Robak Dorifel przez ostatnie sześć dni atakował systemy komputerowe w Holandii i, w mniejszym stopniu, w innych regionach świata. Według badań Emsisoft i Kaspersky większość zainfekowanych systemów wydaje się być zlokalizowana w sieci rządowej, publicznej i firmowej. Trojan-Ransom.Win32.Dorifel (Emsisoft) lub Worm.Win32.Dorifel (Kaspersky) dostaje się do zainfekowanych systemów za pomocą złośliwego oprogramowania Citadel, które jest powiązane z rodziną złośliwego oprogramowania Zeus.
David Jacoby z firmy Kaspersky Lab widzi punkt wejścia w wiadomościach e-mail, z którymi rozpowszechniane jest złośliwe oprogramowanie. Sama Dorifel zostanie skopiowana do katalogu w folderze użytkownika i stamtąd uruchomiona. Skrót jest generowany w tym samym katalogu, który jest dodawany do klucza uruchamiania rejestru, dzięki czemu jest zawsze ładowany przy starcie systemu. Kluczem jest skrót do złośliwego oprogramowania, do którego dodano HKCU \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows \.
Dorifel rozpoczyna trzy wątki w tle, gdy tylko uruchomi się w systemie. Pierwszy skanuje system w poszukiwaniu dokumentów Word i Excel oraz plików wykonywalnych. Drugi wątek kontaktuje się z serwerem poleceń co 30 minut, co może dostarczyć szkodliwemu oprogramowaniu dodatkowe instrukcje w najbliższej przyszłości. Trzeci i ostatni wątek sprawdza istnienie procesu taskmgr.exe (Menedżer zadań), a jeśli go znajdzie, kończy się automatycznie.
Wątek, który skanuje dokumenty i pliki wykonywalne, utworzy kopię oryginalnego pliku, zaszyfruje go, a na koniec usunie oryginalny dokument w systemie. Interesujące jest to, że zaszyfrowane dokumenty można nadal ładować, a dokumenty będą nadal wyświetlane, gdy to nastąpi. W tle jednak złośliwe oprogramowanie jest instalowane, jeśli system nie jest już nim zainfekowany.
Prawdopodobnie stanie się tak, że w pewnym momencie użytkownicy zostaną poproszeni o zapłacenie pieniędzy za odszyfrowanie zaszyfrowanych dokumentów.
Emsisoft stworzył narzędzie szyfrujące Dorifel, którego można użyć do odszyfrowania plików w zainfekowanych systemach. Wystarczy pobrać i rozpakować narzędzie do szyfrowania na pulpit i uruchomić je stamtąd. Po odszyfrowaniu wszystkich dokumentów możesz uruchomić oprogramowanie antywirusowe, które wykrywa Citadel i Dorifel. Robią to wszystkie programy Kaspersky i Emsisoft, a także inne, takie jak Hitman Pro. Możesz na przykład skorzystać z bezpłatnego programu awaryjnego Emisoft Kit 2.0, aby wyczyścić system.
