VIRY.CZ

Syndikovat obsah
Když se havěť stává obětí
Aktualizace: 8 min 48 sek zpět

Pozor na e-maily „Výše pohledávky na vašem účtu“!

24 Listopad, 2014 - 15:03

Dnes se začala šířit nová varianta havěti a to prostřednictvím e-mailu s předmětem „Výše pohledávky na vašem účtu XXXXXX„. Obsahu takové zprávy tudíž nevěřte a přílohu zcela ignorujte. V minulosti se již podobná věc objevila a postupně přešla v kauzu „exekuční příkaz“.

The post Pozor na e-maily „Výše pohledávky na vašem účtu“! appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Sledování zásilky České pošty aneb nová havěť

13 Listopad, 2014 - 22:27

Dnes se začala šířit nová verze havěti, která se maskuje jako aplikace pro sledování pohybu zásilek České pošty.Základem je podvodný e-mail (phishing) informující o možnosti sledování zásilky určené pro vás (přesný obsah neznám – budu rád, pokud mě ho někdo zašle). Tato zpráva odkazuje na stránku cs-posta24.org, která se tváří jako oficiální web České pošty. V reálu nemá ale s Českou poštou vůbec nic společného a jde taktéž o podvodnou aktivitu útočníků. Design je sice téměř shodný s originálem, nicméně narozdíl od něj obsahuje nějaké ty pravopisné chyby, slohové nesrovnalosti a překlepy (patrné hlavně v dalších fázích útoku).Pokud opíšete kontrolní číslice a stisknete Stáhnout, objeví se následující dialog a po několika sekundách se zobrazi dialog pro stažení ZIP souboru.

Tento ZIP archiv obsahuje spustitelný EXE soubor. Spuštěním tohoto EXE souboru si můžete značně zkomplikovat život. Havěť ukrytá v tomto souboru se totiž postará o zašifrování celé řady datových souborů, které se vyskytují kdekoliv na pevném disku. Uživatel tak může během chvíle přijít o fotografie (typicky JPG), dokumenty (DOCX, XLSX, …) a další důležité soubory. Všechny z nich jsou opatřeny další příponou .encrypted a od tohoto momentu nejsou čitelné. Následně se zobrazí toto:

Údajným východiskem je zaplacení „výpalného“ útočníkovi ve formě bitcoinů jak ukazuje následující obrázek:

V době „focení“ byla cena stanovena na 1,09 BTC, což je opravdu kolem těch 10 tisíc Kč. Po nějaké době cena zřejmě stoupne (což jsem neověřoval, stránka se s tím ale „chlubí“ a provádí odpočet zbývajícího času do konce „promo akce“). To jestli útočníci poskytnou řešení, netuším. Jisté je, že získané peníze v budoucnu použijí k dalšímu, jistě i lépe připravenému útoku. Po technické stránce ale dokáže útočník soubory zcela jistě odšifrovat, což dokazuje i záložka „Dešifrovat soubor zdarma“ v horním menu. Pokud libovolný zašifrovaný soubor vložíte, vrátí se původní funkční podoba. Někoho by mohl tento fakt ovlivnit v rozhodování, zda do toho risku v podobě zaplacení výpalného půjde.

Tato havěť patří do rodiny známé jako Cryptolocker. Podle verze havěti byl šifrovací klíč buď přímo součástí infikovaného EXE a nebo byl vygenerován až na počítači uživatele. V prvním případě tak existovala šance klíč vypátrat a pomocí speciálních aplikací provést dešifrování souborů bez nutnosti cokoliv platit. V druhém případě to byl problém, neboť jakmile došlo k zašifrování souborů, klíč byl odeslán útočníkům a z počítače uživatele odstraněn. Štěstí mohl mít tehdy maximálně ten uživatel, jehož klíč se podařilo získat v rámci zátahu na gang, který za útoky stál (například operace Tovar – wiki, anglicky). Do jaké skupiny patří zde popisovaná havěť, to aktuálně netuším. Jakmile budu mít bližší informace, určitě se s vámi podělím!

The post Sledování zásilky České pošty aneb nová havěť appeared first on VIRY.CZ.

Kategorie: Viry a Červi