- Viry -

H  Aktualizace  Analýzy  Android  Apple  APT  Bezpečnost  BigBrother  BotNet  Cloud  Exploit  Hacking  Hardware  ICS  Incidenty  IoT  IT  Kongresy  Kriminalita  Kryptografie  Kyber  Mobilní  OS  Ostatní  Phishing  Podvod  Ransomware  Rizika  Rootkit  Sociální sítě  Software  Spam  Těžařské viry  Útoky  Viry  Zabezpečení  Zranitelnosti

Úvod  Seznam  Kategorie  Podkategorie 0  1  2  3  4  5 

Tři nejobávanější viry mobilního světa

16.3.2018 Novinky/Bezpečnost Viry
Kybernetické hrozby se stále častěji týkají také mobilních zařízení, jako jsou chytré telefony a počítačové tablety. Se zabezpečením těchto zařízení si totiž láme hlavu málokdo. Antivirová společnost Check Point zveřejnila žebříček tří virů, které cílí na mobilní zařízení v poslední době nejčastěji.

Vůbec nejrozšířenější mobilní hrozbu představuje aktuálně škodlivý kód Lokibot. Jde o bankovního trojského koně pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware.

V případě odstranění administrátorských oprávnění se tedy tento virus začne chovat velmi agresivně a uzamkne telefon. Za zpřístupnění dat pak chtějí útočníci zaplatit výkupné v bitcoinech, aby platbu nebylo možné vystopovat. Ani po zaplacení výkupného nicméně oběť nemá jistotu, že jim útočníci skutečně data zpřístupní.

Virus Hiddad se dokáže navázat na legitimní aplikace a pak je umisťuje do internetových obchodů.
Druhá příčka patří viru zvanému Triada, tento modulární backdoor cílí také na zařízení s operačním systémem Android. Škodlivý kód uděluje superuživatelské oprávnění útočníkům, takže kyberzločinci mohou stahovat do mobilních zařízení další malware. Triada také umí zfalšovat URL odkazy uložené v prohlížeči a nasměruje tak uživatele na podvodné stránky.

Třetím nejrozšířenějším mobilním virem je aktuálně malware Hiddad, který se dokáže navázat na legitimní aplikace a pak je automaticky umisťuje do obchodů třetích stran. Uživatelé si tohoto záškodníka tedy stáhnou z neoficiálních obchodů v dobré víře, že instalují úplně jinou aplikaci.

Hlavní funkcí nezvaného hosta Hiddad je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

Útočí stále častěji
Důvod, proč se útočníci zaměřují na mobilní zařízení stále častěji, je jasný. Zatímco na zabezpečení počítačů si většina uživatelů dává již velký pozor, u mobilů řeší riziko kybernetických útoků málokdo. A to platí i o počítačových tabletech.

Přitom právě na zmiňovaných zařízeních uživatelé velmi často uchovávají citlivé osobní údaje, přístupová hesla a v neposlední řadě je používají také k obsluze svých bankovních účtů.

Právě poslední zmiňovaná činnost je pro počítačové piráty patrně nejatraktivnější. Pokud se počítačoví piráti dostanou k přihlašovacím údajům do internetového bankovnictví, jsou jen krůček od vybílení účtu. Stačí, aby se jim podařilo na telefon propašovat dalšího nezvaného návštěvníka, který dovede odchytávat SMS zprávy pro potvrzení plateb.

Antivirus jako samozřejmost
Právě proto je důležité chránit antivirovými programy a dalšími bezpečnostními nástroji nejen PC, ale také chytré telefony.

Před podobnými nezvanými hosty dokážou tablety i chytré telefony ochránit speciální programy. Kromě klasických antivirů jde například o aplikace, které se soustředí pouze na špionážní software a hledání trojských koňů.

Na mobilu nebo tabletu by měl být nainstalován vždy jen jeden bezpečnostní program svého druhu. Dva antiviry na disku dokážou udělat pěknou neplechu. Samotný antivirus ale zárukou bezpečí není.

Velmi důležité jsou také aktualizace, protože právě chyby v operačním systému a nejrůznějších programech počítačoví piráti velmi často zneužívají k tomu, aby do něj propašovali nezvané návštěvníky.

Po útoku vyděračského viru obnoví data pouze polovina uživatelů

16.3.2018 Novinky/Bezpečnost Viry
Vyděračské viry patřily v loňském roce k nejobávanějším hrozbám vůbec a situace se příliš nemění ani letos. Uživatelé navíc poměrně často přicházejí po útoku těchto nezvaných návštěvníků o svá data, obnovit je zvládne pouze polovina z nich.

Potěšující je, že přesně 53,3 % uživatelů svá data pravidelně zálohuje. To jinými slovy znamená, že po útoku mohou majitelé jednoduše přeinstalovat počítač a všechna data nahrát znovu.

Rovných 8 % uživatelů však přiznalo, že výkupné útočníkům po uzamčení počítače vyděračským virem nezaplatilo a o svá data nenávratně přišlo. Alarmující je také číslo 19,6 %, přesně tolik lidí totiž sice výkupné zaplatilo, ale k uzamčeným datům se bohužel ani přesto nedostalo.

Celkově se tak ke svým datům po útoku škodlivého kódu z rodiny tzv. ransomwarů nedostal každý třetí člověk.

V téměř pětině případů (19,1 %) se majitelé napadených sestav přiznali, že výkupné zaplatili a následně jim byla data zpřístupněna. Vyplývá to z průzkumu společnosti CyberEdge Group, který byl realizován v 17 různých zemích světa, jak upozornily servery Bleeping Computer a The Register.

Aktualizovat a zálohovat
Bránit se je přitom možné poměrně snadno, stačí dodržovat základní bezpečnostní poučky. Nejčastěji totiž nezvaného návštěvníka, který následně uzamkne počítač a požaduje výkupné, pustí samotní uživatelé. Prvním pravidlem by tak mělo být, že uživatelé nebudou otvírat přílohy e-mailových zpráv od neznámých a podezřelých adresátů. Právě touto cestou se totiž vyděračské viry dostanou do PC nejčastěji.

Vyděračský virus mohou kyberzločinci propašovat do počítače i prostřednictvím nějaké bezpečnostní trhliny v operačním systému či jiném programu. Samozřejmostí by tak měly být pravidelné aktualizace, jež počítačovým pirátům velmi znesnadní jejich práci.

Nutné je samozřejmě také pravidelně aktualizovat antivirový program, případně jiné bezpečnostní aplikace. Zvýšenému riziku se pak vystavují uživatelé, kteří používají nepodporované programy a operační systémy. Hrozba nákazy například na Windows XP je mnohonásobně vyšší než u novějších verzí tohoto operačního systému.

Vhodné je také pravidelně zálohovat svoje data. V případě nákazy se počítač jednoduše přeinstaluje a zašifrovaná data se mohou obnovit i bez placení výkupného nebo nutnosti je odšifrovat. Média či externí disky, na nichž budou záložní data uložena, by neměly být neustále připojeny k PC. Minimalizuje se tím riziko, že se vyděračský virus zabydlí i u zálohovaných dat.

Nejrozšířenější viry na českém internetu

16.3.2018 Novinky/Bezpečnost Viry
Antivirová společnost Eset zveřejnila svůj pravidelný žebříček nejrozšířenějších virů, které cílí na tuzemské uživatele v prostředí internetu. Nejrozšířenější hrozbu představuje JS/CoinMiner, který pochází z rodiny tzv. těžařských virů. Na pozoru by se ale měli mít uživatelé také před dalšími škodlivými kódy.

„Javový skript JS/CoinMiner, který běží na pozadí internetových stránek a útočníci jej používají ke skryté těžbě kryptoměn, jež využívá výpočetního výkonu napadených počítačů, zůstal i v únoru nejčastější internetovou hrozbou v České republice,“ prohlásil Miroslav Dvořák, technický ředitel společnosti Eset.

Zároveň však zdůraznil, že podíl této potenciálně nechtěné aplikace (PUA) na detekovaných škodlivých kódech proti lednu klesl téměř na polovinu a představoval zhruba každý šestý zachycený incident (17,80 procenta).

Trojské koně zneužívají bezpečnostní chyby
„V porovnání se začátkem letošního roku jde o výrazný pokles, podíl JS/CoinMiner však nadále zůstává poměrně vysoký. Mezi nejčastějšími hrozbami se navíc drží i další dvě varianty CoinMineru, které se chovají jako trojany – Win32/CoinMiner a Win64/CoinMiner,“ podotkl Dvořák.

Oba trojské koně zneužívají bezpečnostní chyby neaktualizovaných operačních systémů. Do infikovaných zařízení stahují škodlivý skript pro Windows Management Instrumentation (WMI), jehož prostřednictvím vytváří zadní vrátka. Ta umožní automatické spuštění těžby kryptoměn pokaždé, když dojde ke spuštění operačního systému napadeného zařízení.

Pozor na falešné aktualizace
Druhou nejčastější únorovou hrozbou byl HTML/ScrInject, generická detekce programového kódu, který automaticky přesměrovává prohlížeč uživatele na stránky obsahující škodlivý software. Představoval 6,04 procenta všech únorových detekcí.

Na třetí příčku mezi internetovými hrozbami se v únoru dostala potenciálně nechtěná aplikace JS/Adware.Agent.T, která zobrazuje nechtěné reklamy s nabídkou údajné aktualizace nebo stažení softwaru pro optimalizaci webového prohlížeče. Útočníkům může tento škodlivý kód generovat zisk z prokliku na reklamy. JS/Adware.Agent.T v únoru představoval 5,07 procenta zachycených škodlivých kódů.

Níže naleznete přehled deseti největších hrozeb za druhý měsíc letošního roku:

Deset nejčastějších internetových hrozeb v České republice za únor 2018
1. JS/CoinMiner (17,80%)
2. HTML/ScrInject (6,04%)
3. JS/Adware.Agent.T (5,07%)
4. JS/Redirector (4,57%)
5. HTML/Refresh (3,92%)
6. SMB/Exploit.DoublePulsar (3,22%)
7. JS/Adware.AztecMedia (3,22%)
8. Win32/CoinMiner (2,34%)
9. Java/Adwind (2,29%)
10. Win64/CoinMiner (2,28%)

Stránky s lechtivým obsahem jako hrozba. Polovina Čechů si stáhla virus

3.3.2018 Novinky/Bezpečnost Viry
Nejrůznější erotické servery a porno stránky představují pro tuzemské uživatele bezpečnostní riziko. Dokládá to nový průzkum antivirové společnosti Kaspersky Lab, podle kterého si do svých počítačů a mobilů stáhla při návštěvě webů s lechtivou tematikou škodlivý kód polovina Čechů.
„Nejnovější průzkum odhalil, že polovina Čechů (49,7 %, pozn. red.) si do svého počítače, notebooku nebo chytrého telefonu stáhla během sledování porna na internetu virus. Zvýšenému riziku nákazy ‚digitální pohlavní nemocí‘ se vystavují i kvůli nedostatečné ochraně svých zařízení,“ prohlásil David Jacoby, bezpečnostní odborník z Kaspersky Lab.

Je přitom nutné zdůraznit, že nejrůznější virové hrozby se netýkají pouze klasických počítačů, ale také tabletů a chytrých telefonů. U těchto mobilních zařízení ale řeší ochranu málokdo, což kyberzločincům značně usnadňuje práci.

Falešný pocit bezpečí
„Alarmující zjištění je, že 7 % českých uživatelů na svých zařízeních surfuje bez ochrany. Nemají totiž nainstalováno žádné bezpečnostní řešení. Naopak 11 % se domnívá, že jsou v bezpečí, když sledují porno na chytrých mobilech a tabletech. Jsou totiž přesvědčeni, že se tato zařízení nemohou ničím nakazit,“ zdůraznil bezpečnostní expert.

