10 tips voor de beste back-up tegen ransomware

Door: Toon van Daele | 20 februari 2017 12:56

How To

Inhoudsopgave

  1. Inleiding
  2. Pagina 2

Je zult het maar tegenkomen: een stukje malware heeft van de ene op de andere dag al je bestanden versleuteld. Niet ondenkbaar, want ransomware viert hoogtij, ook in Nederland en België. Je kunt natuurlijk losgeld betalen, maar dat is een dure en onzekere optie. Een back-up tegen ransomware is een veel betere uitweg – als die tenminste buiten het bereik van de malafide software is opgeslagen.

Tip 01: Malware voorkomen

Voorkomen is natuurlijk altijd beter dan genezen. Om ransomware buiten de deur te houden zorg je er dus voor dat er altijd een up-to-date antimalwaretool actief is, eventueel aangevuld met een meer specifieke tool als Malwarebytes Anti-ransomware (nog in bèta). Houd ook altijd je Windows, browsers en andere applicaties up-to-date. Lees ook: De 5 tekenen van malware: zo ontdek je of je de dupe bent.

Het is bovendien een goed idee om het Gebruikersaccountbeheer van Windows ingeschakeld te hebben. Dat controleer je als volgt: open het Windows Startmenu, tik gebruikersaccountbeheer in en selecteer Instellingen voor Gebruikersaccountbeheer wijzigen. Zorg dat de schuifknop minstens op de op één na hoogste stand staat. Krijg je ooit een melding van het Gebruikersaccountbeheer, klik dan standaard op Nee of op Details voor bijkomende feedback. Idealiter stel je MS Office zo in dat macro’s niet standaard kunnen worden uitgevoerd. Dat doe je via Bestand / Opties / Vertrouwenscentrum / Instellingen voor het Vertrouwenscentrum, waar je dan de optie Alle macro’s uitschakelen met uitzondering van macro’s die digitaal zijn ondertekend aanstipt. En misschien nog het belangrijkste is enige zelfdiscipline: vermijd schimmige websites, klik nooit zomaar links aan in berichten of e-mail en check elk nieuw programma eerst bij een online service als www.virustotal.com.

Tip 01 Schakel Gebruikersaccountbeheer nooit zomaar uit.
Erg belangrijk in het vermijden van ransomware is enige zelfdiscipline

Handige sites

Het is gebeurd: ransomware heeft toegeslagen en je bestanden versleuteld. Zodra je dat merkt, zet je liefst onmiddellijk je computer uit, zodat er niet nog meer data aangetast kan raken. Vanaf een bootable medium (zie ook het artikel ‘De ultieme reddingsstick’ in Tips & Trucs 01-02/2017) kun je de data nog veilig benaderen om onaangetaste bestanden veilig te stellen. De kans is klein maar voor sommige ransomwares bestaat er inmiddels een ‘decryptor’: een tool die versleutelde bestanden kan vrijgeven. Weet je niet welke ransomware bij jou heeft toegeslagen, dan kan deze site je wellicht helpen. Deze site kan intussen meer dan tweehonderd ransomwares identificeren. Als je geluk hebt meldt de site dat er voor jouw ransomware een decryptor bestaat en waar je die kunt vinden. Ook hier vind je nuttige informatie terug, waaronder een rubriek ‘Decryption Tools’.

Tip 02: Batchbestand maken

Verderop in dit artikel gaan we aan de slag met een heus back-upprogramma, maar een ransomware-bestendige back-up maken kan eigenlijk ook wel met een onooglijk tooltje in combinatie met een kort batchbestand.

