Nederland (en de rest van de wereld) is op dit moment in de ban van een virus dat zicht razendsnel verspreidt en redelijke schade aanricht aan office documenten, genaamd xDocCrypt/Dorifel. Virusscanners kenden de handtekening van het virus nog niet en grepen daardoor te laat in.
Het virus wordt niet op gebruikelijke manieren op een computer geïnstalleerd. Normaal komt een virus het systeem binnen via besmette USB sticks of via bestanden die worden gedownload van internet of binnenkomen via mail. In dit geval wordt het virus gedownload en geïnstalleerd door bestaande malware (Citadel / Zeus genoemd) die al op de computer staat. Deze software is eerder op de machine terecht gekomen en bouwt een verbinding op met zijn ontwerper. Het doet niets en slaapt totdat het van zijn ontwerper een opdracht krijgt. In dit geval het downloaden van een virus, dat daarna gestart wordt en documenten gaat besmetten. Ondertussen blijkt dat de malware een nieuw virus (Hermes) downloadt dat nog meer kwaad kan aanrichten en zich vooral bezighoudt met het onderscheppen van bankgegevens.
Maar als virusscanners te langzaam zijn met het herkennen van het virus, is er dan toch een mogelijkheid om het virus te voorkomen? Mijn antwoord hierop is dat het nooit helemaal is te voorkomen, maar je kunt het wel moeilijker maken door middel van een goede Workspace Management oplossing.
Kijken we naar Microsoft Windows zelf, dan vinden we daar al een mogelijkheid om het opstarten van het virus te blokkeren. Via de AppLocker functie is een pc met Windows Vista / Windows 2008 of hoger te beveiligen tegen het starten van onbekende executables. 
RES Workspace Manager kent een soortgelijke functie en blokkeert het starten van executables waar de gebruiker geen rechten op heeft of die onbekend zijn in het systeem. Het instellen hiervan kost echter wel tijd. Je geeft immers een whitelist op van executables die mogen starten op het systeem. Gelukkig is RES WM zo ontwikkeld dat het al veel van dit soort instellingen automatisch regelt aan de hand van de applicaties die de gebruiker in het startmenu krijgt. Bijkomend voordeel van RES WM is, is dat een gebruiker ook geen applicaties kan starten waar hij geen rechten op heeft, maar andere gebruikers wel. Deze functie kent zowel binnen Windows als binnen RES Workspace Manager de mogelijkheid tot het loggen van applicaties die geblokkeerd worden. Daarbij word je als systeem beheerder snel getriggerd dat er wat aan de hand is binnen de omgeving, zo gauw meerdere gebruikers dezelfde onbekende executable proberen te starten. Overigens had deze functie ook het starten van de Citadel/Zeus malware kunnen voorkomen, waardoor het virus niet eens gedownload had kunnen worden.
Naast Applicatie Security kent RES Workspace Manager ook een Netwerk Security functie. Hierin is het mogelijk om een whitelist of blacklist op te maken van applicaties die het netwerk op bepaalde poorten mogen benaderen. Mocht je hier kiezen voor een whitelist, dan had het virus geen verbinding naar buiten kunnen openen, omdat dit geblokkeerd wordt door de Workspace Manager. Bij gebruik van Blacklists was het virus wel actief geworden, maar had een grotere verspreiding sneller kunnen worden voorkomen, door de gebruikte ip-adressen waar het virus wordt gedownload, te blokkeren op alle machines.
Als laatste biedt de Data Security (Read-Only Blanketing) binnen RES Workspace Manager een goede beveiliging tegen het schrijven naar de systeemdisk. Deze zorgt ervoor dat applicaties niet zomaar op de systeemdisk van een systeem data kan wegschrijven. Je moet daarvoor expliciet toestemming geven per locatie/bestand. In dit geval had dit echter niet geholpen, omdat de malware het virus in het gebruikersprofiel opslaat (c:\users\[username]\application data\roaming). Juist deze locatie is standaard open voor gebruikers, omdat hier alle gebruikersinformatie wordt opgeslagen.
Aangezien het virus wordt opgeslagen in het gebruikersprofiel, hadden hybride profielen (vaste profielen waarbij de Workspace Manager er voor zorgt dat alleen goedgekeurde instellingen worden opgeslagen bij het uitloggen) een extra wapen tegen het virus geweest. Bij het uitloggen van een gebruiker wordt het virus dan weer uit zijn profiel verwijderd. Dit in tegenstelling tot het gebruik van roaming profielen, waarbij het virus zich kan verspreiden naar andere systemen, als de gebruiker van werkplek wisselt.
De bovengenoemde functies van Workspace Managers (en specifiek RES Workspace Manager) worden deels als advies gegeven door het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie. Het inregelen van een Workspace Manager oplossing is echter niet in een paar minuten gedaan. Voor meer informatie hierover kunt u onder andere contact opnemen met mijn werkgever, www.centric.eu . Daar kunt u tevens terecht met vragen over het virus en over het oplossen van de aangerichte schade door het virus.
Bronnen: