Hlavní navigace

Tvůrci virů nabízejí Windows 10, místo toho si pořídíte ransomware

 Autor: Microsoft
Daniel Dočekal 3. 8. 2015

Očekávatelné se stalo skutečností, maily nabízející upgrade na Windows 10 jsou používány šiřiteli ransomware.

Pro ty, co čekají až se jejich „rezervace Windows 10“ promění v nabídku aktualizace ve Windows Update, to může být docela lákavé – v mailu dostanou něco,  co vypadá jako e-mail od Microsoftu informující o tom, že se dočkali. Pokud ovšem budou pokračovat podle pokynů v mailu, dostane se do jejich počítače zpravidla ransomware. Tedy virus, který nevydá obsah počítače, dokud nezaplatí výkupné.

E-maily navíc „vypadají“ dost podobně, jako aktuálně používaný vizuální styl Microsoftu. Jak ale uvádí Cisco v Your Files Are Encrypted with a “Windows 10 Upgrade” pozornější příjemce by si mohl všimnout chyb v textu. Pro případné uklidnění příjemců nechybí ani obligátní informace o tom, že e-mail byl zkontrolován antivirovým programem – což je něco, co stále některé antivirové programy dělají, ačkoliv už prakticky celé desetiletí víme, že to byl jeden z nejzásadnějších omylů a tvůrci virů šířených e-mailem toto rádi využívají.

Výsledkem e-mailu je stažení ZIPu, v němž se skrývá klasické EXE – nic nového, ale přesto jde o poměrně úspěšnou taktiku. Výsledkem spuštění je zobrazení opravdu kreativní barevné zprávy o tom, že soubory jsou šifrovány přes CTB-LOCKER doprovázené časovým limitem 96 hodin, po které všechny soubory budou zašifrovány nenávratně.

Na CTB-Lockeru v tomto případě je zajímavá řada věcí – používání RSA asymetrického šifrování, využití C2 (Command and Control, ovládací sítě) založeného na hacknutých webech s WordPressem a poměrně značný objem síťové komunikace. Samotná komunikace s řídícími servery probíhá přes port 21, tedy port vyhrazený pro FTP a velmi pravděpodobně tedy průchozí přes případný firewall. 

Našli jste v článku chybu?

3. 8. 2015 15:14

jenda (neregistrovaný)

ta zaloha sitovych disku me dostala :-D

4. 8. 2015 9:49

Petr M (neregistrovaný)

Nemusí jít jenom o člověka. To je snad jasný. Stačí


foreach(letter, "A".."Z") {
if(directorye­xist(letter+":\")) {
encryptdrive(let­ter+":");
}
}

a je vymalováno... A online mirror s tím nic nenadělá. Pokud bude verzování ukládat starší verze rok dozadu a přijde se při kontrole z úřadu na to, že takhle někdo sestřelil dokumenty, který ze zákona mají být uchovávány pět let a tři roky je nikdo neotevřel, tak smolíček pacholíček...







Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Dva doklady netřeba, dejte to na účtenku k EET

Dva doklady netřeba, dejte to na účtenku k EET

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?