Databáze znalostí

Jak se chránit před havětí, která šifruje data?

Autor: Martin Buchta | Poslední aktualizace: 24.09.2019 11:27:53

V posledních měsících se šíří různé varianty škodlivého souboru, který po svém spuštění zašifruje data na pevných discích. Zašifruje také data na všech dostupných síťových složkách, které má uživatel namapované jako disky pod určitým písmenem. Může tak dojít i k zašifrování velkého množství dat, které se nacházejí na souborových serverech i internetových službách, jako je Dropbox či OneDrive.

Pro šíření tohoto škodlivého souboru je nejčastěji použita technika sociálního inženýrství. Uživatel obdrží e-mailovou zprávu, která vyhrožuje např. exekutorským řízením či informuje uživatele, že má nevyzvednutou zásilku. Škodlivý soubor může být přímo v příloze e-mailové zprávy, nebo je ve zprávě uveden odkaz na podvrženou webovou stránku, odkud soubor stáhnete.

Zpráva většinou neobsahuje další informace. Uživatel je pouze informován, že další podrobnosti najde v připojeném souboru či v souboru na webových stránkách, na které se dostane pomocí odkazu ve zprávě. Často je ve zprávě upozornění (výhrůžka), že pokud nebude zásilka vyzvednuta, či včas reagováno, bude účtováno penále. Uživatel je tak vlastně cíleně veden k tomu, aby škodlivý soubor spustil a zašifroval si data.

Tvůrci této havěti následně požadují za poskytnutí klíče k dešifrování poplatek v řádu několik tisíc korun. Účelem dnes vytvářených a šířených hrozeb je jediné - vydělat peníze. Ani splacení této částky však nevede k obnově dat. Zákazníci, kteří požadovanou částku zaplatili, skutečně dostali aplikaci pro dešifrování, ta ale ve většině případů nefungovala.

Upozornění

Upozornění:
V předchozích variantách této havěti bylo možné analýzou zdrojového souboru a zašifrovaných dat nalézt klíč k dešifrování. Bylo tak možné zašifrované soubory obnovit. Současná varianta, která se šířila pod hlavičkou různých přepravních společností, používá velmi bezpečný šifrovací algoritmus. Šifrování je navíc vícenásobné a pro každého uživatele jiné. Klíč pro dešifrování již není možné zjistit. Můžeme předpokládat, že každá další varianta bude opět o něco sofistikovanější.

 

Podle posledních informací virus nešifruje kompletní obsah disku. U některých souborů pravděpodobně mění jen příponu. Alespoň u části změněných dat tak může pomoci vrátit souborům jejich původní příponu.

 
Každá nová varianta této havěti je vždy upravena tak, aby odolávala používaným detekčním technikám. V intervalu od startu šíření viru až do doby, kdy antivirové společnosti získají konkrétní vzorek nákazy (např. od prvního pozorného či infikovaného uživatele) může, při spuštění škodlivého souboru, dojít k napadení počítače a nevratné ztrátě dat. V této době tak leží největší míra odpovědnosti na samotném uživateli a jeho zodpovědném chování. Obezřetnost a zdravý rozum je totiž ta nejlepší a nejefektivnější ochrana počítače.

nahoru

Podvržená stránka České pošty

Klikněte sem pro zobrazení plné verze

Jak minimalizovat riziko nákazy a ztráty dat?

  • Zkontrolujte si, zda používáte poslední verzi produktu ESET.
    Pokud ne, současnou verzi odinstalujte a po restartu počítače nainstalujte aktuální verzi a aktivujte. V rámci platné licence máte vždy nárok na nejnovější dostupnou verzi produktu: Přehled aktuálních verzí produktů ESET
  • Ověřte, zda máte aktivován systém ESET LiveGrid®.
    Díky touto systému včasného varování se významně zkrátí doba, kdy může předejít nakažení počítače: Proč je dobré mít aktivní systém včasného varování ESET Live Grid?
  • Pamatujte na to, že oficiální instituce nikdy neposílají důležité informace prostřednictví e-mailu.
    Pokud Vám opravdu hrozí exekuce, dozvíte se to vždy písemnou formou. Stejně tak poštovní a kurýrní společnosti nedávají informace o svých zásilkách do příloh e-mailových zpráv. Ani banky Vás takto nebudou informovat o důležitých záležitostech. Taktéž je nesmysl stahovat soubor s konkrétními informacemi z webových stránek těchto společností. Vám určená informace by měla být uvedena přímo v textu zprávy, či na webových stránkách např. po zadání čísla zásilky.
  • Pečlivě čtěte veškeré informace ve zprávách a na webových stránkách.
    Často je totiž text plný chyb a je psán špatnou češtinou, jelikož je strojově překládán. Chyby v textu jsou jasným varováním, že se jedná o škodlivý kód nebo podvrženou stránku.
  • Zapamatujte si nebo napište adresy webových stránek společností či jejich služeb, které využíváte.
    Pokud otevíráte odkaz v e-mailové zprávě, vždy si zkontrolujte, zda v adresním řádku prohlížeče je uvedena správná adresa. Poslední varianta havěti odkazovala na adresu http://cs-posta24.org, kde se nacházely podvržené (falešné) stránky České pošty. Oficiální webové stránky České pošty jsou na adrese https://www.ceskaposta.cz.
  • Neklikejte na odkazy uvedené v e-mailových zprávách.
    Vždy přejděte na webové stránky dané společnosti zadáním její adresy do prohlížeče nebo prostřednictvím známých internetových vyhledávačů (Google.cz, Seznam.cz apod.) Případně si stránky, které často navštěvujete, vložte do oblíbených záložek v prohlížeči.
  • Důležitá data si pravidelně zálohujte na médium, které není trvale připojeno k počítači (USB disk, CD, DVD...).
    Záloha na druhém fyzickém či síťovém disku může být také zašifrována, stejně tak lokální kopie dat uložených v internetových úložištích jako je např. Dropbox. Kam může uživatel, tam může i virus.
  • Pokud se dostanete na podezřelou webovou stránku, obdržíte e-mail s podezřelou přílohou, kontaktujte prosím technickou podporu, případně jim podezřelý soubor pošlete.
    V žádném případě ho však nespouštějte! Na základě analýzy dokážeme velmi rychle určit, zda se opravdu jedná o škodlivý kód. V případě, že ano, okamžitě uveřejníme informace o tomto souboru prostřednictvím systému ESET LiveGrid® a vytvoříme protilátku, která pomůže Vám i ostatním uživatelům.
  • Přihlaste se k odběru novinek či odebírejte RSS kanál na těchto stránkách.
    Tak budete, mimo jiné, informováni o podobných nákazách a doporučených postupech pro jejich eliminaci. Co budeme vědět my, budete vědět také.

Upozornění

Je dobré vědět:
Žádný antivirový program nedokáže ani s podporou pokročilých technologií počítač ochránit na 100 %. Antivirus tak nemůže zajišťovat bezpečnost počítače jako jediný prvek ochrany. Pamatujte na to, že nákaza počítače závisí především na zodpovědném chování jeho uživatele!

nahoru

Štítky: cryptolocker, cryptlocker, filecoder, crypto, krypto, šifrované soubory, ztráta dat, emotet

Hodnocení článku (9 hlasující(ch))
Tento článek se hodil
Tento článek není nic moc

Komentáře (6)

Avatar
Je to paráda
21.11.2014 09:30:29
Ano, klasika. Uživatel který má průměrné IQ a selský rozum v podstatě antivir nepotřebuje a ve skutečnosti může fungovat bez něj ;)

Ten většinový zbytek který nakliká i to, co se naklikat nedá, má pak smůlu i s nej. antivirem :) Zkušenost je taková, že tito uživatelé se stávají doslova guru v oblasti jak obejít antiviry a pustit si viráka do kompu :) Jak já to vždy miluji ty jejich hlášky "no oni mi něco přišlo tak jsem na to klikla..." "no já čeklala že mi přijde časopis na poštu a že už mi to teda poslali, tak jsem na to klikla"

Aha a četla jste ten mail alespoň. "Ne proč, vždyť tam je logo pošty a mam antivir" Aha. A ještě lepší jsou ty co řeknou, že jo ale stejně na to kliknou.

