http://www.viry.cz/supervirus-locky-co- ... uper-neni/
Supervirus Locky, co zase tak super není
Médii proběhla zpráva o novém „superviru“, který už pronikl na území České republiky a zaviroval první desítky počítačů. Co se týká množství zavirovaných počítačů, to sedí, určitě se ale nejedná o žádný supervirus. Podobných je tu spousta a téma, jak odšifrovat soubory či zda zaplatit/nezaplatit útočníkům, se stalo každodenní náplní servisů, diskuzních fór, či technických podpor antivirových společností.Locky je další přírůstek do rodiny, která se často označuje jako Filecoder. Princip fungování varianty Locky je jednoduchý. Dorazí e-mailem, který se tváří jako faktura a text nabádá uživatele ke spuštění přílohy. Pokud uživatel přílohu spustí, zahájí tím sled událostí, které vedou až k zašifrování souborů a zobrazení „závěrečné“ zprávy. Tam je uživatel informován o tom, že pokud chce ještě někdy vidět svoje fotky z dovolených, dokumenty, atd., musí útočníkům zaplatit. Takhle nějak funguje všechen dnešní ransomware.
Za úspěchem Locky stojí patrně celkem atypická příloha, ve které se tato havěť šíří. Pokud dorazí e-mail s EXE souborem v příloze, většina uživatelů už tak nějak tuší, že to asi nebude zcela v pořádku. Pokud ale dorazí dokument, tedy soubor s příponou DOC/DOCX a text o něm informuje jako o faktuře, pak to docela dává smysl a určitě se najde spousta uživatelů, kteří přílohu otevřou. Navíc, koho by napadlo, že v dokumentu hrozí nějaké nebezpečí. Pokud uživatel přílohu spustí / otevře, DOC/DOCX se jako dokument otevře v aplikaci Microsoft Word. Následuje žluté upozornění Wordu, že máte být opatrní, že soubory z internetu mohou obsahovat viry. Pokud chcete pokračovat, je nutné stisknout „umožnit editaci“. Žluté upozornění se nicméně v praxi zobrazuje velice často (s různým textem), a tak časem řada z nás „otupí“ a rovnou tyto zprávy automaticky odklikává. Stejně tak i druhé upozornění, které vizuálně vypadá téměř shodně jako to první. Zde se ale láme chleba. Odkliknutím druhé zprávy povolíte makra a průšvich je na světě! V tu chvíli se spustí makro AutoOpen, to stáhne z internetu EXE soubor s havětí a tento EXE spustí. Zbytek už znáte.
Jinak díky makrům ve Wordu / Excelu tu již v minulosti řádily tzv. makroviry (od roku 1995) a používaly právě speciální makra AutoOpen a další. Tehdy to taktéž pomohlo masivnímu šíření, protože se vždycky říkalo, že textový dokument přece nemůže obsahovat žádné viry. Makroviry to změnily. Jenže pak vymřely, doba pokročila, trochu se na to zapomnělo a dnes, v roce 2016, opět slaví úspěch…
Supervirus Locky, co zase tak super není
- jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43060
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Supervirus Locky, co zase tak super není
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
-
- Level 3
- Příspěvky: 477
- Registrován: únor 16
- Pohlaví:
- Stav:
Offline
Re: Supervirus Locky, co zase tak super není
Perfektní informace. Ta by se měla objevit v médiích jako reakce na tu prví poplašnou. Na PC-help trochu zapadne, protože sem přijde dost málo běžných uživatelů PC.
Re: Supervirus Locky, co zase tak super není
V jakych mediich?
V tech co ctou a sleduji uzivatele, kteri jsou kandidaty na spusteni tohoto malware je cilem divaka vydesit a prave proto v nich probehla ta poplasna zprava, protoze cilem neni informovat, ale sokovat.
V tech co ctou a sleduji uzivatele, kteri jsou kandidaty na spusteni tohoto malware je cilem divaka vydesit a prave proto v nich probehla ta poplasna zprava, protoze cilem neni informovat, ale sokovat.
Re: Supervirus Locky, co zase tak super není
Díky redmondským "expertům" se můžou viry šířit nejenom v dokumentech, ale i ve filmech, písničkách, a dokonce obrázcích!
Něco o Locky bylo včera na Rootu: http://www.root.cz/clanky/postrehy-z-be ... are-locky/
Něco o Locky bylo včera na Rootu: http://www.root.cz/clanky/postrehy-z-be ... are-locky/
"Král Lávra má dlouhé oslí uši, král je ušatec!
(pravil K. H. Borovský o cenzuře internetu)
(pravil K. H. Borovský o cenzuře internetu)
Re: Supervirus Locky, co zase tak super není
On Office neběží v "sandboxu"? Nebo v Low Integrity level? Když to údajně umí IE? Nebo běží a uživatel něco odklepne, že se to spustí s vyššími právy?
Re: Supervirus Locky, co zase tak super není
Uzivatel casto pouziva administratorsky ucet bez hesla, ma vyple otravne UAC a nekteri dokonce nepouzivaji ani antivir. Co potom brani tomu malware v cinnosti?
Ostatne funguje i na linuxu, onehdy nas linux expert dotahl notebook se zasifrovanym home adresarem, nejakych 800 GB dat - dal se to nedostalo.
Pod normalnim uzivatelskym uctem ve Windows to taky dokaze zasifrovat jen data uzivatele a slozky kam ma opravneni pro zapis.
Ostatne funguje i na linuxu, onehdy nas linux expert dotahl notebook se zasifrovanym home adresarem, nejakych 800 GB dat - dal se to nedostalo.
Pod normalnim uzivatelskym uctem ve Windows to taky dokaze zasifrovat jen data uzivatele a slozky kam ma opravneni pro zapis.
-
- Mohlo by vás zajímat
- Odpovědi
- Zobrazení
- Poslední příspěvek
-
- 1
- 707
-
od pcmaker
Zobrazit poslední příspěvek
15 čer 2023 19:51
-
- 1
- 757
-
od jaojao
Zobrazit poslední příspěvek
26 bře 2024 12:41
-
- 15
- 2851
-
od petr22
Zobrazit poslední příspěvek
22 črc 2023 15:42
-
- 1
- 851
-
od petr22
Zobrazit poslední příspěvek
21 říj 2023 13:46
-
-
Upgrade z GTX 1660 Super na RTX 4060
od Petr Škorec » 28 led 2024 18:08 » v Rady s výběrem hw a sestavením PC - 7
- 922
-
od Petr Škorec
Zobrazit poslední příspěvek
31 led 2024 10:55
-
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host