Průzkum realizovaný na podzim loňského roku na vzorku pěti stovek Čechů také ukazuje, že se tuzemští uživatelé za sledování lechtivých videí a fotografií stydí. „Více než 17 % Čechů totiž vinu za infikování zařízení virem z pornografické stránky svádí na své blízké, ačkoliv vědí, že se tak stalo při jejich návštěvě těchto webů,“ konstatoval Jacoby.

Podle průzkumu Češi v průměru sledují porno na svých počítačích nebo tabletech čtyřikrát týdně, polovina (53 %) jich pak připouští, že se na porno kouká alespoň jednou denně. Během jedné návštěvy na těchto webech průměrně stráví 22 minut, což za celý rok dělá více než pět dnů strávených sledováním erotických fotografií či videí.

Češi a Němci jsou na tom podobně
„V této statistice se velmi blížíme Německu, kde se na stránky s obsahem pro dospělé dívá 51 % respondentů denně, v průměru pak čtyřikrát týdně,“ prohlásil bezpečnostní expert.

Každý pátý respondent z ČR (19,8 %) si navíc myslí, že je v bezpečí, pokud pro surfování na internetu využívá anonymní mód ve vyhledávači. To samé si o anonymním módu myslí 42 % Němců. 19 % Čechů také věří, že je jejich počítač v bezpečí před viry, pokud si vymažou historii prohlížeče. Němečtí uživatelé jsou o tom přesvědčeni ve 24 % případů.

Nový virus dokáže obelstít antiviry, varovali bezpečnostní experti

1.1.2018 Novinky/Bezpečnost Viry
Národní bezpečnostní tým CSIRT.CZ varoval před zákeřným malwarem Loki, který se v posledních týdnech šíří internetem bez nadsázky jako lavina. Tento počítačový virus zneužívá populární kancelářský balík Office od společnosti Microsoft, aby se vyhnul odhalení.

„Malware Loki se šíří pomocí produktů Microsoft Office, a to z důvodů, aby se vyhnul detekci antivirových programů. Ukrývá se v tabulkách Microsoft Excel a dalších aplikacích Office,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Ten zároveň zdůraznil, že nezvaný návštěvník se snaží od uživatele vylákat přístupové údaje k různým účtům. S jejich pomocí pak mohou počítačoví piráti získat přístup k citlivým údajům uživatelů, případně jejich on-line účty zneužít i bez přímého přístupu k počítači.

Trhlina již byla opravena
„Útok využívá zranitelnost CVE-2017-0199 Microsoft Office/WordPad RCE, která byla opravena v dubnu a updatovaná v září,“ prohlásil bezpečnostní expert.

Kybernetičtí nájezdníci tedy zneužívají toho, že uživatelé instalaci aktualizací velmi často podceňují. Najde se tedy poměrně početná skupina uživatelů, kteří jsou stále v ohrožení, protože aktualizaci pro kancelářský balík Office nestáhli.

„Chyba existuje ve způsobu, jakým Office a WordPad analyzuje speciálně vytvořené soubory. Útok vyžaduje, aby oběť otevřela nebo zobrazila soubor, ve kterém je ukrytý malware,“ uzavřel Bašta.

S ohledem na možná bezpečnostní rizika by uživatelé s instalací aktualizací – aktuálně v případě kancelářského balíku Office – neměli otálet.

Pozor na soubory v Messengeru, mohou ukrývat malware pro těžbu kryptoměn
1.1.2018 Živě.cz Viry
Odborníci z Trend Micro informovali o novém malwaru, který se šíří prostřednictvím komunikátoru Messenger. V případě, že vám v jeho desktopové verzi, ať už v rámci Facebooku nebo webu Messenger.com, přijde odkaz na video, zpozorněte.

Dorazí-li vám podobná zpráva na Messenger, na soubor či odkaz v žádném případě neklikejte
Za odkazem se totiž nemusí ukrývat pouze vtipný klip s koťátky, ale i doplněk do prohlížeče Chrome se skrytou instalací. Ten pojmenovali v Trend Micro jako Digmine a z názvu se dá vytušit jeho primární účel. Na pozadí totiž umožňuje těžbu kryptoměny Monero. Využívá k tomu open-source nástroj XMRig.

