Ransomware bestaat langer dan u denkt, zelfs al in de floppytijd

De eerste besmette diskette

Ransomware, het gijzelen van software voor losgeld, is een miljardenbusiness. De geschiedenis gaat terug naar pre-internettijden; in 1989 brachten de eerste besmette floppydisks de techwereld in rep en roer. Voor de Belg Eddy Willems betekende de diskette het begin van zijn carrière als virusexpert.

Foto Janssen R

Een klein jaar geleden leidde WannaCry tot wereldwijde paniek. De gijzelingssoftware zorgde ervoor dat bestanden op besmette computers werden versleuteld. Pas na betaling van losgeld aan de afpersers zouden deze weer beschikbaar worden. Naar schatting verdienden cybercriminelen vorig jaar 1 miljard dollar met deze vorm van chantage.

Minder bekend is dat ransomware al een lange historie kent. De Belgische veiligheidsexpert Eddy Willems was er destijds - puur toevallig - bij.

Het is december 1989. Willems werkt bij De Vaderlandsche, een verzekeraar in België en onderdeel van Nationale Nederlanden. Het world wide web is er dan nog lang niet. Sterker nog: bedenker Tim Berners-Lee heeft dan pas net een allereerste voorstel gedaan voor wat jaren later het www zou gaan worden. Op kantoren staan dus grote, grijze bakken te zoemen die niet aan het internet hangen. Ze draaien meestal op het besturingssysteem MS-DOS en worden gebruikt voor bijvoorbeeld boekhoudprogramma's of WordPerfect. Áls ze al een harde schijf hebben, is die niet groter dan pakweg 20 MB. Willems is technologieconsultant, wat inhoudt dat hij zelf software schrijft en externe programma's test die mogelijk interessant zijn voor de verzekeraar.

Matrixprinter

De dan 27-jarige Willems krijgt op die decemberdag van een collega een exemplaar van het computertijdschrift PC World in handen gedrukt waar een diskette bij zit. Dat is in die tijd zo'n groot slap exemplaar van 5,25 inch. Op dat schijfje zit een vragenlijst over aids, in die tijd een gevoelig dossier. 'Het idee was om erachter te komen of je verhoogd risico liep. Dat kon voor De Vaderlandsche wellicht interessant zijn.' Aan Willems het verzoek om de enquête eens te proberen. 'Ik kan het me nog als de dag van gisteren herinneren', vertelt Willems - nu een grijzende vijftiger. 'Ik vulde de lijst in en uiteindelijk kwam de uitslag uit de matrixprinter rollen.'

De volgende dag wil Willems zijn computer opstarten om zich weer aan andere zaken te wijden, maar ziet hij gelijk dat er iets mis is. Het gebruikelijke opstartscherm laat zich niet zien en in plaats daarvan ziet de Vlaming een mededeling: hij moet 189 dollar betalen wil hij weer bij zijn bestanden kunnen. Te voldoen in contanten, in een enveloppe die naar een postbus in Panama moet worden gestuurd.

Willems, toch het een en ander gewend als techneut, kijkt met grote ogen naar zijn scherm. 'Ik kon helemaal niets meer.' Dat duurt niet lang: hij gaat puzzelen en met behulp van een opstartdiskette slaagt hij erin om handmatig de instellingen terug te zetten, waardoor de bestanden op de harde schijf van de computer weer zichtbaar worden. Op de computer staat onder andere het door Willems zelf geschreven helpdesksysteem van de verzekeraar. Zonder dat hij het beseft, heeft hij de allereerste ransomware ter wereld ontmanteld.

Geen toeval

Die is trouwens niet bij toeval op de diskette terechtgekomen. Kwade genius achter de verspreiding is Joseph Popp, een Amerikaanse arts en bioloog. Hij schrijft de enquête, maar besluit deze te laten vergezellen van het virus, dat de geschiedenis zal ingaan onder de naam AIDS Trojan. De besmette schijfjes worden niet alleen via het tijdschrift verspreid, maar worden ook op een congres over aids uitgedeeld. Het motief van Popp is nooit helemaal duidelijk geworden. Hij zou gefrustreerd zijn dat hij een baan bij de World Health Organization was misgelopen. Een andere lezing is dat hij gewoon gek was. Hoe het ook zij, de arts wordt later in Engeland opgepakt en aan de VS uitgeleverd.

Hoe fout Popps motieven ook mogen zijn, Willems is vanuit technologisch oogpunt nog steeds onder de indruk van zijn prestaties. 'Het is bijna dertig jaar geleden, maar het basisidee van die ransomware is in al die jaren niet veranderd: het versleutelen van bestanden en het vragen van losgeld. Die man mocht misschien gek zijn, hij had wel de hersenen en de creativiteit om dit te bedenken.'

Wat in al die jaren wél is veranderd: de distributie. Niet meer via slappe diskettes, maar via internet. Ook zit de versleuteling een stuk minder knullig in elkaar en moet het losgeld tegenwoordig in bitcoins of een andere cryptomunt worden voldaan. Zonder AIDS Trojan echter ook geen WannaCry.

Eddy Willems met de bewuste floppy uit 1989 Foto Eddy Willems

Beslissend

Voor Willems zelf betekent het voorval een beslissende omwenteling in zijn carrière. Hij zou het gedoe gewoon vergeten zijn als hij niet een paar dagen later diezelfde diskette op het nieuws van de commerciële zender VTM voorbij ziet komen. 'Er werd gesproken over een miljoenenschade en dat het heel moeilijk zou zijn het op te lossen.'

Willems belt met VTM, waarna hij op beeld mag komen uitleggen wat de oplossing is. Die oplossing wordt ook in kranten gepubliceerd en Willems is de held. 'Iedereen was me dankbaar; mijn gang stond vol met bloemen en bonbons.'

Veel belangrijker dan deze bloemen en bonbons is de draai die Willems daarna maakt. In één klap is hij virusexpert. 'Die diskette heeft mijn leven veranderd. Ik durf er niet aan te denken wat er was gebeurd als ik hem niet in mijn computer had gedaan. Misschien zou ik nog steeds bij een verzekeraar hebben gewerkt.' Dan, met trots: 'Ik kreeg de bal, maar heb hem er wel zelf ingeschopt.'

Willems komt onder andere te werken bij het Russische Kaspersky, waar hij van oprichter Eugene Kaspersky de titel 'security evangelist' krijgt. Die draagt hij nog steeds, ook als hij in 2010 in dienst komt van het Duitse beveiligingsbedrijf G Data.

De John McAfee van de lage landen reist tegenwoordig de wereld af met lezingen en presentaties. Van onderzoek komt weinig meer, maar zijn enthousiasme is onverminderd. 'Ik zit al dertig jaar in het securityvak. Dat kunnen weinigen me nazeggen.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.