Onze opzet: we willen alle nieuwe of gewijzigde data uit een of meer mappen met een muisklik laten back-uppen naar een verwijderbaar medium (zoals een usb-stick). Daarna wordt dat medium automatisch losgekoppeld zodat ransomware er niet bij kan. Voor deze automatische loskoppeling zorgt USB Disk Ejector. Pak het zip-bestand uit en plaats het exe-bestand in bijvoorbeeld de map C:\usbde. Vervolgens open je Kladblok en tik je (iets als) de volgende tekstregels in:

xcopy "c:\data\docs\*.*" "e:\backupmap\*.*" /c /d /e /h /r
c:\usbde\usb_disk_eject.exe /removelabel backups

Bewaar dit bestand, bijvoorbeeld op je bureaublad, en geef het de extensie cmd mee (dus niet txt). Wanneer je op dit bestand dubbelklikt, worden automatisch alle gewijzigde of nieuwe (niet eerder gekopieerde) bestanden uit de map c:\data\docs en onderliggende submappen naar de map backupmap op de usb-schijf (E:\) gekopieerd. Vervolgens wordt de stick losgekoppeld. Om de stick weer te koppelen moet je hem er even uithalen en weer inpluggen of Windows herstarten. Daarna kun je een nieuwe back-up uitvoeren.

Tip 02 Het batchbestand bestaat uit slechts twee commando’s.

Tip 03: Batchbestand lezen

Laten we dit batchbestand wat verder toelichten zodat je precies weet wat er gebeurt. Na het commando xcopy volgen twee parameters: eerst het volledige pad naar de bronbestanden, vervolgens dat naar de doelbestanden op je usb-medium. De daaropvolgende parameters /c /d /e /h /r zorgen er respectievelijk voor dat: het kopiëren ook doorgaat bij een eventuele fout (/c), dat alleen gewijzigde of nieuwe bestanden mee worden gekopieerd (/d), dat ook (lege) (sub)mappen mee in de kopie gaan (/e), dat ook verborgen (systeem)bestanden worden meegenomen (/h) en dat eventuele alleen-lezen bestanden naar de doelmap worden gekopieerd (/r). Uiteraard kun je parameters weglaten die je overtollig acht.

Het tweede commando roept USB Disk Ejector aan, waarbij /removelabel backups ervoor zorgt dat het medium met het stationslabel ‘backups’ wordt ontkoppeld. Zorg dus dat je usb-medium vooraf van het juiste label is voorzien. Dat kan door in de Verkenner de stationsletter met de rechtermuisknop aan te klikken en Naam wijzigen te kiezen. In principe lukt het commando ook met iets als /removeletter e, maar het valt niet uit te sluiten dat het medium een volgende keer een andere stationsletter meekrijgt van Windows.

Tip 03 USB Disk Ejector kent nog wel een paar andere parameters.
USB Disk Ejector ontkoppelt zelf het usb-medium na de back-up zodat ransomware er niet bij kan

Tip 04: Duplicati

Wie meer opties voor zijn back-ups wil, komt uiteraard bij een meer gespecialiseerde tool terecht. Wij maken hier gebruik van het gratis Duplicati (beschikbaar voor Windows, macOS en Linux), maar in de kadertekst stellen we je nog een paar alternatieven voor. Welk back-upprogramma je ook gebruikt, we raden je in elk geval aan om zeker twee verschillende back-upmedia te gebruiken. Gebeurt er iets met de ene back-up, dan kun je, ook na aan ransomware-aanval, altijd nog terugvallen op de andere.

Duplicati download je op www.duplicati.com. Let op: er zijn twee versies beschikbaar die behoorlijk van elkaar verschillen. De wat oudere versie 1.3.4 is zeer stabiel, terwijl de nieuwere bètaversie 2.0 nog wat experimenteel is. Deze laatste oogt echter moderner en het terugzetten van grotere back-ups verloopt duidelijk sneller. Deze versie kan ook met allerlei cloudopslagdiensten overweg, maar de back-ups kun je alleen benaderen vanuit Duplicati zelf. Wij nemen hier Duplicati 2.0 als voorbeeld, maar het staat je uiteraard vrij om met de oudere versie aan de slag te gaan.

We bespreken hier kort drie back-upscenario’s: naar een externe schijf, naar een nas en naar een cloudservice.

Tip 04 Duplicati 2.0: nog in bèta, maar meer opties in een moderner jasje.

