Hlavní navigace

Tvůrci virů nabízejí Windows 10, místo toho si pořídíte ransomware

Autor: Microsoft
Daniel Dočekal

Očekávatelné se stalo skutečností, maily nabízející upgrade na Windows 10 jsou používány šiřiteli ransomware.

Pro ty, co čekají až se jejich „rezervace Windows 10“ promění v nabídku aktualizace ve Windows Update, to může být docela lákavé – v mailu dostanou něco,  co vypadá jako e-mail od Microsoftu informující o tom, že se dočkali. Pokud ovšem budou pokračovat podle pokynů v mailu, dostane se do jejich počítače zpravidla ransomware. Tedy virus, který nevydá obsah počítače, dokud nezaplatí výkupné.

E-maily navíc „vypadají“ dost podobně, jako aktuálně používaný vizuální styl Microsoftu. Jak ale uvádí Cisco v Your Files Are Encrypted with a “Windows 10 Upgrade” pozornější příjemce by si mohl všimnout chyb v textu. Pro případné uklidnění příjemců nechybí ani obligátní informace o tom, že e-mail byl zkontrolován antivirovým programem – což je něco, co stále některé antivirové programy dělají, ačkoliv už prakticky celé desetiletí víme, že to byl jeden z nejzásadnějších omylů a tvůrci virů šířených e-mailem toto rádi využívají.

UX17_pulpitel2

Výsledkem e-mailu je stažení ZIPu, v němž se skrývá klasické EXE – nic nového, ale přesto jde o poměrně úspěšnou taktiku. Výsledkem spuštění je zobrazení opravdu kreativní barevné zprávy o tom, že soubory jsou šifrovány přes CTB-LOCKER doprovázené časovým limitem 96 hodin, po které všechny soubory budou zašifrovány nenávratně.

Na CTB-Lockeru v tomto případě je zajímavá řada věcí – používání RSA asymetrického šifrování, využití C2 (Command and Control, ovládací sítě) založeného na hacknutých webech s WordPressem a poměrně značný objem síťové komunikace. Samotná komunikace s řídícími servery probíhá přes port 21, tedy port vyhrazený pro FTP a velmi pravděpodobně tedy průchozí přes případný firewall. 

Našli jste v článku chybu?
4. 8. 2015 9:49
Petr M (neregistrovaný)

Nemusí jít jenom o člověka. To je snad jasný. Stačí

foreach(letter, "A".."Z") { if(directorye­xist(letter+":\")) { encryptdrive(let­ter+":"); }}

a je vymalováno... A online mirror s tím nic nenadělá. Pokud bude verzování ukládat starší verze rok dozadu a přijde se při kontrole z úřadu na to, že takhle někdo sestřelil dokumenty, který ze zákona mají být uchovávány pět let a tři roky je nikdo neotevřel, tak smolíček pacholíček...