Provincies en universiteiten besmet met nieuw virus - update 2
Steeds meer overheidsinstellingen kampen met het nieuwe virus dat deze week is opgedoken. De provincies Noord-Holland en Noord-Brabant en twee universiteiten zijn getroffen. Of de Rijksoverheid is getroffen, is onbekend.
De provincies Noord-Holland en Noord-Brabant zijn de enige twee provincies die bekend hebben gemaakt met het nieuwe virus te zijn besmet. De provincie Brabant schrijft dat het 'interne computernetwerk van de provincie Noord-Brabant' te maken heeft met een virus. "Om verdere verspreiding te voorkomen is het netwerk van de provincie afgesloten", schrijft de provincie.
Ook is de provincie niet via e-mail bereikbaar. Hetzelfde geldt voor de provincie Noord-Holland, al is niet duidelijk of ook die provincie zijn netwerk heeft afgesloten. Een woordvoerder van de provincie kon geen antwoord geven op die vraag. Ook de universiteiten van Utrecht en Amsterdam zijn getroffen door het virus.
In beide gevallen gaat het om het XDocCrypt/Dorifel-virus, waar eerder op donderdag al de nodige ophef over ontstond. Het virus is opgedoken bij een groot aantal Nederlandse instellingen, waaronder ook diverse gemeentes, zoals Tilburg, Almere, Venlo en Den Bosch. Het virus lijkt vooral in Nederland schade aan te richten.
Het virus versleutelt Word- en Excel-documenten en verandert de extensie van de documenten naar '.scr', de Windows-extensie voor screensavers. XDocCrypt/Dorifel - er bestaat nog geen eensluidende naamgeving voor het virus - verspreidt zich via bestaande infecties: alle netwerken van de getroffen instellingen waren al onder de controle van een botnet. Aanvankelijk werd gedacht dat het om het virus Sasfis ging.
Het is onduidelijk welke overheidsinstellingen nog meer getroffen zijn. Woordvoerster Mary-Jo van de Velde van het NCSC zegt tegenover Tweakers.net daarover geen uitspraken te mogen doen. Daarnaast is op dit moment nog niet duidelijk waar het virus vandaan komt, maar volgens Van de Velde lijkt het er op dat het om een aanval uit de criminele hoek gaat.
Overigens is het ongedaan maken van de versleuteling redelijk simpel, aangezien het virus telkens dezelfde sleutel gebruikt. Surfright heeft een tool uitgebracht waarmee schade aan documenten wordt hersteld. Fox-IT raadt systeembeheerders aan om de ip-adressen 184.82.162.163 en 184.22.103.202 te blokkeren, om te voorkomen dat de malware wordt binnengehaald.
Update, 17:28: Ook elektricteitsnetbeheerder Westland Infra zou getroffen zijn.
Update, 18:30: Enkele systemen van het RIVM zijn besmet met de malware. De instantie zegt het probleem onder controle te hebben.
Reacties (128)
Het oranje-virtus lijkt me wel een toepasselijke naam
Je post wordt omlaag gemod omdat je maar gewoon een hoop beweringen post met nauwelijks bronnen. Daardoor heeft je post een hoog 'conspiracy' gehalte. Die 2e bron (een filmpje) maakt het er niet beter op. Jammer want ik geloof wel dat er een kleine kern van waarheid in zit. Linux is veiliger dan Windows. Maar Linux is getuige de vele defacements op het internet zeker niet onfeilbaar. Veel van die defacements zijn een gevolg van user error, maar dat is op Windows niet anders. Knappe jongen als je een volledig gepatchte Server 2008 R2 machine weet te hacken die achter een fatsoenlijke firewall hangt. Dat is wel te doen, maar dat geld ook voor Linux. Het kost tijd (en geld voor een zero-day lek).
De NSA is verder de grondlegger van SELinux. Daarmee hebben ze een grote bijdrage geleverd aan de veiligheid van Linux. En aan de andere kant claim je hier dat ze bijdragen aan de onveiligheid van Windows. Wat denk je dat de Microsoft aandelen doen als uitlekt dat men bewust backdoors voor Amerikaanse inlichtingendiensten inbouwt? Dat alleen is alleen genoeg reden om aan te nemen dat ze dat niet doen. Er zijn duizenden zo niet tienduizenden idioten* bezig die proberen om lekken te vinden in Windows. Denk je dat een backdoor voor de NSA onopgemerkt zou blijven?
*Natuurlijk zijn er ook mensen die bij willen dragen aan de veiligheid van Windows. Met de idioten bedoel ik dat er alleen al tienduizenden zijn die lekken proberen te vinden om te misbruiken.
En ik begin me toch wel af te vragen waar ik die -1's nou weer aan verdiend heb
De NSA is verder de grondlegger van SELinux. Daarmee hebben ze een grote bijdrage geleverd aan de veiligheid van Linux. En aan de andere kant claim je hier dat ze bijdragen aan de onveiligheid van Windows. Wat denk je dat de Microsoft aandelen doen als uitlekt dat men bewust backdoors voor Amerikaanse inlichtingendiensten inbouwt? Dat alleen is alleen genoeg reden om aan te nemen dat ze dat niet doen. Er zijn duizenden zo niet tienduizenden idioten* bezig die proberen om lekken te vinden in Windows. Denk je dat een backdoor voor de NSA onopgemerkt zou blijven?
*Natuurlijk zijn er ook mensen die bij willen dragen aan de veiligheid van Windows. Met de idioten bedoel ik dat er alleen al tienduizenden zijn die lekken proberen te vinden om te misbruiken.
En ik begin me toch wel af te vragen waar ik die -1's nou weer aan verdiend heb
[Reactie gewijzigd door Glashelder op donderdag 9 augustus 2012 23:05]
Man man, je weet wel stemming te maken. Zegt de term 'compatibility' je iets?
Het bedrijf waar ik voor werk, is een grote speler in de medische sector. Er zijn tientallen systemen, die allemaal met elkaar communiceren. En geloof me, een aantal leveranciers levert systemen die echt alleen met Windows overweg kunnen.
Gaat dat ooit veranderen? Mogelijk, waarschijnlijk. Maar tot die tijd heb je niet heel veel keus.
Daarbij, voor Windows, los of je het over een PC of server hebt, zijn plenty oplossing om alles veilig dicht te zetten. Preventieve maatregelen, bijvoorbeeld internet beleid, werken al meer dan goed. Daarbij dacht ik gelezen te hebben (correct me if I'm wrong) dat dit virus niet zomaar aan komt zetten. Er lijken aanwijzingen te zijn dat vooraf al een trojan o.i.d. binnen moet zijn gedrongen, om dit treiter virus naar binnen te hengelen.
Kortom, soms heeft het niets met willen te maken.
Het bedrijf waar ik voor werk, is een grote speler in de medische sector. Er zijn tientallen systemen, die allemaal met elkaar communiceren. En geloof me, een aantal leveranciers levert systemen die echt alleen met Windows overweg kunnen.
Gaat dat ooit veranderen? Mogelijk, waarschijnlijk. Maar tot die tijd heb je niet heel veel keus.
Daarbij, voor Windows, los of je het over een PC of server hebt, zijn plenty oplossing om alles veilig dicht te zetten. Preventieve maatregelen, bijvoorbeeld internet beleid, werken al meer dan goed. Daarbij dacht ik gelezen te hebben (correct me if I'm wrong) dat dit virus niet zomaar aan komt zetten. Er lijken aanwijzingen te zijn dat vooraf al een trojan o.i.d. binnen moet zijn gedrongen, om dit treiter virus naar binnen te hengelen.
Kortom, soms heeft het niets met willen te maken.
[Reactie gewijzigd door dutch_camel op vrijdag 10 augustus 2012 09:46]
Zucht...weer zo'n nipwit die de schuld legt bij een besturingssysteem of de maker hiervan.
Het ligt niet aan het OS of Microsoft, maar aan de IT-ers die het geheel beheren. Menselijke fouten dus.
Tevens zijn Microsoft producten algemener in de wereld waardoor kwaadwillenden een vele malen grotere doelgroep hebben dan bij andere OS-en van andere al dan niet commerciéle bedrijven. Leer dat toch eens.
Zodra Linux of Unix systemen eenzelfde marktaandeel hebben zullen hier net zoveel virussen voor zijn als momenteel voor Microsoft producten.
http://en.wikipedia.org/wiki/Linux_malware
Lees, leer en huiver
En zeg pas weer wat zinnigs als je niet overal een samenzwering in ziet en daadwerkelijk weet waar je het over hebt.
Nipwit...
Het ligt niet aan het OS of Microsoft, maar aan de IT-ers die het geheel beheren. Menselijke fouten dus.
Tevens zijn Microsoft producten algemener in de wereld waardoor kwaadwillenden een vele malen grotere doelgroep hebben dan bij andere OS-en van andere al dan niet commerciéle bedrijven. Leer dat toch eens.
Zodra Linux of Unix systemen eenzelfde marktaandeel hebben zullen hier net zoveel virussen voor zijn als momenteel voor Microsoft producten.
http://en.wikipedia.org/wiki/Linux_malware
Lees, leer en huiver
En zeg pas weer wat zinnigs als je niet overal een samenzwering in ziet en daadwerkelijk weet waar je het over hebt.
Nipwit...
"Tevens zijn Microsoft producten algemener in de wereld waardoor kwaadwillenden een vele malen grotere doelgroep hebben dan bij andere OS-en van andere al dan niet commerciéle bedrijven. Leer dat toch eens."
Leer eens de uitdrukking "Cum hoc ergo propter hoc".
Er zijn veel virussen voor Windows. Windows wordt heel veel gebruikt.
Er zijn bijna geen virussen voor Linux (lijstje met malware in je link is ernstig karig). Linux wordt niet veel gebruikt (Desktop althans)
Conclusie: Als Linux veel gebruikt wordt, komen er opeens veel virussen voor Linux.
Ander Cum hoc ergo propter hoc voorbeeld:
In de Zomer gaan er veel koeien in India dood.
In de Zomer worden er meer ijsjes gegeten.
Conclusie: Van veel ijsjes eten, gaan er meer koeien dood.
Klopt natuurlijk allebei niet. Mijn broer schreef in zijn jeugd in een middag eens een nepvirus. (infecteerde niet echt, maar was wel geheugenresident) Kortom dat stelde niets voor. Ik denk niet dat hij hetzelfde voor een UNIX/Linux/mainframe/etc. 1-2-3 had kunnen doen.
