Meer gemeenten getroffen door nieuw computervirus

Het virus dat de computersystemen van een aantal gemeenten heeft platgelegd, doet zich tot nu toe vooral in Nederland voor. Zeker twintig gemeenten, bedrijven en andere instellingen zijn getroffen. Dat meldt het Nationaal Cyber Security Centrum vandaag.

Het virus verspreidt zich sinds dinsdag, maar werd gisteren pas opgemerkt. “Het wordt pas actief als de computer opnieuw is opgestart. In veel gevallen was dat dus aan het begin van de werkdag”, zegt afdelingshoofd Aart Jochem.

Het virus dook op bij de gemeenten Den Bosch, Weert en Borsele. Inmiddels hebben Tilburg, Almere, Nieuwegein en Buren zich bij de getroffen gemeentes gevoegd.

DocCrypt/Dorifel verspreidt zich via netwerkschijven

Het virus heeft de naam DocCrypt/Dorifel gekregen. Het wordt soms ten onrechte Sasfis genoemd, maar dat is een ander virus. Het virus vervangt Word- en Exceldocumenten door een uitvoerbaar script. Het virus installeert zich zodra twee keer op het bestand wordt geklikt.

Met het virus kunnen hackers op afstand op geïnfecteerde computers zoeken naar gegevens, de computers gebruiken om spam mee te versturen of inzetten voor een aanval op een website. Het verspreidt zich vooral via netwerkschijven en niet via e-mail. “Het is een uitvoerbaar bestand en zulke bestanden worden bij veel bedrijven en overheidsinstellingen al jaren uit de mail gefilterd”, legt Jochem uit.

Antivirusprogramma’s kunnen het virus inmiddels herkennen en verwijderen. Er is ook een programma om de bestanden die door het virus zijn vervangen terug te halen. Het virus wordt op afstand bijgewerkt via het IP-nummer 184.82.162.163. “Wij raden aan dit IP-nummer te blokkeren”, zegt Jochem.

Makers onbekend

Het is niet bekend wie het virus heeft gemaakt. In september vorig jaar werd het Nederlandse internetbeveiligingsbedrijf Diginotar gekraakt, vermoedelijk door hackers die in opdracht van de Iraanse overheid werkten.

Deze aanval is volgens Jochem minder gecompliceerd.

“Er worden vooral bekende technieken met elkaar gecombineerd. Het stiekem vervangen van bestanden en verspreiding via netwerkschijven hebben we vaker gezien. Ik zou eerder denken dat hier cybercriminelen achter zitten.”