Rijksoverheid logo
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Welkom bij de vernieuwde website van het versterkte NCSC

Jouw helpende hand in cybersecurity. Kijk gerust rond of lees meer over de vernieuwde cybersecurityorganisatie.

Wat te doen bij een ransomware-aanval?

Kennisartikelen
Leestijd:
Ransomware
Beginnen
Het advies is om geen losgeld te betalen. Je hebt geen garantie dat de betaling leidt tot de teruggave van je gegevens. Daarnaast steun je tegelijkertijd de criminele activiteiten achter de ransomware. Enkele slachtoffers die in het verleden losgeld hebben betaald, gaven aan dat er na een eerste betaling een hoger bedrag van hen werd geëist. In sommige gevallen werden de slachtoffers na enige tijd opnieuw door dezelfde ransomware getroffen.

  1. Breng de betrokkenen op de hoogte

    Neem voordat je zelf iets onderneemt direct contact op met de ICT-helpdesk en breng de IT-leverancier(s) binnen en buiten je organisatie op de hoogte. Als het goed is heb je de bellijst ergens uitgeprint voorhanden.

  2. Doe aangifte

    Het is altijd zinvol om aangifte te doen bij de politie. Soms heeft de politie door eerdere aangiften de sleutel om je bestanden weer te ontgrendelen en kunnen ze je helpen. En door jouw aangifte krijgt de politie steeds meer inzicht in de technieken die criminelen gebruiken.

    Zelfstandig ondernemers kunnen online aangifte(externe link) doen met een DigiD.

    Bedrijven maken voor het doen van aangifte van ransomware een afspraak op het politiebureau via 0900-8844. Zorg dat degene die namens je bedrijf aangifte doet daartoe een machtiging heeft. Neem eventuele logbestanden mee. Deze logbestanden bevatten mogelijk sporen, indicaties en bewijzen. Noteer ook alvast de (contact)gegevens van de aangever.
    Je kunt je aangifte voorbereiden aan de hand van deze PDF: Checklist aangifte ransomwarebesmetting(externe link).

    Je kunt de volgende vragen verwachten:

    • Welke systemen zijn geraakt?
    • Hoe ziet de netwerk-infrastructuur eruit en wat zijn de netwerkadressen?
    • Welke veiligheidsmaatregelen (zoals virusscanners en firewalls) zijn er genomen?
    • Was er een dreigement of waren er andere bijzondere omstandigheden?
    • Wat is de geschatte (economische en imago)schade en hoeveel (persoons)gegevens zijn getroffen?
    • Welke (herstel)acties heeft uw bedrijf ondernomen na het ontdekken van het incident?

  3. Wat kun je verder doen?

    • Als één van de computers binnen jouw bedrijfsnetwerk is getroffen door ransomware, overweeg deze dan te isoleren van de overige computers in het netwerk door bijvoorbeeld de netwerkverbinding te verbreken.
    • Ga via een ander apparaat, bijvoorbeeld via een smartphone of tablet, naar de website van de Fraudehelpdesk(externe link). Op deze site vind je instructies over hoe ransomware verwijderd kan worden. Kom je hier niet verder mee, dan adviseren we je naar een erkend IT-specialist te gaan.
    • Je kunt proberen de versleutelde bestanden zelf te ontsleutelen met herstelprogramma's, ook wel decryptors genoemd. Deze programma's vind je bijvoorbeeld op No More Ransom(externe link), een initiatief van onder meer de Politie en Europol. Er zijn echter geen garanties dat de beschikbare decryptors werken voor de specifieke ransomware die op jouw systeem staat.
    • Is er geen decryptor beschikbaar, dan zijn back-ups de enige manier om je bestanden terug te krijgen. Met goede, recente, offline back-ups is de schade die ransomware kan aanrichten minimaal. Zorg er dus voor dat je van je belangrijke gegevens en documenten back-ups gemaakt worden.
    • Bij een ransomware aanval vaak sprake van een 'datalek' in de zin van de Algemene verordening gegevensbescherming (AVG). Heeft ransomware bestanden versleuteld die persoonsgegevens bevatten? Dan is dit een datalek(externe link). Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Dit moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens(externe link).
Formulier
Heeft deze pagina je geholpen?