Poslední varianta hrozby, která po spuštění zašifruje data na pevném disku, je o proti dřívějším výskytům upravena a používá již velmi bezpečnou šifrovací metodu. Po několika dnech analýzy množství dat již bohužel víme, že klíč k dešifrování souborů není možné nalézt. Soubory jsou zakryptovány šifrou AES pomocí generovaného 256 bitového klíče. Klíč je dále zabezpečen šifrou RSA 2048. Bez znalosti klíče nelze data obnovit.

Upozornění: Podle posledních informací virus nešifruje kompletní obsah disku, u  některých souborů pravděpodobně mění jen příponu. Alespoň u části změněných dat tak může pomoci vrátit souborům jejich původní příponu.

Před tímto typem nákazy není možná 100% ochrana.

V posledních měsících se šíří různé varianty škodlivého souboru, který po svém spuštění zašifruje data na pevných discích. Zašifruje také data na všech dostupných síťových složkách, které má uživatel namapované jako disky pod určitým písmenem. Může tak dojít i k zašifrování velkého množství dat, které se nacházejí na souborových serverech i internetových službách, jako je Dropbox či OneDrive.

Pro šíření tohoto škodlivého souboru je nejčastěji použita technika sociálního inženýrství. Uživatel obdrží e-mailovou zprávu, která vyhrožuje např. exekutorským řízením či informuje uživatele, že má nevyzvednutou zásilku. Škodlivý soubor může být přímo v příloze e-mailové zprávy, nebo je ve zprávě uveden odkaz na podvrženou webovou stránku, odkud soubor stáhnete.

Zpráva většinou neobsahuje další informace. Uživatel je pouze informován, že další podrobnosti najde v připojeném souboru či v souboru na webových stránkách, na které se dostane pomocí odkazu ve zprávě. Často je ve zprávě upozornění (výhrůžka), že pokud nebude zásilka vyzvednuta, či včas reagováno, bude účtováno penále. Uživatel je tak vlastně cíleně veden k tomu, aby škodlivý soubor spustil a zašifroval si data.

Tvůrci této havěti následně požadují za poskytnutí klíče k dešifrování poplatek v řádu několik tisíc korun. Účelem dnes vytvářených a šířených hrozeb je jediné – vydělat peníze. Ani zplacení této částky však nevede k obnově dat. Zákazníci, kteří požadovanou částku zaplatili, skutečně dostali aplikaci pro dešifrování, ta ale ve většině případů nefungovala.

Upozornění: V předchozích variantách této havěti bylo možné analýzou zdrojového souboru a zašifrovaných dat nalézt klíč k dešifrování. Bylo tak možné zašifrované soubory obnovit. Současná varianta, která se šířila pod hlavičkou různých přepravních společností používá velmi bezpečný šifrovací algoritmus. Šifrování je navíc vícenásobné a pro každého uživatele jiné. Klíč pro dešifrování již není možné zjistit. Můžeme předpokládat, že každá další varianta bude opět o něco sofistikovanější.   Podle posledních informací virus nešifruje kompletní obsah disku, u  některých souborů pravděpodobně mění jen příponu. Alespoň u části změněných dat tak může pomoci vrátit souborům jejich původní příponu.

Každá nová varianta této havěti je vždy upravena tak, aby odolávala používaným detekčním technikám. V intervalu od startu šíření viru až do doby, kdy antivirové společnosti získají konkrétní vzorek nákazy (např. od prvního pozorného či infikovaného uživatele) může, při spuštění škodlivého souboru, dojít k napadení počítače a nevratné ztrátě dat. V této době tak leží největší míra odpovědnosti na samotném uživateli a jeho zodpovědném chování. Obezřetnost a zdravý rozum je totiž ta nejlepší a nejefektivnější ochrana počítače.

nahoru

Klikněte sem pro zobrazení plné verze

Jak minimalizovat riziko nákazy a ztráty dat?

