00_be_aware_of_ransomware_cover

Dávejte si pozor na ransomware!

#Novinky
2017. 03. 07.

ESET upozornil na novou situaci, kdy se pomocí torrentů šíří velká vlna ransomwaru. Přestože by takový program neměl díky snadnému rozpoznání velkou škodu, je lepší být obezřetný. Piráti, dávejte pozor!

Ransomware není žádná novinka – první virus tohoto typu známe jako AIDS (nebo PC Cyborg Trojan) již z roku 1989. Uživatelé Macu se naštěstí příliš často s podobnými problémy nesetkávají (případně z jakýmikoliv viry), důvody jsme rozebírali v jednom ze starších článků. Experti z ESETu nicméně zaznamenali velkou kampaň kolem ransomwaru, jež přímo míří na uživatele Maců.

01_be_aware_of_ransomware

Tento nový ransomware je napsán ve Swiftu a je distribuován zejména skrz BitTorrent. Jmenuje se „Patcher“ a dělá, že jde o oblíbenou aplikaci pirátů.

Torrent obsahuje jediný soubor ZIP – balík aplikací. Vidět pak můžeme dva typy aplikace „Patcher“ – jednou z nich je pro Adobe Premiere Pro, druhou pak pro Microsoft Office pro Mac. Nicméně různých typů Trojanů však může být daleko více. – prozradila tisková zpráva.

Základem ransomwaru je, že po instalaci zašifruje všechna data na počítači. Ve většině těchto případů je pak kvůli velice pokročilému šifrovacímu algoritmu téměř nereálné soubory opět rozšifrovat. Vyděrači následně zkopírují soubor README!.txt do knihovny uživatele, kde po něm vyžadují převod peněz ve formě Bitcoinů na příslušnou adresu.

02_be_aware_of_ransomware.png

V tomto případě by mělo platit heslo: „S teroristy nevyjednáváme.“

S tímto ransomwarem je jeden zásadní problém: nemá žádný kód, skrz nějž by komunikoval s jakýkmoliv C&C (command and control) serverem. To znamená, že není žádný způsob, jak by se šifrovací klíč dostal k odesilatelům malwaru.

To znamená, že neexistuje cesta, jak by obětem zajistili rozšifrování souborů. Zaplacení výkupného by vám tedy návrat souborů nepřineslo. To je jeden z důvodů, proč my [team ESETu] doporučujeme obětem neplatit po zasažení ransomwarem jakoukoliv částku.

03_be_aware_of_ransomware

Naštěstí je tento virus velice jednoduchý a snadný na odhalení, alespoň v současné podobě. Okno s trojským virem je zcela čisté a má pouze krátký text a spouštěcí tlačítko. Toto tlačítko byste neměli NIKDY stisknout, přesně tak se odstartuje šifrování. Je rovněž dobré myslet na to, že ID vývojáře je NULL.prova, čili nejde o program vydaný Applem. Jestliže tento identifikátor uvidíte, vůbec program neinstalujte.

04_be_aware_of_ransomware

Zatím nemáme informace o žádné oběti, které by byly tímto způsobem zašifrovány soubory v počítači, což je pravděpodobně právě díky jednoduchosti rozpoznání viru. Na příslušný bitcoinový účet nebyla provedena ani jedna platba, to znamená, že tvůrce viru zatím nevydělal ani korunu.

Rozhodně však na výše zmíněnou situaci dávejte pozor, ať právě vy nejste prvním platícím šťastlivcem!

Přidejte komentář