V posledních dnech probíhá patrně úspěšný útok formou e-mailu, kdy uživateli dorazí zpráva s fiktivní fakturou v příloze, ale ve skutečnosti se jedná o ransomware, tedy o havěť, která zašifruje soubory na pevném disku a žádá „výpalné“…

V současnosti se o řadě útoků ani nedozvíme, protože je často zastaví antivirus a nebo i striktně nastavený antispam, který prostě nedovolí doručit zprávu s podvrženým odesílatelem skrze poštovní server, který k tomu nemá oprávnění (SPF, …). To ale není případ tohoto útoku. Tahle zpráva dorazila kupříkladu i do mé doručené pošty. V momentě přijetí poštovním serverem ho ještě antivirus neznal a skóre antispamu nebylo dostatečně vysoké na to, aby zprávu „zaříznul“.

O co tedy přesně jde? Do pošty dorazí něco takového (odesílatel je pochopitelně podvržený):

     V příloze se pak nachází údajná faktura. Přípona souboru je .DOC, žádný spustitelný .EXE, takže to na první pohled vypadá nevinně. I dokument Microsoft Word ale představuje hrozbu. Pokud ho otevřete, objeví se toto:

Havěť se Vás snaží oblbnout hlášením, že dokument je vytvořen starší verzí Microsoft Office Word a že musíte pokračovat stiskem tlačítka „Enable Editing“. To je pochopitelně blbost, přímo to hlášení totiž představuje obsah dokumentu – tudíž faktura to opravdu není. Pokud uživatel uvěří a tlačítko stiskne, zobrazí se jiné hlášení:

A toto je klíčový moment. Pokud pokračujete dle instrukcí a stisknete „Enable Content“, povolíte spuštění maker, které se v dokumentu nacházejí. A tím se z nevinného dokumentu stává hrozba. Makra – skripty se spustí a v konečném důsledku do PC stáhnou a spustí ransomware. Po několika minutách se pak zobrazí toto:

Důležité dokumenty, fotky z dovolené, všechno je pryč (resp. zašifrované). Dle instrukcí se můžete dostat na stránku, kde lze zaplatit „výpalné“. V prvních 120 hodinách běží akční nabídka a dešifrování stojí kolem 15 tisíc Kč, pak je cena dvojnásobná, tj. kolem 30 tisíc Kč.

Jeden soubor můžete odšifrovat zadarmo (volba v menu nahoře) jakožto důkaz, že to útočníci umí. Na jiné obrazovce se nachází i možnost kontaktovat technickou podporu útočníků (zkoušel jsem to, žádal o slevu, ale zatím odpověď nedorazila).

Další informace později.


46 komentářů » for Od faktury k zašifrovaným souborům
  1. Firga napsal:

    Zašifruje to jen C: respektive fyzicky disk kde se C: nachazi, nebo všechny disky ?

    • Vojta napsal:

      Nevím jak takhle novinka, to co k nám přišlo před půl rokem tak zašifrovalo vše i na síti. Kam měl uživatel přístup tam to šifrovalo. Naštěstí záloha je offline, tak to bylo bez ztráty firemních dat.

    • HyBERA napsal:

      Ano, šifruje vše, kam má uživatel přístup ….

    • Martin P. napsal:

      -šifruje to soubory, né celý file systém
      -šifruje to soubory jen ke kterým má to přístup. Tedy na všech dostupných discích, tedy i na přístupných síťových discích, nebo připojeném flashce, sd-kartě či jiném externím disku.

      Největší katastrofa jestli to spustí tedy uživatele s právy administrátora…

      • Garfield napsal:

        .. A tady je Achilova pata domáckého zálohování na externí disk.
        V okamžiku, kdy je havěť aktivní, a já připojím zálohovací disk, vrhne se mi na něj, a za chvíli je i po zálohách.
        S nástupem ransomware jsem už před několika lety začal používat UrBackup (www.urbackup.org), je to freeware, a pracuje systémem agent – server, kdy cílové disky nejsou ze zálohovaného systému přímo přístupné.
        Pro backup server existuje jak varianta pro windows server, tak i Linux server (používám Debian), vše se jednou nastaví, a pak už běhá na pozadí samo. Na straně backup serveru se používá deduplikace, takže momentálně mi záloha 4 PC zabírá asi 600 GB, včetně image systemových disků.
        Ne, nejsem placeným distributorem, jen spokojeným uživatelem free sw 🙂
        A hlavně – od té doby mě ransomware doma děsí o trochu méně…

  2. Radek napsal:

    jenom truhlík přijímá soubory faktur ve formátu *.doc, *.xsl a podobných …
    mimo jiné proto, že faktura, jakožto účetní doklad, by nikdy neměla být editovatelná ….
    takže, pouze .pdf a elektronicky podepsané, ostatní faktury jdou bez milosti do koše 🙂 elektronického 🙂
    P.S. a není nad papír 😀

    • Carlos napsal:

      Děkujeme. Klíčenku už jste dostal?