• Zkontrolujte si, zda používáte poslední verzi produktu ESET.
  Pokud ne, současnou verzi odinstalujte a po restartu počítače nainstalujte aktuální verzi a aktivujte. V rámci platné licence máte vždy nárok na nejnovější dostupnou verzi produktu: Přehled aktuálních verzí produktů ESET
• Ověřte, zda máte aktivován systém ESET LiveGrid®.
  Díky touto systému včasného varování se významně zkrátí doba, kdy může dojít k nakažení počítače: Proč je dobré mít aktivní systém včasného varování ESET Live Grid?
• Pamatujte na to, že oficiální instituce nikdy neposílají důležité informace prostřednictví e-mailu.
  Pokud Vám opravdu hrozí exekuce, dozvíte se to vždy písemnou formou. Stejně tak poštovní a kurýrní společnosti nedávají informace o svých zásilkách do příloh e-mailových zpráv. Ani banky Vás takto nebudou informovat o důležitých záležitostech. Taktéž je nesmysl stahovat soubor s konkrétními informacemi z webových stránek těchto společností. Vám určená informace by měla být uvedena přímo v textu zprávy, či na webových stránkách např. po zadání čísla zásilky.
• Pečlivě čtěte veškeré informace ve zprávách a na webových stránkách.
  Často je totiž text plný chyb a je psán špatnou češtinou, jelikož je strojově překládán. Chyby v textu jsou jasným varováním, že se jedná o škodlivý kód nebo podvrženou stránku.
• Zapamatujte si nebo napište adresy webových stránek společností či jejich služeb, které využíváte.
  Pokud otevíráte odkaz v e-mailové zprávě, vždy si zkontrolujte, zda v adresním řádku prohlížeče je uvedena správná adresa. Poslední varianta havěti odkazovala na adresu http://cs-posta24.org, kde se nacházely podvržené (falešné) stránky České pošty. Oficiální webové stránky České pošty jsou na adrese https://www.ceskaposta.cz.
• Neklikejte na odkazy uvedené v e-mailových zprávách.
  Vždy přejděte na webové stránky dané společnosti zadáním její adresy do prohlížeče nebo prostřednictvím známých internetových vyhledávačů (Google.cz, Seznam.cz apod.) Případně si stránky, které často navštěvujete, vložte do oblíbených záložek v prohlížeči.
• Důležitá data si pravidelně zálohujte na médium, které není trvale připojeno k počítači (USB disk, CD, DVD…).
  Záloha na druhém fyzickém či síťovém disku může být také zašifrována, stejně tak lokální kopie dat uložených v internetových úložištích jako je např. Dropbox. Kam může uživatel, tam může i virus.

V nové vlně podvodných e-mailů, které se dnes začaly šířit, různé instituce uživatele informují, že mají připravenou zásilku k vyzvednutí. Odkaz uvedený v těle e-mailu směřuje na podvodnou stránku, která vypadá jako oficiální internetová stránka dané instituce, v níže uvedeném příkladu České pošty. Na stránce však nejsou k dispozici informace o údajné zásilce, ale obsahuje soubor se škodlivým kódem. Pokud po zadání ověřovacího kódu tento soubor stáhnete a přílohu spustíte, dojde k zašifrování všech dat na pevném disku!

Bezpečnostní produkty ESET tento škodlivý kód detekují jako Win32/Emotet.AB od verze virové databáze 10718, která byla dnes vydána.

Pokud jste uvedený e-mail obdrželi, neotvírejte jej a rovnou vymažte. Pokud jste přílohu stáhli a spustili, aktualizujte virovou databázi produktu ESET a proveďte kompletní kontrolu počítače. V případě, že došlo k zašifrování dat, není možné data zpětně dešifrovat.

Poznámka: Pro maximální úroveň zabezpečení počítače před novými hrozbami doporučujeme aktivovat systém včasného varování ESET LiveGrid®. Podrobné informace o tomto systému naleznete v tomto článku.

Tyto e-mailové zprávy jsou podvrh a Česká pošta, ani jiná instituce, jejímž jménem jsou zprávy posílány, nemá s těmito zprávami nic společného. Při otevírání odkazů v e-mailových zprávách si vždy zkontrolujte na jakou adresu (doménu) daný odkaz směřuje. V níže uvedeném případě jde o doménu cs-posta24.org, což není oficiální internetová adresa (doména) České pošty.

Vzor podvodné stránky:

Klikněte sem pro zobrazení plné verze

Aktualizace:

Od získání prvního vzorku pracujeme na získání dešifrovacího klíče. Tato varianta škodlivého kódu má však poměrně složitý šifrovací algoritmus, je tedy otázkou, zda se vůbec podaří dešifrovací klíč získat.

