Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Virus XDocCrypt/Dorifel beschadigt Microsoft Office documenten

Nieuws | 15-08-2012

Diverse gemeenten en instellingen in Nederland zijn getroffen door het computervirus XDocCrypt/Dorifel. Het Nationaal Cyber Security Centrum (NCSC) onderzoekt de meldingen en brengt de omvang in kaart.

Samen met andere onderzoekspartijen wordt de werking van het virus bekeken. Daarnaast worden te nemen maatregelen geïnventariseerd. Het NCSC heeft hierover op woensdag 8 augustus al een eerste waarschuwing uitgestuurd.

Bij het Nationaal Cyber Security Centrum zijn tot nu meer dan twintig organisaties bekend die door het virus zijn getroffen.

UPDATE 15 augustus 2012 om 23:00: in de vorige versie van dit artikel stond een foutief ip-adres genoemd. Het ip-adres 46.28.71.91 (foutief) is aangepast naar 46.28.71.19 (correct)

UPDATE 15 augustus 2012 om 20:25: ip-adres toegevoegd.

UPDATE 15 augustus 2012 om 10:00: ip-adres 184.22.246.252 toegevoegd.

UPDATE 14 augustus 2012 om 14:30:  bij de 'veel gestelde vragen (zie hieronder) is informatie toegevoegd over Citadel. Er zijn meer ip-adressen bekend die kunnen worden geblokkeerd.

UPDATE 9 augustus 2012 om 17:40: in de vorige versie van dit artikel stond een foutief ip-adres genoemd. Het ip-adres 184.22.102.202 (foutief) is aangepast naar 184.22.103.202 (correct).

UPDATE 9 augustus 2012 om 17:00: er is een sectie met veelgestelde vragen toegevoegd aan het artikel.

 

Karakteristieken van het virus

Het computervirus verspreidt zich via systemen die al in een eerder stadium geïnfecteerd zijn met het Citadel/Zeus virus. Dit is een virus dat bekend staat als een banking trojan, en is gemaakt om bank- en inloggegevens te stelen.

Het virus beschadigt uitvoerbare bestanden (.exe) en Officebestanden met de extensies .doc, .docx, .xls of .xlsx. Hierdoor zijn de bestanden niet meer leesbaar. De inhoud van de originele bestanden wordt door het virus versleuteld, maar niet vernietigd.

Wanneer gebruikers het bestand openen, kan het virus zich mogelijk verder verspreiden. Dat gebeurt via gekoppelde netwerkschijven. De infectie wordt actief na een herstart van het systeem en gaat op zoek naar bestanden op netwerkshares. 

Wat kan er aan gedaan worden?

Sinds afgelopen nacht is het mogelijk om beschadigde documenten te herstellen. Hiervoor zijn tools beschikbaar bij onder andere McAfee en SurfRight. Meer informatie over deze oplossingen en de actuele stand van zaken is terug te vinden op Waarschuwingsdienst.nl:

 http://www.waarschuwingsdienst.nl/Risicos/Actuele+dreigingen/Softwarelekken/WD-2012-069+Malware+besmetting+infecteert+office+bestanden.html

Een andere oplossing is het terugzetten van back-ups en kopieën. In dat geval moeten geïnfecteerde bestanden worden verwijderd, het getroffen systeem worden geschoond en de kopieën worden teruggezet.

Daarnaast adviseren wij om een aantal aanvullende maatregelen toe te passen om te beschermen tegen het virus:

  • Beperk het openen van uitvoerbare bestanden vanaf gekoppelde netwerkschijven tot een minimum. Dit kan geïmplementeerd worden via een Windows Group Policy of met behulp van specifieke beheertools.
  • Maak gekoppelde netwerkschijven tijdelijk read-only of blokkeer tijdelijk de toegang tot gekoppelde netwerkschijven. Bestanden kunnen namelijk opnieuw geïnfecteerd raken zolang er nog geïnfecteerde systemen aanwezig zijn op het netwerk.
  • Blokkeer toegang op proxy’s, firewalls en routers tot het IP-adres waarvan de malware wordt gedownload.
  • Maak gebruik van logging om de originele Zeus infectie te achterhalen.

Veel gestelde vragen

Wat doet het virus?

Het virus versleutelt uitvoerbare bestanden (.exe) en Excel- en Word-bestanden die zich bevinden op USB-sticks en netwerkschijven. Daarnaast verandert het virus deze bestanden in uitvoerbare bestanden waardoor ook andere gebruikers die denken het document te openen, geïnfecteerd raken met het virus.

Het is nog niet bekend wat er vervolgens nog meer gebeurt op geïnfecteerde systemen.

Hoe verspreidt het virus zich?

Het computervirus verspreidt zich initieel via systemen die al in een eerder stadium geïnfecteerd zijn met het Citadel/Zeus virus. Dit is een virus dat bekend staat als een banking trojan, en is gemaakt om bank- en inloggegevens te stelen. Wanneer gebruikers vervolgens een geïnfecteerd bestand openen, kan het virus zich mogelijk verder verspreiden. Dat gebeurt via gekoppelde netwerkschijven en USB-sticks.

