Jak se chránit před havětí, která šifruje data?

Autor: | Poslední úprava: 16.12.2020 17:28:12

V posledních měsících se šíří různé varianty škodlivého souboru, které po svém spuštění zašifrují data na pevných discích. Zašifrují také data na všech dostupných síťových složkách, které má uživatel namapované jako disky pod určitým písmenem. Může tak dojít i k zašifrování velkého množství dat, které se nacházejí na souborových serverech i internetových službách, jako je Dropbox či OneDrive.

Pro šíření tohoto škodlivého souboru je nejčastěji použita technika sociálního inženýrství. Uživatel obdrží e-mailovou zprávu, která vyhrožuje např. exekutorským řízením či informuje uživatele, že má nevyzvednutou zásilku. Škodlivý soubor může být přímo v příloze e-mailové zprávy, nebo je ve zprávě uveden odkaz na podvrženou webovou stránku, odkud soubor stáhnete.

Zpráva většinou neobsahuje další informace. Uživatel je pouze informován, že další podrobnosti najde v připojeném souboru či v souboru na webových stránkách, na které se dostane pomocí odkazu ve zprávě. Často je ve zprávě upozornění (výhrůžka), že pokud nebude zásilka vyzvednuta, či včas reagováno, bude účtováno penále. Uživatel je tak vlastně cíleně veden k tomu, aby škodlivý soubor spustil a zašifroval si data.

Tvůrci této havěti následně požadují za poskytnutí klíče k dešifrování poplatek v řádu několik tisíc korun. Účelem dnes vytvářených a šířených hrozeb je jediné - vydělat peníze. Ani splacení této částky však nevede k obnově dat. Zákazníci, kteří požadovanou částku zaplatili, skutečně dostali aplikaci pro dešifrování, ta ale ve většině případů nefungovala.

Důležité:
V předchozích variantách této havěti bylo možné analýzou zdrojového souboru a zašifrovaných dat nalézt klíč k dešifrování. Bylo tak možné zašifrované soubory obnovit. Současná varianta, která se šířila pod hlavičkou různých přepravních společností, používá velmi bezpečný šifrovací algoritmus. Šifrování je navíc vícenásobné a pro každého uživatele jiné. Klíč pro dešifrování již není možné zjistit. Můžeme předpokládat, že každá další varianta bude opět o něco sofistikovanější.

Podle posledních informací škodlivý kód nešifruje kompletní obsah disku. U některých souborů pravděpodobně mění jen příponu. Alespoň u části změněných dat tak může pomoci vrátit souborům jejich původní příponu.

 
Každá nová varianta této havěti je vždy upravena tak, aby odolávala používaným detekčním technikám. V intervalu od startu šíření škodlivého kódu až do doby, kdy antivirové společnosti získají konkrétní vzorek nákazy (např. od prvního pozorného či infikovaného uživatele) může, při spuštění škodlivého souboru, dojít k napadení počítače a nevratné ztrátě dat. V této době tak leží největší míra odpovědnosti na samotném uživateli a jeho zodpovědném chování. Obezřetnost a zdravý rozum je totiž ta nejlepší a nejefektivnější ochrana počítače.


Podvržená stránka České pošty

Klikněte sem pro zobrazení plné verze

Jak minimalizovat riziko nákazy a ztráty dat?

  • Zkontrolujte si, zda používáte poslední verzi produktu ESET.
    Pokud ne aktualizujte si produkt na současnou verzi. V rámci platné licence máte vždy nárok na nejnovější dostupnou verzi produktu: Přehled aktuálních verzí produktů ESET
  • Ověřte, zda máte aktivován systém ESET LiveGrid®.
    Díky touto systému včasného varování se významně zkrátí doba, kdy může předejít nakažení počítače: Proč je dobré mít aktivní systém včasného varování ESET Live Grid?
  • Pamatujte na to, že oficiální instituce nikdy neposílají důležité informace prostřednictví e-mailu.
    Pokud Vám opravdu hrozí exekuce, dozvíte se to vždy písemnou formou. Stejně tak poštovní a kurýrní společnosti nedávají informace o svých zásilkách do příloh e-mailových zpráv. Ani banky Vás takto nebudou informovat o důležitých záležitostech. Taktéž je nesmysl stahovat soubor s konkrétními informacemi z webových stránek těchto společností. Vám určená informace by měla být uvedena přímo v textu zprávy, či na webových stránkách např. po zadání čísla zásilky.
  • Pečlivě čtěte veškeré informace ve zprávách a na webových stránkách.
    Často je totiž text plný chyb a je psán špatnou češtinou, jelikož je strojově překládán. Chyby v textu jsou jasným varováním, že se jedná o škodlivý kód nebo podvrženou stránku.
  • Zapamatujte si nebo napište adresy webových stránek společností či jejich služeb, které využíváte.
    Pokud otevíráte odkaz v e-mailové zprávě, vždy si zkontrolujte, zda je v adresním řádku prohlížeče uvedena správná adresa. Poslední varianta havěti odkazovala na adresu http://cs-posta24.org, kde se nacházely podvržené (falešné) stránky České pošty. Oficiální webové stránky České pošty jsou na adrese https://www.ceskaposta.cz.
  • Neklikejte na odkazy uvedené v e-mailových zprávách.
    Vždy přejděte na webové stránky dané společnosti zadáním její adresy do prohlížeče nebo prostřednictvím známých internetových vyhledávačů (Google.cz, Seznam.cz apod.) Případně si stránky, které často navštěvujete, vložte do oblíbených záložek v prohlížeči.
  • Důležitá data si pravidelně zálohujte na médium, které není trvale připojeno k počítači (USB disk, CD, DVD...).
    Záloha na druhém fyzickém či síťovém disku může být také zašifrována, stejně tak lokální kopie dat uložených v internetových úložištích jako je např. Dropbox. Kam může uživatel, tam může i škodlivý kód.
  • Pokud se dostanete na podezřelou webovou stránku, obdržíte e-mail s podezřelou přílohou, můžete odeslat vzorek souboru odeslat do virové laboratoře ESET.
    V žádném případě soubor nespouštějte!
    Na základě analýzy dokážeme velmi rychle určit, zda se opravdu jedná o škodlivý kód. V případě, že ano, okamžitě uveřejníme informace o tomto souboru prostřednictvím systému ESET LiveGrid® a vytvoříme protilátku, která pomůže Vám i ostatním uživatelům.
  • Přihlaste se k odběru novinek či odebírejte RSS kanál na těchto stránkách.
    Tak budete, mimo jiné, informováni o podobných nákazách a doporučených postupech pro jejich eliminaci. Co budeme vědět my, budete vědět také.

Důležité:
Žádný antivirový program nedokáže ani s podporou pokročilých technologií počítač ochránit na 100 %. Antivirus tak nemůže zajišťovat bezpečnost počítače jako jediný prvek ochrany. Pamatujte na to, že nákaza počítače závisí především na zodpovědném chování jeho uživatele!

Štítky: cryptolocker, cryptlocker, filecoder, crypto, krypto, šifrované soubory, ztráta dat, emotet