V souvislosti se šířením nové hrozby, která po spuštění zašifruje data na pevných i síťových discích, je velmi důležité mít aktivní systém včasného varování ESET LiveGrid®. Díky tomuto systému dokáží programy ESET reagovat na nové hrozby ještě před vydáním aktualizace virové databáze. Bez tohoto systému může být nová hrozba detekována se zpožděním, proto doporučujeme tento systém aktivovat. Veškeré podrobnosti a postup pro jeho aktivaci najdete v tomto článku:

Pokud jste se stali obětí útoku aktuálně se šířícího viru, který po svém spuštění zašifruje data na pevných discích, možná Vám pomůže obnova souborů ze stínové kopie svazku (z vytvořeného bodu obnovení). Tyto body obnovy systém Windows vytváří v případě, že máte aktivní funkci Ochrana souborů. Více informací o této možnosti naleznete v článku:

V případě spuštění škodlivého souboru, který např. zašifrovává data na pevném disku, je možné obnovit poškozené či zašifrované soubory z tzv. stínové kopie (shadow copy) pevného disku, kterou systém Windows vytváří. Tyto stínové kopie se používají jako body obnovy. Je tak možné vrátit stav počítače v čase zpět do bezproblémového stavu, který reflektuje uložený bod obnovy.

Body obnovy však standardně nenahrazují dokumenty a data, která má uživatel uloženy ve svém profilu. Při standardní obnově počítače tak budou nahrazeny systémové soubory, aplikace a ovladače, nikoliv ale dokumenty, které ukládáte do stejnojmenné složky.

Pro obnovu těchto dat je však možné použít aplikaci třetí strany, která umožňuje procházení uložených bodů obnovy (stínových kopií) a export jednotlivých souborů z vybraného bodu do určené složky. Stínové kopie svazku jsou dostupné pouze, pokud je aktivní funkce Ochrana systému:

Pokud potřebujete obnovit data, postupujte následovně:

Stáhněte si instalátor nebo archiv s aplikací ShadowExplorer z této stránky.

Důležité: ShadowExplorer je aplikací třetí strany. Její použití je na vlastní riziko. Společnost ESET neposkytuje k tomuto produktu žádné další informace ani podporu. Výše uvedený postup i použití této aplikace je bez záruky.

Nainstalujte aplikaci a spusťte, případně celý stažený archiv rozbalte do nějaké složky a spusťte soubor ShadowExplorerPortable.exe. Pokud máte zapnuté UAC (Řízení uživatelských účtů) povolte provedení změn v počítači.

Po spuštění programu vyberte pomocí rozbalovacího menu vlevo nahoře konkrétní disk a datum bodu obnovy z doby, kdy ještě nedošlo k poškození dat (ke spuštění škodlivého kódu). Budou zobrazeny uložené kopie všech souborů ve vybraném bodu obnovy.

V pravé části okna vyberte požadovaný soubor či složku, kterou chcete obnovit, klikněte na ni pravým tlačítkem a zvolte Export… V zobrazeném dialogu pak vyberte umístění, do kterého objekt obnovíte a stiskněte tlačítko OK. Takto analogicky postupujte u všech souborů a složek, které potřebujete obnovit. Uživatelskou složku Dokumenty najdete standardně v tomto umístění: C:\Users\jmeno_uzivatele\Documents nebo C:\Documents and Settings\jmeno_uzivatele\Documents

Je možné, že některé obnovené soubory budou nečitelné. V takovém případě zkuste soubor vyexportovat z jiného bodu obnovy.

Poznámka: Virus nešifruje kompletně veškerá data, ale pracuje pravděpodobně podle náhodného algoritmu. Některé soubory je tak možné obnovit přejmenováním z xxx.encrypted na původní příponu. Jak předcházet riziku nakažení počítače havětí, která šifruje data na pevném disku, se dozvíte v tomto článku.

Odpov.

Petr Novák

01.12.2014 10:23:57

Nepomůže, jedna z věcí, které nová mutace dělá, je že smaže data pro obnovení, teprve pak začne šifrovat. Na mém pokusném stroji za 35 minut 150 000 souborů o velikosti 75GB. (fotky, dokumenty, mp3, iso, zip atd.)

Odpov.