Hoe kan ik een infectie herkennen?

  • Als u Office bestanden opent en deze niet meer leesbaar zijn dan bent u vermoedelijk besmet.
  • Daarnaast voegt het virus de .scr extensie toe aan het document. Beheerders kunnen netwerkshares actief scannen op de aanwezigheid van bestanden met de extensies .doc.scr, .docx.scr, .xls.scr en .xlsx.scr.
  • Monitor actief op verkeer naar de volgende ip-adressen: 184.82.162.163, 184.22.103.202, 184.82.107.86, 158.255.211.28, 149.154.154.47, 184.82.107.87, 184.82.116.202, 184.22.246.252,  46.28.71.19 en de volgende domeinen: windows-update-server.com, wesaf341.org en xertgfd.ru.

Wat kan ik doen om te voorkomen dat ik geïnfecteerd raak?

  • Beperk het openen van uitvoerbare bestanden vanaf gekoppelde netwerkschijven tot een minimum. Dit kan geïmplementeerd worden via een Windows Group Policy of met behulp van specifieke beheertools.
  • Blokkeer toegang op proxy’s, firewalls en routers naar bovenstaande ip-adressen en domeinen.
  • Zorg ervoor dat de virusscanners voorzien zijn van de laatste updates, hiermee kunt u in ieder geval reeds bestaande actieve Citadel/Zeus besmetting herkennen op het netwerk. Mogelijk blokkeert u hiermee ook infecties met het XDocCrypt/Dorifel virus.

Herkent mijn virusscanner dit virus?

Steeds meer virusscanners herkennen het virus. De mate van herkenning verandert continu doordat leveranciers updates uitbrengen. Een overzicht voor de huidige herkenning door virusscanners vindt u op de website van VirusTotal:

https://www.virustotal.com/file/4db33e065a74ca240850f451f73b14cf52e72ba487f7f367f29889b0a6ecb32b/analysis/

Wat moet ik doen als geïnfecteerd ben?

Sinds afgelopen nacht is het mogelijk om beschadigde documenten te herstellen. Hiervoor zijn tools beschikbaar bij onder andere McAfee en SurfRight. Meer informatie over deze oplossingen en de actuele stand van zaken is terug te vinden op Waarschuwingsdienst.nl

http://www.waarschuwingsdienst.nl/Risicos/Actuele+dreigingen/Softwarelekken/WD-2012-069+Malware+besmetting+infecteert+office+bestanden.html

Een andere oplossing is het terugzetten van back-ups en kopieën. In dat geval moeten geïnfecteerde bestanden worden verwijderd, het getroffen systeem worden geschoond en de kopieën worden teruggezet.

Als organisatie kunt u tevens overwegen om gebruik te maken van een Quarantaine-oplossing. Hierdoor wordt het verkeer van besmette systemen in het netwerk omgeleid naar een separaat netwerk. Met een Quarantaine-oplossing kan eenvoudig een besmet systeem worden opgespoord. Het Nederlandse bedrijf Quarantainenet kan u daar bijvoorbeeld bij ondersteunen:

http://www.quarantainenet.nl/

Is dit virus hetzelfde als het Sasfis-virus zoals diverse media melden?

Nee. Hoewel XDocCrypt/Dorifel karakteristieken deelt met het Sasfis-virus, gaat het hier om een ander virus.

In de media wordt gesproken over Dorifel en Citadel, is er een verschil?

Ja. Het distributieplatform Citadel is een framework dat bestaat uit meerdere botnetwerken. Citadel kan worden ingezet voor verschillende doeleinden waaronder het stelen van bankgegevens en andere login gegevens.

Dorifel is het virus dat op zoek gaat naar office documenten met als doel om deze te besmetten. Citadel is het distributieplatform gebruikt om Dorifel te verspreiden.

Waar kan ik meer informatie vinden?

Er is uitgebreide berichtgeving over dit virus in de media. Onderstaand is een overzicht opgenomen van een aantal interessante berichten hieruit:

- Technische beschrijving van het virus door Fox-IT:

http://blog.fox-it.com/2012/08/09/xdoccryptdorifel-document-encrypting-and-network-spreading-virus/

- Uitgebreide beschrijvig van de ontwikkelingen en technische achtergrond door SurfRight:

 http://www.damnthoseproblems.com/?lang=en

- Radioberichten:
Interview met Aart Jochem (NCSC) op Radio1:
http://sportzomer.radio1.nl/terugluisteren-fragment/68837/%27Tussen%2010%20en%2020%20organisaties%20getroffen%20door%20het%20virus%27.html

Interview met Aart Jochem (NCSC) op BNR:
http://www.bnr.nl/?player=archief&fragement=20120809140033360

Interview met Ronald Prins (Fox-IT) op BNR:
http://www.bnr.nl/?service=player&type=fragment&articleId=1623882&audioId=1624119

 - TV uitzendingen

Item NOS journaal 9/8/2012 20.00 uur:

http://nos.nl/video/405029-het-is-een-katenmuisspel.html

 

Over het NCSC

NCSCstill

CSBN 2015

CSBN 2015