Na scéně je další podvodný e-mail, tentokrát České Spořitelny

Pravděpodobně od minulého týdne se začal šířit další podvodný e-mail, který upozorňuje na vypršení přístupu do internetového bankovnictví České spořitelny. Pomocí odkazu, který vede na stránku se škodlivým kódem, je pak uživatel nabádán k aktualizaci svého účtu. Více informací o této podvodné zprávě naleznete na stránkách České spořitelny. A opět samozřejmě platí: na žádný odkaz neklikat a podobné zprávy okamžitě mazat!

Vzor podvodné zprávy
Klikněte sem pro zobrazení plné verze

Vánoční pohlednice se zavirovanou přílohou

Autoři v nové vlně podvodných e-mailů využívají pro šíření škodlivého kódu vánoční tematiky a uživatelům zasílají elektronické pohlednice. V samotném těle e-mailu se nachází pouze informace, že jste obdrželi pohlednici a e-mail dále obsahuje přílohu pohlednice.zip. Přílohu v žádném případě nestahujte, neotevírejte a zprávu rovnou smažte! Obsahuje totiž škodlivý kód, který detekujeme jako další variantu Win32/TrojanDownloader.Elenoocka.A od verze virové databáze 10938.

Vzor zprávy:

Pohlednice veselé Vánoce: 479578

Typ: Elektronické pohlednice
ID: 479578
Od: Bohumír Zámečník
Přílohy: pohlednice.zip

 

na daném stroji promažte všechny složky s dočasnými soubory (Temp) a spusťte hloubkovou kontrolu počítače. Více informací o infiltraci naleznete ve virové encyklopedii: http://virusradar.com/en/Win32_TrojanDownloader.Elenoocka.A/description

Fiktivní objednávka z obchody24.cz obsahuje škodlivý kód

V nové vlně podvodných e-mailů její autoři rozesílají uživatelům informace o fiktivní objednávce provedené na internetovém obchodu obchody24.cz. V těle e-mailu se nachází informace, že objednávka byla přijata a fakturu společně s platebními informacemi naleznete v příloze. Přílohu v žádném případě nestahujte, neotevírejte a zprávu rovnou smažte! Obsahuje totiž škodlivý kód. Pokud jste na daném eshopu skutečně prováděli objednávku, důkladně si zkontrolujte, že objednané zboží odpovídá vaší objednávce.

Pokud máte aktivní technologii ESET Live Grid, pokus o stažení infikované přílohy bude zablokován již nyní. Produkty ESET škodlivý kód detekují standardními technikami od verze virové databáze 10999 jako další variantu Win32/TrojanDownloader.Elenoocka a Win32/Kryptik.CVBD.

Vzor zprávy:

Vážená paní, vážený pane,
děkujeme za projevenou důvěru v internetové obchody obchody24.cz.
Tímto emailem potvrzujeme, že jsme v pořádku přijali vaši objednávku.

Číslo objednávky (variabilní symbol): M5E82635AC42484
Datum a čas objednávky: 10.01.15 52:52
Kontaktní údaje:
Chaoki Nasreddin
+420 605 852 382

Vaše objednávka:
——————————
Leadtek WinFast A360-TD128, FX5700, 128 MB DDR,TV, DVI, VIVO, bílá: 1 x 3 343,00 Kč =3 343,00 Kč
Doúprava PPL: 111 Kč
——————————
Celková cena nákupu vč. DPH: 3 454,00 Kč
Způsob platby: Platba předem – platební karta
Poznámka: Potvrzení platby a fakturu najdete v přiloženém souboru (invoice426F4C5.zip)

Nyní prosím vyčkejte na našeho operátora,
který se s vámi spojí maximálně do 1 pracovního dne a dohodne podrobnosti ohledně Vaší objednávky.

 

pokud jste soubor s příponou .src spustil, proveďte kontrolu počítače v Nouzovém režimu prostřednictvím nástroje ESET Online Scanner.

E-mail obsahoval přílohu – dvakrát zazipovaný archiv se spustitelným soubore scr (jinak přípona pro spořič windows), který, pokud byl spuštěn (kromě zobrazení jistého nesouvisejícího textového dokumentuv rtf), stáhnul (snad až po několika minutách čekání) z internetu další škodlivý kód – bankovní malware Tinba, soubor s názvem spcommon.exe do adresáře „C:\Documents and Settings\User\Application Data\SpeechEngines“ a své spuštění si zajistí zápisem do klíče Run v registrech.

