Pas op, na de vakantie kan het weer toeslaan

Zeker drieduizend computers zijn geïnfecteerd door een virus. De vermoedelijke bron van het virus is gevonden. En heus niet alleen de overheid is door het virus getroffen.

Meer dan dertig Nederlandse gemeenten, bedrijven en instellingen zijn getroffen door een computervirus, dat dinsdag voor het eerst werd opgemerkt. Verschillende organisaties hebben daardoor hun ICT-netwerken tijdelijk moeten stilleggen, waardoor hun dienstverlening ernstig werd verstoord. Een van de slachtoffers van het zogeheten XDocCrypt.A/Dorifel-virus is het ministerie van Onderwijs.

Het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Veiligheid en Justitie, is een onderzoek begonnen naar de oorzaak en de omvang van de besmetting. Uit de laatste inventarisatie blijkt dat het gaat om zeker drieduizend geïnfecteerde computers. Onder meer de gemeenten Almere, Den Bosch, Tilburg en Venlo zagen zich gedwongen hun digitale loket gisteren tijdelijk te sluiten, waardoor bijvoorbeeld geen paspoorten konden worden aangevraagd.

1Wat is het Dorifel-virus?

Het is een zogeheten Trojaans paard dat zich verschuilt op computers en gegevens steelt zonder dat de gebruiker dat merkt. Volgens directeur Ronald Prins van ICT-beveiligingsbedrijf Fox-IT richt het zich op credentials, zoals inloggegevens voor digitaal bankieren. Het virus heeft het vooral gemunt op Nederlandse netwerken en computers. Zo’n 98 procent van de hits vond hier plaats.

Het virus verspreidt zich via ICT-netwerken die al eerder besmet waren met het Citadel/Zeus-virus en onderdeel uitmaakten van een botnet. Een botnet is een verzameling van besmette computers die hackers op afstand in hun macht hebben. ICT-experts vermoeden dat dit botnet al sinds april actief is.

Het Dorifel-virus verstopt zich in bestanden van Microsoft Office, zoals Word- en Excel-documenten. Wanneer gebruikers geïnfecteerde bestanden openen wordt het virus actief op de pc en kan het inloggegevens uitlezen als de gebruiker bijvoorbeeld gaat internetbankieren.

2Loopt mijn computer risico?

Ja, vooral de computer op het werk. Voor particuliere computergebruikers is het risico kleiner, al kan het virus ook op hun pc toeslaan als zij een besmet bestand openen. Netwerken zijn interessant voor hackers, vanwege de grote hoeveelheid aangesloten computers. Mac-gebruikers hebben geen last van het virus.

Het NCSC stelt dat wie een onleesbaar Office-bestand opent, besmet is met het virus. Het virus is te herkennen doordat het de extensie .scr toevoegt aan het document.

3Wat zijn de gevolgen?

Een hacker kan het virus gebruiken om de controle te krijgen over andermans computer. Zo kan hij in het bezit komen van persoonlijke gegevens, zoals wachtwoorden of creditcardgegevens. Ook essentiële computerbestanden kunnen worden verwijderd, waardoor de computer onbruikbaar wordt. De hacker kan de gekaapte computer inzetten bij aanvallen op andere computers, zonder dat de eigenlijke gebruiker dit merkt, of uit diens naam spam versturen en beeld of geluid ‘stelen’ die met de webcam zijn opgenomen.

4Is het gevaar geweken?

Ja en nee. Ja, omdat de vermoedelijke bron, een website van een hacker uit Oekraïne, inmiddels uit de lucht is. Sinds gisterochtend is het bovendien mogelijk om beschadigde documenten te herstellen via virusbestrijdingsdiensten als McAfee en SurfRight. Enkele virusscanners zijn inmiddels ook in staat om het Dorifel-virus te detecteren en hebben updates uitgebracht.

Nee, omdat veel mensen op vakantie zijn, bestaat het risico dat het virus over een paar dagen of weken alsnog wordt geactiveerd, omdat dan geïnfecteerde computers worden opgestart. Op die manier kan het virus dus opnieuw toeslaan.

5Waarom is juist de overheid getroffen?

Omdat het NCSC snel liet weten dat servers bij het ministerie van Onderwijs, het Rijksinstituut voor Volksgezondheid en Milieu, de provincie Noord-Brabant en verschillende gemeenten besmet waren, lijkt het alsof juist de overheid is getroffen. Bedrijven zijn echter net zo goed besmet, maar hangen dat niet aan de grote klok. „Vaak uit schaamte of om de goede naam niet op het spel te zetten”, zegt een woordvoerder van het NCSC. Het virus werd ontdekt nadat een bedrijf zich bij Fox-IT meldde, omdat het iets verdachts op haar netwerk signaleerde.