Overheid: virusuitbraak onder controle

De overheid stelt dat het de Dorifel-virusuitbraak onder controle heeft. Sinds vanmorgen zijn er geen nieuwe meldingen meer binnengekomen. Op dit moment zijn bij sommige organisaties de herstelwerkzaamheden nog aan de gang.

Inmiddels zijn 30 organisaties getroffen door het virus, maar de virusuitbraak is onder controle, aldus het Nationaal Cyber Security Centrum. Welke organisaties momenteel nog bezig zijn met het 'schoonmaken' van systemen en bestanden, is onduidelijk. Een woordvoerster van het NCSC wil niet aangeven welke organisaties zijn besmet. Volgens het NCSC monitoren internetproviders actief op besmettingen. Ook hebben internetproviders de ip-adressen die werden gebruikt om de malware te verspreiden geblokkeerd, beweert het NCSC. Het is echter niet duidelijk welke providers de ip-adressen blokkeren: via meerdere providers zijn deze nog te benaderen.

Inmiddels is echter duidelijk dat een groot aantal Nederlandse organisaties met een besmetting kampt of kampte. Naast het Ministerie van Onderwijs, Cultuur en Wetenschap en een aantal gemeenten zoals Tilburg, Den Bosch en Venlo hebben twee provincies, twee universiteiten, een elektriciteitsnetbeheerder en het RIVM last gehad van het virus. XDocCrypt/Dorifel lijkt vooral in Nederland schade aan te richten en dan vooral bij de publieke sector. Het is onduidelijk of het om een gerichte aanval gaat.

Het virus versleutelt Word- en Excel-documenten op netwerkshares en verandert de extensie van de documenten naar '.scr', de Windows-extensie voor screensavers. De schade door XDocCrypt/Dorifel - er bestaat nog geen eensluidende naamgeving voor het virus - is relatief eenvoudig te herstellen, doordat de gebruikte sleutel in alle gevallen dezelfde is. Surfright heeft een tool uitgebracht waarmee schade aan documenten wordt hersteld. Aanvankelijk werd overigens gedacht dat het om het virus Sasfis ging.

Volgens een medewerker van Fox-IT heeft de beheerder van de trojan donderdag een nieuw commando naar het botnet gestuurd, waarmee een bekende banken-trojan werd gedownload. Het ging daarbij om een executable die volgens VirusTotal door veertig bekende antivirusproducten niet werd herkend.

Uit een analyse van Kaspersky blijkt dat negentig procent van de infecties in Nederland is. Volgens Kaspersky is het virus verspreid via e-mail. Eerder beweerde het Nederlandse ict-beveiligingsbedrijf Fox-IT dat het virus via een bestaand botnet werd verspreid, wat zou betekenen dat de getroffen organisaties al in de macht van een botnet waren. Een botnet bestaat uit een grote verzameling hosts die besmet zijn met malware en waarnaar de beheerder van het botnet commando's kan sturen. Opvallend is dat Kaspersky stelt dat het virus zichzelf nog steeds verspreidt, terwijl het NCSC geen nieuwe infecties heeft geconstateerd. Mogelijk gaat het om infecties buiten Nederland.

IT-banen

Reacties (75)

010453krala 10 augustus 2012 14:21

Naast Amsterdam en Utrecht is ook de Erasmus universiteit besmet volgens de mail die ik vanochtend kreeg van de ICT afdeling. Ben benieuwd of er nog meer meldingen bijkomen

Seth_Chaos 10 augustus 2012 14:31

Ze hebben niets onder controle. De ISP's blokkeren de IP's niet. En alle kwaadaardige code is nog niet boven water. We hebben een hele rits virusscanners erop los gelaten. Register sleutels verwijderd, bootsectors opgeschoond en nog altijd probeert de schijnbaar nog verborgen kwaadaardige code, verbinding te leggen met de IP's die hierboven genoemd worden. Als in de code ook andere IP's zijn opgenomen die via een deathman switch geactiveerd worden, is alles weer terug bij af.

Bartvw 10 augustus 2012 15:01

Ik kreeg vandaag via de mail een waarschuwing dat ook de Erasmus Universiteit getroffen is door het ‘XDocCrypt/Dorifel’-virus.

Dus dat is universiteit nummer 3.

De mail staat in dit topic.

awh84 10 augustus 2012 15:24

Goede tip van http://www.surfright.nl/nl/support/dorifel-decrypter

2.Create a folder named System Volume Information in the root of each share. This will prevent re-infection of the documents in your shares when infected clients are reconnecting.

Waarschijnlijk denkt het virus dan dat het een lokale schijf is in plaats van een netwerkshare?

