De Cryptolocker-ransomware heeft 200 computers van de Vrije Universiteit Amsterdam (VU) geïnfecteerd, zo laat een woordvoerster van de universiteit aan Security.NL weten. "Het Cryptolockervirus waart rond op ons netwerk", aldus Aukje Schep. Op Twitter plaatste Rickey Gevers een screenshot van de waarschuwing die onder personeel en studenten werd verspreid. De schade zou dankzij een goed back-upbeleid echter minimaal zijn. De malware verspreidt zich via e-mailbijlagen en versleutelt bestanden op computers voor losgeld. Om de impact van de ransomware tegen te gaan besloot de VU het netwerk dit weekend op "read-only" te zetten.

Bij scans die de IT-afdeling uitvoerde werden vorige week meerdere besmette werkplekken ontdekt. Zodra er een infectie werd aangetroffen werd de computer en het bijbehorende account tijdelijk geblokkeerd. Vervolgens werd de malware verwijderd en een back-up van de avond ervoor teruggeplaatst, waarna de computer en het account weer werden vrijgegeven. Doordat de VU back-ups maakt zou de schade of kans op dataverlies minimaal zijn. Er zouden nog geen studenten of werknemers zich hebben gemeld die door de ransomware bestanden zijn verloren.

Afgelopen weekend besloot de technische dienst het netwerk op read-only te zetten, zodat het virus zijn werk niet kon doen. "En de IT-afdeling meer slagkracht had om alles schoon te krijgen", merkt Schep op. Bij de VU wordt veel met groepsschijven gewerkt, waar studenten hun documenten opslaan. "Nu is het afwachten hoe het zich verspreidt. Het virus muteert ook continu. Onze IT-afdeling is er alert op dat het ook op andere plekken kan opduiken." Bij 200 computers werd Cryptolocker uiteindelijk aangetroffen.

E-mails

"Het ingewikkelde is dat het virus zich steeds muteert. In het begin werd er gewaarschuwd voor mails van onbekende afzenders of vreemde links. Maar het lijkt er nu toch ook op dat het zich kan koppelen aan mails van collega's. Daarom wordt er ook continu gescand. Het is dus niet voldoende om alleen vreemde mails buiten te houden, want het lijkt zichzelf te muteren."

Het is op dit moment onduidelijk of het studenten of werknemers waren die in eerste instantie de besmette e-mails openden. Toen de eerste infecties via Cryptolocker opdoken besloot de VU op verschillende manieren voor de ransomware te waarschuwen. "Er wordt door de beveiligingssystemen al heel veel buitengesloten. In een organisatie zoals een universiteit is het onmogelijk om alles uit te sluiten. Dus daar moet een balans in worden gezocht."

Virusscanner

Het netwerk is inmiddels weer van read-only afgehaald. Daarnaast kijkt de VU ook naar een nieuw type virusscanner dat mogelijk als aanvulling moet gaan dienen, maar details hierover zijn nog niet bekend. Volgens Schep zou het niet de eerste keer zijn dat de VU met ransomware te maken krijgt. Een aantal maanden geleden zouden zich enkele geïsoleerde gevallen hebben voorgedaan. "Maar die hebben toen geen effect gehad en dat was vrij snel opgelost."