11.9.2018 14:05 | Bezpečnosť

Vydieračský vírus cieli na firmy a organizácie v Európe. Šíri sa ako faktúra

Ilustračná snímka
Nositeľom vírusu je ZIP archív (Ilustračná snímka). Zdroj: Shutterstock‎

V niektorých systémoch sa škodlivý kód aktivuje až po jedenástich dňoch.

Bezpečnostní experti odhalili nový šifrovací vírus, ktorého hlavným cieľom sú firmy a organizácie v Európe. Najväčší podiel infekcií bol doposiaľ odhalený vo Francúzsku a v Nemecku. Terčom útokov sa však môžu stať aj ďalšie krajiny. Bližšie informácie o hrozbe zverejnil portál SC Magazine.

Šíri sa ako neuhradená faktúra

Škodlivý kód označený názvom „PyLocky“ sa aktuálne šíri len vo forme nevyžiadaných e-mailových správ. Text v správe nabáda nič netušiaceho používateľa, aby klikol na priložený odkaz, ktorý údajne obsahuje podrobnosti o neuhradenej faktúre.

Francúzsky variant nevyžiadanej e-mailovej správy. fotogaléria / 4
Francúzsky variant nevyžiadanej e-mailovej správy. Zdroj: Trend Micro

Odkaz však smeruje na záškodnícky web, z ktorého sa stiahne nebezpečný ZIP archív. Jeho obsahom je totiž spustiteľný súbor v tvare „Facture_23100.31.07.2018.exe“. Ak obeť otvorí tento súbor, tak sa aktivuje niekoľko komponentov samotného vírusu (knižnice C++ a Python) a dôjde k nenápadnej infekcii počítača.

Špeciálne opatrenie má zabrániť odhaleniu

Vydieračský vírus následne zhromaždí základné informácie o operačnom systéme prostredníctvom legitímneho nástroja Windows Management Instrumentation (WMI). V prípade, že infikovaný systém obsahuje menej ako 4 gigabajty operačnej pamäte RAM, tak bude škodlivý kód nečinný presne 999 999 sekúnd (11 a pol dňa).

Uvedené opatrenie má sťažiť odhalenie vírusu, ako aj jeho následnú analýzu bezpečnostnými výskumníkmi. V systémoch s väčšou operačnou pamäťou sa šifrovací modul aktivuje okamžite.

V Googli mali problém s bezpečnostnými dverami.
Čítajte aj Inžinier Googlu objavil problém: Dvere firmy možno jednoducho hacknúť

PyLocky napokon zašifruje najpoužívanejšie typy súborov prostredníctvom algoritmu 3DES (Triple DES). Na zozname už tradične figurujú prípony vyhradené pre dokumenty (*.doc, *.docx, *.xlsx, *.pptx a podobne), archívy (*.rar, *.zip, *.tar a ďalšie), ako aj fotografie, video a zvukové súbory (*.jpg, *.bmp, *.mp3, *.m3u, *.mkv, *.avi a iné). Kompletný zoznam typov súborov, ktoré môžu byť zašifrované nájdete v oficiálnej správe.

Informácie o práve zašifrovaných súboroch. fotogaléria / 4
Informácie o práve zašifrovaných súboroch. Zdroj: Trend Micro

Po úspešnom zašifrovaní sa nadviaže spojenie so vzdialeným serverom útočníkov, na ktorý sa odošlú základné údaje o infikovanom systéme. Na záver sa zobrazí oznámenie o práve zašifrovaných súboroch, ako aj informácie o výkupnom. Po uplynutí 96 hodín sa výška výkupného zdvojnásobí.

Najviac infekcií je v Nemecku a Francúzsku

V čase odhalenia (2. augusta) bolo najviac infekcií lokalizovaných v Nemecku a vo Francúzsku. O tri týždne neskôr (24.augusta) sa však pomer zmenil, pričom dominovalo Francúzsko a za ním nasledovalo Nemecko a Nová Kaledónia.

Miera rozšírenia infekcie. fotogaléria / 4
Miera rozšírenia infekcie. Zdroj: Trend Micro

Terčom útočníkov sa však môžu stať prakticky ľubovoľné firmy organizácie z akéhokoľvek štátu v Európe. Naznačujú to informácie o výške výkupného, ktoré sú napísané v angličtine, francúzštine, kórejčine a v taliančine.

Všetkým používateľom preto odporúčame zvýšiť opatrnosť. Okrem toho by v počítači nemal chýbať riadne aktualizovaný antivírusový softvér. Uvedenú hrozbu totiž dokáže v súčasnosti odhaliť 37 zo 67 bezpečnostných produktov.

Diskusia 10 Príspevkov