Edit:
2 nieuwe linkjes van Trend Micro:
http://about-threats.tren...us/malware/PE_QUERVAR.B-O
http://about-threats.trendmicro.com/us/malware/PE_QUERVAR.B

Edit 2:
Extra ip-adressen
Bron: http://www.damnthoseproblems.com/?p=599

64.191.51.208 (werthasd1.com/g.php)
203.119.8.111 (wwfas52.vn/g.php)
158.255.214.59 (no URL found, but the proxy server didn’t recognize the method used, and therefore we think it’s malicious – this traffic was only observed from machines which were identified as infected)

[Reactie gewijzigd door awh84 op 31 juli 2024 23:47]

Verwijderd 10 augustus 2012 16:00

Hij, het virus waart nog steeds rond.

Het Nationaal Cyber Security Center meldt dat de verspreiding van het virus Dorifel tot staan is gebracht, maar virusbestrijder Kaspersky zag in Nederland in enige uren 1100 nieuwe infecties (in nederland) ontstaan.en het virus is nu ook actief in China, Canada en Polen.

http://webwereld.nl/nieuw...jft-zich-verspreiden.html

Casper de Boer @Verwijderd • 10 augustus 2012 16:23

Blijkbaar gaan er ook telefoontjes rond via een fake helpdesk om mensen "helpen" met het verwijderen ondertussen.
<bron>
<bron update NCSC>
UPDATE 10 AUGUSTUS 2012 14:45
Momenteel komen er berichten van personen die telefonisch benaderd zijn door Microsoft om hen te helpen bij het verwijderen van het Dorifelvirus dat op dit nu in het nieuws is.

[Reactie gewijzigd door Casper de Boer op 31 juli 2024 23:47]

awh84 10 augustus 2012 17:15

Kaspersky probeert de servers waar het virus gehost wordt uit de lucht te halen.

http://newsroom.kaspersky...38a2abd3c6529afb85a8a4d2a

Edit: Stinger van Mcaffee kan het virus nu ook opruimen.

[Reactie gewijzigd door awh84 op 31 juli 2024 23:47]

DigitalExorcist 10 augustus 2012 13:46

De overheid die zegt dat ze een probleem onder controle hebben.

Nu is hét moment om in paniek te raken.

Verwijderd @DigitalExorcist • 10 augustus 2012 13:51

De overheid die zegt dat ze een probleem onder controle hebben.

Nu is hét moment om in paniek te raken.

Ook nog echt:

Toegevoegd: vrijdag 10 aug 2012, 12:29
Update: vrijdag 10 aug 2012, 13:39

Het computervirus dat zich al een tijd op computers van bedrijven, gemeenten en overheidsinstanties bevindt, heeft nieuwe schadelijke software geïnstalleerd. Op zo'n honderd pc's is de zogeheten Hermes banking trojan gedownload.

Gisteren en eergisteren werd via het netwerk (botnet) dat het virus had gecreëerd het Dorifel-virus verspreid. Dat zorgde er voor dat Excel- en Word-bestanden onbruikbaar werden. Al vrij snel werd toen duidelijk dat de besmette computers al veel langer last hebben van een ander virus, dat de snelle verspreiding van Dorifel mogelijk maakte en wat nu dus ook voor de verspreiding van Hermes wordt gebruikt.

Bron: NOS.nl

iLaurens 10 augustus 2012 13:39

Ik vraag me af waarom zulke onnozele virussen toch nog gemaakt worden? Als je een dergelijke exploit hebt gevonden en je wil graag kwaad doen, dan zijn er toch veel 'betere' dingen die je kan doen? Dingen waar je geld aan kan vinden bijvoorbeeld.

[Reactie gewijzigd door iLaurens op 31 juli 2024 23:47]

Blue_Entharion @iLaurens • 10 augustus 2012 13:41

Wat vaak het geval is is dat overheidsinstanties e.d. niet luisteren naar waarschuwingen, en als black-hat hacker proberen ze het kwaadschiks op te lossen door de exploit te gebruiken en schade aan te richten.

(aka het moet altijd flink fout gaan voordat de overheid iets doet)

[Reactie gewijzigd door Blue_Entharion op 31 juli 2024 23:47]

Verwijderd @Blue_Entharion • 10 augustus 2012 14:24

Wat hier het geval is, is dat de overheden er redelijk open over zijn of ze wel of niet getroffen zijn. Commerciële bedrijven gaan niet uitgebreid melden dat hun netwerken geïnfecteerd zijn met virussen.

BlaDeKke @Verwijderd • 10 augustus 2012 16:39

Bij deze zullen ze wel moeten, de veroorzaakte schade is zo groot. Dat het probleem wel langst een of andere kant naar buiten had gevloeid.

