransomware herstart. Met als gevolg dat de onlangs herstelde bestanden versleuteld worden, wat betekent dat slachtoffers het gegevensherstelproces helemaal opnieuw moeten opstarten. Voor een organisatie betekent dit alles downtime en negatieve gevolgen voor bedrijfswinsten.