 

 

 

Aktuální hrozba, která šifruje data, používá neprolomitelnou šifru

Poslední varianta hrozby, která po spuštění zašifruje data na pevném disku, je o proti dřívějším výskytům upravena a používá již velmi bezpečnou šifrovací metodu. Po několika dnech analýzy množství dat již bohužel víme, že klíč k dešifrování souborů není možné nalézt. Soubory jsou zakryptovány šifrou AES pomocí generovaného 256 bitového klíče. Klíč je dále zabezpečen šifrou RSA 2048. Bez znalosti klíče nelze data obnovit.

Upozornění

Upozornění:
Podle posledních informací virus nešifruje kompletní obsah disku, u  některých souborů pravděpodobně mění jen příponu. Alespoň u části změněných dat tak může pomoci vrátit souborům jejich původní příponu.

Před tímto typem nákazy není možná 100% ochrana.

Jak se chránit před havětí, která šifruje data?

Autor: Martin Jonáš | Vytvořeno: 20.11.2014 10:47:23

V posledních měsících se šíří různé varianty škodlivého souboru, který po svém spuštění zašifruje data na pevných discích. Zašifruje také data na všech dostupných síťových složkách, které má uživatel namapované jako disky pod určitým písmenem. Může tak dojít i k zašifrování velkého množství dat, které se nacházejí na souborových serverech i internetových službách, jako je Dropbox či OneDrive.

Pro šíření tohoto škodlivého souboru je nejčastěji použita technika sociálního inženýrství. Uživatel obdrží e-mailovou zprávu, která vyhrožuje např. exekutorským řízením či informuje uživatele, že má nevyzvednutou zásilku. Škodlivý soubor může být přímo v příloze e-mailové zprávy, nebo je ve zprávě uveden odkaz na podvrženou webovou stránku, odkud soubor stáhnete.

Zpráva většinou neobsahuje další informace. Uživatel je pouze informován, že další podrobnosti najde v připojeném souboru či v souboru na webových stránkách, na které se dostane pomocí odkazu ve zprávě. Často je ve zprávě upozornění (výhrůžka), že pokud nebude zásilka vyzvednuta, či včas reagováno, bude účtováno penále. Uživatel je tak vlastně cíleně veden k tomu, aby škodlivý soubor spustil a zašifroval si data.

Tvůrci této havěti následně požadují za poskytnutí klíče k dešifrování poplatek v řádu několik tisíc korun. Účelem dnes vytvářených a šířených hrozeb je jediné – vydělat peníze. Ani zplacení této částky však nevede k obnově dat. Zákazníci, kteří požadovanou částku zaplatili, skutečně dostali aplikaci pro dešifrování, ta ale ve většině případů nefungovala.

Upozornění

Upozornění:
V předchozích variantách této havěti bylo možné analýzou zdrojového souboru a zašifrovaných dat nalézt klíč k dešifrování. Bylo tak možné zašifrované soubory obnovit. Současná varianta, která se šířila pod hlavičkou různých přepravních společností používá velmi bezpečný šifrovací algoritmus. Šifrování je navíc vícenásobné a pro každého uživatele jiné. Klíč pro dešifrování již není možné zjistit. Můžeme předpokládat, že každá další varianta bude opět o něco sofistikovanější.

 

Podle posledních informací virus nešifruje kompletní obsah disku, u  některých souborů pravděpodobně mění jen příponu. Alespoň u části změněných dat tak může pomoci vrátit souborům jejich původní příponu.

Každá nová varianta této havěti je vždy upravena tak, aby odolávala používaným detekčním technikám. V intervalu od startu šíření viru až do doby, kdy antivirové společnosti získají konkrétní vzorek nákazy (např. od prvního pozorného či infikovaného uživatele) může, při spuštění škodlivého souboru, dojít k napadení počítače a nevratné ztrátě dat. V této době tak leží největší míra odpovědnosti na samotném uživateli a jeho zodpovědném chování. Obezřetnost a zdravý rozum je totiž ta nejlepší a nejefektivnější ochrana počítače.

nahoru


Podvržená stránka České pošty

Klikněte sem pro zobrazení plné verze

Jak minimalizovat riziko nákazy a ztráty dat?

  • Zkontrolujte si, zda používáte poslední verzi produktu ESET.
    Pokud ne, současnou verzi odinstalujte a po restartu počítače nainstalujte aktuální verzi a aktivujte. V rámci platné licence máte vždy nárok na nejnovější dostupnou verzi produktu: Přehled aktuálních verzí produktů ESET
  • Ověřte, zda máte aktivován systém ESET LiveGrid®.
    Díky touto systému včasného varování se významně zkrátí doba, kdy může dojít k nakažení počítače: Proč je dobré mít aktivní systém včasného varování ESET Live Grid?
  • Pamatujte na to, že oficiální instituce nikdy neposílají důležité informace prostřednictví e-mailu.
    Pokud Vám opravdu hrozí exekuce, dozvíte se to vždy písemnou formou. Stejně tak poštovní a kurýrní společnosti nedávají informace o svých zásilkách do příloh e-mailových zpráv. Ani banky Vás takto nebudou informovat o důležitých záležitostech. Taktéž je nesmysl stahovat soubor s konkrétními informacemi z webových stránek těchto společností. Vám určená informace by měla být uvedena přímo v textu zprávy, či na webových stránkách např. po zadání čísla zásilky.
  • Pečlivě čtěte veškeré informace ve zprávách a na webových stránkách.
    Často je totiž text plný chyb a je psán špatnou češtinou, jelikož je strojově překládán. Chyby v textu jsou jasným varováním, že se jedná o škodlivý kód nebo podvrženou stránku.
  • Zapamatujte si nebo napište adresy webových stránek společností či jejich služeb, které využíváte.
    Pokud otevíráte odkaz v e-mailové zprávě, vždy si zkontrolujte, zda v adresním řádku prohlížeče je uvedena správná adresa. Poslední varianta havěti odkazovala na adresu http://cs-posta24.org, kde se nacházely podvržené (falešné) stránky České pošty. Oficiální webové stránky České pošty jsou na adrese https://www.ceskaposta.cz.
  • Neklikejte na odkazy uvedené v e-mailových zprávách.
    Vždy přejděte na webové stránky dané společnosti zadáním její adresy do prohlížeče nebo prostřednictvím známých internetových vyhledávačů (Google.cz, Seznam.cz apod.) Případně si stránky, které často navštěvujete, vložte do oblíbených záložek v prohlížeči.
  • Důležitá data si pravidelně zálohujte na médium, které není trvale připojeno k počítači (USB disk, CD, DVD…).
    Záloha na druhém fyzickém či síťovém disku může být také zašifrována, stejně tak lokální kopie dat uložených v internetových úložištích jako je např. Dropbox. Kam může uživatel, tam může i virus.
Autor: Martin Buchta | Vytvořeno: 13.11.2014 13:52:37

V nové vlně podvodných e-mailů, které se dnes začaly šířit, různé instituce uživatele informují, že mají připravenou zásilku k vyzvednutí. Odkaz uvedený v těle e-mailu směřuje na podvodnou stránku, která vypadá jako oficiální internetová stránka dané instituce, v níže uvedeném příkladu České pošty. Na stránce však nejsou k dispozici informace o údajné zásilce, ale obsahuje soubor se škodlivým kódem. Pokud po zadání ověřovacího kódu tento soubor stáhnete a přílohu spustíte, dojde k zašifrování všech dat na pevném disku!

Bezpečnostní produkty ESET tento škodlivý kód detekují jako Win32/Emotet.AB od verze virové databáze 10718, která byla dnes vydána.

Pokud jste uvedený e-mail obdrželi, neotvírejte jej a rovnou vymažte. Pokud jste přílohu stáhli a spustili, aktualizujte virovou databázi produktu ESET a proveďte kompletní kontrolu počítače. V případě, že došlo k zašifrování dat, není možné data zpětně dešifrovat.

Upozornění Poznámka:
Pro maximální úroveň zabezpečení počítače před novými hrozbami doporučujeme aktivovat systém včasného varování ESET LiveGrid®. Podrobné informace o tomto systému naleznete v tomto článku.

Tyto e-mailové zprávy jsou podvrh a Česká pošta, ani jiná instituce, jejímž jménem jsou zprávy posílány, nemá s těmito zprávami nic společného. Při otevírání odkazů v e-mailových zprávách si vždy zkontrolujte na jakou adresu (doménu) daný odkaz směřuje. V níže uvedeném případě jde o doménu cs-posta24.org, což není oficiální internetová adresa (doména) České pošty.

 

Vzor podvodné stránky:

Vzor podvodné stránky
Klikněte sem pro zobrazení plné verze

Aktualizace:

Od získání prvního vzorku pracujeme na získání dešifrovacího klíče. Tato varianta škodlivého kódu má však poměrně složitý šifrovací algoritmus, je tedy otázkou, zda se vůbec podaří dešifrovací klíč získat.

