Malwarebytes en Windows Defender tegen ransomware, malware en spyware

Een nieuw geïnstalleerde Windows is schoon van ransomware, adware, spyware, dialers, rootkits, keyloggers, trojans, scumware, malware, toolbars en andere rotzooi. Met gezond verstand en het nodige geluk blijft dat ook zo. Wees echter wel gewaarschuwd: een besmetting kan iedereen overkomen en de gevolgen zijn vaak desastreus! Ransomware is op dit moment de grootste bedreiging: je ontvangt een mailtje van een ogenschijnlijk bekende afzender en je opent in goed vertrouwen de bijlage. Het bericht blijkt echter afkomstig van een cybercrimineel: enige tijd later wordt de toegang tot de computer geblokkeerd of, erger nog, blijken alle persoonlijke bestanden versleuteld. De afperser belooft deze gijzeling weer ongedaan te maken na een betaling met Bitcoins (elektronisch geld waarmee anoniem geldtransacties kunnen worden uitgevoerd). Wat doe je dan? Ook al zou je eraan toegeven, er is geen enkele garantie dat de bestanden na de betaling weer toegankelijk worden. De ene crimineel weet niet eens hoe de bestanden weer ontsleuteld kunnen worden, de ander laat na ontvangst van 'het losgeld' gewoonweg niet meer van zich horen. En als het tegenzit word je als melkkoetje gebruikt en gaat de afpersing nog even door...


Voorkom ellende: maak regelmatig een back-up!

Uit de verhalen van lezers blijkt dat de gevolgen van een ransomware-besmetting groot zijn, zowel financieel als emotioneel. Je wilt het echt niet meemaken. Er is dan ook maar één advies om dergelijke ellende te voorkomen: maak regelmatig een back-up van je persoonlijke bestanden! Dit gaat het makkelijkst door eerst de persoonlijke bestanden naar een aparte datapartitie te verplaatsen, hierna kan met een tool als SyncBack eenvoudig een back-up naar een externe schijf gemaakt worden. Dit is de enige echte bescherming tegen ransomware. Maar let wel op: alle toegankelijke bestanden kunnen gegijzeld worden, dus ook de back-upbestanden op een aangesloten externe schijf. Schakel de externe schijf dus altijd weer uit nadat de back-up is gemaakt en sluit hem niet aan wanneer de computer besmet is! Werk eventueel met twee aparte back-upschijven zodat kan worden afgewisseld. Op deze manier wordt voorkomen dat een eerder gemaakte back-up wordt overschreven door reeds gegijzelde bestanden.

Besmetting met ransomware

Bent je slachtoffer geworden van ransomware dan is het verstandig om eerst (op een andere computer) te onderzoeken of er een tool is om de encryptie ongedaan te maken. De website www.nomoreransom.org (ontstaan uit samenwerking tussen de politie, Europol en beveiligingsbedrijven Kaspersky en Intel) verstrekt een aantal bruikbare decryptietools. Met een beetje geluk zijn de bestanden met één van deze tools weer te ontsleutelen. Staat de benodigde tool er (nog) niet bij? Installeer Windows dan op een nieuwe schijf en bewaar de oude in de hoop dat er in de toekomst nog een oplossing beschikbaar komt...

Overige besmettingen

Is er vermoedelijk sprake van een andersoortige besmetting dan is het verstandig hier onderzoek naar te doen. Dat kan met Windows Defender, de standaard beveiligingssoftware van Windows die nauwelijks tot niet onderdoet aan de gratis scanners. Als extra bescherming tegen ransomware is Defender uitgebreid met de opties Controlled Folder Access (waarbij onbekende apps de toegang tot persoonlijke bestanden wordt ontzegd) en Exploit Protection (waarbij reeds geïnstalleerde apps in de gaten worden gehouden). Er zijn ook alternatieve scantools zoals Comodo Internet Security en/of Malwarebytes (zie hierna). Omdat de resultaten per tool kunnen verschillen, is het verstandig het systeem met meerdere tools te scannen. Gebruik altijd de laatste versie van de scansoftware en update de malware-definities voordat een scan wordt uitgevoerd. Zorg er ook voor dat alle andere beveiligingsmaatregelen up-to-date blijven (download zo snel mogelijk de laatste virusdefinities en installeer nieuwe updates voor Windows en andere software), anders bestaat het risico dat de computer opnieuw besmet raakt!

TIP: Met het gebruik van systeemback-ups maakt dit soort software eigenlijk overbodig. Na het terugzetten van een (schone) systeemback-up bij een vermoedelijke besmetting is de PC altijd weer virus- en malwarevrij.

De anti-malwaretool Malwarebytes Free

De tool Malwarebytes Free (download: www.malwarebytes.org/antimalware/) controleert het systeem eenvoudig en snel op de aanwezigheid van kwaadwillende software, eventuele besmettingen kunnen direct worden verwijderd. In eerste instantie wordt een probeerversie van het premiumpakket geïnstalleerd, welke na 14 dagen automatisch wordt teruggezet naar de gratis basisversie. Bij deze uitgeklede versie komt de realtime beveiliging te vervallen. Geen probleem, want ook zonder deze optie kan MalwareBytes nog steeds malware, spyware en rootkits opsporen en verwijderen. Bij de eerste keer opstarten worden direct de laatst beschikbare updates gedownload. Met de knop Scan nu in het basisscherm (of via tabblad Scannen, knop Start scan) kan de bedreigingsscan naar malware direct worden uitgevoerd. Schrik niet, de kans is namelijk groot dat er wat wordt gevonden. Het is echter niet allemaal even schadelijk!

malwarebytes

ACTIEVE PROCESSEN EERST STOPPEN

Het kan voorkomen dat Malwarebytes een bestand niet kan verwijderen omdat het nog actief is. Het proces dat het bestand vasthoudt is eenvoudig te achterhalen en te beëindigen met Process Explorer.


Windows Defender-beveiligingscentrum

De beveiligingstool Windows Defender (op te starten via Instellingen, onderdeel Bijwerken en beveiliging, sub Windows Defender, knop Windows Defender openen) controleert het systeem continu op mogelijke besmetting met virussen, spyware en andere ongewenste software. De vijf onderdelen in het basisscherm (Virus- en bedreigingsbeveiliging, Prestaties en status van apparaat, Firewall- en netwerkbeveiliging, App- en browserbeheer en Gezinsopties) zijn tevens toegankelijk via het menu aan de linker zijde. Wordt bij een van de onderdelen een uitroepteken weergegeven dan is het verstandig dit nader te onderzoeken.

Windows Defender instellingen

HOSTS-BESTAND: ONGEWENSTE WEBSITES BLOKKEREN

Bij het bezoeken van bekende websiteadressen (zoals die voor internetbankieren of webmailaccount) kan je ongemerkt op een kwaadaardige website terecht komen. In sommige gevallen wordt dit veroorzaakt door een virus die het HOSTS-bestand heeft aangepast waardoor bij het bezoeken van de website ongemerkt naar een website met een ander IP-adres wordt doorgeschakeld. Vandaar dat Windows Defender (en andere scantools) standaard controleert of dit bestand wordt aangepast.

Het HOSTS-bestand kan echter ook worden ingezet om  malware op het verkeerde been te zetten. Dit bestand wordt namelijk eerst geraadpleegd voordat er contact wordt gelegd met de DNS-server. Door onbetrouwbare websiteadressen via het HOSTS-bestand te laten blokkeren, wordt voorkomen dat er ongewenst contact wordt gelegd met de betreffende server. Een aanpassing in het HOSTS-bestand kan tevens de advertenties van de vele advertentienetwerken blokkeren waardoor het bezoeken van websites aanzienlijk wordt versneld. Elders op deze website staat meer informatie over het aanbrengen van wijzigingen in het HOSTS-bestand.


ROOTKITS

Rootkits vormen de nieuwste bedreiging voor de PC. Er zijn verschillende vormen van rootkits, ze hebben echter allemaal eenzelfde eigenschap: ze proberen zich onzichtbaar te maken. Hierdoor zijn ze zeer moeilijk te traceren, ook voor virusscanners. Een ogenschijnlijk klein bestand kan in werkelijkheid een grote omvang hebben, en onzichtbare schadelijke code bevatten. Deze nieuwste bedreigingen zijn in Windows XP te traceren met een systeemscan. Een dergelijke scan kan worden gemaakt met een gratis programma als RootkitRevealer (download: https://docs.microsoft.com/nl-nl/sysinternals/downloads/rootkit-revealer). Het interpreteren van de scan en het verwijderen van ongewenste rootkits vergt wel enige kennis.


© 2001-2018 - - SchoonePC - Rotterdam - The Netherlands