Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 87, views: 50.497 •

Er is een nieuwe versie gesignaleerd van het Dorifel-virus, dat vorige maand schade aanrichtte bij een aantal organisaties in Nederland, waaronder ministeries en provincies. De nieuwe versie van het virus is moeilijk te detecteren.

Het nieuwe Dorifel-virus is ontdekt door beveiligingsonderzoeker Mark Loman, ceo bij Surfright. De nieuwe versie is versleuteld, in tegenstelling tot het originele virus. Daardoor is het moeilijker te herkennen voor virusscanners; slechts 3 van 42 geteste virusscanners zouden de nieuwe versie herkennen. Volgens Loman heeft het virus op elke pc die het infecteert een andere hash; dat maakt het lastig voor antivirusbedrijven om definities uit te brengen waarmee de malware wordt gedetecteerd.

Circa twintig minuten na installatie downloadt de nieuwe versie van Dorifel volgens Loman een rootkit die verwijdering verder bemoeilijkt. Ook wordt ransomware gedownload. Gebruikers krijgen een venster te zien dat zogenaamd van Buma/Stemra afkomstig is, waarin wordt gemeld dat ze illegaal hebben gedownload en daarom een boete van 100 euro moeten betalen. Doet een gebruiker dat niet, dan krijgt hij geen toegang tot zijn computer en bestanden.

De vorige versie van Dorifel deed iets vergelijkbaars; onder meer Word- en Excel-documenten werden ontoegankelijk gemaakt. Daarbij werd, om onduidelijke redenen, echter geen vergelijkbare melding getoond. Het was daarom lang onduidelijk waarom de malware de documenten verminkte. Misschien is de waarschuwing toen per abuis niet getoond.

Volgens Loman heeft de ontwikkelaar van de malware zijn code opgeschoond en wordt er nu bijvoorbeeld minder vaak gecommuniceerd met de command-and-control-server, die de malware nieuwe instructies kan sturen. Die instructies zitten in de nieuwe versie verstopt in een afbeelding van Mohammed Ali.

Hoeveel mensen al zijn besmet met de nieuwe Dorifel-versie, is onduidelijk. "Ik heb het Nationaal Cyber Security Centrum er al over ingelicht", zegt Loman. Hij onderzoekt nog of er in Nederland infecties zijn. Woordvoerster Mary-Jo van de Velde van het NCSC zegt dat er nog geen meldingen binnen zijn gekomen over besmette pc's bij de overheid.

Beveiligingssoftware die Lomans bedrijf heeft ontwikkeld, HitmanPro, kan de malware verwijderen. Eerder dook al een nieuwe versie van de malware op in de Verenigde Staten. Volgens beveiligingsbedrijf Digital Investigation is het aan te raden om het ip-adres 91.220.35.61 in de firewall te blokkeren, evenals de domeinnamen open-consulting-company.com en oianowifna.ru. Die worden waarschijnlijk gebruikt om de malware te verspreiden of dienen als command-and-controlserver.

Nieuwe DorifelNieuwe Dorifel

Beelden: Mark Loman

Reacties (87)

Reactiefilter:-187084+170+214+33
Wat een lol mensen nog steeds hebben in het maken en verspreiden van virussen ontgaat me nog steeds, maar okay. Hier is zo te zien weer iemand bezig met geld te proberen te verdienen met ransomware.

Hoop dat onze viruskillers weer snel een update krijgen want hier zit je weer niet op te wachten...
Maar hier trap je toch nooit in? Kijk een naar dat Nederlands.... Ik krijg phishing berichten die beter zijn.
Het bericht is lachwekkend slecht, maar op het moment dat je dat ziet is het al te laat. Slecht geschreven of niet, je PC is gegijzeld.

Ik ben wel benieuwd welke 3 AV producten dit versie al herkenden. Dat wordt helaas niet vermeld.
Als je een volledige en beetje recente backup hebt is het weinig schokkend
Zelfs in het beste geval, waarin je meerdere point-in-time backups bijhoudt, zul je nog altijd moeten gaan uitzoeken wanneer de infectie heeft plaatsgevonden, anders herstel je die vrolijk opnieuw met de backup.

