V posledních dnech probíhá patrně úspěšný útok formou e-mailu, kdy uživateli dorazí zpráva s fiktivní fakturou v příloze, ale ve skutečnosti se jedná o ransomware, tedy o havěť, která zašifruje soubory na pevném disku a žádá „výpalné“…

V současnosti se o řadě útoků ani nedozvíme, protože je často zastaví antivirus a nebo i striktně nastavený antispam, který prostě nedovolí doručit zprávu s podvrženým odesílatelem skrze poštovní server, který k tomu nemá oprávnění (SPF, …). To ale není případ tohoto útoku. Tahle zpráva dorazila kupříkladu i do mé doručené pošty. V momentě přijetí poštovním serverem ho ještě antivirus neznal a skóre antispamu nebylo dostatečně vysoké na to, aby zprávu „zaříznul“.

O co tedy přesně jde? Do pošty dorazí něco takového (odesílatel je pochopitelně podvržený):

     V příloze se pak nachází údajná faktura. Přípona souboru je .DOC, žádný spustitelný .EXE, takže to na první pohled vypadá nevinně. I dokument Microsoft Word ale představuje hrozbu. Pokud ho otevřete, objeví se toto:

Havěť se Vás snaží oblbnout hlášením, že dokument je vytvořen starší verzí Microsoft Office Word a že musíte pokračovat stiskem tlačítka „Enable Editing“. To je pochopitelně blbost, přímo to hlášení totiž představuje obsah dokumentu – tudíž faktura to opravdu není. Pokud uživatel uvěří a tlačítko stiskne, zobrazí se jiné hlášení:

A toto je klíčový moment. Pokud pokračujete dle instrukcí a stisknete „Enable Content“, povolíte spuštění maker, které se v dokumentu nacházejí. A tím se z nevinného dokumentu stává hrozba. Makra – skripty se spustí a v konečném důsledku do PC stáhnou a spustí ransomware. Po několika minutách se pak zobrazí toto:

Důležité dokumenty, fotky z dovolené, všechno je pryč (resp. zašifrované). Dle instrukcí se můžete dostat na stránku, kde lze zaplatit „výpalné“. V prvních 120 hodinách běží akční nabídka a dešifrování stojí kolem 15 tisíc Kč, pak je cena dvojnásobná, tj. kolem 30 tisíc Kč.

Jeden soubor můžete odšifrovat zadarmo (volba v menu nahoře) jakožto důkaz, že to útočníci umí. Na jiné obrazovce se nachází i možnost kontaktovat technickou podporu útočníků (zkoušel jsem to, žádal o slevu, ale zatím odpověď nedorazila).

Další informace později.


40 komentářů » for Od faktury k zašifrovaným souborům
  1. Firga napsal:

    Zašifruje to jen C: respektive fyzicky disk kde se C: nachazi, nebo všechny disky ?

    • Vojta napsal:

      Nevím jak takhle novinka, to co k nám přišlo před půl rokem tak zašifrovalo vše i na síti. Kam měl uživatel přístup tam to šifrovalo. Naštěstí záloha je offline, tak to bylo bez ztráty firemních dat.

    • HyBERA napsal:

      Ano, šifruje vše, kam má uživatel přístup ….

    • Martin P. napsal:

      -šifruje to soubory, né celý file systém
      -šifruje to soubory jen ke kterým má to přístup. Tedy na všech dostupných discích, tedy i na přístupných síťových discích, nebo připojeném flashce, sd-kartě či jiném externím disku.

      Největší katastrofa jestli to spustí tedy uživatele s právy administrátora…

      • Garfield napsal:

        .. A tady je Achilova pata domáckého zálohování na externí disk.
        V okamžiku, kdy je havěť aktivní, a já připojím zálohovací disk, vrhne se mi na něj, a za chvíli je i po zálohách.
        S nástupem ransomware jsem už před několika lety začal používat UrBackup (www.urbackup.org), je to freeware, a pracuje systémem agent – server, kdy cílové disky nejsou ze zálohovaného systému přímo přístupné.
        Pro backup server existuje jak varianta pro windows server, tak i Linux server (používám Debian), vše se jednou nastaví, a pak už běhá na pozadí samo. Na straně backup serveru se používá deduplikace, takže momentálně mi záloha 4 PC zabírá asi 600 GB, včetně image systemových disků.
        Ne, nejsem placeným distributorem, jen spokojeným uživatelem free sw 🙂
        A hlavně – od té doby mě ransomware doma děsí o trochu méně…

  2. Radek napsal:

    jenom truhlík přijímá soubory faktur ve formátu *.doc, *.xsl a podobných …
    mimo jiné proto, že faktura, jakožto účetní doklad, by nikdy neměla být editovatelná ….
    takže, pouze .pdf a elektronicky podepsané, ostatní faktury jdou bez milosti do koše 🙂 elektronického 🙂
    P.S. a není nad papír 😀

    • Carlos napsal:

      Děkujeme. Klíčenku už jste dostal?