Verwijderd @Blue_Entharion • 10 augustus 2012 13:45

Het is ook makkelijk generaliseren als je over de overheid spreekt die volgens jou "niet luistert".

Er zijn ook overheidsinstanties die hun zaakjes wel op orde hebben en daar zul je weinig van merken.

Jammer dat er bij het begrip "overheid" vaak wordt gegeneraliseerd.

Een MCSA Windows Server 2008, werkende bij de "overheid" die deze aanval heeft overleeft

[Reactie gewijzigd door Verwijderd op 31 juli 2024 23:47]

codebeat @Verwijderd • 13 augustus 2012 06:13

Certificering bedacht door een bedrijf dat het product op de markt brengt is sowieso bullshit. Een certificering behoort onpartijdig te zijn.

DeV0uReR @Verwijderd • 10 augustus 2012 14:05

MCSA 2008? Die certificering bestaat volgens mij niet...

TMDevil

@DeV0uReR • 10 augustus 2012 14:12

Dan heb je wat nieuwe informatie:
http://www.microsoft.com/...s/certification/mcsa.aspx
(de certificeringen heten weer mcsa/mcse).

[ontopic]
Ik vraag me af als er alleen maar in Nederland uitbraken zijn geweest, of ook in de rest van Europa/ de wereld. Momenteel lijk het alleen om Nederland te gaan

[Reactie gewijzigd door TMDevil op 31 juli 2024 23:47]

sumac @TMDevil • 10 augustus 2012 20:15

Wat ik me afvraag is hoe het bij de gewone gebruiker staat, de thuisgebruiker dus...

the-dark-force @sumac • 10 augustus 2012 22:28

Na grondig niets doen heb ik geconstateerd dat mijn systeem schoon is.

De gewone gebruiker zit al jaren in een botnet of heeft een her-installatie gehad.
dit virus is natuurlijk door alle a.v. bedrijven bekend en dus ook gedetecteerd door de software en word dus gewoon verwijderd door hun nod32 of avg

mn oma werd toevallig vandaag nog gebeld door de microsoft helpdesk...
'k had eigenlijk even zijn verhaaltje aan moeten luisteren om te kijken of ze gebruik gemaakt zouden hebben van deze uitbraak in nl...

L0g0ff

@Blue_Entharion • 11 augustus 2012 12:27

@Blue_Entharion

Als je jezelf iets beter in dit virus verdiept dan weet je dat dit dinsdag al is uitgebroken en pas op zijn vroegst woensdag virus definities waren die er iets tegen konden doen.

Dit heeft niks met falen van de overheid te maken maar alles met een te trage reactie van antivirus bedrijven. Het trend-micro officescan pakket bij ons detecteerde het virus pas donderdag. Gelukkig waren MS security essentials en housecall wel eerder met de definities maar toen was het kwaad al geschied. Van de gemeente Tilburg weet ik dat ze ook een virus pakket hebben draaien die te laat uit kwam met zijn definities.

Bij een klant van ons die deze problemen heeft gehad waren 200GB aan excel, word en exe's in de soep gedraaid. Het is fijn dat er nu herstel oplossingen voor handen zijn maar wij zaten al midden in recovery werkzaamheden en moet toch gewoon terug van backup. Zeker omdat antivirus software deze xls, doc en exe's (*.scr) gewoon als virus bestempeld en in quarantaine plaatst weten we nu gewoon geen status te bepalen van de corrupte bestanden.

Misschien moeten we naast SMTP blacklist lijsten ook maar eens een IP blacklist gaan publiceren. Ik ben voor iig

Verwijderd @iLaurens • 10 augustus 2012 13:53

Ik vraag me af waarom zulke onnozele virussen toch nog gemaakt worden? Als je een dergelijke exploit hebt gevonden en je wil graag kwaad doen, dan zijn er toch veel 'betere' dingen die je kan doen? Dingen waar je geld aan kan vinden bijvoorbeeld.

Hermes, de nieuwste virus is een banking trojan.
Deze, "gemeentelijke" aanval was ook bedoeld voor het plunderen van bankrekeningen. Ik vind die gasten allerminst onnozel

Oekraïne

Het Hermes-virus verspreidt zich volgens internet-beveiligingsbedrijf Fox-IT via een server waarvoor het bedrijf al eerder gewaarschuwd heeft, en die vermoedelijk vanuit Oekraïne opereert. De meeste virusscanners zijn nog niet in staat de nieuwe Hermes-trojan te ontdekken.

http://nos.nl/artikel/405...aalde-nieuwe-malware.html

[Reactie gewijzigd door Verwijderd op 31 juli 2024 23:47]

TDeK

Beveiliging

@Verwijderd • 10 augustus 2012 14:04

Inderdaad, de criminelen hebben door dat het enerzijds makkelijker is om malware bij particulieren te droppen, echter blijft de buit beperkt simpelweg omdat er doorgaans niet veel geld op de bankrekeningen staat. Bij bedrijven en (semi)overheden is doorgaans veel meer te halen, vandaar dat ze daar nu de focus op leggen, ook al is het wel moeilijker om die machines te infecteren, geïnfecteerd te blijven én te zorgen dat je malware geen verdacht gedrag vertoond (in dit geval ging het hier fout).