    • Garfield napsal:

      Jak kde – v ideálním světě ano, ale v reálném prostředí mnoha firem i státních institucí to není neobvyklý formát i pro faktury a podobné záležitosti.

    • Zdeněk napsal:

      Bohužel, i docx soubor jde udělat needitovatelný a elektronicky podepsat stejně jako pdf – jenom to moc lidí neví (a zatím je tam ještě nevýhoda nemožnosti prodlužování podpisu časovým razítkem).

  3. marek napsal:

    Fakt je to přesvědčivé – překonalo to moji až paranoidní obavu z virů, takže jsem přilohu/fakturu otevřel. Doufám, že jsem jsem na to „povolit“ nekliknul.
    1) co se ukáže poté, co se klikne na „povolit“? nebo žádná změna dokumentu?
    2) Může se to schovat a začít šifrovat až po čase? Otevřel jsem to totiž již včera.

    • Max Devaine napsal:

      Myslím, že když se to odťukne, tak se nic nestane, jen to začne v tichosti na pozadí šifrovat soubory.
      Až to šifrování dokončí, nebo jich bude dost, tak začnou vyskakovat okna s žádostí o zaplacení.
      Jinak ten sw vytváří tyto soubory “ „HOW_TO_RESTORE_FILES.*“, takže když se dá hledat tyto sw na disku a nebudou nalezeny, je vše ok.
      Ransomware se pak ukládá do :
      C:\ProgramData\neco.exe
      + do adresáře :
      C:\ProgramData\neco

      spouští se pak přes klasický „HKCU\…\run“ key v registrech. Toto ale není vždy, někdy zašifruje a nestihne si nastavit automatické spouštění a ani se neuloží do ProgramData.

      Zdar Max

    • igi napsal:

      Začíná to šifrovat hned po tom druhém kliknutí (Enable Content) a kromě chroupajícího disku se extra nic neděje. Takže teď je 20:26 a jestli všechny fotky a dokumenty máte, tak si myslím, že je to OK 🙂

  4. Max Devaine napsal:

    Ano,
    je to ono, ten šmejd, co k nám přistál.
    Naštěstí to postihlo jen tři PC z 300. 7h času v háji. VSS na sdílených diskách je dobrá volba proti ransomware.
    Jeden uživatel měl VSS i na PC, další měl zálohu na externím disku a třetí přišel o data v PC (jeho problém, měl mít kritická data na síťovém disku).

    Dřív nás to postihlo s AVG, nyní máme ESET a ten to taktéž nechal bez povšimnutí (50GB zašifrovaných dat na síťovém disku, cca 100 000 souborů).
    Naštěstí šlo jen o pár adresářů (máme silné restrikce na file serveru).

    Dnes jsem zkusil zapnout HIPS podle návodu „Deny child processes from Office 2013 processes“ :
    http://support.eset.com/kb6119/

    a dnes už jsem měl několik stížností na pomalý PC a programy. Real-time kontrolu síťových disků jsme měli u klientů taktéž vypnutou.
    Jako, možná by to ESET s těmito dvěma ochranami zvládl, ale za jakou cenu? Že to nedávají(resp. programy mají znatelně slabší odezvu) naše desktop PC s Intel i5 s 8GiB ram?
    Ještě si s tím budu hrát a zkusím to poladit, třeba dnešní zpomalení Pc nesouvisí se zapnutím HIPS + real-time skenování share.

    Jinak ostatní věci máme dle Best Practiles ok.

    Zdar Max

  5. Zdeněk napsal:

    Ze 450 pc infikované dvě a to proto, že jsou uživatelky exoti (jedna dokonce odpovídala na mail, že to nemůže přečíst ) 🙂 . ALe AVG to do dneska nenachází a to jsem jim včera poslal infikované soubory. ALe taky jsme si poobnovovali sdílená data 🙂

  6. David Pokorný napsal:

    Dobrý den,
    jaký byste mi doporučil nejspolehlivější antivir?
    Koupil jsem si nový PC. Na tom starém mám koupený kompletní Avast!, přes veškeré aktualizace ho mám zpomalený zřejmě nějakým virem, který sice Avast! najde, ale neumí jej zlikvidovat. Byly již napadeny i systémové soubory… 🙁
    Děkuji za doporučení
    S pozdravem
    David Pokorný

  7. Kuba napsal:

    Mám známého co byl napaden, má s tím někde zkusenost? Zaplatil někdo? Přišel mu kód? Od sifrujou to ?

    Díky za rady a odpovědi.