Daarnaast is het aantal thuisgebruikers met een sluitende backupstrategie natuurlijk beperkt. En als ik de schrijver van Dorifel was zorgde ik er in ieder geval voor al je bestaande backups te besmetten, voor het geval je gebruik maakt van de standaard Windows backup en de backups niet verplaatst naar een offline medium zodra ze gemaakt zijn (disclaimer: ik heb geen idee of Dorifel zelf dat doet, maar ik neem aan van niet).

Met andere woorden, beetje makkelijk.
Als je twee of meerdere monitoren hebt, kun je er onderuit komen wanneer je icoontjes op je andere schermen hebt staan waarmee je bij een alternatief process kill programma kan komen. Want de andere schermen dan het primaire scherm worden niet geblocked ;-). Het startmenu is hidden en sommige toesentbord combinaties staan uit.

Ik heb hem ook een keer gehad, de eerste versie dan (weet niet precies hoe). Computer gelijk uitgezet. Opgestart met tweede partitie. Rare bestanden weggegooid. Opnieuw opstarten en klaar. Vergeet vooral niet de temp directory te legen.

Toen ik het voor de eerste keer zag dacht ik meteen: "Yer right", buma-stemra en politie. En als dat zo zou zijn dan zouden ze dat nooit zo op deze manier kunnen doen (want het is chantage om je computer te vergrendelen voor iets zoals dit). Ik dacht eerst dat het een browser venster was maar dat bleek dus niet zo te zijn.

Maar wel uiterst vervelend die virussen, niet alleen irritant maar kost ook de nodige tijd. Je krijgt er echt knok-neigingen van.
Dit virus hijacked waarschijnlijk het explorer.exe proces (dat is tenminste wat ik een tijdje geleden heb gezien bij de Belgische variant) en valt makkelijk weg te halen door op te starten met een DOS prompt (niet in veilige modus, daar heb je nog steeds explorer!) en te scannen met Microsoft Safety Scanner (portable scanner van microsoft). Een rondje Malwarebytes erover gooien kan ook geen kwaad :)
Bedankt voor al deze nuttige tips. Toch wil ik nog even mijn duit in het spreekwoordelijke zakje doen. "Never let an infected system scan itself." is wat ik ooit van mijn ICT leraar heb geleerd en als het een hardnekkig root-kit virus betreft is dit absoluut waar. Wat dan wel te doen? Ik zet 99,9% in op tools als rescue bootable cd's en/of USB sticks. Je boot dan 100% clean met b.v. Kapsersky rescue op een USB. Download de nieuwste definities en je kunt scannen op een 'bevroren' OS dat root-kits buitenspel zet (tenzij deze in de BIOS zitten).
Ook kun je met een ander OS op een 2e partitie of andere HD je geïnfecteerde systeem scannen.
(Ik noem 1 smaak hierboven, is geen reclame er zijn er nog veel meer hoor! Allen te vinden op http://antivirus.startpagina.nl/ het gaat erom dat je een scan doet buiten het geïnfecteerde systeem om. En ja, check de USB/cd die je hebt gemaakt een week later ook nog maar eens om te kijken of je niet per ongeluk een zero-day hebt meegepakt. Liefst op een USB stick die je hardwarematig op 'read only' kunt zetten)
Ik raad een DVD/CD aan over een USB-stick. Dit omdat een virus eventueel een USB-stick kan infecteren. Een virus kan ook actief worden door een ander OS, al is die kans niet heel groot. Denk bijvoorbeeld aan de bug met icoontjes van bestanden, als die ook op Linux zou werken. Of een virus dat zich nesteld in het BIOS of in hardware.
Het probleem met het virus is dat scanner van buitenaf niet helpt, tenminste op de computer die ik moest fixen hielp het niet Je kan bijvoorbeeld booten met mini-windows XP (hirens boot cd), alles scannen zo veel je wil, zo veel mogelijk bestanden verwijderen die je wil, en dit virus zou nog steeds aanwezig zijn. De belgische variant is best hardnekkig! Het register wordt niet gescant als je het van buitenaf doet, dus het virus zal zich gewoon herstellen tenzij je het register van de originele windows toch nog kan benaderen en scannen :)

In safe mode kon je ook niets doen (hieronder wordt vermeld dat je simpelweg de task manager kan starten, wat natuurlijk niet kon bij het virus dat ik tegenkwam). Je kon niets op die computer. Na het herstellen van het virus bleek dat dit virus absoluut alles had uitgeschakeld dat niet nodig was om het systeem stabiel te draaien en een waarschuwing weer te geven op het scherm. We spreken hier over een Windows XP met een stuk of 10 processen :) Zelfs na het opschonen van het systeem was de computer eigenlijk niets waard. Best hardnekkig dit virus.

[Reactie gewijzigd door HuRRaCaNe op 28 september 2012 00:47]

Je kan er heel makkelijk omheen komen, je doet CRTL+ALT+DELETE, andere gebruiker en vervolgens sluit je Windows af. Dat afsluiten wordt geblokkeerd door Windows omdat het geforceerd moet worden. Dat annuleer je en je logt weer in. Dan krijg je gewoon je desktop en (flash)scan je even met MalwareBytes en HitmanPro. Heb het al bij meerdere pc`s op deze manier opgelost.
en wat doe je dan vervolgens met de bestanden die ondertussen versleuteld zijn?
Ik denk dat je in de war bent namelijk met andere randsomware dat ik ook al meerdere keren heb gevonden en heb verwijderd, en dus niet te maken hebt gehad met het dorifel-virus dat ook daadwerkelijk bestanden versleuteld...
Helaas slachtoffer geworden van dit virus vorige week vrijdag. F-secure rescue CD kon na een scan van 4 uur geen oplossing bieden. AVG rescue CD detecteerde het virus en verwijderde het na een 2 uur durende scan.

En inderdaad het bericht is slecht geschreven, maar als het ziet kun je je computer dus al niet meer in. Hier was het trouwens een "u heeft kinderporno gedownload of verspreid, betaal 100,00" versie, maar zoals hier aangegeven en niet zoals een maand geleden.
Ik heb hem laatst verwijderd bij iemand door op te starten in safe mode en met ccleaner er voor gezorgd dat ie niet opstartte, echter als hij na 20 minuten al dingen doet die die de vorige keer niet deed zal het wel moeilijker worden!
gewoon combofix, hijackthis, malwarebytes, superantispyware en roguefix en klaar is kees :)
Ik had een soortgelijke virus een paar maanden terug - in dat geval kreeg ik een pop-up waarschuwing van de Franse staat (waar ik woon), en gezien hier *wel* wettelijke maatregelen worden uitgevoerd tegen downloaders (kuch...) was dat toch even schrikken!

Ik kan je vertellen dat dat niet zo 1, 2, 3 te verwijderen was en ook ik gebruikte meerdere tools (in safe mode en vanaf boot CD) om te proberen het op te sporen. Uiteindelijk bleek het in één of ander system file te zijn verborgen en moest ik met de hand de originele bestand uit de system restore laten halen (wat met scheduling tijdens reboot moest gebeuren - heb veel moeten leren die dag). Kostte een uur of twee in totaal.

Het scheen een erg nieuwe virus te zijn waar weinig info over was / tools tegen te vinden waren. Klinkt bijna alsof dit gewoon de Nederlandse versie van is (toendertijd was "mijn" virus alleen in Frankrijk en Duitsland gesignaleerd).

Ik was nogal pissig omdat ik helemaal niets fouts deed - ik gebruik Opera en block alle ads die ik tegen kom (ook als ze erg in de code worden genesteld). Ik surfte helemaal niet roekeloos toen dit ineens op-popte - was bezig een image search van Google door te bladeren, dus de trojan zat op een site of ad die in de achtergrond werd geladen toen Google de foto zelf liet zien. Was al geen fan van nieuw-style Google Images, waarom niet eerst alleen de foto laten zien zoals vroeger? AVG merkte er ook helemaal niets van... heb je zo'n virus scanner, doet 'ie het ook niet! :(

[Reactie gewijzigd door MossMan op 27 september 2012 17:47]

dat zijn geen actieve scanners hé, maar gewoon executables zoals elk geinstalleerd programma ... sommige moeten zelfs niet eens geïnstalleerd zijn ...
Als ik zie hoe slecht het Nederlands is van de gemiddelde Nederlanders (zie alleen maar de comments op bijvoorbeeld www.telegraaf.nl) dan denk ik dat veel mensen het geeneens doorhebben dat het slecht Nederlands is....
Ik ken meerdere mensen die in een vorige versie zijn getrapt. Die leek hier erg op (zelfde schermindeling etc.), maar gaf een melding dat er kinderporno op de computer zou staan. De betrokken personen hebben hiervan aangifte gedaan bij de politie. De politie gaf hen aan dat er al redelijk wat aangiften lagen. Ik ga er bovendien vanuit dat niet iedereen hier aangifte van zal doen, aangezien het toch wel beschamend is als je hier in trapt.
Dit virus is niet ontwikkeld voor de lol, maar puur om mensen geld te onttrekken. Zit waarschijnlijk een criminele organisatie achter en ze hebben het dus goed aangepakt.
Inderdaad... extra reden om de daders aan te pakken. Follow the money lijkt me.

