De overheid stelt dat het de Dorifel-virusuitbraak onder controle heeft. Sinds vanmorgen zijn er geen nieuwe meldingen meer binnengekomen. Op dit moment zijn bij sommige organisaties de herstelwerkzaamheden nog aan de gang.
Inmiddels zijn 30 organisaties getroffen door het virus, maar de virusuitbraak is onder controle, aldus het Nationaal Cyber Security Centrum. Welke organisaties momenteel nog bezig zijn met het 'schoonmaken' van systemen en bestanden, is onduidelijk. Een woordvoerster van het NCSC wil niet aangeven welke organisaties zijn besmet. Volgens het NCSC monitoren internetproviders actief op besmettingen. Ook hebben internetproviders de ip-adressen die werden gebruikt om de malware te verspreiden geblokkeerd, beweert het NCSC. Het is echter niet duidelijk welke providers de ip-adressen blokkeren: via meerdere providers zijn deze nog te benaderen.
Inmiddels is echter duidelijk dat een groot aantal Nederlandse organisaties met een besmetting kampt of kampte. Naast het Ministerie van Onderwijs, Cultuur en Wetenschap en een aantal gemeenten zoals Tilburg, Den Bosch en Venlo hebben twee provincies, twee universiteiten, een elektriciteitsnetbeheerder en het RIVM last gehad van het virus. XDocCrypt/Dorifel lijkt vooral in Nederland schade aan te richten en dan vooral bij de publieke sector. Het is onduidelijk of het om een gerichte aanval gaat.
Het virus versleutelt Word- en Excel-documenten op netwerkshares en verandert de extensie van de documenten naar '.scr', de Windows-extensie voor screensavers. De schade door XDocCrypt/Dorifel - er bestaat nog geen eensluidende naamgeving voor het virus - is relatief eenvoudig te herstellen, doordat de gebruikte sleutel in alle gevallen dezelfde is. Surfright heeft een tool uitgebracht waarmee schade aan documenten wordt hersteld. Aanvankelijk werd overigens gedacht dat het om het virus Sasfis ging.
Volgens een medewerker van Fox-IT heeft de beheerder van de trojan donderdag een nieuw commando naar het botnet gestuurd, waarmee een bekende banken-trojan werd gedownload. Het ging daarbij om een executable die volgens VirusTotal door veertig bekende antivirusproducten niet werd herkend.
Uit een analyse van Kaspersky blijkt dat negentig procent van de infecties in Nederland is. Volgens Kaspersky is het virus verspreid via e-mail. Eerder beweerde het Nederlandse ict-beveiligingsbedrijf Fox-IT dat het virus via een bestaand botnet werd verspreid, wat zou betekenen dat de getroffen organisaties al in de macht van een botnet waren. Een botnet bestaat uit een grote verzameling hosts die besmet zijn met malware en waarnaar de beheerder van het botnet commando's kan sturen. Opvallend is dat Kaspersky stelt dat het virus zichzelf nog steeds verspreidt, terwijl het NCSC geen nieuwe infecties heeft geconstateerd. Mogelijk gaat het om infecties buiten Nederland.