Autor: Martin Jonáš | Vytvořeno: 18.11.2014 16:19:22

V souvislosti se šířením nové hrozby, která po spuštění zašifruje data na pevných i síťových discích, je velmi důležité mít aktivní systém včasného varování ESET LiveGrid®. Díky tomuto systému dokáží programy ESET reagovat na nové hrozby ještě před vydáním aktualizace virové databáze. Bez tohoto systému může být nová hrozba detekována se zpožděním, proto doporučujeme tento systém aktivovat. Veškeré podrobnosti a postup pro jeho aktivaci najdete v tomto článku:

Nastavení ESET Live Grid

Autor: Martin Jonáš | Vytvořeno: 28.11.2014 15:06:11

Pokud jste se stali obětí útoku aktuálně se šířícího viru, který po svém spuštění zašifruje data na pevných discích, možná Vám pomůže obnova souborů ze stínové kopie svazku (z vytvořeného bodu obnovení). Tyto body obnovy systém Windows vytváří v případě, že máte aktivní funkci Ochrana souborů. Více informací o této možnosti naleznete v článku:

Jak obnovit poškozené či zašifrované soubory?

Autor: Martin Jonáš | Vytvořeno: 28.11.2014 11:41:09

V případě spuštění škodlivého souboru, který např. zašifrovává data na pevném disku, je možné obnovit poškozené či zašifrované soubory z tzv. stínové kopie (shadow copy) pevného disku, kterou systém Windows vytváří. Tyto stínové kopie se používají jako body obnovy. Je tak možné vrátit stav počítače v čase zpět do bezproblémového stavu, který reflektuje uložený bod obnovy.

Body obnovy však standardně nenahrazují dokumenty a data, která má uživatel uloženy ve svém profilu. Při standardní obnově počítače tak budou nahrazeny systémové soubory, aplikace a ovladače, nikoliv ale dokumenty, které ukládáte do stejnojmenné složky.

Pro obnovu těchto dat je však možné použít aplikaci třetí strany, která umožňuje procházení uložených bodů obnovy (stínových kopií) a export jednotlivých souborů z vybraného bodu do určené složky. Stínové kopie svazku jsou dostupné pouze, pokud je aktivní funkce Ochrana systému:

Funkce Ochrana systému Windows

Pokud potřebujete obnovit data, postupujte následovně:

číslo Stáhněte si instalátor nebo archiv s aplikací ShadowExplorer z této stránky.
Varování Důležité:
ShadowExplorer je aplikací třetí strany. Její použití je na vlastní riziko. Společnost ESET neposkytuje k tomuto produktu žádné další informace ani podporu. Výše uvedený postup i použití této aplikace je bez záruky.
číslo Nainstalujte aplikaci a spusťte, případně celý stažený archiv rozbalte do nějaké složky a spusťte soubor ShadowExplorerPortable.exe. Pokud máte zapnuté UAC (Řízení uživatelských účtů) povolte provedení změn v počítači.

Shadow Explorer

číslo

Po spuštění programu vyberte pomocí rozbalovacího menu vlevo nahoře konkrétní disk a datum bodu obnovy z doby, kdy ještě nedošlo k poškození dat (ke spuštění škodlivého kódu). Budou zobrazeny uložené kopie všech souborů ve vybraném bodu obnovy.

Shadow Explorer

číslo V pravé části okna vyberte požadovaný soubor či složku, kterou chcete obnovit, klikněte na ni pravým tlačítkem a zvolte Export… V zobrazeném dialogu pak vyberte umístění, do kterého objekt obnovíte a stiskněte tlačítko OK. Takto analogicky postupujte u všech souborů a složek, které potřebujete obnovit.

Uživatelskou složku Dokumenty najdete standardně v tomto umístění: C:\Users\jmeno_uzivatele\Documents nebo C:\Documents and Settings\jmeno_uzivatele\Documents

Je možné, že některé obnovené soubory budou nečitelné. V takovém případě zkuste soubor vyexportovat z jiného bodu obnovy.

Upozornění Poznámka:
Virus nešifruje kompletně veškerá data, ale pracuje pravděpodobně podle náhodného algoritmu. Některé soubory je tak možné obnovit přejmenováním z xxx.encrypted na původní příponu. Jak předcházet riziku nakažení počítače havětí, která šifruje data na pevném disku, se dozvíte v tomto článku.

 

Komentáře (2)

Petr Novák
01.12.2014 10:23:57
Nepomůže, jedna z věcí, které nová mutace dělá, je že smaže data pro obnovení, teprve pak začne šifrovat. Na mém pokusném stroji za 35 minut 150 000 souborů o velikosti 75GB. (fotky, dokumenty, mp3, iso, zip atd.)
Martin Jonáš
01.12.2014 11:26:20
Dobrý den,
záleží na variantě, kterou se nakazíte. V některých případech je obnova možná.
Přejít nahoru