ATS @TDeK • 10 augustus 2012 15:26

Nou, het ging niet toevallig fout. Je gaat niet per ongeluk documenten encrypten.

Maarten_vw @iLaurens • 10 augustus 2012 13:47

Of, zoals hieronder al wordt gesuggereerd, het is een cover-up voor een gevaarlijker ingenieuzer virus. Dan lijkt een onnozel virus ineens weer ergens goed voor (goed in de ogen van de hackers dan

Verwijderd @iLaurens • 10 augustus 2012 14:19

Ik vraag me af waarom zulke onnozele virussen toch nog gemaakt worden? Als je een dergelijke exploit hebt gevonden en je wil graag kwaad doen, dan zijn er toch veel 'betere' dingen die je kan doen? Dingen waar je geld aan kan vinden bijvoorbeeld.

is wel een makkelijke manier om geld binnen te harken, virus doet zijn werk

BoringDay @iLaurens • 10 augustus 2012 18:51

Dezelfde onnozele reden de Amerikanen een virus op Iran hadden afgestuurd, geld en macht.

De overheid kan wel beweren dat het onder controle is maar we weten natuurlijk beter.
Het kwaad is namelijk al geschied ... privacy gevoelige gegevens! en wie houd dat dan nog tegen? ik denk geen enkel overheid.

En dat men nog steeds toestaat bijlage's in de email ... het is al 10 jaar bekend dat dit juist de gaten zijn in het OS

[Reactie gewijzigd door BoringDay op 31 juli 2024 23:47]

airell 10 augustus 2012 13:50

Die nieuwe executable die binnengehaald is zou waarschijnlijk de Hermes banking trojan zijn... http://webwereld.nl/nieuw...nloadt-nieuwe-trojan.html

SunnieNL

@airell • 10 augustus 2012 15:51

Ja en wat vreemd is... 'bekende trojan' en 'door 40 virusscanners niet herkend' ...
Wtf zijn die virusscangasten aan het doen?

thof

@SunnieNL • 10 augustus 2012 16:26

Het is een nieuwe variant op een al bestaande trojan, waardoor hij niet direct gedetecteerd wordt. Lijkt mij dat een virusmaker hun programma eerst door een paar scanners haalt voordat deze persoon ze gaat verspreiden

Misschien hadden betere heuristieken wat uitgehaald, maar dat verhoogt de kans weer op flase-positives.

the-dark-force @thof • 10 augustus 2012 23:09

tegenwoordig met die online scanners kun je zelfs crypters kopen die je malware crypt en daarna scant om te kijken of hij door de webscanservices gezien word als malware.

deze crypters kosten nog geen 25$ en zijn overal te krijgen, ik denk ook dat er daardoor veel vaker dit soort dingen gebeuren.
de instap is zo makkelijk dat het zelfs een 12 jarige je creditcard gegevens kan stelen tegenwoordig want op dezelfde site als de crypter word je ook aanbevolen welke trojan het beste is voor welke taak en hoe je je poorten moet openen.

het is net tom en jerry, waarbij de av bedrijfen de kat zijn.
altijd net iets te laat, zelfs in plain sight zien ze iets niet aankomen.

SuBBaSS @airell • 10 augustus 2012 13:59

Ah, Fox-IT raadde al aan die 2 184.xxx.xxx.xxx ipś in firewalls te blokkeren, da's goed natuurlijk, maar waarom zijn die servers nou niet offline gehaald dan?
Ik las eerder al dat ze ze online zouden houden ivm het onderzoek oid., maar nu blijkt dat er dus alsnog extra acties zijn uitgevoerd kan het probleem dus nog veel groter worden dan enkel aangepaste bestandsnamen...
Hier kan ik niet bij!

DoingK 10 augustus 2012 13:40

Als ik in de een-na laatste alinea lees dat de beheerder een nieuw commando naar het botnet stuurt, en in de laatste alinea staat dat het niet via een botnet verspreid is, dan snap ik het niet meer helemaal

Was/is er nu wel of niet sprake van een botnet?

bzerk @DoingK • 10 augustus 2012 15:15

Of het al dan niet via het botnet verspreid is is niet helemaal duidelijk.
Wat wel duidelijk is: geinfecteerde PC's *worden* lid van het botnet.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (75)

Sorteer op:

Weergave: