Nieuws
image

Excel verminkende malware teistert Nederlandse bedrijven

woensdag 8 augustus 2012, 17:08 door Redactie, 17 reacties

Meer dan tien Nederlandse organisaties zijn getroffen door een nieuwe malware variant die Word en Excel bestanden verminkt. "Sinds vanochtend hebben veel klanten ons gebeld met het probleem dat .docx en .xlsx bestanden hernoemd werden naar .scr", zegt Erik Remmelzwaal van Medusoft tegenover Security.nl. De malware zou bij de getroffen organisaties meer dan 100.000 bestanden hebben aangetast.

Corrupt
Het terugzetten van de aangepaste extensie lost het probleem niet op, aangezien het bestand nog steeds corrupt is. Volgens McAfee zou de malware in heel Europa actief zijn. De virusbestrijder werkt aan een update die de geïnfecteerde bestanden in de oorspronkelijke staat kan herstellen.

"Het is hopen en afwachten of dit in alle gevallen zal lukken, dat hangt af of het aanpassen van bestanden volgens standaard patronen verloopt", aldus Remmelzwaal.

Zeus
Waar de malware vandaan is gekomen is op dit moment nog niet bekend. Vermoedelijk van een grote internationaal georiënteerde website. Hoewel de malware kenmerken van ransomware vertoont, waarbij bestanden tegen losgeld worden "gegijzeld", zou het om een Zeus-variant gaan.

Update 19:25
Volgens een werknemer van Fox-IT is het virus geïnstalleerd op computers die al met de Citadel-malware besmet waren. Tevens zijn er onbevestigde berichten dat het virus ook voor problemen in een Belgisch ziekenhuis zorgt.

Reacties (17)
08-08-2012, 17:38 door Anoniem
Bedrijven zijn er toch om geld te verdienen? Waarom dan vreemde websites bezoeken?
08-08-2012, 18:28 door [Account Verwijderd]
[Verwijderd]
08-08-2012, 19:59 door Anoniem
Het virus verminkt de bestanden niet, het versleuteld ze, lokale bestanden lijkt het niks mee te doen.

Wederom goed werk van Fox-IT, die gasten zitten er weer bovenop!

meer info en updates vind je hier:

http://www.damnthoseproblems.com/?p=599
08-08-2012, 20:13 door Anoniem
Bedankt Medusoft voor de nieuwsbrief met deze info.. zo heb ik vanmiddag de workaround toegepast in de client virusscanner policy en hopelijk ons bedrijf behoedt voor deze malware :)
08-08-2012, 21:25 door Anoniem
Begint te lijken op een soort enorm kaping van bestanden via het zogenaamde ransomware.
Eerst alles versleutelen en straks een mega update uitrollen waardoor je moet betalen voor het unlocken van de bestanden.
08-08-2012, 23:30 door Anoniem
Lang leve online backups en storage... Die oude tape recorders gaan weer geld waard worden...
09-08-2012, 01:50 door Bitwiper
Het gaat hierbij, vermoed ik, om dezelfde malware als op het gemeentehuis van Weert (zie http://www.security.nl/artikel/42580/1/Computervirus_legt_gemeente_Weert_plat.html).

Overigens komt het niet vaak (meer) voor dat malware zoveel "lawaai" maakt als dit exemplaar, dat levert geen geld op (tenzij het om ransomware gaat, maar dat lijkt hier niet het geval). Als het klopt dat het virus geïnstalleerd is op computers die al met Citadel besmet waren, dan vermoed ik dat er sprake is van een actie tussen cybercriminele conculega's.
09-08-2012, 02:34 door LightFrame
Zo kun je het weer oplossen: http://www.surfright.nl/nl/support/dorifel-decrypter
09-08-2012, 10:02 door Anoniem
Overigens heeft Mcafee een extra.dat uitgebracht, die wij hebben ontvangen na het aanmelden van het probleem bij Mcafee. Deze extra.dat zorgt ervoor dat het virus/malware verwijderd wordt en dat alle aangetaste bestanden weer hersteld worden. Voor zover wij kunnen zien is er geen data verloren gegaan of blijvend beschadigd geraakt.
09-08-2012, 10:06 door psycho aka elmo
De dorifel-decrypter lost het probleem niet op.
De tool zorgt er enkel voor de bestanden weer toegankelijk worden.
Het virus wordt hier niet mee verwijderd.
09-08-2012, 10:32 door Anoniem
MS analyze van het stukje malware.

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Virus:Win32/Quervar.B
09-08-2012, 11:41 door Anoniem
Het lijkt me interessant om te weten door welke virusscanner de omgevingen werden beschermd. Ik zie niet geheel onvverwacht al 1x McAfee genoemd, maar zijn er ook andere Virusscanners die hem gemist hebben...
09-08-2012, 12:00 door psycho aka elmo
Kaspersky is inmiddels ook in staat het virus/malware te verwijderen.
Via dorifel-decrypter zijn de bestanden weer te herstellen.
09-08-2012, 18:54 door Rolfieo
Door Anoniem: Het lijkt me interessant om te weten door welke virusscanner de omgevingen werden beschermd. Ik zie niet geheel onvverwacht al 1x McAfee genoemd, maar zijn er ook andere Virusscanners die hem gemist hebben...
Mcafee is inderdaad een AV dat bij veel overheden gebruik wordt.
Als je echter kijkt naar hoe de grote leveranciers de updates er releaste, dan was Mcafee 1 van de eerste.
09-08-2012, 19:21 door Anoniem
Misschien een ideetje je office bestanden gewoon weer op te slaan onder .doc en .xls?
En een verzender desnoods te vragen het bestand in deze extensies toe te sturen?

Heb je 'geen' last van meer van onzichtbare (onnodige?) embedded onzin.
09-08-2012, 20:13 door Anoniem
Door LightFrame: Zo kun je het weer oplossen: http://www.surfright.nl/nl/support/dorifel-decrypter

Wat een goede tip, not! Die tool lost het idd op maar daarna heb ik opeens vreemde reg keys en aangepaste bestanden ofwel zeer maar dan ook echt zeer grote kans ik durf zelfs gewoon te zeggen dat het andere malware achterlaat!
09-08-2012, 20:53 door Anoniem
Zorgen dat je gewoon altijd een backup van bestanden hebt, mocht het ooit fout gaan. En hier bij bedoel ik dus een backup op externe harde schijf/ geheugenkaart met genoeg capaciteit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search