    • Milan napsal:

      Jsem na tom podobně, známý je rozhodnut zaplatit, jenom si nejsem jistý, jestli pošlou dešifrovací program. Možná by stálo za to porovnat čísla peněženek, pokud budou stejná, nemá cenu platit.
      18uVcfWSHNDXtkSPfMBScxL4xwKSyVbK6R

      Díky

  8. Honzaa napsal:

    V GPO mám ještě nastaven Protected View a vypnutí maker bez hlášky pro uživatele 🙂
    + jsem někde viděl(support.eset) pravidlo do Mail Security. To teď ale nemůžu najít.

    Jinak faktury v DOC jsem už taky viděl – většinou od živnostníků i soudní odhadce – a taky to nechápu.

  9. Zdeněk napsal:

    nová verze

    Platební údaje: https://dl.dropboxusercontent.com/s/pgkkwmpr6ao4x63/956074.zip?dl=0

    Pokud budete potrebovat další pomoc, neváhejte se na me obrátit.

    Se srdecným pozdravem,
    Veronika Cerný

  10. Michal napsal:

    Zdravím, někdo šíří vir pod naší firemní doménou, nevíte, zda jde zablokovat?

    • Chaluha napsal:

      Asi jediný co můžeš je si správně nastavit SPF a DKIM pro vaší doménu. Odeslání emailu, který bude vypadat jako z vaší domény to sice nezabrání, ale ten email se pak bude tvářit pro ostatní servery jako nedůvěryhodný a pravděpodobně skončí jako spam.

  11. Petr napsal:

    Včera jsem měl první zkušenost s tím, jak Kaspersky zareagoval na útok ransomware. Zákazník mi volal zmateně, že mu na Seznamu vyskakuje neustále, že byl napaden a jeho data jsou zakódována. Vím, že má od nás Kaspersky antivirus, tak jsem byl zmaten. Ti se přece chlubí, že to umí odchytit.
    Dovezl nám PC sem. Po zapnutí opravdu na ploše hlášky o zakódování… polilo mne horko … to bude řevu, že si platí léta antivir a když měl něco udělat, tak nic.. 🙁
    Hledáme zakódované soubory, ale nikde nic nevidíme.
    Až jsme našli 3 !!!!!!!! slovy TŘI zakódované.
    Vzpomněl jsem si na nějaké propagační video od Kasperského a tam to bylo, že dovolí max. 3 soubory zakódovat. Potom to stopnou.
    V databázi sice tuto verzi neměl, takže Kaspersky nezařízl tu „FAKTURU“, ale stopl následně rychle nebezpečný proces.
    Byl jsem nadšen, že prodáváme opravdu kvalitní antivir.
    V pondělí jsme zde měli nešťastníka, který si taky otevřel ve firmě „FAKTURU“…. výsledek?
    Kompletně zašifrovaná data na všech 3 PC a zašifrované všechny zálohy na externím disku, na který měl přístup…. bylo mi ho líto, ale nešlo nic dělat.
    Používal AVAST FREE, ale už jsem to viděl i s placeným NODem i AVG.

    • zdeněk napsal:

      mám doma kaspesrky úplně na všem, ale jestli je taková fukce v antiviru je pro mě úplná novinka. jo avg máme business a v pátek to ještě nedetekoval a podpora se mnou už ani nekomunikuje

    • fajn napsal:

      No vidíš, a já řešil klienta s Kaspersky i aktivním system watcherem a zašifrováno vše. Takze bych na to nespolehal. Nejlip zalohovat:)

  12. Tomáš M. napsal:

    Dobrý den, máte někdo návod jak znovu otevřít takto zašifrované soubory? Samotný program jsem již smazal, ale soubory mám stále zašifrovány a je jich celkem dost, bohužel byl použit ESET antivirus, tedy ochrana k ničemu.
    Předem díky.

  13. Zdeněk napsal:

    Tady bych to ale neházel na ESET , je to chyba v uživateli.. krucinál přeci povolit makra v takovém dokumentu… může jenom (hláška ze švejka) . Navíc eset a kaspersky to detekovali už po pár hodinách narozdíl od AVG bussines ten ty dokumenty považuje za bezpečné ještě dneska.

    • Tomáš M. napsal:

      Nic na Eset neházím jen konstatuji k čemu je jejich základní placená ochrana, za stejné peníze a daleko lepší zabezpečení nabízí již zmíněný Kasperski, Avast, Bitdefender aj. Jinak máte pravdu povolovat nebo vůbec otvírat takový email je blbina, sám bych nic takového neotvíral, nebo spíše Bitdefender, který používáme, by to ani do mailu nepustil. Udělal jsem klon disku a budu čekat jestli se něco objeví, to je asi tak vše co nyní lze udělat, jak to tak vypadá.

  14. Franta Hák napsal:

    No už jsou všude klíče na ESETA do roku 2020….jenom hledat…..

    • igi napsal:

      Bože, ty seš zakomplexovanej. Nejen že se vydáváš za cizí jména, ale nejseš schopen ani vystupovat pod svoji reálnou IP adresou. Tak klidně pokračuj, posílej mě i e-maily domů, do práce, spamuj, však už to znáš. Největší perličky zde budu nechávat, ať i ostatní vidí, jaký seš debil. Tak šup, běž hledat klíče, ty poslední nefungovaly.

  15. Jaroslav Foršt napsal:

    Chtěl bych se zeptat… chytli jsme nákazu v práci, nevím přesně jakým způsobem. I přes aktivní Avast – neplacená verze – ani nepípnul. Zdá se, že zálohy jsou ok. Ale: Je nějaký spolehlivýc způsob jak zjistit, že mi tam ten virus někde pořád nesedí?

    • Jarfa napsal:

      Ahoj. Neplacené verze nepípají !!! a ani nefungují. Stáhni si 30 denní trialku od jiného výrobce a uvidíš, co tam máš virů. Neplacené verze by měli zakázat, jsou nefunkční ze své podstaty !

  16. Johan napsal:

    zdravím,
    jeden náš zákazník si také „fakturu otevřel“…. odnesly to jeho data na NTB (serverová data jsme obnovily z VSS a zálohy – reálná ztráta 2 hodiny práce – takže nic tragického).
    Nakonec jsme využili nástroj na odšifrování od DrWeb – https://products.drweb.com/decryption_from_ransomware/ sice to bylo za 150EUR ale opravdu to dokázalo rozšifrovat vše a jak to znáte – co je 150EUR za fotky z rodinných dovolených za posledních 5 let… zvláště v porovnání s částkou 2BTC 🙂
    J.

  17. takováto zpráva s linkem: https://dl.dropboxusercontent.com/s/tvoy1vbipe7niwe/385783.zip?dl=0
    mi došla a naštestí jsem vyzrál s úspěchem 🙂 od nějsakého pana Jana krejčího s e-mailovou adresou :
    Ps: šířím to aby jsem napomohl společnosti Microsoft nějak pomoci nebo alespoň je trochu poš’touchout dále od těchto otravnych e-mailu co všem zahlcuji ne jen e-maily ale i pohlcují počítače,tak snad vám to nějak pomůže tato informace 🙂

  18. Jarfa napsal:

    Zdravím. Bohužel jsem se setkal s napadením rasomware na serveru. Přesně nevím, jak se tam dostal, je možné, že se probil přes heslo ze stanice, které nebylo příliš složité. Útok pocházel z oblasti +8h a útočník odpovídal na maily:
    ——————————–
    Decoding Files 5BTC tomorrow 10BTC
    translation at the expense of Bitcoin
    1A1xgXeMSutmYruaVZYGrxqqoREXdbSzjT
    Buy Bitcoin here https://localbitcoins.com or
    https://www.buybitcoinworldwide.com/find-exchange/ or
    https://www.coinbase.com or
    https://www.xmlgold.eu or
    any other exchanger
    or
    write to Google how to buy Bitcoin in your country?
    in order to guarantee the availability of our key
    we can decrypt one file for free
    the size of the files <1 mb, doc.docx.xls.xlsx.pdf.jpg.bmp.txt file format
    other formats will not be free decryption
    after payment you will receive a program

    we also offer service to you. full of advice for protecting against attacks? – the price of 0.5 BTC

    ——————————–
    Soubory se nepodařilo dekódovat, obnovuji je postupně ze zálohy (přes backup exec recovery ).
    Jako prevence je důležité: mít dlouhá hesla (česká), provádět zálohy na odpojitelná média (střídat je), na desktopech mít zapnutou ochranu souborů ((Ochrana systému, Obnovení systému, zapnuto na 10-17% ! zkontrolovat !), pak ze systému vydolujete soubory se ztrátou 1 týdne ). J.

  19. Veronika napsal:

    Dobrý den, změnilo se prosím něco od začátku roku kdy vznikl tento příspěvek v možnosti rozšifrování zašifrovaných dokumentů? Právě se mi zašifrovaly všechny subory v pc i na externím disku, který jsem v danou chvíli připojila k pc a vir se spustil. V pc nebylo nic důležitého, vše přetahuji na externí disk, ale na disku byly fotky za cca 10 let, pracovní dokumenty atp. Vše se zašifrovalo a převedlo do typu souboru Word. Takže z fotek mám zašifrovaný wordový dokument, přitom přípona zůstala jpg. Dá se s tím něco dělat, nebo se mohu s daty rovnou rozloučit? Výpalné samozřejmě chtějí, ale nehodlám dát 15 ani 30 tisíc jak píšete. Předem děkuji.

1 Pings/Trackbacks pro "Od faktury k zašifrovaným souborům"

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..