Crypto-malware Dorifel brengt financiële gegevens in gevaar

10 aug 2012
Virus News

Volgens gegevens van Kaspersky Lab zijn de afgelopen dagen wereldwijd meer dan 3.000 computers besmet met Dorifel. Deze malware versleutelt documenten op de computer van zijn slachtoffers en in de lokale netwerk-shares van de organisatie waar zij werkzaam zijn. Het lijkt erop dat dit kwaadaardige programma zich vanuit Nederland heeft verspreid, omdat 90% van de geïnfecteerde gebruikers actief zijn binnen de Nederlandse overheid, publieke sector en bedrijfsgemeenschap. Het aantal infecties bedraagt in Nederland inmiddels 3.129 (per 10 augustus 15:45). Andere landen waarin veel infecties zijn gedetecteerd zijn Denemarken, De Filippijnen, Duitsland, de Verenigde Staten en Spanje. De malware blijft zichzelf met hoge snelheid verspreiden.


De bovenstaande infectiestatistieken werden gecompileerd door experts van Kaspersky Lab na het analyseren van een van de servers waarop Dorifel werd gehost. Uit een analyse van de bestanden die op deze server werden gehost blijkt dat computers die met Dorifel zijn besmet mogelijk ook door andere malware zijn getroffen, waaronder kwaadaardige programma's die ten doel hebben om financiële gegevens te stelen. Dit kan worden geconcludeerd uit de logbestanden die op de server werden aangetroffen. Deze logbestanden bevatten financiële gegevens zoals creditcardnummers, CVC-codes en gebruikersnamen.


Kaspersky Lab raadt u aan om voorzichtig om te gaan met verdachte bestanden en geen bijlagen te openen van organisaties die door het virus zijn getroffen. Zorg ervoor dat uw computer is beschermd met een moderne beveiligingsoplossing en dat de laatste patches zijn geïnstalleerd. Dit geldt niet alleen voor Windows, maar ook voor software van andere leveranciers, zoals Java. In de nabije toekomst zijn namelijk vergelijkbare aanvallen te verwachten.


Alle gebruikers van de oplossingen van Kaspersky Lab zijn beschermd tegen deze bedreiging. Als u geen klant van Kaspersky bent, raden we u aan om de Kaspersky Virus Removal Tool te downloaden via onze website: http://www.kaspersky.com/virusscanner. Daarnaast adviseren we u om de toegang tot de IP-adressen 184.82.162.163 en 184.22.103.202 te blokkeren. Als u netwerkverkeer naar deze adressen bemerkt, is de kans groot dat u besmet bent en dat dit Trojaanse paard via deze hosts meer malware naar uw computer zal downloaden.


De experts van Kaspersky Lab werken nauw samen met verschillende rechts-handhavinginstanties om de servers van Dorifel uit de lucht te halen.


Dorifel in vogelvlucht:

  • Deze malware werd aanvankelijk verspreid via e-mailberichten met geïnfecteerde bijlagen. Zodra een computer was besmet, verspreidde de malware zich door bestanden op USB-apparatuur en in netwerk-shares te infecteren.
  • Dorifel infecteert en versleutelt bestanden met de extensies DOC, DOCX, XLS, XLSX en EXE. Het zoekt naar deze bestanden in netwerk-shares en op elke schijf die geen "System Volume Information"-directory bevat (zoals USB-sticks, externe schijven enzovoort).
  • Het feit dat veel overheidsinstellingen en bedrijven niet in staat zijn geweest om toegang te krijgen tot belangrijke documenten op hun computers, geeft aan dat de potentiële schade van Dorifel enorm kan zijn. Kaspersky Lab heeft daarnaast verschillende nieuwe kwaadaardige bestanden aangetroffen op de server waarop Dorifel wordt gehost, evenals een groot aantal exploits. Dit kan inhouden dat er ook andere malware is geïnstalleerd op de computers die met Dorifel zijn besmet. Door een infectie zouden uw financiële gegevens kunnen worden gestolen, zouden uw bestanden kunnen worden versleuteld en zouden er backdoors op uw computer kunnen worden geïnstalleerd.

Bekijk hier de FAQ


Meer informatie over de Dorifel-malware is te vinden op www.securelist.com.

© 1997 – 2014 Kaspersky Lab ZAO

All Rights Reserved. Industry-leading Antivirus Software