Leer eens de uitdrukking "Cum hoc ergo propter hoc".
Er zijn veel virussen voor Windows. Windows wordt heel veel gebruikt.
Er zijn bijna geen virussen voor Linux (lijstje met malware in je link is ernstig karig). Linux wordt niet veel gebruikt (Desktop althans)
Conclusie: Als Linux veel gebruikt wordt, komen er opeens veel virussen voor Linux.
Ander Cum hoc ergo propter hoc voorbeeld:
In de Zomer gaan er veel koeien in India dood.
In de Zomer worden er meer ijsjes gegeten.
Conclusie: Van veel ijsjes eten, gaan er meer koeien dood.
Klopt natuurlijk allebei niet. Mijn broer schreef in zijn jeugd in een middag eens een nepvirus. (infecteerde niet echt, maar was wel geheugenresident) Kortom dat stelde niets voor. Ik denk niet dat hij hetzelfde voor een UNIX/Linux/mainframe/etc. 1-2-3 had kunnen doen.
Een andere conclusie zou kunnen zijn: als er veel ijsjes worden gegeten gaan er veel koeien dood. Dat klopt al een stuk meer / beter.
Natuurlijk kun je niet direct zeggen dat meer gebruikers = meer virussen, maar kun je het uitsluiten? Je kan denk ik, in het algemeen, stellen dat virus-schrijvers gaan voor maximaal effect voor zo weinig mogelijk moeite.
- Maximaal effect: de grootste user-base
- Zo weinig mogelijk moeite: dan kan het gaan om fouten in een OS, maar ook de gebruiker speelt hier een grote rol in. Als je een expert moet zijn om een bepaald OS te gebruiken zul je vrijwel automatisch ook minder virussen krijgen.
Dus ook al zou Linux out of the box "beter" zijn dan Windows, ik denk dat als alle Windows gebruikers over zouden stappen op Linux er inderdaad veel meer virussen / malware / exploits etc. voor Linux zullen verschijnen.
Natuurlijk kun je niet direct zeggen dat meer gebruikers = meer virussen, maar kun je het uitsluiten? Je kan denk ik, in het algemeen, stellen dat virus-schrijvers gaan voor maximaal effect voor zo weinig mogelijk moeite.
- Maximaal effect: de grootste user-base
- Zo weinig mogelijk moeite: dan kan het gaan om fouten in een OS, maar ook de gebruiker speelt hier een grote rol in. Als je een expert moet zijn om een bepaald OS te gebruiken zul je vrijwel automatisch ook minder virussen krijgen.
Dus ook al zou Linux out of the box "beter" zijn dan Windows, ik denk dat als alle Windows gebruikers over zouden stappen op Linux er inderdaad veel meer virussen / malware / exploits etc. voor Linux zullen verschijnen.
Spijtig genoeg gebruik je de drogreden "Cum hoc ergo propter hoc" als een drogreden 
Koeien en ijsjes zijn niet gerelateerd. Lees er eens alle security boeken op na... Er is over één ding duidelijkheid: de wet van vraag en aanbod.
Natuurlijk zijn er meer virussen op Windows machines als die een marktaandeel van 90% hebben.
Natuurlijk worden populaire browsers geviseerd op misbruik van lekken.
Natuurlijk worden populaire plugins (Flash, Java) geviseerd.
Waarom? Omdat insecurity big business is geworden. De investering moet renderen en een virus maken voor een Comodore levert geen goede return op. (een return hoeft niet in geld, kan ook in ego)
Waar staat de politie te flitsen? Op plaatsen waar 1 auto per dag komt?
Wie opent er een wegrestaurant waar er 1 auto per dag langs komt?
Wie opent er een café ten midden de velden?
Wat zien we momenteel bij de Mac's? Er komen virussen en malware en exploits opzetten. Waarom? Omdat het populairder is geworden.
Zucht. De wereld is eenvoudig.
Koeien en ijsjes zijn niet gerelateerd. Lees er eens alle security boeken op na... Er is over één ding duidelijkheid: de wet van vraag en aanbod.
Natuurlijk zijn er meer virussen op Windows machines als die een marktaandeel van 90% hebben.
Natuurlijk worden populaire browsers geviseerd op misbruik van lekken.
Natuurlijk worden populaire plugins (Flash, Java) geviseerd.
Waarom? Omdat insecurity big business is geworden. De investering moet renderen en een virus maken voor een Comodore levert geen goede return op. (een return hoeft niet in geld, kan ook in ego)
Waar staat de politie te flitsen? Op plaatsen waar 1 auto per dag komt?
Wie opent er een wegrestaurant waar er 1 auto per dag langs komt?
Wie opent er een café ten midden de velden?
Wat zien we momenteel bij de Mac's? Er komen virussen en malware en exploits opzetten. Waarom? Omdat het populairder is geworden.
Zucht. De wereld is eenvoudig.
[Reactie gewijzigd door Randmr op vrijdag 10 augustus 2012 10:57]
Die IP adressen (184.82.162.163 en 184.22.103.202) leiden naar AOL.com...
