Supervirus Locky, co zase tak super není
Napsal: 15 bře 2016 10:04
http://www.viry.cz/supervirus-locky-co- ... uper-neni/
Supervirus Locky, co zase tak super není
Médii proběhla zpráva o novém „superviru“, který už pronikl na území České republiky a zaviroval první desítky počítačů. Co se týká množství zavirovaných počítačů, to sedí, určitě se ale nejedná o žádný supervirus. Podobných je tu spousta a téma, jak odšifrovat soubory či zda zaplatit/nezaplatit útočníkům, se stalo každodenní náplní servisů, diskuzních fór, či technických podpor antivirových společností.Locky je další přírůstek do rodiny, která se často označuje jako Filecoder. Princip fungování varianty Locky je jednoduchý. Dorazí e-mailem, který se tváří jako faktura a text nabádá uživatele ke spuštění přílohy. Pokud uživatel přílohu spustí, zahájí tím sled událostí, které vedou až k zašifrování souborů a zobrazení „závěrečné“ zprávy. Tam je uživatel informován o tom, že pokud chce ještě někdy vidět svoje fotky z dovolených, dokumenty, atd., musí útočníkům zaplatit. Takhle nějak funguje všechen dnešní ransomware.
Za úspěchem Locky stojí patrně celkem atypická příloha, ve které se tato havěť šíří. Pokud dorazí e-mail s EXE souborem v příloze, většina uživatelů už tak nějak tuší, že to asi nebude zcela v pořádku. Pokud ale dorazí dokument, tedy soubor s příponou DOC/DOCX a text o něm informuje jako o faktuře, pak to docela dává smysl a určitě se najde spousta uživatelů, kteří přílohu otevřou. Navíc, koho by napadlo, že v dokumentu hrozí nějaké nebezpečí. Pokud uživatel přílohu spustí / otevře, DOC/DOCX se jako dokument otevře v aplikaci Microsoft Word. Následuje žluté upozornění Wordu, že máte být opatrní, že soubory z internetu mohou obsahovat viry. Pokud chcete pokračovat, je nutné stisknout „umožnit editaci“. Žluté upozornění se nicméně v praxi zobrazuje velice často (s různým textem), a tak časem řada z nás „otupí“ a rovnou tyto zprávy automaticky odklikává. Stejně tak i druhé upozornění, které vizuálně vypadá téměř shodně jako to první. Zde se ale láme chleba. Odkliknutím druhé zprávy povolíte makra a průšvich je na světě! V tu chvíli se spustí makro AutoOpen, to stáhne z internetu EXE soubor s havětí a tento EXE spustí. Zbytek už znáte.
Jinak díky makrům ve Wordu / Excelu tu již v minulosti řádily tzv. makroviry (od roku 1995) a používaly právě speciální makra AutoOpen a další. Tehdy to taktéž pomohlo masivnímu šíření, protože se vždycky říkalo, že textový dokument přece nemůže obsahovat žádné viry. Makroviry to změnily. Jenže pak vymřely, doba pokročila, trochu se na to zapomnělo a dnes, v roce 2016, opět slaví úspěch…
Supervirus Locky, co zase tak super není
Médii proběhla zpráva o novém „superviru“, který už pronikl na území České republiky a zaviroval první desítky počítačů. Co se týká množství zavirovaných počítačů, to sedí, určitě se ale nejedná o žádný supervirus. Podobných je tu spousta a téma, jak odšifrovat soubory či zda zaplatit/nezaplatit útočníkům, se stalo každodenní náplní servisů, diskuzních fór, či technických podpor antivirových společností.Locky je další přírůstek do rodiny, která se často označuje jako Filecoder. Princip fungování varianty Locky je jednoduchý. Dorazí e-mailem, který se tváří jako faktura a text nabádá uživatele ke spuštění přílohy. Pokud uživatel přílohu spustí, zahájí tím sled událostí, které vedou až k zašifrování souborů a zobrazení „závěrečné“ zprávy. Tam je uživatel informován o tom, že pokud chce ještě někdy vidět svoje fotky z dovolených, dokumenty, atd., musí útočníkům zaplatit. Takhle nějak funguje všechen dnešní ransomware.
Za úspěchem Locky stojí patrně celkem atypická příloha, ve které se tato havěť šíří. Pokud dorazí e-mail s EXE souborem v příloze, většina uživatelů už tak nějak tuší, že to asi nebude zcela v pořádku. Pokud ale dorazí dokument, tedy soubor s příponou DOC/DOCX a text o něm informuje jako o faktuře, pak to docela dává smysl a určitě se najde spousta uživatelů, kteří přílohu otevřou. Navíc, koho by napadlo, že v dokumentu hrozí nějaké nebezpečí. Pokud uživatel přílohu spustí / otevře, DOC/DOCX se jako dokument otevře v aplikaci Microsoft Word. Následuje žluté upozornění Wordu, že máte být opatrní, že soubory z internetu mohou obsahovat viry. Pokud chcete pokračovat, je nutné stisknout „umožnit editaci“. Žluté upozornění se nicméně v praxi zobrazuje velice často (s různým textem), a tak časem řada z nás „otupí“ a rovnou tyto zprávy automaticky odklikává. Stejně tak i druhé upozornění, které vizuálně vypadá téměř shodně jako to první. Zde se ale láme chleba. Odkliknutím druhé zprávy povolíte makra a průšvich je na světě! V tu chvíli se spustí makro AutoOpen, to stáhne z internetu EXE soubor s havětí a tento EXE spustí. Zbytek už znáte.
Jinak díky makrům ve Wordu / Excelu tu již v minulosti řádily tzv. makroviry (od roku 1995) a používaly právě speciální makra AutoOpen a další. Tehdy to taktéž pomohlo masivnímu šíření, protože se vždycky říkalo, že textový dokument přece nemůže obsahovat žádné viry. Makroviry to změnily. Jenže pak vymřely, doba pokročila, trochu se na to zapomnělo a dnes, v roce 2016, opět slaví úspěch…