    • Garfield napsal:

      Jak kde – v ideálním světě ano, ale v reálném prostředí mnoha firem i státních institucí to není neobvyklý formát i pro faktury a podobné záležitosti.

  3. marek napsal:

    Fakt je to přesvědčivé – překonalo to moji až paranoidní obavu z virů, takže jsem přilohu/fakturu otevřel. Doufám, že jsem jsem na to „povolit“ nekliknul.
    1) co se ukáže poté, co se klikne na „povolit“? nebo žádná změna dokumentu?
    2) Může se to schovat a začít šifrovat až po čase? Otevřel jsem to totiž již včera.

    • Max Devaine napsal:

      Myslím, že když se to odťukne, tak se nic nestane, jen to začne v tichosti na pozadí šifrovat soubory.
      Až to šifrování dokončí, nebo jich bude dost, tak začnou vyskakovat okna s žádostí o zaplacení.
      Jinak ten sw vytváří tyto soubory “ „HOW_TO_RESTORE_FILES.*“, takže když se dá hledat tyto sw na disku a nebudou nalezeny, je vše ok.
      Ransomware se pak ukládá do :
      C:\ProgramData\neco.exe
      + do adresáře :
      C:\ProgramData\neco

      spouští se pak přes klasický „HKCU\…\run“ key v registrech. Toto ale není vždy, někdy zašifruje a nestihne si nastavit automatické spouštění a ani se neuloží do ProgramData.

      Zdar Max

    • igi napsal:

      Začíná to šifrovat hned po tom druhém kliknutí (Enable Content) a kromě chroupajícího disku se extra nic neděje. Takže teď je 20:26 a jestli všechny fotky a dokumenty máte, tak si myslím, že je to OK 🙂

  4. Max Devaine napsal:

    Ano,
    je to ono, ten šmejd, co k nám přistál.
    Naštěstí to postihlo jen tři PC z 300. 7h času v háji. VSS na sdílených diskách je dobrá volba proti ransomware.
    Jeden uživatel měl VSS i na PC, další měl zálohu na externím disku a třetí přišel o data v PC (jeho problém, měl mít kritická data na síťovém disku).

    Dřív nás to postihlo s AVG, nyní máme ESET a ten to taktéž nechal bez povšimnutí (50GB zašifrovaných dat na síťovém disku, cca 100 000 souborů).
    Naštěstí šlo jen o pár adresářů (máme silné restrikce na file serveru).

    Dnes jsem zkusil zapnout HIPS podle návodu „Deny child processes from Office 2013 processes“ :
    http://support.eset.com/kb6119/

    a dnes už jsem měl několik stížností na pomalý PC a programy. Real-time kontrolu síťových disků jsme měli u klientů taktéž vypnutou.
    Jako, možná by to ESET s těmito dvěma ochranami zvládl, ale za jakou cenu? Že to nedávají(resp. programy mají znatelně slabší odezvu) naše desktop PC s Intel i5 s 8GiB ram?
    Ještě si s tím budu hrát a zkusím to poladit, třeba dnešní zpomalení Pc nesouvisí se zapnutím HIPS + real-time skenování share.

    Jinak ostatní věci máme dle Best Practiles ok.

    Zdar Max

  5. Zdeněk napsal:

    Ze 450 pc infikované dvě a to proto, že jsou uživatelky exoti (jedna dokonce odpovídala na mail, že to nemůže přečíst ) 🙂 . ALe AVG to do dneska nenachází a to jsem jim včera poslal infikované soubory. ALe taky jsme si poobnovovali sdílená data 🙂

  6. David Pokorný napsal:

    Dobrý den,
    jaký byste mi doporučil nejspolehlivější antivir?
    Koupil jsem si nový PC. Na tom starém mám koupený kompletní Avast!, přes veškeré aktualizace ho mám zpomalený zřejmě nějakým virem, který sice Avast! najde, ale neumí jej zlikvidovat. Byly již napadeny i systémové soubory… 🙁
    Děkuji za doporučení
    S pozdravem
    David Pokorný

  7. Kuba napsal:

    Mám známého co byl napaden, má s tím někde zkusenost? Zaplatil někdo? Přišel mu kód? Od sifrujou to ?

    Díky za rady a odpovědi.

    • Milan napsal:

      Jsem na tom podobně, známý je rozhodnut zaplatit, jenom si nejsem jistý, jestli pošlou dešifrovací program. Možná by stálo za to porovnat čísla peněženek, pokud budou stejná, nemá cenu platit.
      18uVcfWSHNDXtkSPfMBScxL4xwKSyVbK6R

      Díky

  8. Honzaa napsal:

    V GPO mám ještě nastaven Protected View a vypnutí maker bez hlášky pro uživatele 🙂
    + jsem někde viděl(support.eset) pravidlo do Mail Security. To teď ale nemůžu najít.

    Jinak faktury v DOC jsem už taky viděl – většinou od živnostníků i soudní odhadce – a taky to nechápu.