... Apart
Edit: Staat trouwens wel een interessant blog over dit virus:
http://blog.fox-it.com/20...-network-spreading-virus/
... Apart
Edit: Staat trouwens wel een interessant blog over dit virus:
http://blog.fox-it.com/20...-network-spreading-virus/
[Reactie gewijzigd door Youriboy op donderdag 9 augustus 2012 17:15]
Is dat dailysave.info dan? Daar eindigt hij bij mij na een tracert.
Edit: het eerste ipadres dan...
Edit: het eerste ipadres dan...
[Reactie gewijzigd door sokar24 op donderdag 9 augustus 2012 17:19]
Het zijn alletwee hostnoc.net adressen (provider), waarbij de eerste ook gebruikt wordt door dailysave.info.
Geen AOL.
Geen AOL.
Mooi stukje uit de text van die site:
Should you worry about all those encrypted document files on your network…, what you should really worry about, is that there apparently was/is a trojan (ZeuS/Citadel) on your network that was doing active C&C communications and has been leaking all kinds of information from your organization for days, weeks or perhaps even months
Edit: En er is een tool uit om je office bestanden weer te decrypten
Should you worry about all those encrypted document files on your network…, what you should really worry about, is that there apparently was/is a trojan (ZeuS/Citadel) on your network that was doing active C&C communications and has been leaking all kinds of information from your organization for days, weeks or perhaps even months
Edit: En er is een tool uit om je office bestanden weer te decrypten
[Reactie gewijzigd door sn33ky op donderdag 9 augustus 2012 19:20]
Dat is erger dan de besmetting met dit virus. Laat meteen zien dat ook de overheids netwerken zo lek als een mandje zijn. En waarom is het niet opgevallen als er blijkbaar zoveel computers al onder controle zijn.erspreidt zich via bestaande infecties: alle netwerken van de getroffen instellingen waren al onder de controle van een botnet.
[Reactie gewijzigd door Kalua op donderdag 9 augustus 2012 17:16]
Dan mag je van geluk bij een ongeluk spreken dat door dit virus het botnet ook is herkend. Blijkbaar een geavanceerd exemplaar aangezien het tot op heden onopgemerkt is gebleven.
Dat is gewoon ronduit eng. Op een gemeentenetwerk barst het van de vertrouwelijke persoonlijke informatie. Ik mag hopen dat bijvoorbeeld de aanvragen van paspoorten via een apart systeem gaan. Zo nee dan kan jouw vingerafdruk + overige data al in criminele handen zijn!Fox-IT: what you should really worry about, is that there apparently was/is a trojan (ZeuS/Citadel) on your network that was doing active C&C communications and has been leaking all kinds of information from your organization for days, weeks or perhaps even months.
Dus zijn alle computers nog steeds besmet met Citadel na alle ophef van vandaag?
alle bedrijven die getroffen zijn doen er goed aan om gewoon al hun pc's te formatteren en opnieuw uit te rollen. Dan is in elk geval het pc'tje weer 'schoon'.
Kunnen ze zich daarna gaan richten aan structurele maatregelen om een nieuwe besmetting moeilijker te maken.
Kunnen ze zich daarna gaan richten aan structurele maatregelen om een nieuwe besmetting moeilijker te maken.
We hebben het hier over overheidsinstellingen waarbij mogelijk maanden een achterdeur opengestaan heeft en er ik-weet-niet-wat aan troep op de systemen terechtgekomen kan zijn, inclusief ongedetecteerde rootkits.wat voor een kortzichtige onwetende reactie is dat nu weer, en erger nog: wie geeft hier +1 aan ?
De snelste oplossing om dit veilig af te handelen is inderdaad een complete offline herinstallatie van alle systemen op een intern netwerk voordat dit netwerk weer online gebracht wordt.
Je kunt het niet zeker weten en bij dit soort privacy-gevoelige systemen kun je het risico niet lopen dat er nog steeds één of meerdere ongedetecteerde achterdeuren over blijven.
[Reactie gewijzigd door R4gnax op donderdag 9 augustus 2012 20:11]
Inderdaad! Ik ben erg benieuwd hoe dit zit...
genoeg organisaties (waaronder overheid) die denken dat ze er qua beveiliging wel zijn als ze een virusscanner hebben geinstalleerd. Een goede beveiliging bestaat namelijk uit meer onderdelen. Firewall, spamfilter, virusscanner, gebruikersrestricties.
Een aantal virusscanners herkennen het gedrag van deze trojan al sinds 2008. Maar dan moet je wel een scanner hebben die gebruik maakt van behavior/patterns en de hele mikmak in plaats van maar een of twee onderdelen.
Daarnaast zijn er (te)veel bedrijven waarvan de gebruikers lokale admin zijn of in elk geval veel meer kunnen dan je zou willen (installatierechten) dus trojans kunnen zich helemaal te buiten gaan op die computers.
Netwerkschijven waar iedereen overal toegang toe heeft, in plaats van beperkte toegang alleen tot de mappen waar je wat mee moet doen. (vertraging van de verspreiding)
En ja, een botnet kenmerkt zich aan het onopgemerkt blijven. Als je scanner het niet oppikt om wat voor reden dan ook, dan zie je m gewoon niet. Totdat er instructies worden gegeven aan je pc'tje die een flinke impact hebben, en dan gaan er alarmbellen rinkelen ja.
Het toont in elk geval aan dat er teveel bedrijven zijn die gewoonweg hun beveiliging niet goed op orde hebben.
Bedrijf waar ik werk heeft er geen last van. Vorig jaar nog alle pc's opnieuw geinstalleerd voor nieuwe versie van Office, dus pc's die al onderdeel geweest zouden kunnen zijn van een botnet zijn daar uitgeknikkerd vanwege de volledige herinstallatie. Daarnaast kan een virus ook amper wat en onze virusscanner kent dit behavior al een paar jaar. Gebruikers hebben verder geen installatierechten op de lokale machines. Een goeie firewall en ander spul van verschillende merken.
Nergens last van.
Een aantal virusscanners herkennen het gedrag van deze trojan al sinds 2008. Maar dan moet je wel een scanner hebben die gebruik maakt van behavior/patterns en de hele mikmak in plaats van maar een of twee onderdelen.
Daarnaast zijn er (te)veel bedrijven waarvan de gebruikers lokale admin zijn of in elk geval veel meer kunnen dan je zou willen (installatierechten) dus trojans kunnen zich helemaal te buiten gaan op die computers.
Netwerkschijven waar iedereen overal toegang toe heeft, in plaats van beperkte toegang alleen tot de mappen waar je wat mee moet doen. (vertraging van de verspreiding)
En ja, een botnet kenmerkt zich aan het onopgemerkt blijven. Als je scanner het niet oppikt om wat voor reden dan ook, dan zie je m gewoon niet. Totdat er instructies worden gegeven aan je pc'tje die een flinke impact hebben, en dan gaan er alarmbellen rinkelen ja.
Het toont in elk geval aan dat er teveel bedrijven zijn die gewoonweg hun beveiliging niet goed op orde hebben.
Bedrijf waar ik werk heeft er geen last van. Vorig jaar nog alle pc's opnieuw geinstalleerd voor nieuwe versie van Office, dus pc's die al onderdeel geweest zouden kunnen zijn van een botnet zijn daar uitgeknikkerd vanwege de volledige herinstallatie. Daarnaast kan een virus ook amper wat en onze virusscanner kent dit behavior al een paar jaar. Gebruikers hebben verder geen installatierechten op de lokale machines. Een goeie firewall en ander spul van verschillende merken.
Nergens last van.
Ik lees nergens waarom jij niet getroffen had kunnen worden... Bij al onze klanten was de AV op orde. Firewall aanwezig. Gebruikers hebben zeker geen local admin rechten. Dit virus glipt er tussen door. Het maakt gebruik van je NTFS rechten op de shares. Ook is het niet afhankelijk van de Office versie. Dus dat verhaal gaat ook niet op. En hoe kan jou virusscanner dit gedrag herkennen?
In tegenstelling tot de troep die in Weert rondhangt (beheerdersfout), is dit een virusje waarbij je als beheerder relatief machteloos staat omdat het gebruik maakt van een aantal heel vervelende vulnerabilities die lastig af te vangen zijn.
Neemt weer niet weg dat het heel typisch gemeenten en universiteiten/scholen zijn die getroffen zijn. Zijn toch de twee groepen met de zwakste IT afdeling en het zwakste IT personeel. In bijna alle gevallen veroorzaakt door het management overigens. Ik heb lange tijd in die hoek gewerkt (scholen+gemeenten, etc.) en wat je daar vaak ziet, het is een wonder dat die boel überhaupt nog werkt.
Neemt weer niet weg dat het heel typisch gemeenten en universiteiten/scholen zijn die getroffen zijn. Zijn toch de twee groepen met de zwakste IT afdeling en het zwakste IT personeel. In bijna alle gevallen veroorzaakt door het management overigens. Ik heb lange tijd in die hoek gewerkt (scholen+gemeenten, etc.) en wat je daar vaak ziet, het is een wonder dat die boel überhaupt nog werkt.
Het zijn de scholen en gemeenten die dit openbaar maken. Het duurt niet heel lang meer voordat dit openbaar maken ook verplicht wordt.
De grote bedrijven die de sterkste IT afdeling en beste IT personeel (of in ieder geval het duurste?) rond hebben lopen hebben ook last van grootste probleem: er loopt altijd wel sukkel van een gebruiker rond die op zo'n scr-bestandje klikt!
Ook zijn ze niet zo happig op het naar buiten brengen van dit nieuws.. terwijl je juist snelle communicatie nodig hebt om dit probleem zo snel mogelijk op te lossen!
De grote bedrijven die de sterkste IT afdeling en beste IT personeel (of in ieder geval het duurste?) rond hebben lopen hebben ook last van grootste probleem: er loopt altijd wel sukkel van een gebruiker rond die op zo'n scr-bestandje klikt!
Ook zijn ze niet zo happig op het naar buiten brengen van dit nieuws.. terwijl je juist snelle communicatie nodig hebt om dit probleem zo snel mogelijk op te lossen!
Vermoedelijk ook alleen maar omdat je opeens honderden nieuwe rijbewijzen moet weigeren en duizenden scholieren niet meer op het netwerk kunnen komen.. dat 'openbaar maken' is echt geen barmhartige service, ze kunnen niet anders.Het zijn de scholen en gemeenten die dit openbaar maken.
[Reactie gewijzigd door Redsandro op vrijdag 10 augustus 2012 01:01]
we hebben praktisch al onze machines vorig jaar opnieuw geinstalleerd, Dus eventuele sporen van een botnet waren sowieso weg.
