SamSam: ransomware gijzelt bestanden. Wat te doen?

SamSam is een vorm van ransomware of gijzelsoftware. Raakt je computer of laptop ermee besmet dan stelt dit criminelen in staat om bestanden op je computer te vergrendelen en back-ups te verwijderen. Er wordt dan op je scherm een bericht getoond met een kennisgeving van de 'gijzelneming'. Vervolgens wordt je de mogelijkheid geboden om tegen betaling van losgeld de bestanden weer te laten ontgrendelen. Vaak is dit de enige manier om weer toegang tot je systeem te krijgen. SamSam richt zich met name op bedrijven.

SamSam: een bedreiging voor je laptop of PC

• Wat is ransomware of gijzelsoftware
• SamSam: treft vooral bedrijven
• Kenmerken van SamSam
• Wat te doen wanneer je slachtoffer wordt van ransomware?

Wat is ransomware of gijzelsoftware

Er wordt wel gesproken van ransomware of gijzelsoftware wanneer het gaat om software die tot doel heeft om bestanden en programma's op een computer te 'gijzelen' terwijl de eigenaar door middel van chantage geld afgetroggeld wordt. Ransomware is een vorm van malware, oftewel schadelijke software die bedoeld is om de werking van een computer te verstoren. Op een bepaald moment vindt de ransomware een toegang tot een computer en nestelt zich hier dan in. In een typische situatie wordt de eigenaar van de computer op een zeker moment geconfronteerd met een geschreven bericht waaruit blijkt dat het apparaat 'gegijzeld' wordt. Duidelijk wordt gemaakt dat er geen andere manier is om weer de beschikking over de computer en de daarop aanwezige bestanden te krijgen dan het betalen van een geldsom (een vorm van losgeld). Niet zelden wordt aanvankelijk om een bedrag van enkele honderden euro's gevraagd en wordt erbij vermeld dat dit nog verder op zal lopen naarmate de betaling langer uitblijft.

Er bestaan diverse verschillende soorten ramsomware. Zo zijn er soorten die enkel bestanden gegijzeld houden maar er bestaan ook varianten waarbij in ieder geval de indruk gewekt wordt dat er bestanden op de computer zijn geplaatst waarvoor men strafbaar is. Dit is een extra pressiemiddel om ervoor te zorgen dat computereigenaren niet met de kwestie naar de politie stappen. Het geëiste losgeld kan vaak in euro's, dollars of bitcoin betaald worden. Men moet er dan vervolgens maar op vertrouwen dat het betalen van het bedrag er ook daadwerkelijk toe leidt dat bestanden weer worden vrijgegeven. Het is doorgaans niet mogelijk om met de 'gijzelaars' te communiceren over het probleem.

SamSam: treft vooral bedrijven

Een ransomware-variant die sinds 2018 met regelmaat de kop op steekt in Nederland is SamSam. Cyberbeveiliger Fox-IT meldde daarover in december 2018 aan het ANP dat het in de voorgaande maanden van enkele tientallen Nederlandse bedrijven meldingen had ontvangen over deze gijzelsoftware. Dit gaat dan nog alleen om de bedrijven die hierover contact hebben gezocht met een derde partij. Het vermoeden bestaat dat er ook talloze bedrijven zijn die 'gewoon' het geëiste geldbedrag betaald hebben uit angst dat met het inschakelen van specialistische hulp ook bedrijfsgegevens prijsgegeven zouden worden. Uit privacy-overwegingen kan Fox-IT geen namen van getroffen bedrijven noemen maar ze hebben wel aangegeven dat het gaat om zowel kleine, middelgrote als grote ondernemingen; particulieren worden minder getroffen.

Kenmerken van SamSam

De ransomware-variant SamSam werkt anders dan veel andere bekende varianten van dit type software zoals WannaCry, Petya, Bad Rabbit, Gandcrab en het Cyberpolitie-virus. Waar het normaal vaak zo gaat dat de virussen direct na besmetting toeslaan, is SamSam afwachtender van aard. Nadat een inschatting wordt gemaakt van de mogelijk schade die kan worden aangericht worden bestanden gesaboteerd of verwijderd. Het verwijdert vervolgens ook back-ups om het voor slachtoffers lastiger en zo niet onmogelijk te maken om zelf het probleem om te lossen. Het kan zelfs voorkomen dat de mensen achter het virus via de gegijzelde bestanden in staat zijn te achterhalen wat het banksaldo van een onderneming is zodat ze hun eisen hierop kunnen aanpassen.

Het SamSam-virus werd waarschijnlijk al voor het eerst actief in 2015. In 2018 zijn hiervoor twee verdachten aangeklaagd in Iran en de Verenigde Staten. Zij zouden miljoenen hebben verdiend door onder meer grote Amerikaanse steden en ziekenhuizen te duperen.

Wat te doen wanneer je slachtoffer wordt van ransomware?

Word je het slachtoffer van ransomware dan verdient het altijd de aanbeveling om aangifte te doen bij de politie. Of het het waard is om daadwerkelijk het geëiste geldbedrag te betalen is een afweging die ieder voor zich moet maken. Worden bestanden gegijzeld die erg kostbaar zijn of veel tijd en geld kosten om te vervangen dan is het begrijpelijk dat er soms voor gekozen wordt om te betalen. Wees je er echter wel van bewust dat hiermee dergelijke criminele activiteiten in stand gehouden worden. Ook is het zeer belangrijk om nadat je bestanden weer zijn vrijgegeven een expert in te schakelen om na te gaan of er geen restanten van het virus op de computer achterblijven. Is dit wel het geval dan loop je namelijk het risico dat het virus in de toekomst weer toeslaat en het weer veel geld gaat kosten.