Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 185 reacties, 63.896 views •
Submitter: kw_nl

Een nieuw virus slaat toe bij Nederlandse organisaties, gemeenten en bedrijven. Het virus, dat momenteel nog niet over een unieke naam beschikt, versleutelt documenten en maakt ze daarmee feitelijk onbruikbaar.

Wat het virus in feite doet, is het versleutelen van Word- en Excel-documenten en ze hernoemen naar '.scr', de extensie van Windows-screensavers. Tegenover Tweakers.net zegt Fox-IT-directeur Ronald Prins dat in Nederland inmiddels 2700 besmettingen zijn geconstateerd. Ook een Tweakers.net-lezer zegt via zijn werkgever meldingen van besmettingen te hebben ontvangen en McAfee krijgt eveneens de nodige meldingen.

Het virus wordt verspreid via een bestaand botnet, wat betekent dat iedereen die getroffen is door het virus, al eerder met malware is geïnfecteerd. "Waar je je zorgen over zou moeten maken, is dat er blijkbaar een trojan op je netwerk was", schrijft Prins van Fox-IT. Die trojan liet al informatie uitlekken; pas nu het nieuw verspreide virus documenten begint aan te tasten, wordt hij opgemerkt.

De malware infecteert alle Word- en Excel-documenten die worden gevonden, ook op netwerkshares. Daarmee kan het virus zich verspreiden. Waarom het virus dat doet, is echter onduidelijk; het lijkt niet om ransomware te gaan, malware die bestanden 'gijzelt' en een slachtoffer om geld vraagt in ruil voor de bestanden. De software toont namelijk geen pop-ups waarin om geld wordt gevraagd.

Onder meer de gemeenten Borsele, Weert, Venlo en Den Bosch zijn getroffen door het virus, schrijft het ANP. In die gemeenten ligt de dienstverlening aan burgers grotendeels stil door het virus, hoewel de gemeente Den Bosch de problemen donderdagmorgen onder controle heeft weten te krijgen. Volgens anonieme bronnen van DamnThoseProblems heeft een Belgisch ziekenhuis zijn dienstverlening moeten staken als gevolg van de problemen. De impact die het virus heeft gehad en nog steeds heeft, is echter nog niet te schatten.

Voor veel virusscanners was de nieuwe malware onbekend, maar in de afgelopen 24 uur hebben steeds meer aanbieders van die software signatures toegevoegd. Onder meer software van McAfee, Kaspersky en Symantec moet de malware nu herkennen. Bovendien heeft Surfright een tool uitgebracht waarmee 'verminkte' Word- en Excel-bestanden weer in hun oorspronkelijke staat kunnen worden teruggebracht. Fox-IT raadt systeembeheerders aan om de ip-adressen 184.82.162.163 en 184.22.103.202 te blokkeren, om te voorkomen dat de malware wordt binnengehaald.

Update, 14:54: Ook de gemeenten Tilburg, Almere, Nieuwegein en Buren zijn besmet, schrijft het NRC.

Update, 15:27: De provincie Noord-Holland is niet bereikbaar via e-mail, als gevolg van een storing die wordt veroorzaakt door het virus.

Reacties (185)

Reactiefilter:-11850167+183+215+30
Moderatie-faq Wijzig weergave
Wil je niet getroffen worden:
http://blog.fox-it.com/20...-network-spreading-virus/

Simpele conclusie:
Blokkeer onderstaande IP adressen in de firewall:
184.82.162.163
184.22.103.202

Na een korte refresh, staat het ook in het nieuwsbericht :)

[Reactie gewijzigd door BaszCore op 9 augustus 2012 11:21]

jammer dat je zo hoog gemod wordt want wat je aandraagt geeft geen garantie.
Het artiekel dat jij quote stelt het zo:

"Communication to the following IP addresses might indicate malicious behavior on your system:

184.82.162.163

184.22.103.202"

Hier wordt gezegt dat logs van die IP adressen een indicatie kunnen zijn voor infectie. Er staat echt nergens in dat artiekel dat je veilig bent of niet geinfecteerd kan worden als je die poorten blockt.

Je weet niet of de eerste infectie via deze ip adressen gebeurt.
Mischien is er een 0-day in het spel en is de botnetcode die gevonden is alleen een gevolg van die 0-day infectie. Mischien zijn er meerdere onzichtbare malwares tegelijk gedropt via die 0-day en heeft alleen eentje nu de kop opgestoken. Mischien is deze malware via andere malware gedropt.
Het is echt veel te naief je veilig te wanen door het blockeren van die twee adressen...
Maar dan is de kans dat je data gestolem word wel aanzienlijk kleiner.
Tenzij die twee ipadressen de c&c servers zijn.
Voor de zekerheid toch maar even in de firewall meegenomen.
Even wat simpele verbeteringen/open deuren:
MS updates binnen zsm uitrollen
Virusscanner updates direct uitrollen en software herevalueren (mcafee is traag met nieuwe definities)
Gebruiker geen lokaal beheerder, en wanneer toch nodig, alleen op eigen pc met uac aan uiteraard
Lokale firewalls aan op pc's
Usb autorun evalueren
Netwerkmappen rechtenscheiding toepassen
Volume shadow copy instellen
Mailbijlagen filteren
Evt software restriction policies

Aantal is al standaard veilig ingesteld bij Vista+.
Virusscanners zijn trouwens als t erop aan komt vaak een wassen neus.
Ookwel besmettingen gehad, maar dan toch op 1 pc in een netwerk en herkend door gedrag of scanner nadat het feit heeft plaatsgevonden.
Klinkt allemaal heel leuk, maar vool veel malware, zeker die zich via shares verspreiden, hoef je niet eens admin te zijn.
Dan kun je dus wel netjes je netwerk autorisatie in orde hebben, echter de map wordt door meerdere mensen geaccessed, die ook weer andere rechten hebben. Kortom daarmee hou je het ook niet tegen.

Het grote probleem van deze malware is, dat deze nog niet in de patterns zat en blijkbaar ook niet door heuristics (aanname) opgepikt werd.
Dan kun je je beiligen wat je wil, het faalt.
Dat laatste is zo vaak het geval... Zoals ik al zeg: av scanners zijn een wassen neus als je daarop vertrouwd. Zeker als je McAfee gebruikt met zijn 1 update per dag en beheerders die die uitrol al uitstellen... Impact en opschonen van virussen is veel simpeler wanneer iemand geen admin is. Software restriction policies/applocker zijn ook zeer interessant (effectiever dan een virusscanner). Te gek dat dit in grote organisaties niet toegepast wordt.
mcafee released ook emergency en extra DAT files indien nodig
Mcafee had hem eerder dan Symantec en Microsoft. Dus of ze nu trager waren dan de rest....
Ik weet niet of je weleens met McAfee gewerkt hebt, maar aan je reply te merken niet. Als je Epo gebruikt voor het beheren van alle clients, dan worden updates (naargelang jouw policy instellingen) meteen doorgestuurd naar de clients vanuit Epo. Of je laat de clients (laptops) middels http de updates binnenhalen. In ieder geval hoeven beheerders over het algemeen niet zelf een uitrol van een update inplannen... dat zou belachelijk zijn.

Mcafee vind ik zelf wel redelijk vlug. Ik denk dat ze gemiddeld genomen niet veel verschillen van de andere AV concurrenten. Bovendien vind ik de client (Virusscan Enterprise) wel redelijk goed hoor.
Ik ken McAfee. Maar soms wordt er een extra vertraging ingebouwd juist dmv epo... En 1 update per dag (was in het verleden zelfs werkdag) is gewoon erg mager. Eset brengt bijv iedere 1 a 2 uur updates uit.
Helaas kaspersky geupdate maar tot op heden blijft die hem niet herkennen terwijl Malware bytes hem wel herkent.

Edit: Ben hem nu ook aan het testen op een sandbox omgeving en MSE detecteert hem nu evenals Hitman & Norton. Helaas AVG en Nod32 nog niet mochten er verandering komen zal ik mijn post wel even aanpassen.

Edit 2: Blijkbaar ligt het bij Kaspersky om een of andere manier aan welk pakket je hebt bij Pure wordt hij niet gedetecteerd en bij Kaspersky Internet Security wel. Hierover heb ik nu contact met Kaspersky om dit zsm op te lossen.

Edit 3: Kaspersky Pure detecteert hem nu ook na het ophalen van de nieuwe virus definities.

p.s. dit allemaal met de nieuwste virus/malware updates van de programma's

[Reactie gewijzigd door bobsquad op 9 augustus 2012 11:50]

Bobsquad, hoe word het virus dan herkend door malware bytes? De naam bedoel ik.

Wel bizar dat dit virus opeens opduikt en zo weinig virusscanners hem kan ontdekken. Misschien een gerichte aanval?

Edit
Volgens mij heeft eset ook al een update: http://www.eset.eu/podpora/aktualizacia-7369?lng=en "Win32/Quervar.B"

Zo werd hij ook gedetecteerd bij mebrein hieronder met mse: http://www.microsoft.com/...ame=Virus:Win32/Quervar.B

[Reactie gewijzigd door wootah op 9 augustus 2012 12:00]

Zie ook http://www.damnthoseproblems.com/ voor informatie.

Onder andere een lijst van virus fabrikanten die nieuwe virus definitions uit hebben gebracht om het virus te herkennen.
Bedankt voor de lijst, ons bedrijf (1200+ werknemers) werd er zojuist door geraakt, dus nu is het wat sneller op te lossen ;)
Heb dit virus kunnen verwijderen met deze instructies:
http://www.client.nl/nieu...handmatig-verwijderen.htm
Het bovengenoemde artikel is geen handleiding hoe je het virus verwijderd, maar eerder een handige handleiding hoe je kan voorkomen dat het virus zich verspreidt.

Het artikel beschrijft daarnaast ook tegenstrijdige informatie ten opzichte van het nieuwsartikel hier.

Quote: "Wat doet het virus:
- Wijzigt *.exe bestanden
- Verwijderd Excel en Word documenten en vervangt deze met een virusbestand"

In het bovenstaand artikel wordt gesuggereerd dat Excel en Word documenten verwijderd worden en een virusbestand in de plaats komt. Echter volgens het nieuws artikel worden de bestanden voorzien van een encryptie waardoor de bestanden corrupt zijn.

Daarnaast is het niet aan te raden dat gewone gebruikers aanpassingen gaan maken in het register. Dit brengt namelijk Risico's mee.

artikel genoemd betreft: http://www.client.nl/nieu...handmatig-verwijderen.htm
Hmm, in het artikel staat het volgende register: [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
Load=""

En als je dat opent, vindt je het pad waar het virus opgeslagen is.
Gebruikerprofiel en dan appdata -> roaming.

Ik vond het artikel nuttig, en kon hierdoor toch zelf het virus verwijderen.
Natuurlijk niet geschikt voor gewone gebruikers... dat suggereer ik dan ook niet.

Bestanden kunnen hersteld worden met http://www.surfright.nl/en/support/dorifel-decrypter#usage

Maar dan moet je daarna met de hand de scr files verwijderen.

groet,

Anton
Dat van het Belgische ziekenhuis klopt volgens mij toch niet hoor. Nergens melding van te vinden. Waarschijnlijk werd er verkeerdelijk gekeken naar volgend artikel dat dateert van 18/03/11
http://www.hln.be/hln/nl/...-door-computervirus.dhtml
Nu.nl zegt dat het om het Sasfis virus gaat, het update op dezelfde manier, en lijkt dan ook een relatie te hebben met het zeus botnet.

In 2005/2006 was er al het W32/Rungbu virus die ongeveer een zelfde soort trucje deed.

Het zocht naar word files, maakte dan een file met de originele naam aan maar dan met scr. ( screensaver files zijn executables. ) vervolgens werden de word files verborgen en extensies ook.

Zodra je de scr file dan start verspreid het virus zich weer verder en laad hij daarna de gehidden word file alsof er niets aan de hand is

[Reactie gewijzigd door Rmg op 9 augustus 2012 11:16]

Het is niet waar dat het virus via een trojan die al langer op een systeem draait afgeleverd word bij de host. Wij hebben dit virus eergisteren in ons klantenbestand bij een firma aangetroffen, werd niet door de antivirus oplossing opgepikt. Na wat onderzoek hebben we de herkomst kunnen herleiden tot een spam e-mail bericht wat een dag voor opmerking aan een personeelslid verzonden was, in de bijlage van dit mailtje zit een word document waar dezelfde .scr truc op losgelaten is. Het personeelslid opende dit bestand waarna het virus in de eerste instantie niets deed, pas een dag later begon deze alle office bestanden aan te passen.

Handige tip als je op zoek bent naar het virus; ze begint alfabetisch de shares af te werken waarna het in iedere share wederom alfabetisch de office bestanden infecteert. Begin dus te zoeken naar het virus bij de shares beginnende met de letter A ;)

Overigens hebben we ook geconstateerd dat (mogelijk na mutatie) ook executable bestanden (.exe) ge´nfecteerd werden, het bronbestand blijft hier werken waardoor het niet opvalt en lang buiten de rader blijft. Eenmaal opgestart gaat deze echter wederom z'n gang en infecteerthet weer alle office bestanden.
Maakt het aanlokkelijk om attachments gewoon af te schaffen in zijn geheel...
Iedereen kan wel een FTP oplossing in elkaar draaien.

Gister nog een mail rond gedaan binnen het bedrijf om attachments vooral niet te openen.

[Reactie gewijzigd door Alpha Bootis op 9 augustus 2012 13:57]

FTP oplossing? Een goede virusscanner zal een attachment scannen en een goede mailserver kan ingesteld worden om bepaalde soorten attachments te verwijderen zoals exe, scr of zip. Waarom een eenvoudige tool voor bestanden door te sturen direct blokkeren? Das als alle toiletten verwijderen omdat mannen de bril omhoog laten staan.
Een goede virusscanner had in deze ook geen drol uitgemaakt, een blokkade op SCR en eventueel exe zou je kunnen instellen maar op zip is alweer onhandig omdat er van alles gezipt wordt binnen het bedrijfsleven.
Daar komt bij dat mail niet echt een veilige transportmethode is, FTP transacties kan je versleutelen.
Ik zou er niet zo rouwig om worden als attachments, iig in het bedrijfsleven, gewoon verbannen worden. Zou in elk geval de mail (voor een belangrijk deel) uitsluiten als potentieel zwaktepunt.

[Reactie gewijzigd door Alpha Bootis op 10 augustus 2012 10:57]

Ik heb nergens gehoord en gezien dat het .exe's infecteerd. Kan het een ander virus zijn wat de trojan heeft binnengehaald?
DRINGEND!

Mocht je Trend Micro hebben, deze hebben een nieuwe virus pattern uitgegeven die ALLE geinfecteerde bestanden verwijdert.

Hij zou ze in quarantaine zetten maar verwijdert deze!

Klanten van ons zijn al duizenden bestanden kwijtgeraakt en het stoppen van de Trend Micro services wil niet lukken.

Wees gewaarschuwd.
Welk patroon is dit? Wij gebruiken patroon 9.312.01 en hebben dit probleem niet. (.SCR bestanden blijven alleen op de file shares staan)
Uberhaupt dubieus dat er een trojan al actief was op het netwerk. Lijkt me raadzaam om te onderzoeken wat de impact is van deze "hack" en welke gegevens er mogelijk gelekt zijn.
Uberhaupt dubieus dat er een trojan al actief was op het netwerk. Lijkt me raadzaam om te onderzoeken wat de impact is van deze "hack" en welke gegevens er mogelijk gelekt zijn.
100.000 documenten onbruikbaar.
Terug renamen kan niet
Corrupt
Het terugzetten van de aangepaste extensie lost het probleem niet op, aangezien het bestand nog steeds corrupt is.
De berichtgeving over dat ziekenhuis in Belgie zijn er maar onbevestigd
Volgens een werknemer van Fox-IT is het virus ge´nstalleerd op computers die al met de Citadel-malware besmet waren.
http://www.security.nl/ar...ederlandse_bedrijven.html
Gaat mij meer om de trojan/botnet die er eerder opstond, dat lijkt me erger dan een virus dat voor wat (tijdelijke) ongemakken zorgt. De trojan geeft toegang tot de computersystemen.
Ja en de vraag is dan, waarom heeft de virusscanner het botnet niet eerder opgemerkt als het via die weg verspreid

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True