Alternatieve back-uptools

Duplicati mag dan een zeer flexibele back-uptool zijn, het is natuurlijk niet de enige. Blijven we bij de gratis toepassingen, dan zijn we ook zeer te spreken over Veeam Endpoint Backup Free. Deze software heeft een wat minimalistische interface, maar schijn bedriegt: de tool blijkt heel krachtig. Je kunt er bijvoorbeeld ook incrementele systeemback-ups mee maken en data hieruit selectief terugzetten. Back-up je naar een externe schijf dan kun je die na de back-uptaak ook automatisch laten ontkoppelen.

Ook SyncBack Free is een zeer degelijk back-upprogramma. Na het aanmaken van een back-upprofiel kun je de back-uptaak tot in de puntjes afregelen, vooral wanneer je de optie Uitgebreide instellingen activeert. Daar kun je met vijftien rubrieken vol opties het hele back-upproces finetunen.

Veeam Endpoint Backup: gebruiksvriendelijk maar toch zeer flexibel.

Tip 05: Externe schijf (1)

Download de nieuwste versie van Duplicati (2.01.22 op het moment van schrijven) en voer het setup-programma uit. Veel meer dan drie keer op Next en een keer op Install drukken vergt de installatie niet. Bij het opstarten van het programma blijkt dat het om een webinterface gaat (localhost:8200). Klik op + Add new backup. Bedenk een geschikte naam en klik op Backup to. In het uitklapmenu bij Storage Type kies je Local folder or drive, waarna je bij Folder path naar de beoogde doellocatie navigeert. Of je klikt Manually type path aan om zelf het juiste pad in te vullen. Bevestig met OK. Bij Encryption wil je wellicht No encryption instellen, aangezien deze back-ups normaliter niet buitenshuis gaan, bijvoorbeeld in de cloud. Wanneer je hier toch voor de ingebouwde AES-256 encryption opteert, dan moet je een stevig(e) wachtwoord(zin) invullen, dan worden de resulterende zip-bestanden van de back-ups versleuteld (zie ook tekstkader). Bevestig met Next.

Tip 05 Kies eerst het opslagtype en stel daarna de juiste doellocatie in.

Duplicati encryptie

Standaard versleutelt Duplicati je back-upbestanden met AES 256-bits encryptie. De gezipte back-ups krijgen dan de extensie aes mee. Mocht je die data buiten Duplicati om willen benaderen, dan kan dat met de gratis tool AES Crypt. Na installatie tref je in het contextmenu van de Verkenner dan de optie AES Decrypt aan wanneer je zo’n aes-bestand met de rechtermuisknop aanklikt. Na het intikken van het bijhorende wachtwoord wordt het zip-archief dan meteen ontsleuteld. In de oudere versie van Duplicati (1.3.4) kun je vervolgens het duplicati-full-content-[…].zip-bestand uitpakken, waarna je in de submap \snapshot je originele bestanden te zien krijgt. De nieuwere Duplicati-versie gebruikt een afwijkend opslagformaat: je bestanden kun je alleen nog maar benaderen via de Restore-functie in Duplicati zelf.

Versleutelde back-ups kun je desnoods nog met AES Crypt benaderen.

2 Reacties op: 10 tips voor de beste back-up tegen ransomware

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • 26 februari 2017 09:15 Yoshee
    Op een externe schijf staan de 'WindowsImageBackup' en 'FileHistory' mappen en als gebruiker heb ik geen rechten om in die mappen te kunnen kijken. Ook kan ik niet ontdekken wie wel recht heeft op die mappen. Kan een ransomware virus hier wel alles verzieken of moet ik die schijf 'unmounten' na gebruik en 'mounten' om de volgende backup te maken?
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.
  • 26 februari 2017 12:24 Yoshee
    En wellicht weet iemand welke rechten op de mappen 'WindowsImageBackup' en 'FileHistory' van toepassing zijn? Je kan toegang forceren maar dan krijg ik niet meer die waarschuwing van Windows.
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.

Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord