Supervirus Locky, co zase tak super není

[jaro3]

http://www.viry.cz/supervirus-locky-co- ... uper-neni/

Supervirus Locky, co zase tak super není

Médii proběhla zpráva o novém „superviru“, který už pronikl na území České republiky a zaviroval první desítky počítačů. Co se týká množství zavirovaných počítačů, to sedí, určitě se ale nejedná o žádný supervirus. Podobných je tu spousta a téma, jak odšifrovat soubory či zda zaplatit/nezaplatit útočníkům, se stalo každodenní náplní servisů, diskuzních fór, či technických podpor antivirových společností.Locky je další přírůstek do rodiny, která se často označuje jako Filecoder. Princip fungování varianty Locky je jednoduchý. Dorazí e-mailem, který se tváří jako faktura a text nabádá uživatele ke spuštění přílohy. Pokud uživatel přílohu spustí, zahájí tím sled událostí, které vedou až k zašifrování souborů a zobrazení „závěrečné“ zprávy. Tam je uživatel informován o tom, že pokud chce ještě někdy vidět svoje fotky z dovolených, dokumenty, atd., musí útočníkům zaplatit. Takhle nějak funguje všechen dnešní ransomware.

Za úspěchem Locky stojí patrně celkem atypická příloha, ve které se tato havěť šíří. Pokud dorazí e-mail s EXE souborem v příloze, většina uživatelů už tak nějak tuší, že to asi nebude zcela v pořádku. Pokud ale dorazí dokument, tedy soubor s příponou DOC/DOCX a text o něm informuje jako o faktuře, pak to docela dává smysl a určitě se najde spousta uživatelů, kteří přílohu otevřou. Navíc, koho by napadlo, že v dokumentu hrozí nějaké nebezpečí. Pokud uživatel přílohu spustí / otevře, DOC/DOCX se jako dokument otevře v aplikaci Microsoft Word. Následuje žluté upozornění Wordu, že máte být opatrní, že soubory z internetu mohou obsahovat viry. Pokud chcete pokračovat, je nutné stisknout „umožnit editaci“. Žluté upozornění se nicméně v praxi zobrazuje velice často (s různým textem), a tak časem řada z nás „otupí“ a rovnou tyto zprávy automaticky odklikává. Stejně tak i druhé upozornění, které vizuálně vypadá téměř shodně jako to první. Zde se ale láme chleba. Odkliknutím druhé zprávy povolíte makra a průšvich je na světě! V tu chvíli se spustí makro AutoOpen, to stáhne z internetu EXE soubor s havětí a tento EXE spustí. Zbytek už znáte.

Jinak díky makrům ve Wordu / Excelu tu již v minulosti řádily tzv. makroviry (od roku 1995) a používaly právě speciální makra AutoOpen a další. Tehdy to taktéž pomohlo masivnímu šíření, protože se vždycky říkalo, že textový dokument přece nemůže obsahovat žádné viry. Makroviry to změnily. Jenže pak vymřely, doba pokročila, trochu se na to zapomnělo a dnes, v roce 2016, opět slaví úspěch…

[Reklama]

[lennonreloaded]

Perfektní informace. Ta by se měla objevit v médiích jako reakce na tu prví poplašnou. Na PC-help trochu zapadne, protože sem přijde dost málo běžných uživatelů PC.

[petr22]

V jakych mediich?

V tech co ctou a sleduji uzivatele, kteri jsou kandidaty na spusteni tohoto malware je cilem divaka vydesit a prave proto v nich probehla ta poplasna zprava, protoze cilem neni informovat, ale sokovat.

[faraon]

Díky redmondským "expertům" se můžou viry šířit nejenom v dokumentech, ale i ve filmech, písničkách, a dokonce obrázcích!

Něco o Locky bylo včera na Rootu: http://www.root.cz/clanky/postrehy-z-be ... are-locky/

[Herda]

On Office neběží v "sandboxu"? Nebo v Low Integrity level? Když to údajně umí IE? Nebo běží a uživatel něco odklepne, že se to spustí s vyššími právy?

[petr22]

Uzivatel casto pouziva administratorsky ucet bez hesla, ma vyple otravne UAC a nekteri dokonce nepouzivaji ani antivir. Co potom brani tomu malware v cinnosti?

Ostatne funguje i na linuxu, onehdy nas linux expert dotahl notebook se zasifrovanym home adresarem, nejakych 800 GB dat - dal se to nedostalo.

Pod normalnim uzivatelskym uctem ve Windows to taky dokaze zasifrovat jen data uzivatele a slozky kam ma opravneni pro zapis.