Ransomware Ransom Note Database 2026: Herken de Dader

CyberLord Threat Intel

Ransomware Ransom Note Database 2026: Herken de Dader

De schrik van elke systeembeheerder: je logt in op maandagochtend en je achtergrond is veranderd. Al je bestanden in de gedeelde mappen hebben vreemde extensies, en in elke map staat een tekstbestandje: RESTORE_FILES.txt.

Dit tekstbestand, de Ransom Note, is het visitekaartje van de crimineel.

Voor leken ziet het eruit als digitale graffiti. Voor security-experts is het bewijsmateriaal. De stijl, de bewoordingen, de gebruikte e-mailadressen of TOR-sites vertellen ons precies met wie we te maken hebben. En dat bepaalt onze strategie: kunnen we decrypten zonder te betalen? Zijn deze criminelen te vertrouwen als we wél betalen?

Hieronder vindt u een overzicht van de meest actieve ransomware-families in Nederland in 2025/2026.

1. LockBit 4.0 / 5.0

Status: Zeer Actief in Nederland en België. Doelwitten: MKB, Zorginstellingen, Gemeenten. Extensie: .lockbit, .lb, of willekeurige karakters. Bestandsnaam Nota: RESTORE-MY-FILES.txt of LB-ReadMe.txt.

Analyse: LockBit is de "marktleider". Ze opereren als een professioneel bedrijf. Hun nota is vaak beleefd en zakelijk. "U bent gehackt. Uw data is versleuteld en gestolen. Als u niet betaalt, publiceren we alles op onze blog."

Ze bieden vaak een "trial decryption" aan: je mag 1 bestand gratis laten ontsleutelen om te bewijzen dat ze het kunnen. Risico: Zeer hoog op data-lekken. Ze staan erom bekend data daadwerkelijk te publiceren als er niet betaald wordt.

2. Akira

Status: Snelgroeiend. Doelwitten: Bedrijven met Cisco VPN (CVE-2023-20269). Extensie: .akira Bestandsnaam Nota: akira_readme.txt

Analyse: De nota heeft vaak een retro "jaren 80" cyberpunk esthetiek. Ze gebruiken een TOR-site die eruitziet als een oude terminal met groene tekst. Akira is berucht omdat hun encryptie-algoritme soms "buggy" is. In het verleden (2023) waren er decryptors beschikbaar, maar ze hebben hun code geüpdatet. Let op: Akira richt zich ook op Linux (ESXi) servers, niet alleen Windows.

3. BlackCat (ALPHV)

Status: Actief, richt zich op grote bedragen ("Big Game Hunting"). Extensie: Random (bv. .b7z9) Bestandsnaam Nota: RECOVER-[RANDOM]-FILES.txt

Analyse: BlackCat is agressief. Hun nota bevat vaak dreigementen over specifieke data die ze hebben gevonden ("We hebben uw financiële biljetten en klantendata"). Ze dreigen ook vaak contact op te nemen met uw klanten of de Autoriteit Persoonsgegevens om u onder druk te zetten. Hun malware is geschreven in de programmeertaal Rust, wat het zeer snel en moeilijk te detecteren maakt.

4. Phobos / Dharma

Status: Veelvoorkomend bij kleinere bedrijven. Doelwitten: Kleine bedrijven met open RDP-poorten. Extensie: .id[nummer].[email].phobos Bestandsnaam Nota: info.txt of info.hta (opent een pop-up venster).

Analyse: In tegenstelling tot de grote groepen (die TOR sites gebruiken), vraagt Phobos vaak om contact op te nemen via e-mail of Telegram. De losgeldbedragen zijn lager (€5.000 - €20.000), maar het risico is groter. Omdat ze via e-mail werken, worden hun accounts vaak geblokkeerd door providers, waardoor contact onmogelijk wordt en u uw data kwijt bent, zelfs als u wilt betalen.

Wat te doen als u zo'n nota vindt?

Stap 1: Raak NIETS aan

Sluit geen vensters. Verwijder de nota's niet (ze bevatten uw unieke ID). Start de server NIET opnieuw op (dit kan het versleutelingsproces verergeren of geheugensporen wissen).

Stap 2: Isoleer het systeem

Trek de netwerkkabel eruit of schakel de Wi-Fi uit. Voorkom dat de infectie zich verspreidt naar andere computers of uw backups.

Stap 3: Identificeer via "ID Ransomware"

Maak een foto van de nota. Gebruik een schone computer om naar de website ID Ransomware te gaan. Upload de nota en een versleuteld bestand. Deze site vertelt u exact welke variant het is en, belangrijker nog, of er een gratis decryptor beschikbaar is via het No More Ransom project (een initiatief van o.a. Europol en de Nederlandse Politie).

Stap 4: Neem contact op met experts

Ga niet zelf onderhandelen. Criminelen weten wanneer ze met een wanhopige directeur spreken. Professionele 'Incident Responders' weten hoe ze tijd kunnen rekken, het losgeld omlaag kunnen krijgen (indien betaling onvermijdelijk is) en hoe ze de transactie veilig kunnen uitvoeren.

Conclusie

Een Ransom Note is geen doodvonnis, maar een startsein voor crisismanagement. Handel kalm, methodisch en roep hulp in. In 30% van de gevallen kunnen data hersteld worden vanuit verborgen backups of forensische technieken zonder de criminelen te betalen.

Hulp nodig bij een actieve aanval? Bel onze noodlijn

Overzicht

Belangrijkste keuzes, risico's en uitvoeringsacties voor dit onderwerp.