Waarom standaard antivirus niet genoeg is
Moderne ransomware-aanvallen (LockBit, BlackCat, Akira) zijn human-operated: dagen tot weken vóór de versleuteling zit een aanvaller al binnen. Die installeert legitieme tools (AnyDesk, TeamViewer, Cobalt Strike), maakt admin-accounts en exfiltreert data. Antivirus ziet daar niets van.
- Persistence-mechanismen: scheduled tasks, services, registry run keys
- Backdoor-tools die als legitieme software ogen
- Gestolen wachtwoorden, sessie-cookies en MFA-tokens
- Gecompromitteerde service-accounts in Active Directory
Onze methode voor volledig verwijderen
Wij volgen een gestructureerd uitroeiingsproces, niet één keer scannen:
- Volledige memory- en disk-forensics op pivot-machines
- EDR uitrollen en 14 dagen monitoren op restpresence
- Reset van alle credentials, Kerberos krbtgt twee keer
- Schone herinstallatie van Domain Controllers waar nodig
- Hunt naar exfiltratie-kanalen en datalek-omvang
Gijzelsoftware verwijderen — wat is het verschil?
'Gijzelsoftware' is het Nederlandse woord voor ransomware. Het verwijderingsproces is identiek. Belangrijk: bij screen-lockers (oude varianten) is een wipe vaak voldoende. Bij file-encrypters of human-operated aanvallen moet u altijd uitgaan van een netwerkbrede compromittatie.
