Dorifel-verwijdertool 8.000 keer gedownload
De gratis tool van het Nederlandse SurfRight en Oostenrijkse Emsisoft om het Dorifel-virus te verwijderen is inmiddels meer dan 8.000 keer gedownload, zo laat het beveiligingsbedrijf aan Security.nl weten. Vandaag verscheen een nieuwe versie van de verwijdertool, die niet alleen door Dorifel versleutelde of verminkte bestanden kan herstellen, maar ook verwijdert. De update van vandaag werd uitgebracht nadat een gebruiker problemen met een andere tool had. Security.nl probeert dit nog bevestigd te krijgen.
SurfRight monitort nog altijd de ontwikkelingen rond de malware. Besmette machines blijven vooralsnog communiceren met de echte Windows Update server, wat betekent dat de aanvallers mogelijk op een later tijdstip de DNS-instellingen zullen proberen aan te passen zodat de malware alsnog nieuwe instructies krijgt. Loman maakt dit op uit een specifieke parameter die Dorifel gebruikt om met de malwaremakers te communiceren.
"Zodat Dorifel alsnog kan communiceren als de domeinnamen uit de lucht zijn gehaald. Daarom moeten de IP-adressen ook worden geblokkeerd en niet alleen de DNS-namen", zegt virusonderzoeker Mark Loman.
Documenten
Loman hekelt de berichtgeving in de media waardoor lijkt alsof Dorifel bankgegevens steelt of phishingaanvallen uitvoert, terwijl dit niet zo is. Dorifel werd ingezet om meer machines op een later tijdstip te voorzien van banking Trojans, bijvoorbeeld Hermes."Maar omdat Dorifel massaal de Office-documenten en programma's op netwerkshares ging vervangen zijn heel veel pc's die de bestanden via de verkenner openen ook met Dorifel geïnfecteerd geraakt."
Dorifel ging daarna elk half uur contact zoeken met de Command & Control. Volgens Loman heeft op deze machines niet de Zeus of Citadel malware gestaan die in eerste instantie voor de infectie werd gebruikt, hoewel ze hier waarschijnlijk wel voor werden geprepareerd.
"De door Dorifel gemaakte .scr bestanden gaf het originele document vrij. Bestanden zijn dan nog gewoon te openen", merkt Loman op. Alleen bij het openen van de bestanden vanuit Word of Excel ging het mis. "Dat was ergens natuurlijk dom van de aanvaller, want dat valt meteen op, net als het verkeer op het netwerk. De bandbreedte gaat helemaal dicht als Dorifel op meerdere machines bezig is documenten te vervangen."
Vreemd, het scannen naar besmetten bestanden neemt toch enig tijd in beslag ?
decrypt_dorifel.exe <C> [/all]
werkt niet.
Wat doe ik fout ?
Looking for active infection ...
No active infection was found!
Ook al zie je daarna niets gebeuren, wacht gewoon af totdat er meer tekst verschijnt.
De parameter /all kan het programmaatje (versie 1.4.0.20) laten crashen wanneer een bestand wordt gescand dat groter is dan het beschikbare geheugen. Denk dat er straks een nieuwere versie verschijnt die dat voorkomt.
Geprobeerd en krijg deze melding
decrypt_dorifel.exe wordt niet herkend als een interne
of externe opdracht, programma of batchbestand.
Moet je eerst de map met Word bestanden openen?
Kan je gelijk op het Dorifel.exe bestand klikken, of gaat het via start/uitvoeren ?
Welke tekst vul je in.
Heb alleen een C schijf.
Dank U
Looking for active infection ...
No active infection was found!
Ook al zie je daarna niets gebeuren, wacht gewoon af totdat er meer tekst verschijnt.
De parameter /all kan het programmaatje (versie 1.4.0.20) laten crashen wanneer een bestand wordt gescand dat groter is dan het beschikbare geheugen. Denk dat er straks een nieuwere versie verschijnt die dat voorkomt.
Download de verwijdertool decrypt_dorifel.exe via deze webpagina: http://www.surfright.nl/en/support/dorifel-decrypter
Nu mag je zelf weten waar je het bestand opslaat. Voor het gemak zet ik het bestand gewoon op C:\
Dan de command line starten. Dit doe je via Start > Uitvoeren en dan cmd typen en op Enter drukken.
Je ziet dan opeens zo'n "Dos venstertje".
De opdrachtregel zal iets zijn als C:\Documents and Settings\user>
Daar staat het bestand decrypt_dorifel.exe niet, dus moet de directory gewijzigd worden naar C:\, dit kan door het typen van cd c:\ en dan op Enter drukken.
Als dat goed gaat is de opdrachtregel in dat "Dos venstertje" nu C:\> met een knipperende cursor erachter.
Nu kun je de opdracht decrypt_dorifel.exe geven met de gewenste parameter(s)
Om te zien welke parameters mogelijk zijn kun je eerst decrypt_dorifel.exe /? typen en op Enter drukken.
Mijn 'Dos venstertje" toont dan het volgende;
Microsoft Windows XP [versie 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\user>cd c:\
C:\>decrypt_dorifel.exe /?
Trojan-Ransom.Win32.Dorifel decrypter v1.4.1 - Use at your own risk!
Written by Fabian Wosar - Emsisoft GmbH - http://www.emsisoft.com
Contributions by Mark & Erik Loman - SurfRight B.V. - http://www.hitmanpro.com
Usage:
decrypt_dorifel.exe <paths to decrypt> [/all]
/all - Scan all files and not only files ending in *.scr
/np - Does not pause once the tool finished
/del - Delete infected files after successful decryption
/? - This help
If no path is specified the Windows installation drive is being scanned.
Paths can be any kind of path like folder, drive, UNC, or file paths.
Specifying multiple paths in one command line is supported.
You want to thank the creator of this tool or the tool was unable to help you?
Just send a mail to fw@emsisoft.com. I always love to receive feedback :).
Press return to close the application ...
Druk op Enter en geef nu de opdracht decrypt_dorifel.exe met de gewenste parameters(s)
Bedankt voor je zeer heldere uitleg.
Hier kan ik wat mee en heb ik weer wat geleerd vandaag
Thanks
Download de verwijdertool decrypt_dorifel.exe via deze webpagina: http://www.surfright.nl/en/support/dorifel-decrypter
Nu mag je zelf weten waar je het bestand opslaat. Voor het gemak zet ik het bestand gewoon op C:\
Dan de command line starten. Dit doe je via Start > Uitvoeren en dan cmd typen en op Enter drukken.
Je ziet dan opeens zo'n "Dos venstertje".
De opdrachtregel zal iets zijn als C:\Documents and Settings\user>
Daar staat het bestand decrypt_dorifel.exe niet, dus moet de directory gewijzigd worden naar C:\, dit kan door het typen van cd c:\ en dan op Enter drukken.
Als dat goed gaat is de opdrachtregel in dat "Dos venstertje" nu C:\> met een knipperende cursor erachter.
Nu kun je de opdracht decrypt_dorifel.exe geven met de gewenste parameter(s)
Om te zien welke parameters mogelijk zijn kun je eerst decrypt_dorifel.exe /? typen en op Enter drukken.
Mijn 'Dos venstertje" toont dan het volgende;
Microsoft Windows XP [versie 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\user>cd c:\
C:\>decrypt_dorifel.exe /?
Trojan-Ransom.Win32.Dorifel decrypter v1.4.1 - Use at your own risk!
Written by Fabian Wosar - Emsisoft GmbH - http://www.emsisoft.com
Contributions by Mark & Erik Loman - SurfRight B.V. - http://www.hitmanpro.com
Usage:
decrypt_dorifel.exe <paths to decrypt> [/all]
/all - Scan all files and not only files ending in *.scr
/np - Does not pause once the tool finished
/del - Delete infected files after successful decryption
/? - This help
If no path is specified the Windows installation drive is being scanned.
Paths can be any kind of path like folder, drive, UNC, or file paths.
Specifying multiple paths in one command line is supported.
You want to thank the creator of this tool or the tool was unable to help you?
Just send a mail to fw@emsisoft.com. I always love to receive feedback :).
Press return to close the application ...
Druk op Enter en geef nu de opdracht decrypt_dorifel.exe met de gewenste parameters(s)
Dat denk ik ook ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