Této formě šíření se snad ani nedá říkat sociální inženýrství, je to jako byste tvrdili že cukrářka která doma peče dort ve tvaru tokamaku je tedy jaderný inženýr.

Je to tu stále dokola už 15 let furt stejné způsoby, furt klikáme jak šílenci. Tohle nikdy nevymizí a viráci mají hej, dobře jim tak těm lidem. Nemyslíš zapltíš.
Avatar
Vladimir Bures
22.11.2014 02:51:48
Selsky rozum a neklikat na linky v mnoha pripadech nestaci... V pripade zneuzitelne chyby v programu/systemu (tzv. exploit) se skodlivy kod spusti bez jakekoliv interakce uzivatele....
Avatar
To jsem já
21.11.2014 18:39:48
První odstavec Vašeho příspěvku mě skutečně dorazil. Nicméně nejste bohužel jediný s takovým názorem.
Osobně jsem se setkal i s takovýmy případy, kdy legitimní webové stránky jistých zcela seriózních společností (nebudu jim dělat reklamu) napadli hackeři a umístili na ně škodlivý kód. Právě díky mému antivirovému produktu byla infekce detekována a zablokována ještě dříve, než se stačila aktivovat v operační paměti a napáchat jakoukoli škodu. Nerozumím, jak bych toto (že web je infikovaný) dokázal poznat bez antiviru - vždyť jsem na nic podezřelého neklikal, nic nestahoval, používal selský rozum a myslím, že jsem uživatel s průměrným IQ, pouze jsem navštívil webovou stránku... Nemyslím, že by se dalo fungovat bez antiviru...

Jinak s Vašimi dalšími odstavci souhlasím.
Avatar
Eva Durdilová
26.11.2014 12:58:23
Díky za avizo a Vaší péči o zákazníky, užívám s rodinou Váš antivir již několik let na 4 počítačích a jsem nadmíru spokojena zdravím ED
Avatar
lesak
13.03.2016 12:57:14
Zdravim, ochrana je jednoducha. Zalohujte vse, na co Vam zalezi. A dejte na to atributy jen pro cteni, systemovy a skryty. A zalohovaci jednotku odpojte. Provedte cistou instalaci systemu a vsech programu, ktere pouzivate - INTERNET ale odpojte !! dratem !! a NIC behem nove instalace nestahujte. Takto instalovany novy cisty system zalohujte ACRONISEM. Umi presny obraz disku a po obnoveni mate jistotu, ze PC mate cisty. V propade, ze mate podezreni, ze se Vam do PC neco dostalo, provedte obnovu disku. Obnova trva u SSD disku cca 5 minut - dle delky zalohovaneho souboru, ma priponu .tib. Zadny antivir Vas neochrani - a navic PC spomaluji.
Avatar
lesak
16.04.2016 20:01:36
Atributy novy vir odstrani - bohuzel, je jen JEDINA a nejlevnejsi ochrana - koupe disku na USB, kde si dle nutnosti provedete pracovni zalohy. Vyhoda je, ze jej muzete kdykoli pripojit a opet po zalohovani okamzite odpojit. Rovnez je mozno pouzit DVD-RAM, ktery umoznuje okamzite vypaleni-zalohovani jen pretazenim souboru v Totalcommanderu. Kompletni systemovy disk zalohujte ACRONISEM (jak jsem uvedl drive). Muzete pouizivat i jine zalohove disky - tam ovsem chybi operativnost nutnosti vypnout a opet zapnout PC. Me tento sifrovaci vir napadl 4x, bohuzel ani nevim, jak se do PC dostal.

Pozn. Virus nenapadne soubory .exe, nebo httm - ale pokud si takto treba soubory prejmenujete, vir to pozna. Tolik jen na okraj.
Vložit nový komentář

(Upozornění: Komentáře neslouží k řešení požadavků na technickou podporu. Pro kontaktování technické podpory klikněte sem.)

 
Ochrana před roboty 
 
Pro přidání komentáře musíte vyplnit ochranu před roboty.
Kolik je dva krát tři?