V případě, že oběť využívá Facebook v Chromu, kde se neodhlásí, umí si Digmine spustit na pozadí instanci Chromu a nastartovat jeho těžební komponentu. Zároveň obsahuje i propagační část, která začne odesílat stejné škodlivé zprávy všem kontaktům v Messengeru.

Ochrání vás zálohy před ransomwarem?

26.12.2017 SecurityWorld Viry
Zálohy by měly ze své podstaty velice jednoduše posloužit k obnově provozu po ataku ransomwaru. Velmi často se tak ale neděje. Co je důvodem a jaká opatření je vhodné udělat, abyste mohli výhody back-upu využít i při těchto incidentech?

Teoreticky by nikdo neměl vyděračům využívajícím ransomware platit žádné peníze. Nemáme snad všichni v současné době zálohy? I spotřebitel má přístup k široké řadě bezplatných či levných zálohovacích služeb.

Zprávy jsou ale plné informací o institucích, jako jsou nemocnice, které by měly používat plány pro zajištění nepřetržitého provozu a využívat solidní zálohovací strategie.

Přesto však bylo podle FBI jen v USA zaplaceno více než 209 milionů dolarů v platbách za ransomware v průběhu prvních tří měsíců roku 2016, což je oproti pouhým 25 milionům dolarů za celý rok 2015 citelný nárůst.

Co se děje? Proč zálohy nefungují? Z důvodu finančních úspor některé organizace nezahrnují všechny své důležité soubory do svých záloh nebo nezálohují dostatečně často. Jiní zase své zálohy netestují a zjistí, že systémy nefungují, až když je příliš pozdě.

A konečně, některé společnosti ukládají své zálohy na síťové jednotky, kde je dokáže ransomware snadno najít a zašifrovat.

Jaký rozsah zálohování stačí?

Vždy je zde kompromis mezi cenou a bezpečností a většina organizací upřednostní své výdaje.

„Historicky bylo možné na klientském trhu v oblasti zálohování klientských dat vidět, že když oddělení IT viděla náklady na úložiště pro ukládání všech dat, moc se jim do takových investic nechtělo,“ uvádí David Konetski ze společnosti Dell.

To však podle něj platilo před exponenciálním snížením cen úložišť v období před pěti až deseti lety. „Nyní žijeme ve světě skutečně levných úložišť a cloudových úložišť,“ tvrdí Konetski.

Navíc by nemuselo stačit zálohovat jen důležitá data a dokumenty. Může být potřeba zazálohovat celé počítače, pokud jsou důležité pro podnikání.

Například ve zdravotnickém zařízení Hollywood Presbyterian Medical Center, kde nedávno zaplatili kyberzločincům ekvivalent 17 tisíc dolarů, ransomware nejenže zašifroval důležité soubory, ale rovněž vážně poškozoval provoz po dobu deseti dnů a přinutil personál vrátit se zpět k papírovým záznamům a faxům.

Místní zpravodajské organizace oznámily, že někteří pacienti s potřebou naléhavé péče byli převezeni do jiných nemocnic.

„Tento malware uzamkl přístup k některým počítačovým systémům a zabránil nám elektronicky komunikovat,“ uvedl výkonný ředitel Allen Stefanek této instituce v dopise veřejnosti. Pro nemocnici byla podle něj nejrychlejším způsobem obnovení systémů platba výkupného.

Ne vždy to však problém vyřeší. Objevily se i zprávy, že nemocnice například zaplatily výkupné a slíbené klíče nedostaly nebo se vznesl požadavek na ještě vyšší částku.

Pokud by byly okamžitě k dispozici čisté bitové kopie pro infikované počítače, mohla by nemocnice zcela smazat infikovaný hardware a obnovit na něm poslední dobrou verzi.

Organizace nemusejí ukládat několik kompletních kopií každého systému – přírůstkové zálohovací systémy jsou velmi efektivní, protože uloží jen poslední změny.

„Pokud dojde ke kompromitaci celého systému, můžete se vrátit zpět k holému hardwaru,“ vysvětluje Stephen Spellicy, šéf produktového managementu, ochrany podnikových dat a správy mobilních informací ve společnosti HPE.

Otestování záloh

Vytvoření komplexní strategie zálohování je komplikovaný proces, zejména pro velké podniky s více typy dat, souborů a systémů, které je potřeba chránit.

Tato komplexnost je jedním z důvodů, proč zálohy nefungují, upozorňuje Stephen Cobb, výzkumník z Esetu. Dalším důvodem je, že zálohy nemusejí proběhnout nebo může být proces obnovy příliš obtížný.

„Největší problém, se kterým se společnosti setkávají, když dojde k jejich napadení ransomwarem, spočívá v tom, že v nedávné době neudělaly test svého procesu obnovy,“ popisuje. „Zálohovaly, ale netrénovaly obnovení – existuje k tomu vtipný důkaz, když se někteří správci ptají: ‚Kolik trápení způsobí obnova ze zálohy ve srovnání s platbou výkupného?‘“

Mnoho firem nevykonává řádné testování svých záloh, potvrzuje Spellicy z HPE. „Jedním z hlavních důvodů, proč se nám daří najít zákazníky, je, že se neúspěšně snažili využít obnovení od jiného dodavatele a nyní hledají nové řešení. Když to potřebujete, musí to fungovat. Je to velmi kritické – pokud nemůžete zálohu využít, potom je bezcenná.“

Skrytí zálohy před zločinci

Kybernetičtí ​​vyděrači vědí, že zálohy jsou jejich nepřítel číslo jedna, a přizpůsobují svůj ransomware tak, aby je vyhledával.

„Několik rodin ransomwaru ničí všechny stínové kopie (Shadow Copy) a body obnovení v systémech Windows,“ uvádí Noah Dunker, ředitel bezpečnostních laboratoří společnosti RiskAnalytics. „Mnoho typů ransomwaru se zaměřuje na všechny připojené disky a šifruje také zálohy, přestože to možná není promyšlený záměr.“

Každý souborový systém připojený k infikovanému počítači je potenciálně zranitelný stejně jako připojené externí pevné disky a zasunuté USB Flash disky.

Tipy pro spolehlivější zálohy

1. Každodenní zálohy

Používejte on-line službu pro synchronizaci souborů, která nepřetržitě zálohuje soubory, na nichž zaměstnanci pracují. Další možností je zapnout synchronizaci ve vlastní síti, ale pomocí proprietárních protokolů, aby záloha nebyla viditelná pro útočníky.

Nebo pokud není k dispozici nic jiného, by zaměstnanci měli začít používat starou metodu a navyknout si jednou nebo dvakrát denně zazálohovat své důležité soubory na externí disk, který bude jinak odpojený.

Pokud by ransomware vyřadil jejich počítač, mohou zaměstnanci pokračovat v práci z jiného místa, zatímco by docházelo k obnově funkce jejich počítače.

2. Střednědobé zálohy

Ukládejte pravidelné zálohy uživatelských počítačů na snadno dostupných zařízeních pro ukládání dat, která jsou logicky izolována od zbytku sítě. Použijte je k rychlému obnovení uživatelských počítačů do posledního funkčního stavu.

3. Dlouhodobé zálohy

Používejte off-line úložiště, fyzicky izolované od zbytku vaší společnosti, pro méně časté, ale komplexní zálohování všeho, co vaše firma potřebuje obnovit v případě nouze.

