XDocCrypt/Dorifel is een computervirus waarvan men eerder dacht dat het al bekend was onder de naam Sasfis, heeft inmiddels al zo’n dertig computernetwerken van vooral universiteiten, instellingen maar ook bedrijven in geheel Nederland platgelegd.
Vooral gemeenten, provincies maar ook het Ministerie van Onderwijs, Cultuur en Wetenschap zijn hiervan het slachtoffer geworden waaronder Den Bosch, Nieuwegein, Venlo, Weert, Buren, Borssele, Almere en ook Tilburg zijn getroffen. Met als gevolg dat de stadswinkels en het digitaal loket in Tilburg vandaag maar ook morgen de deuren uit voorzorg gesloten zullen houden. De gemeente weet nog niet wanneer de problemen opgelost zullen zijn. Mensen die dringend een paspoort nodig hebben, kunnen bij de gemeente een handgeschreven brief krijgen. Daarmee kunnen zij een nooddocument ophalen bij de vliegvelden van Eindhoven en Maastricht.
Het Dorifel-virus wordt door de meeste virus-scanners niet gezien en versleutelt Word- en Excel- documenten, het verandert de extensie van de documenten naar ‘.scr’, de Windows-extensie voor screensavers. Zodat deze documenten op de normale manier niet meer benaderbaar zijn. Deze besmette documenten zijn verder relatief eenvoudig te herstellen, doordat de gebruikte sleutel in alle gevallen hetzelfde is. Surfright heeft een tool uitgebracht waarmee schade aan deze documenten kan wordt hersteld.
Het virus verspreidt zich via een bestaand botnet, en de getroffen instellingen zijn dus in de macht van dat botnet. Een botnet bestaat uit een grote verzameling hosts die besmet zijn met malware en waarnaar de beheerder van het botnet commando’s kan sturen. Hierdoor is het in zijn geheel verwijderen van dit XDocCrypt/Dorifel-virus nog niet zo’n eenvoudige klus.
Experts van het National Cyber Security Center (NCSC) denken dat het virus vooral gericht is op het achterhalen van inloggegevens van de mensen die de besmette computers gebruiken. Daarmee kunnen de cybercriminelen bijvoorbeeld toegang krijgen tot bankrekeningen van mensen. Ook sluiten experts niet uit dat dit virus de komende weken meerdere slachtoffers zal maken waardoor de omvang van de besmetting een nog grotere omvang aan zal nemen.
De politie Midden en West-Brabant treft hierdoor de nodige voorzorgsmaatregelen door de mailserver van de meldkamer, welke zich in Tilburg bevindt, uit voorzorg uit te zetten. De politie benadrukt dat het uitzetten van de server geen consequenties heeft voor de werkzaamheden van de meldkamer. De politie Brabant-Noord heeft geen noemenswaardige maatregelen getroffen.
UPDATE: 10 augustus 7:50 uur
Nu OC&W mogelijk is getroffen, denkt SP-kamerlid Sharon Gesthuizen dat ook andere ministeries getroffen zullen worden. Daarom heeft de SP vragen gesteld aan minister Ivo Opstelten van Veiligheid en Justitie. Minister Opstelten van Veiligheid en Justitie moet in een brief aan de kamercommissie uitleggen welke gevaren er zijn en wat hij eraan gaat doen.
Sharon Gesthuizen: “Bij een gemeente wil ik geloven dat de beveiliging tekort schiet, maar op een ministerie? Zou dat niet gebeuren dan is het zeker een optie dat ik vraag of de vaste kamercommissie voor Veiligheid en Justitie terug van reces komt”.
Nooddocumenten
De gemeente weet nog niet wanneer het probleem is opgelost. Mensen die dringend een paspoort nodig hebben, kunnen bij de gemeente een handgeschreven brief krijgen. Daarmee kunnen zij een nooddocument ophalen bij de vliegvelden van Eindhoven en Maastricht.
Het digitaal loket van de gemeente Tilburg blijft ook vandaag nog gesloten en alle afspraken komen te vervallen. Naar verluid is ook het St. Elizabeth ziekenhuis inmiddels geïnfecteerd met het XDocCrypt/Dorifel-virus.
UPDATE: 10 augustus 12:00 uur
Tweet van de Gemeente Tilburg @gemeentetilburg
De grootste problemen met het virus zijn opgelost. Digitaal loket en de winkel zijn weer te raadplegen. Meer info over de Stadswinkel volgt.