Het Nationaal Cyber Security Center zegt dat twintig gemeenten en instellingen zijn besmet met het virus XDocCrypt/Dorifel, waaronder Venlo, Den Bosch, Weert en Borsele. Een botnet is de bron.

De genoemde vier gemeenten zijn niet getroffen door het Trojaanse paard Sasfis, maar een virus dat daarmee overeenkomsten heeft. Het betreffende virus wordt door het NCSC Dorifel genoemd, maar Microsoft hanteert QuervarB als naam. Het infecteert Word en Excel documenten, maar ook uitvoeringsbestanden.

Volgens een persbericht van het NCSC is Dorifel op de computers terecht gekomen via een Zeusvariant, Citadel, dat al enige tijd op de netwerken moet hebben gestaan. Deze week heeft Citadel de XDocCrypt/Dorifel gedownload vanaf een Zeusbotnet, waarna er bij de getroffen gemeenten duizenden documenten besmet zijn geraakt. Naast de bekende vier gemeenten zijn ook Tilburg en Almere besmet geraakt. Later deze middag meldde ook de gemeente Stedebroec in Noord-Holland de besmetting.

Virus versleutelt bestanden
Het virus versleutelt de bestanden en past de naam iets aan. De versleuteling is relatief simpel doordat er gebruik wordt gemaakt van een en dezelfde sleutel, meldt NU.nl. Het bedrijf Surfright heeft een programma beschikbaar gesteld waarmee de versleuteling weer ongedaan kan worden gemaakt.

Het NCSC heeft het IP-adres ge´dentificeerd waarmee de ge´nfecteerd computers verbinding willen maken. Het centrum adviseert systeem- en netwerkbeheerders om het adres 184.82.162.163 te blokkeren.

Gemeenten lopen nog steeds gevaar
De gemeenten die zijn getroffen zeggen druk bezig te zijn de systemen te schonen van de besmette documenten en de originele documenten weer terug te plaatsen vanuit de backup. Erik Remmelzwaal van Medusoft, een partner van McAfee die de helpdesk van het antivirusbedrijf uitvoert, denkt dat de gemeenten er daarmee niet zijn. "Zolang zij de Citadel-infectie niet weten te achterhalen, blijven de systemen kwetsbaar voor een volgende infectie met malware."

De gemeente Weert ging er in eerste instantie vanuit getroffen te zijn door het virus Sasfis. Volgens woordvoerder Mary-Jo van de Velde van het NCSC is dat het niet. De site Damn Those Problems zegt evenwel dat de werkwijze van de malware enigszins lijkt op die van Sasfis.

RTLO-techniek gebruikt
Beide gebruiken de RTLO-techniek, the right to left override. De extensie van de besmette files, in het geval van Dorifel .src, wordt daarmee achterstevoren weergegeven net als de echte extensie van de originele bestanden, zoals .doc. Het RTLO unicode-gat maakt gebruik van een standaard unicode van Microsoft wat gebruikt wordt in Arabische en Hebreeuwse teksten.

Volgens Damn Those Problems wordt dergelijke malware gebruikt om bedrijven af te persen door (belangrijke) documenten in gijzeling te nemen en ze vrij te maken van de versleuteling na bijvoorbeeld een betaling van een losgeld. Of dat hier ook eht geval is, of is geweest, is nog niet duidelijk.

bron : webwereld