En hoe kan de virusscanner het gedrag herkennen? Omdat dit virus zich gedraagt zoals een aantal anderen, en de scanner ook kijkt naar 'behaviour' wat lijkt op wat al bekend is.
Firewall aanwezig. En hoe istie ingesteld?
Zoals gezegd: sommige virusscanners lijken het toch echt niet opgepikt te hebben. Die van ons ook niet, kan natuurlijk een slecht teken zijn, maar onze bestandsnamen zijn niet gewijzigd (daar heb je overigens geen local admin rights voor nodig).
Daarnaast scheelt het ongetwijfeld ook enorm dat bij ons veel medewerkers op vakantie zijn (risico infecties daalt omdat er minder mensen zijn die de hele dag bijlagen zitten te openen) en misschien minder contact hebben met de tot nu toe getroffen instanties.
En hoe kan de virusscanner het gedrag herkennen? Omdat dit virus zich gedraagt zoals een aantal anderen, en de scanner ook kijkt naar 'behaviour' wat lijkt op wat al bekend is.
Firewall aanwezig. En hoe istie ingesteld?
Zoals gezegd: sommige virusscanners lijken het toch echt niet opgepikt te hebben. Die van ons ook niet, kan natuurlijk een slecht teken zijn, maar onze bestandsnamen zijn niet gewijzigd (daar heb je overigens geen local admin rights voor nodig).
Daarnaast scheelt het ongetwijfeld ook enorm dat bij ons veel medewerkers op vakantie zijn (risico infecties daalt omdat er minder mensen zijn die de hele dag bijlagen zitten te openen) en misschien minder contact hebben met de tot nu toe getroffen instanties.
opnieuw geinstalleerd=alle schijven compleet zwaar hergeformateerd, daarna evt weer nieuwe partities opbouwen, zodat er geen enkele hidden partitie overgebleven is?
Anders kun je nog steeds besmet wezen, je wilt niet weten, hoeveel malware/rootkits hidden partities aanmaken.
Sommige mensen denken, ff simpel formateren en daarna weer installeren=klaar en schoon, maar helaas zo werkt het tegenwoordig niet meer.
Veel rootkitdetectors zoals gmer ontdekken de rootkitbesmettingen wel, veel virusscanners niet.
Anders kun je nog steeds besmet wezen, je wilt niet weten, hoeveel malware/rootkits hidden partities aanmaken.
Sommige mensen denken, ff simpel formateren en daarna weer installeren=klaar en schoon, maar helaas zo werkt het tegenwoordig niet meer.
Veel rootkitdetectors zoals gmer ontdekken de rootkitbesmettingen wel, veel virusscanners niet.
Hebben we hier wellicht te maken met een cyberaanval uit het verre oosten? Kan geen toeval zijn dat met name gemeenten geraakt zijn, of het verspreidt zich over Gemnet (netwerk waar gemeenten en wellicht provincies op aangesloten zijn).
Ik denk dat China weinig interesse heeft in jouw doc files over BBQ recepten en ook niet in het gemeentehuis van Balk. Als het verre oosten hiermee te maken had, dan lijkt het mij eerder te gaan om militaire geheimen of de Nederlandse banken. 
Ik denk dat voornamelijk overheidsinstellingen hiervan een meldplicht hebben. Ik weet van meer bedrijven die hierdoor getroffen zijn maar die zullen niet zo snel in het nieuws hiermee uitkomen.
denk het niet. Lijkt eerder op een pestactie ofzo.
Onder het mom van 'de Nederlandse overheid loopt op te scheppen over een nieuw platform voor cybercrime'. Laten we ze maar even laten zien wat voor faalhazen sommige overheidsinstanties zijn. Die lui werken de hele dag met Word-documentjes, 'wacht maar even, we veranderen de bestandsnamen wel even, kunnen we zien hoe ze reageren'.
Waarom dit gebeurt? Gewoon omdat ze het kunnen waarschijnlijk.
Onder het mom van 'de Nederlandse overheid loopt op te scheppen over een nieuw platform voor cybercrime'. Laten we ze maar even laten zien wat voor faalhazen sommige overheidsinstanties zijn. Die lui werken de hele dag met Word-documentjes, 'wacht maar even, we veranderen de bestandsnamen wel even, kunnen we zien hoe ze reageren'.
Waarom dit gebeurt? Gewoon omdat ze het kunnen waarschijnlijk.
Het verre oosten?
Nee, eerder Syrie of Iran die hier belang bij zou kunnen hebben.
Iran lijkt me wel kanshebber waarbij dit lijkt op een vergelding voor stuxnet.
En was het niet Iran die ook uitwas op onze sofinummers via de hack op diginotar certificaten?
Dit is geen cybercrime, maar cyberwar aanval.
Nee, eerder Syrie of Iran die hier belang bij zou kunnen hebben.
Iran lijkt me wel kanshebber waarbij dit lijkt op een vergelding voor stuxnet.
En was het niet Iran die ook uitwas op onze sofinummers via de hack op diginotar certificaten?
Dit is geen cybercrime, maar cyberwar aanval.
[Reactie gewijzigd door p0pster op donderdag 9 augustus 2012 19:11]
Syrie heeft wel wat anders aan z'n hoofd nu. Iran heeft volgens mij via diginotar een vals certificaat geklust om daarmee mee te lezen in de gmail accounts van hun eigen volk. Stuxnet is volgens velen door VS+Israel geklust.
[Reactie gewijzigd door onox op donderdag 9 augustus 2012 22:10]
Iran was niet uit op Nederlandse sofinummers. Daar hadden ze met de Diginotar hack ook nooit aan kunnen komen omdat ze daarvoor ook de servers van de overheidsinstanties waarmee je communiceert als je dat nummer gebruikt hadden moet hacken.
Natuurlijk hadden ze een certificaat uit kunnen geven voor digid.nl. Maar zonder controle te hebben over een van beide endpoints of controle te hebben over het verkeer tussen die endpoints is zo'n certificaat nutteloos.
En dan komen we gelijk aan voor de echte reden voor de Diginotar hack. Iran heeft verregaande controle over het internet. In eigen land hebben ze dus controle over het verkeer tussen diverse endpoints. Een van de doelen was Gmail. Iran gebruikte een vervalst certificaat om Gmail verkeer af te tappen. En het was Chrome die daar een stokje voor stak omdat Chrome controleert of Google certificaten ook echt de certificaten zijn die verwacht worden door te controleren of het certificaat van een door Google gekozen uitgever komt.
Natuurlijk hadden ze een certificaat uit kunnen geven voor digid.nl. Maar zonder controle te hebben over een van beide endpoints of controle te hebben over het verkeer tussen die endpoints is zo'n certificaat nutteloos.
En dan komen we gelijk aan voor de echte reden voor de Diginotar hack. Iran heeft verregaande controle over het internet. In eigen land hebben ze dus controle over het verkeer tussen diverse endpoints. Een van de doelen was Gmail. Iran gebruikte een vervalst certificaat om Gmail verkeer af te tappen. En het was Chrome die daar een stokje voor stak omdat Chrome controleert of Google certificaten ook echt de certificaten zijn die verwacht worden door te controleren of het certificaat van een door Google gekozen uitgever komt.
[Reactie gewijzigd door Glashelder op donderdag 9 augustus 2012 23:56]
Kijk.Dat is mooi dat men al een tool heeft om de zaak (encryptie)ongedaan te maken. Bravo!Surfright heeft een tool uitgebracht waarmee schade aan documenten wordt hersteld.
Om verdere infectie te voorkomen hebben wij bij een klant file screening aangezet.
Als we nu zien dat een .src bestand wordt weggeschreven lukt dat niet maar krijgen we wel een melding.
Als we nu zien dat een .src bestand wordt weggeschreven lukt dat niet maar krijgen we wel een melding.
Vernietig je daarmee het bestand niet? Als het virus een .doc bestand encrypt en dan opslaat als .src is waarschijnlijk je originele .doc weg?
Ik zou er in ieder geval mee opletten!
Ik zou er in ieder geval mee opletten!
Nee, want het mag niet als .src worden opgeslagen. De gebruiker ziet namelijk een foutmelding dat hij de rechten niet heeft...
Je zou haast gaan denken dat er een pissige ambtenaar dit virus heeft ontwikkeld. Wellicht iemand die géén wachtgeld zou ontvangen. Maar volgens mij is de bron toch al te blocken? En McAfee heeft al een extra definitiebestand vrijgegeven. Dus zouden besmettingen nu al voorkomen kunnen worden.
NonsenseJe zou haast gaan denken dat er een pissige ambtenaar dit virus heeft ontwikkeld. Wellicht iemand die géén wachtgeld zou ontvangen.
Lijkt me ook aannemelijker.Daarnaast is op dit moment nog niet duidelijk waar het virus vandaan komt, maar volgens Van de Velde lijkt het er op dat het om een aanval uit de criminele hoek gaat.
Aangezien dit een illegale praktijk betreft is het per definitie criminele actie lijkt me..
Net zoiets als vertellen dat de persoon die je net geeft beroofd waarschijnlijk een dief was....
Net zoiets als vertellen dat de persoon die je net geeft beroofd waarschijnlijk een dief was....
Er wordt mee bedoeld dat het virus/de aanval waarschijnlijk gedaan is door een criminele bende. En niet zo zeer 1 hacker. Of dat haal ik er ten minste uit.
maar zo'n aanval, ??? ik zou het meer als oorlogsdaad zien dan als 'criminele vergelding' in dat laatste geval zou ik veel eerder een persoonlijke aanpak verwachten...
Dat vind ik wel frappant. Is het dan enkel uitgekomen dat ze geïnfecteerd doordat dit virusje als surplus zich wist te verspreiden? En betekent dit dat ze mogelijk al wekenlang geïnfecteerd waren zonder het door te hebben?Het virus versleutelt Word- en Excel-documenten en verandert de extensie van de documenten naar '.scr', de Windows-extensie voor screensavers. XDocCrypt/Dorifel - er bestaat nog geen eensluidende naamgeving voor het virus - verspreidt zich via bestaande infecties: alle netwerken van de getroffen instellingen waren al onder de controle van een botnet.
Hoewel de schade van dit virus nog wel te overzien is, denk ik dat het botnet (dat er schijnbaar al langer lag) stukken gevaarlijker is. Wie weet waarvoor het botnet gebruikt is.
Nou, de directe schade is misschien te overzien, maar de schade die daarna komt is veel groter:
Wegvallen van vertrouwen in systemen en beveiliging, paranoide worden, bewust worden van de afhankelijkheid van techniek.
Wegvallen van vertrouwen in systemen en beveiliging, paranoide worden, bewust worden van de afhankelijkheid van techniek.
Schade wil ik dit niet noemen, maar juist een positieve ontwikkeling. Dit was misschien maar een pesttrojan, maar ik hoop dat men wel leert beter met de techniek om te gaan.bewust worden van de afhankelijkheid van techniek.
What the... dat noem jij schade? Verklaar je nader ...!
3 keer lol in een post van 2 regels 
Bovendien lijkt me dit geen geval van lol, maar van schandalig slechte beveiliging...
Bovendien lijkt me dit geen geval van lol, maar van schandalig slechte beveiliging...
Wat ik frappant vind is dat de command&control servers (die IP-adressen dus) nog niet onbereikbaar gemaakt zijn. Deze adressen zijn nu al (minimaal) enkele uren oud, met het blokkeren ervan zou je toch al veel ellende kunnen voorkomen.
Uiteraard kan je per bedrijf je firewall op blokkeren zetten voor die IP's, maar handiger lijkt me als de hoster/ISP die achter het IP zit de zaak gewoon dichtzet.
Is er een reden dat dit nog niet gedaan is?
Uiteraard kan je per bedrijf je firewall op blokkeren zetten voor die IP's, maar handiger lijkt me als de hoster/ISP die achter het IP zit de zaak gewoon dichtzet.
Is er een reden dat dit nog niet gedaan is?
Dat is toch censuur?
Wat mis je dan? Malware?
Arcticwolfx heeft gelijk het is een vorm van Censuur, hiervoor zal eerst een schriftelijk bevel van officier van justitie moeten komen lijkt mij.
Waar is trouwens het net opgerichte Nederlandse cyberteam gebleven? horen zij niet actie en reactie uit te voeren in deze situatie. En ook de communicatie te verzorgen naar buiten. Staat deze na enkele maanden nog te jong in zijn kinderschoenen om hiervoor te zorgen.
<paranoide hoedje> OF is dit een vorm van testen hoe alles werkt en eruit zien door dit zelfde cyberteam, werken de nieuw opgezette procedures ook in real life, het is tenslotte een mild virus. Echter het botnet erachter heeft al veel meer informatie over de netwerken buit kunnen maken.
</Paranoide hoedje>
Waar is trouwens het net opgerichte Nederlandse cyberteam gebleven? horen zij niet actie en reactie uit te voeren in deze situatie. En ook de communicatie te verzorgen naar buiten. Staat deze na enkele maanden nog te jong in zijn kinderschoenen om hiervoor te zorgen.
<paranoide hoedje> OF is dit een vorm van testen hoe alles werkt en eruit zien door dit zelfde cyberteam, werken de nieuw opgezette procedures ook in real life, het is tenslotte een mild virus. Echter het botnet erachter heeft al veel meer informatie over de netwerken buit kunnen maken.
</Paranoide hoedje>
het Nationaal Cyber Security Centrum bedoel je? Die doet z'n werk en heeft een paar publicaties hierover uitgegeven:
https://www.ncsc.nl/actue...ft-office-documenten.html
https://www.ncsc.nl/actue...ft-office-documenten.html
die bedoelde ik inderdaad!! dank je wist de site niet 
mijn schuld dus.
mijn schuld dus.geeft niet. Ik wist het ook niet, maar je komt er normaal gesproken vanzelf mee in aanmerking, met sites waar je dergelijke info kan vinden. Handig om te bewaren voor een volgende keer, of regelmatig even op kijken voor nieuwe ontwikkelingen.
Als je eigen ISP het blokkeert kan je het als een vorm van censuur zien, als de hoster gewoon de server uit het rack trekt vanwege schending van de policy (C&C voor malware) natuurlijk niet.
Inderdaad, de hoster kan de boel gewoon afsluiten. Zou wat moois zijn als spammers en malware verspreiders in de lucht moeten blijven vanwege censuur...
Ik zou het toch in dit geval niet erg vinden als deze IP adressen algemeen worden geblokkeerd, nu ingaande, en dat de blokkade dan later weer wordt opgeheven. Het nare van deze besmetting is dat een het een soort auto-update functie heeft. Als je kunt voorkomen dat het virus zicht update, heb je iig de tijd om het te verwijderen.
ik neem aan dat het juist wel handig is om ze online te houden, zul je extra informatie uit kunnen halen dat misschien handig kan zijn in de toekomst.
Op ISP schaal mag dit niet bij wet. Wie bepaald wat een schadelijk IP is, en wanneer is iets schadelijk? Ga er maar vanuit dat de meeste bedrijven software danwel een proxy hebben die automatisch lijsten laadt van malicious IPs. Ben je alsnog aangewezen op een third party, maar beter dan niets.
Voor de thuisgebruiker; aangewezen op je virusscanner met webguard pakket, als je dat hebt.
Voor de thuisgebruiker; aangewezen op je virusscanner met webguard pakket, als je dat hebt.
Stichting BREIN heeft er geen moeite mee dat te bepalen anders.
Gewoon red tape..
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Apple Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