Is het eigenlijk niet mogelijk de organisatie paysafecard deels verantwoordelijk te houden. Als hun dienstverlening dit soort misbruik mogelijk maakt, overtreden ze denk ik wel de "Wet identificatie bij dienstverlening".
De tijd van voor de lol virussen schrijven is allang voorbij. Dit is ook geen smakeloze grap, maar een smakeloze truc.
Het verbaast mij eigenlijk dat er zo weinig virussen zijn die je hele serverbased My Documents folder en alle server based shared folders encrypten, waarna je het wachtwoord kan kopen van de virusmaker. Met een goede backend kun je prima per-user wachtwoorden bijhouden zodat één wachtwoord niet meteen alle data van alle geinfecteerden unlockt.
Snel die afbeelding van de site halen? Als antivirus en firewall producten op zijn minst de afbeelding blokkeren scheelt al een hoop ellende lijkt mij... Heb je geen communicatie met de C&C en kan je hem verwijderen
Ja dat helpt echt heel erg veel en dan natuurlijk ook alle andere afbeeldingen op het internet blokkeren en oh ook alle andere bestanden want het kost in totaal wel 2 seconde om de commando's in een ander document of bestand te verstoppen.

Denk je nu echt dat het virus zo geschreven is dat het zo dood eenvoudig te stoppen zal zijn? Sorry maar iemand die een virus als dit schrijft (duidelijk de Nederlandse taal niet beheerst dat dan weer niet) heeft voldoende verstand van zaken om niet zo'n domme fout te maken.
Ga er maar van uit dat het deze keer dit bestand is maar dat het net zo makkelijk met iedere andere afbeelding kan omdat de opdrachten in bepaalde bytes staan en zo lang het bestand maar minimaal een x aantal bytes bevat maakt het niet uit welk bestand gebruikt wordt. De commando's worden bijvoorbeeld gevormd door iedere tiende byte samen te voegen of zo iets.

Hoe dan ook als de hash telkens anders is dan is het erg lastig om uit te vinden of een bestand wel of niet het virus is en zul je een stuk meer werk moeten verzetten om hier zeker van te kunnen zijn. Maar als het virus (zo als nu het geval is) eenmaal gevonden is dan is het veel al een kwestie van dagen voor dat de meeste virus scanners het ver genoeg ontleed hebben om het hoe dan ook altijd te kunnen herkennen.
Dat begrijp ik ook wel maar op het moment dat je deze afbeelding blokkeert heb je toch wel even de tijd om het virus te verwijderen omdat dit virus minder vaak met de C&C communiceert.. De vorige versie gebruikte ook maar 1 afbeelding (correct me if I'm wrong).
Ik vraag me echt af hoeveel personen in de ransomware trappen.

Ten eerste door de vele spel-/taal-fouten. En ook de betaling die via Paysafecard verloopt.

Op een gegeven moment moet er toch wel een belletje gaan rinkelen zou je zeggen ?
Als jij je bestanden terug wilt, mag je hopen dat ze na betaling een decrypter opsturen.
Op de site van SurfRight is er echter al een decrypter beschikbaar.
http://www.surfright.nl/n...orifel-decrypter#download
Daarnaast zou ik graag willen weten welke AV ze wel heeft geblokkeerd en met welke instellingen, een bron dus.
Ik weet niet waar maar ik had ergens gelezen dat er na betaling dus helemaal niets gebeurde, bron ben ik even kwijt

Edit :

https://www.virustotal.co...dbff/analysis/1348728915/


Deze scanners detecteren de "nieuwe" variant dus

[Reactie gewijzigd door Imnoa op 27 september 2012 14:02]

Helaas is die lijst alweer verouderd: De meeste scanners hebben dagelijkse of meermaals dagelijkse updates. Best kans dus dat de mainstream scanners het ondertussen ook detecteren.
Bij moment van schrijven is 15 minuten geleden de laatste analyse geweest en slechts 6 van de 42 scanners herkennen deze nieuwe variant:

https://www.virustotal.co...91d20d92dcddbff/analysis/

Men heeft weer een groot probleem als de grote anti-virus jongens de updates niet snel doorvoeren.
in de lijst staat dat SUPERAntiSpyware al minimaal 16 dagen en emsisoft ruim een week van het virus 'afweet'. Ze hebben dit dus al eerder gevonden en er een update van kunnen uitbrengen.

Ze zullen misschien niet meteen de link naar het dorifel-virus gelegd hebben, maar als er al overeenkomsten gevonden zijn, waarom niet eerder door 1 van de 3 antivirusmakers?

Nu ben ik niet bekend met deze 2 AV programma's, maar vind dit wel vreemd.
Iemand alweer een lijstje host servers waar die onzin van binnengeharkt wordt? Kan dat i.i.g. dicht in bedrijfsfirewalls.
Een ouder lijstje alweer ( 15 augustus)
Maar dit is het enige wat ik zo snel kon vinden

184.22.246.252
158.255.211.28
184.22.102.202
184.22.103.202
184.82.107.86
184.82.162.163
bank-auth.org
reslove-dns.com
wesaf341.org
windows-update-server.com
xertgfd.ru


Kleine kans dat deze ip's nogsteeds gebruikt worden maar blokkeren kan geen kwaad denk ik
En kunnen we wat halen uit het tweede screenshot?
Op de site van Surfright staan nieuwere adressen (zie link van Soldaatje hierboven):

91.220.35.61
oianowifna.ru
greatnewidea1.ru
greatnewidea12.ru
www[punt]organizasyonservisi[punt]com
unionfilesexchnges.su

Edit: url niet-aanklikbaar gemaakt.

[Reactie gewijzigd door xgnoom op 27 september 2012 16:54]

*wacht op telefoontje vanaf huis dat Buma Stemra achter me aan zit* :P
Krijg je niet dat telefoontje van de FBI, dat ze je willen opsluiten in een van hun gevangenissen? Die laten immers ook weinig blijken van enige kennis over grenzen.
Na een regel van dat "politiebericht" mag ik toch aannemen dat niemand die betaling ook maar zal overwegen. Het virus zelf lijkt me verder al vervelend genoeg dus ook zonder betaling een behoorlijk vervelend geintje.
Ik denk ook dat er genoeg mensen zijn die weten dat het allemaal nep is, alleen hopen door te betalen toch hun bestanden terug te krijgen.
Ik zou het interessant vinden om te weten welk anti-virus hem dan wel detecteerd, jammer dat dit niet vermeld wordt in het artikel.
Als deze met phishing binnenkomt, heeft iemand toevallig een patroon voor op de spam/av filters of URL filter ?
Zojuist een PC hier binnen gekregen op m'n werk van een klant. Had het virus te pakken en zou ook iets van BUMA/STEMRA gezien hebben. Ben benieuwd of het deze nieuwe variant is... hopelijk gewoon de oude, die kan ik tenminste nog relatief eenvoudig verwijderen...

Ach, het zorgt wel voor werk, dat wel... :P
Er zijn meerdere virussen die met Buma/Stemra meldingen komen, meer dan een maand geleden ook voorbij zien komen. Overigens kwam de melding alleen als er een internet verbinding was. Oplossing was het gebruiken van de kaspersky rescue disk en daarmee een scan doen.
Het opschonen van de computer is een fluitje van een cent.
Start de computer op in een account van een andere gebruker, of in de veilige modus.
Voer hier een viruscan uit met microsoft sicurity essentials en verwijder de aangetroffen bestanden.
Echter blijkt dit in de praktijk niet voldoende te zijn. Omdat de nieuwe Dorifel virussen over een rootkit beschikken :Y)

Referentie: https://www.virustotal.co...dbff/analysis/1348728915/

[Reactie gewijzigd door Unflux op 27 september 2012 14:36]

Die scan is van de ZeroAccess trojan met 'rootkit' beveiliging. De detectie van Dorifel zelf was dinsdagavond 8/42 (alleen generieke detectie vanwege de encryptie): https://www.virustotal.co...91eedc256c91889/analysis/

Op dit item kan niet meer gereageerd worden.



Populair: Samsung Intel Smartphones Processors Sony Microsoft Games Apple Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013