Ruim 20 instellingen getroffen door virus Sasfis

AMSTERDAM - Het virus Sasfis dat opgedoken is op de netwerken van diverse gemeenten heeft een relatie met het Zeusbotnet en lijkt zichzelf te updaten. Ruim 20 instellingen zijn inmiddels getroffen.

Foto:  Thinkstock

Het Nationaal Cyber Security Centrum (NCSC) onderzoekt de meldingen en probeert de omvang in kaart te brengen. Onder andere gemeenten, bedrijven en universiteiten zijn slachtoffer geworden van het virus.

Dit was mogelijk omdat diverse virusscanners de kwaadaardige software niet opgemerkt hebben. Het gaat in ieder geval om McAfee en Symantec. Er worden updates uitgebracht.

IT-beveiligingsbedrijf Fox IT ontdekte dat er een relatie is met het Zeusbotnet. Daardoor kan het virus zichzelf bijwerken als er nieuwe versies verschijnen.

Botnet

Een botnet is een netwerk van computers die besmet zijn met kwaadaardige software. Daardoor kunnen cybercriminelen de controle over deze computers krijgen en zo virussen verspreiden of spamberichten versturen.

Door zichzelf te updaten kan het virus de geïnfecteerde systemen bijhouden en de functionaliteit verbeteren. De updates worden geleverd via ip-adres: 184.82.162.163. Experts adviseren bedrijven de toegang op firewalls naar dit adres te blokkeren.

Een ander kenmerk is dat het virus zich voornamelijk richt op bedrijfsmatige netwerken, particulieren lopen dus minder risico.

Versleutelen

Diverse bedrijven melden inmiddels dat het virus een opmerkelijke werking heeft. Het kan bestanden op een netwerk versleutelen. Daardoor kunnen bedrijven niet meer bij bestanden die gemaakt zijn met Microsoft Word of Excel.

Bij het versleutelen wordt de naam van het document iets aangepast, waardoor het originele bestand voor minder bedreven computergebruikers lastig te vinden is. Volgens experts zou dit erop kunnen duiden dat er sprake is van zogenaamde ransomware.

Afpersen

Daarbij is het bedoeling om organisaties te chanteren om weer toegang tot bestanden te krijgen. Er zijn echter nog geen gevallen bekend waarbij organisaties ook daadwerkelijk zijn afgeperst.

Omdat voor elke versleuteling dezelfde sleutel gebruikt wordt, is de schade relatief eenvoudig ongedaan te maken. Inmiddels heeft Surfright een programma gemaakt dat de bestanden ook daadwerkelijk ontcijferd. Het programma is gratis beschikbaar, maar zal het virus niet zelf verwijderen.

2200 computers

Volgens het NCSC waren in Nederland tot donderdagochtend ruim 2200 computers besmet. Uit een eerste inventarisatie bleek dat in het buitenland tussen de 100 en 200 computers zijn geïnfecteerd.

Woensdag werd bekend dat de gemeentenBorsele, Weert en Den Bosch getroffen waren. Donderdag zijn daar Venlo, Tilburg en Almere aan toegevoegd. Diverse gemeenten waarschuwen ook dat het virus mogelijk via extra bestanden in e-mails is rondgestuurd. Zij adviseren dan ook om mailtjes met bijlagen niet te openen.