Overheid waarschuwt voor virus dat bestanden gijzelt
Het virus dat sinds gisteren bij verschillende Nederlandse organisaties Office-bestanden verminkt, blijkt een defect gijzelvirus te zijn. De overheid heeft inmiddels een waarschuwing afgegeven voor de malware die zowel Word- als Excel-bestanden onbruikbaar maakt. "Door dit virus worden de geïnfecteerde bestanden onbruikbaar, er is nog geen oplossing voorhanden om de bestanden weer bruikbaar te maken. Het virus wordt door een aantal virusscanners herkend", aldus de Waarschuwingsdienst.
Volgens Erik Remmelzwaal van Medusoft heeft de malware inmiddels de titel W32/XDocCrypt.a gekregen. "Het lijkt dus toch niet gelinkt te zijn aan Zbot/Zeus", zo laat hij aan Security.nl weten. Door McAfee is inmiddels een extra update uitgebracht die zowel de malware verwijdert als de corrupte bestanden herstelt. "Wat wel prettig is als je met 100.000 corrupte bestanden zit", laat Remmelzwaal weten. (zie ook de update van 13:35).
Uitbraak
Mark Loman van het Nederlandse bedrijf Surfright vertelt tegen Security.nl dat er een flinke uitbraak bij overheidsinstellingen en grote bedrijven heeft plaatsgevonden. "Het betreft malware die Word en Excel documenten kaapt en ze vervangt door een uitvoerbaar .scr bestand met daarin een zogenaamd RTL karakter."
HitmanPro kan de Trojan-Ransom.Win32.Dorifel, zoals Surfright de bedreiging noemt, sinds 7 augustus vinden en verwijderen. "Echter, de documenten die door dit gijzelvirus zijn gekaapt werden niet hersteld. De gegijzelde bestanden zijn namelijk met een 256 bytes RC4 sleutel versleuteld", stelt Loman.
Tool
De Trojan start bij infectie 3 threads waarvan er één naar aanwezige schijven zoekt en een ander het taskmgr.exe proces (Task Manager) probeert te sluiten.
"Omdat de vraag naar een losse decrypter groot is hebben we gisteravond/vannacht met Fabian Wosar van het Oostenrijkse anti-virusbedrijf Emsisoft samengewerkt. Fabian heeft samen met ons een losse decrypter tool gebouwd die vanaf de opdrachtprompt kan worden gebruikt", gaat Loman verder. De gratis tool is via deze pagina te downloaden.
Publieke sector
"Dit is een vrij interessante aanval, die duidelijk erg zichtbaar is vanwege de 'fallout' met versleutelde documenten. En ook vanwege het grote aantal organisaties in de de publieke sector die zwaar door deze aanval zijn getroffen", aldus Ronald Prins van Fox-IT in deze uitgebreide analyse van de malware.
Update 12:38
Uit een eerste inventarisatie blijkt dat er in Nederland ruim 2200 computernetwerken zijn besmet met het computervirus. Het aantal computers dat in het buitenland is getroffen, ligt tussen de 100 en 200. Het computervirus verspreid zich via een variant van de bekende Zeus-trojan,Citadel, zo laat het Nationaal Cyber Security Centrum (NCSC) weten.
Update 13:35
Remmelzwaal merkt op dat de 'nieuwe' malware zelf geen Zbot (Zeus) variant blijkt te zijn, maar er wel degelijk aan gelinkt is. "In de zin dat Zbot al sluimerend op systemen aanwezig is geweest en dat die malware deze nieuwe variant van XDocCrypt heeft gedownload en in sommige gevallen ook Sasfis."
http://blog.fox-it.com/2012/08/09/xdoccryptdorifel-document-encrypting-and-network-spreading-virus/
Ik ben bezig met de tracks van Offensive Security en om nog meer te leren heb ik recent GPcode eens uit zitten pluizen. Vervolgens een C++ versie gemaakt van scratch. Met de weinige programmeerkennis die ik heb is het goed gelukt. Uiteraard release ik dit niet en zit het veilig versleuteld op een offline harddisk.
Eigenlijk ben ik verbaasd dat dit soort aanvallen niet vaker voorkomen. Zeker omdat software en de netwerk perimeter steeds veiliger worden (dus moeilijker te doorbreken). Een oplossing is het gebruik van anti-virussoftware welke deze executables in een sandbox draaien en bij detectie van bepaalde routines (scannen alle HD's op extensies, diverse versleutel handelingen) een waarschuwing geeft en het bestand blokkeren.
Als er sprake is van een een combinatie met een reeds bestaand virus, hoe kun je dat virus dan herkennen en vooral, hoe kun je het verwijderen?
Als je niet-technische gebruikers wilt helpen (en wilt 'opvoeden') zou er wat mij betreft altijd een stukje van een artikel daar aan gewijd moeten worden.
http://www.nu.nl/binnenland/2880108/vertragingen-schiphol-storing-klm.html
dus niet bezoeken!
AntiVir (TR/Rogue.kdv.691754.7)
Avast (Win32:Trojan-gen)
AVG (SHeur4.ALGO)
BitDefender (Trojan.Generic.KDV.691754)
ByteHero (Trojan-Downloader.Win32.DlfBfkg.ln)
DrWeb (Trojan.MulDrop3.62566)
Emsisoft (Trojan-Dropper.Win32.Dorifel!IK)
ESET-NOD32 (Win32/Delf.NBG)
Fortinet (W32/Delf.NBG)
F-Secure (Trojan.Generic.KDV.691754)
GData (Trojan.Generic.KDV.691754)
GFI Vipre (Reported by Arno Rommens in the comment below)
Ikarus (Trojan.SuspectCRC)
Kaspersky (Trojan-Dropper.Win32.Dorifel.hau)
McAfee
Microsoft (Virus:Win32/Quervar.B)
Norman (W32/BadBreak.A)
nProtect (Trojan.Generic.KDV.691754)
PCTools (Trojan.Exprez)
Sophos (Mal/Behav-104)
Symantec (Backdoor.Trojan)
TrendMicro-Housecall (TROJ_GEN.R47H1H8)
VIPRE (Backdoor.Generic (fs))
ViRobot (Backdoor.A.Dorifel.173080.A)
Waar haal je deze lijst vandaag?
Zou mooi zijn als Clam ook zsm deze afvangt.
Zou mooi zijn als Clam ook zsm deze afvangt.
Just use Google before you ask any question..
Of je vermeld je bron gewoon netjes...
Zou mooi zijn als Clam ook zsm deze afvangt.
Just use Google before you ask any question..
Of je vermeld je bron gewoon netjes...
Waarom zou de persoon in kwestie dat moeten doen dan?
Het is normaal dat als je nieuws berichtgeving doet van andere websites dat je de bron vermeld.
Dat gebeurt ongeveer bij elk artikel op security.nl..
Staat los van dat de andere Anoniem niet zijn gebruikersnaam vermeld, wellicht heeft hij/zij er geen en wellicht wilt die persoon dat niet om reden X.
Feit blijft wel dat hij gelijk heeft dat je je bron gewoon kan vermelden bij een stuk tekst wat je van een andere website plukt.
a) wie zegt dat jouw naam Peter V is?
b) en als het zo is wat kan ik er dan mee? Zet dan je telefoonnumer of adres erbij.
c) misschien is mijn naam wel Anoniem
d) of er nu Anoniem, Peter V, of GodWeetWat staat, WhoCares.
Zou mooi zijn als Clam ook zsm deze afvangt.
Just use Google before you ask any question..
Of je vermeld je bron gewoon netjes...
Helemaal mee eens.
Tevens heb ik het NCSC erop gewezen dat een ander IP4-adres (voor blokkade C&C server) niet op de site was opgenomen.
De fout is inmiddels hersteld en nu staan de twee juiste IP4-adressen op de site van NCSC afgebeeld.
http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Mal~Behav-104/detailed-analysis.aspx
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
