Médii proběhla zpráva o novém „superviru“, který už pronikl na území České republiky a zaviroval první desítky počítačů. Co se týká množství zavirovaných počítačů, to sedí, určitě se ale nejedná o žádný supervirus. Podobných je tu spousta a téma, jak odšifrovat soubory či zda zaplatit/nezaplatit útočníkům, se stalo každodenní náplní servisů, diskuzních fór, či technických podpor antivirových společností.Locky je další přírůstek do rodiny, která se často označuje jako Filecoder. Princip fungování varianty Locky je jednoduchý. Dorazí e-mailem, který se tváří jako faktura a text nabádá uživatele ke spuštění přílohy. Pokud uživatel přílohu spustí, zahájí tím sled událostí, které vedou až k zašifrování souborů a zobrazení „závěrečné“ zprávy. Tam je uživatel informován o tom, že pokud chce ještě někdy vidět svoje fotky z dovolených, dokumenty, atd., musí útočníkům zaplatit. Takhle nějak funguje všechen dnešní ransomware.

Za úspěchem Locky stojí patrně celkem atypická příloha, ve které se tato havěť šíří. Pokud dorazí e-mail s EXE souborem v příloze, většina uživatelů už tak nějak tuší, že to asi nebude zcela v pořádku. Pokud ale dorazí dokument, tedy soubor s příponou DOC/DOCX a text o něm informuje jako o faktuře, pak to docela dává smysl a určitě se najde spousta uživatelů, kteří přílohu otevřou. Navíc, koho by napadlo, že v dokumentu hrozí nějaké nebezpečí. Pokud uživatel přílohu spustí / otevře, DOC/DOCX se jako dokument otevře v aplikaci Microsoft Word. Následuje žluté upozornění Wordu, že máte být opatrní, že soubory z internetu mohou obsahovat viry. Pokud chcete pokračovat, je nutné stisknout „umožnit editaci“. Žluté upozornění se nicméně v praxi zobrazuje velice často (s různým textem), a tak časem řada z nás „otupí“ a rovnou tyto zprávy automaticky odklikává. Stejně tak i druhé upozornění, které vizuálně vypadá téměř shodně jako to první. Zde se ale láme chleba. Odkliknutím druhé zprávy povolíte makra a průšvich je na světě! V tu chvíli se spustí makro AutoOpen, to stáhne z internetu EXE soubor s havětí a tento EXE spustí. Zbytek už znáte.

Jinak díky makrům ve Wordu / Excelu tu již v minulosti řádily tzv. makroviry (od roku 1995) a používaly právě speciální makra AutoOpen a další. Tehdy to taktéž pomohlo masivnímu šíření, protože se vždycky říkalo, že textový dokument přece nemůže obsahovat žádné viry. Makroviry to změnily. Jenže pak vymřely, doba pokročila, trochu se na to zapomnělo a dnes, v roce 2016, opět slaví úspěch…

VirtualBox_stell_27_02_2016_11_37_16

Odkliknutím této žluté hlášky se ještě nic neděje…

VirtualBox_stell_27_02_2016_11_37_29

…ale tady se už láme chleba!


Komentářů: 36 » for Supervirus Locky, co zase tak super není
  1. Petr F. napsal:

    Pěkný článek. Je nějaká možnost, jak se viru jednoduše zbavit a nepřijít tak o data?
    Děkuji

  2. Petr Hanč napsal:

    Jsou ty maily psané česky nebo v cizím jazyce (anglicky, německy)? Anglické maily s fakturami k nám do práce chodí už delší dobu, objevily se i německé. Proto na antispamovém/antivirovém serveru zachytáváme všechny maily, co mají přílohu DOC nebo XLS a v názvu souboru invoice nebo rechnung. Normálně nám takto nazvané přílohy nechodí, tak si to můžeme dovolit.

    • Přemysl Hradec napsal:

      Locky se nemusí nutně maskovat jako faktura a ani nemusí obsahovat v těle jakýkoli text..
      Email přijde jako z vlastní adresy a předmět je Document1.
      Tělo emailu je prázdné a příloha je Dokument1.zip.

  3. Bedřich Veselý napsal:

    Jak je možné, když je aktivní antivirový program, tak při stahování z internetu EXE souboru s havětí a následném spuštění, tak antivirový program mlčí a tento EXE neodstraní…

    • eM napsal:

      Dnes ráno jeden uživatel neodolal a spustil jej. Mail se tvářil, že si ho poslal sám sobě.
      NOD nezareagoval, a jeho data + síťový disk na který měl přístup zašifrované. Ještě že jsou zálohy…

      • Zidane napsal:

        Jen hňup hňupatý spustí mail „sám od sebe“ – každému, kdo umí víc než zapnout PC a kliknout na „modré éčko“ musí dojít, že tady něco smrdí a jeho nohy to nejsou…

      • Dany napsal:

        The genius store cadlle, they’re running out of you.

    • Jack napsal:

      Tzv. „zranitelnost nultého dne“. Když je virus tak nový, že ještě není v databázi antiviru…

      • Bedřich Veselý napsal:

        Rozumím, že tu samou hodinu, co se vir objeví nemůže antivirový program reagovat, ale proč tedy již 21.3.2016 jak psal eM mu NOD nezareagoval?? Tento vir šifroval naše data 18.3.2016 a vše bylo obnoveno ze zálohy, tak proč nereaguje NOD32??

        • Chaluha napsal:

          bylo více variant tohoto viru: Locky.A, Locky.B, tak je možné že to byla novější varianta, proto ještě nebyla v databázi. Je také důležité mít v NODu zapnutý LiveGrid.

  4. Pavel Homolka napsal:

    Také v naší firmě se kolegovi přejmenovat všechny soubory s příponou *.doc na *.locky.
    Táži se, zda hrozí riziko „rozlezení“ tohoto ransomware po síti na server a ostatní PC?
    Kolegu jsem samozřejmě od sítě odpojil. Snad včas 🙁

    • Kamil napsal:

      Hrozí. Vir kryptuje všechny soubory co jsou přístupné z napadeného PC. Pokud je možnost se z napadeného PC dostávat na server, budou i tam soubory kryptované. V tom je právě problém a nevýhoda zálohování na server. Asi nejlepší záloha je na odpojitelný disk.

  5. Procházka napsal:

    Dobrý den,
    tak my tento problém řešíme také ve dvou firmách a jedná se celkem o velký zásah :(. Potřebovali by jsme zašivrované soubory dešifrovat, od pátečního hledání jsem na bodu nula. Neví někdo jestli už se podařilo někomu soubory přes něco dešifrovat?

    Děkuji moc za odpověď.

    • Jack napsal:

      AES šifru nedešifrujete bez znalosti klíče. Je možné se se soubory rozloučit. Taky nás to napadlo, ale postižené složky jsem obnovil z pravidelné zálohy.

      Jedině zkusit ten postup od útočníka, zaplatit mu v bitcoinech a pak nám tu dát zprávu, jestli nějaká dešifrovací utilita došla a jestli to pomohlo.

      • rm napsal:

        Tím martýriem se sháněním bitcoinů a následným zaplacením jsem právě prošel. Dešifrovací klíč po zaplacení poskytli ke stažení. Kdo nemá zálohy a data byla velmi cenná …

        • Lenka napsal:

          Opravdu po zaplacení klic dodali? Všichni mě od zaplacení odrazují. Přišla jsem o velmi cenná data…

          • rm napsal:

            Jo, jakmile jsem poslal bitcoiny, tak asi po hodině se na té stránce objevil odkaz na stažení decryptoru.

        • Venca napsal:

          Taky jsem přišel o cenná data, můžu se zeptat, kolik jste zaplatil ? A kde se dají bitcoiny sehnat ?

          • rm napsal:

            Zaplaceny 3 BTC. Dají se sehnat např. http://www.simplecoin.cz/. Musí se naistalovat peněženka. Platí se převodem, nezapomenout na poplatek při platbě těm rošťákům (cca 0,1 mBtc)

        • LM napsal:

          Dobrý den, můžete mi poradit jak jste přešel přes hlášku:

          Tor Browser cannot display this file. You will need to open it with another application. Some types of files can cause applications to connect to the Internet without using Tor. To be safe, you should only open downloaded files while offline, or use a Tor Live CD such as Tails.

          Díky

    • Chaluha napsal:

      Dobrý den,
      někomu prý zafungoval níže uvedený postup přes Panda Ransomware Decrypt. Mě bohužel ne. Ale za zkoušku nic nedáte:-)
      http://malwarefixes.com/remove-locky-ransomware-and-decrypt-files/

  6. yatro napsal:

    Dobrý den,
    řeším podobný problém v jedné škole. Z ničeho nic se u všech souborů přepíše datum a čas a nejdou otevřít. MS Security Essential, ESET Security pro Server a Kaspersky Endpoint Security nic nenašli a nedokázaly pomoct. V každé složce se v ten moment objevily tři soubory: RECOVERfgkbk.html, RECOVERfgkbk.png a RECOVERfgkbk.txt.
    Průser ale je, když data smažu a obnovím ze zálohy, tak je to za pár minut až hodin stejné. A navíc mi pomalu přibývají i další uživatelé….

    Máte někdo nějaké nápady jak najít příčinu nebo co to mohlo způsobit?

    Děkuji za info.

    • Karel napsal:

      Používejte linux. Není tak náchylný k těmto virům.

      • Přemysl Hradec napsal:

        Na blbou odpověď mám ještě blbější – používejte LIVE CD a tam je jistota, že to nic nepřepíše (ovšem nedoporučuji použít CD-RW :)).

      • yatro napsal:

        Osobně používám OS X a OS X Server, ale někteří zákazníci si nemohou takový luxus dovolit, protože aplikace, které potřebují jsou jen pro Windows….

    • Přemysl Hradec napsal:

      Musíš najít nakažené PC či NB a od sítě odstavit a zlikvidovat vira.
      Jinak to budeš dělat pořád dokola 🙂
      To, že se Locky po vykonání práce smaže nemůžu potvrdit – vždy jsem ho tam ještě dohledal.
      A jak najít na síti nakažené PC ???? Hledat ve vlastnostech textového souboru co zanechá vir (_locky_recover_instructions.txt, _HELP_instructions.txt, RECOVERfgkbk.txt atd…) vlastníka souboru a tak se nakažené PC či uživatel celkem snadno pozná.

    • Jarfa napsal:

      Pokud se virus šíří, je potřeba zkontrolovat všechny stanice a nastavit zálohování, případně vytváření bodu obnovy. Pak jdou soubory zachrániit. Jarfa

  7. Cherry napsal:

    Just do me a favor and keep writing such trehncant analyses, OK?

  8. http://www./ napsal:

    Hi Holly,Has anyone tried this with the new Five template? I have the social icons showing in both the footer and the header and am wondering if that would cause difficulty. The site isn’t live yet as I’m still using v.5 while I slowly migrate over but you should be able to see it here:Thanks,Becks

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*