Wat begon als een aantal infecties bij gemeentes, was een dag later bij vele instanties een doorn in het oog. Het virus infecteerde Word en Excel bestanden welke vervolgens niet correct meer te openen waren, en wanneer dit toch werd geprobeerd verspreide het virus zich naar andere documenten.
Het rare aan de infectie is dat er niet om geld wordt gevraagd om de bestanden wederom leesbaar te maken, en na verdere analyse ook blijkt dat de gebruikte encryptie eenvoudig te kraken is.
Waar in eerste instantie minder aandacht aan werd besteed is de manier HOE de infectie zich op het netwerk heeft kunnen binnendringen.
In het sample wat wij hebben ontvangen viel direct op dat er niet alleen een detectie was voor Quervar..
Dit lijkt sterk op een Botnet infectie(In de media wordt er gerefereerd naar het Citadel botnet), welke het virus dus naar binnen heeft gehengeld. Grote kans dus, dat deze netwerken reeds geïnfecteerd zijn geweest, en mogelijk zelfs als onderdeel van een botnet hebben gefungeerd, met alle gevolgen van dien.
Er lijkt inmiddels ook andere malware(Een variant van de Hermes trojan) via hetzelfde botnet te verspreiden, dus de mogelijkheid van andere infecties is absoluut aanwezig.
We raden iedereen aan om alle systemen binnen het netwerk volledig te scannen met een up-to-date virusscanner, en mochten er nog bestanden zijn welke niet te openen zijn, kunnen deze met de volgende tool wederom toegankelijk gemaakt worden.
Geen opmerkingen:
Een reactie posten