  9. Zdeněk napsal:

    nová verze

    Platební údaje: https://dl.dropboxusercontent.com/s/pgkkwmpr6ao4x63/956074.zip?dl=0

    Pokud budete potrebovat další pomoc, neváhejte se na me obrátit.

    Se srdecným pozdravem,
    Veronika Cerný

  10. Michal napsal:

    Zdravím, někdo šíří vir pod naší firemní doménou, nevíte, zda jde zablokovat?

    • Chaluha napsal:

      Asi jediný co můžeš je si správně nastavit SPF a DKIM pro vaší doménu. Odeslání emailu, který bude vypadat jako z vaší domény to sice nezabrání, ale ten email se pak bude tvářit pro ostatní servery jako nedůvěryhodný a pravděpodobně skončí jako spam.

  11. Petr napsal:

    Včera jsem měl první zkušenost s tím, jak Kaspersky zareagoval na útok ransomware. Zákazník mi volal zmateně, že mu na Seznamu vyskakuje neustále, že byl napaden a jeho data jsou zakódována. Vím, že má od nás Kaspersky antivirus, tak jsem byl zmaten. Ti se přece chlubí, že to umí odchytit.
    Dovezl nám PC sem. Po zapnutí opravdu na ploše hlášky o zakódování… polilo mne horko … to bude řevu, že si platí léta antivir a když měl něco udělat, tak nic.. 🙁
    Hledáme zakódované soubory, ale nikde nic nevidíme.
    Až jsme našli 3 !!!!!!!! slovy TŘI zakódované.
    Vzpomněl jsem si na nějaké propagační video od Kasperského a tam to bylo, že dovolí max. 3 soubory zakódovat. Potom to stopnou.
    V databázi sice tuto verzi neměl, takže Kaspersky nezařízl tu „FAKTURU“, ale stopl následně rychle nebezpečný proces.
    Byl jsem nadšen, že prodáváme opravdu kvalitní antivir.
    V pondělí jsme zde měli nešťastníka, který si taky otevřel ve firmě „FAKTURU“…. výsledek?
    Kompletně zašifrovaná data na všech 3 PC a zašifrované všechny zálohy na externím disku, na který měl přístup…. bylo mi ho líto, ale nešlo nic dělat.
    Používal AVAST FREE, ale už jsem to viděl i s placeným NODem i AVG.

    • zdeněk napsal:

      mám doma kaspesrky úplně na všem, ale jestli je taková fukce v antiviru je pro mě úplná novinka. jo avg máme business a v pátek to ještě nedetekoval a podpora se mnou už ani nekomunikuje

    • fajn napsal:

      No vidíš, a já řešil klienta s Kaspersky i aktivním system watcherem a zašifrováno vše. Takze bych na to nespolehal. Nejlip zalohovat:)

  12. Tomáš M. napsal:

    Dobrý den, máte někdo návod jak znovu otevřít takto zašifrované soubory? Samotný program jsem již smazal, ale soubory mám stále zašifrovány a je jich celkem dost, bohužel byl použit ESET antivirus, tedy ochrana k ničemu.
    Předem díky.

  13. Zdeněk napsal:

    Tady bych to ale neházel na ESET , je to chyba v uživateli.. krucinál přeci povolit makra v takovém dokumentu… může jenom (hláška ze švejka) . Navíc eset a kaspersky to detekovali už po pár hodinách narozdíl od AVG bussines ten ty dokumenty považuje za bezpečné ještě dneska.

    • Tomáš M. napsal:

      Nic na Eset neházím jen konstatuji k čemu je jejich základní placená ochrana, za stejné peníze a daleko lepší zabezpečení nabízí již zmíněný Kasperski, Avast, Bitdefender aj. Jinak máte pravdu povolovat nebo vůbec otvírat takový email je blbina, sám bych nic takového neotvíral, nebo spíše Bitdefender, který používáme, by to ani do mailu nepustil. Udělal jsem klon disku a budu čekat jestli se něco objeví, to je asi tak vše co nyní lze udělat, jak to tak vypadá.

  14. Franta Hák napsal:

    No už jsou všude klíče na ESETA do roku 2020….jenom hledat…..

    • igi napsal:

      Bože, ty seš zakomplexovanej. Nejen že se vydáváš za cizí jména, ale nejseš schopen ani vystupovat pod svoji reálnou IP adresou. Tak klidně pokračuj, posílej mě i e-maily domů, do práce, spamuj, však už to znáš. Největší perličky zde budu nechávat, ať i ostatní vidí, jaký seš debil. Tak šup, běž hledat klíče, ty poslední nefungovaly.

  15. Jaroslav Foršt napsal:

    Chtěl bych se zeptat… chytli jsme nákazu v práci, nevím přesně jakým způsobem. I přes aktivní Avast – neplacená verze – ani nepípnul. Zdá se, že zálohy jsou ok. Ale: Je nějaký spolehlivýc způsob jak zjistit, že mi tam ten virus někde pořád nesedí?

1 Pings/Trackbacks pro "Od faktury k zašifrovaným souborům"

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*