VIRY.CZ

Syndikovat obsah
Když se havěť stává obětí
Aktualizace: 29 min 6 sek zpět

Od faktury k zašifrovaným souborům

4 Duben, 2017 - 12:24

V posledních dnech probíhá patrně úspěšný útok formou e-mailu, kdy uživateli dorazí zpráva s fiktivní fakturou v příloze, ale ve skutečnosti se jedná o ransomware, tedy o havěť, která zašifruje soubory na pevném disku a žádá „výpalné“…

V současnosti se o řadě útoků ani nedozvíme, protože je často zastaví antivirus a nebo i striktně nastavený antispam, který prostě nedovolí doručit zprávu s podvrženým odesílatelem skrze poštovní server, který k tomu nemá oprávnění (SPF, …). To ale není případ tohoto útoku. Tahle zpráva dorazila kupříkladu i do mé doručené pošty. V momentě přijetí poštovním serverem ho ještě antivirus neznal a skóre antispamu nebylo dostatečně vysoké na to, aby zprávu „zaříznul“.

O co tedy přesně jde? Do pošty dorazí něco takového (odesílatel je pochopitelně podvržený):

     V příloze se pak nachází údajná faktura. Přípona souboru je .DOC, žádný spustitelný .EXE, takže to na první pohled vypadá nevinně. I dokument Microsoft Word ale představuje hrozbu. Pokud ho otevřete, objeví se toto:

Havěť se Vás snaží oblbnout hlášením, že dokument je vytvořen starší verzí Microsoft Office Word a že musíte pokračovat stiskem tlačítka „Enable Editing“. To je pochopitelně blbost, přímo to hlášení totiž představuje obsah dokumentu – tudíž faktura to opravdu není. Pokud uživatel uvěří a tlačítko stiskne, zobrazí se jiné hlášení:

A toto je klíčový moment. Pokud pokračujete dle instrukcí a stisknete „Enable Content“, povolíte spuštění maker, které se v dokumentu nacházejí. A tím se z nevinného dokumentu stává hrozba. Makra – skripty se spustí a v konečném důsledku do PC stáhnou a spustí ransomware. Po několika minutách se pak zobrazí toto:

Důležité dokumenty, fotky z dovolené, všechno je pryč (resp. zašifrované). Dle instrukcí se můžete dostat na stránku, kde lze zaplatit „výpalné“. V prvních 120 hodinách běží akční nabídka a dešifrování stojí kolem 15 tisíc Kč, pak je cena dvojnásobná, tj. kolem 30 tisíc Kč.

Jeden soubor můžete odšifrovat zadarmo (volba v menu nahoře) jakožto důkaz, že to útočníci umí. Na jiné obrazovce se nachází i možnost kontaktovat technickou podporu útočníků (zkoušel jsem to, žádal o slevu, ale zatím odpověď nedorazila).

Další informace později.

The post Od faktury k zašifrovaným souborům appeared first on VIRY.CZ.

Kategorie: Viry a Červi