„Aby vaše zálohy odolaly ransomwaru, měli byste použít disky nepřipojené ke konkrétní pracovní stanici,“ prohlašuje Sam McLane ze společnosti ArcticWolf Networks. „Například můžete přenášet data přes síť na jinou pracovní stanici nebo úložné zařízení pomocí zálohovací aplikace. Zajistěte, aby toto úložné řešení zůstalo chráněné a nebylo dostupné uživatelským pracovním stanicím, zejména pokud mají přístup k internetu.“

Je potřeba používat bezpečnostní kontroly, které oddělí uživatele od záloh, radí Todd Feinman, výkonný ředitel společnosti Identity Finder, která se zabývá utajením dat. Dobrou praxí je také používat dobře zabezpečené a šifrované zálohování do jiné lokality.

„Není potřebný každodenní přístup – tyto zálohy jsou určené jen pro případ nouze, když vše ostatní selže,“ uvedl.

Pro každodenní použití, například když zaměstnanci nechtěně smažou důležité soubory a potřebují je obnovit, existuje mnoho služeb synchronizace souborů, dodává Feinman.

Tyto systémy budou neustále sledovat změny v souborech. Pokud se však do počítače dostane malware a zašifruje všechny soubory, bude toto zašifrování zrcadlené zálohovacím systémem také.

Naštěstí se obvykle uchovávají předchozí verze souborů. „Jakmile jsou aktuální soubory zašifrované, budou zašifrované i jejich zálohy. Firma tedy bude muset udělat obnovu pomocí předchozí zálohy, která zakódovaná není,“ říká Craig Astrich, ředitel společnosti Deloitte Cyber Risk Services.

Samotný ransomware se však může skrývat i v šifrovaných souborech, když dochází k jejich zálohování.

„Pokud dojde k zazálohování zakódovaného souboru v rámci zálohovacího procesu, může znovu zašifrovat prostředí po jeho obnovení,“ varuje Scott Petry, spoluzakladatel a výkonný ředitel společnosti Authentic8.

To by podle něj mohlo dostat uživatele do smyčky neustálého obnovování zálohy a zašifrování. Každý proces zálohování by se tedy měl dělat společně se skenováním na přítomnost malwaru, aby se odhalily tyto nebezpečné soubory před zálohováním či obnovením.

Netýká se to jen dat

Pokud ztráta souborů a zablokování systémů zásadně důležitých pro provoz nestačí, může ransomware napáchat ještě více škody. Může zakrývat další útoky.

„Pokrokoví hackeři využívají ransomware jako sekundární formu infekce nebo jako obranu proti reakci na incidenty,“ prohlašuje Tom Kellermann, výkonný ředitel společnosti Strategic Cyber Ventures.

Útočníci se mohou dokonce zmocnit firemní komunikace či webu, aby více rozšířili infekci ransomwarem.

Zákeřný červ děsí bezpečnostní experty i po letech

26.12.2017 Novinky/Bezpečnost Viry
První verze zákeřného červa Confickera začala internetem kolovat už v roce 2008. Přestože zabezpečení počítačových systémů od té doby prošlo značným vylepšením, nové verze této hrozby stále nepřestávají strašit. Aktuálně dokonce tento nebezpečný malware patří mezi tři nejrozšířenější virové hrozby na světě. Vyplývá to ze statistik antivirové společnosti Check Point.
Ve zmiňovaném roce 2008 byl Conficker několik dlouhých měsíců nejrozšířenější hrozbou vůbec, platilo to prakticky i celý rok 2009. V uplynulých letech však o sobě tento nezvaný návštěvník nedával vůbec vědět.

Zlom nastal až loni a letos před Vánocemi, kdy jej kyberzločinci začali hojně využívat. V tuzemsku i v zahraničí tak podle analýzy antivirové společnosti Check Point představoval tento červ třetí nejrozšířenější hrozbu vůbec.

První dvě příčky patří škodlivým kódům RoughTed a Rig ek, které jsou však výrazně mladší než zmiňovaný Conficker.

Napadl i počítače v elektrárně
Conficker využívá zranitelnosti operačního systému Windows. Pro tu už dávno existuje bezpečnostní záplata, ale jak je ze statistik zřejmé, s její instalací si velká část uživatelů hlavu neláme. Na konci dubna se dokonce ukázalo, že se tento nebezpečný červ uhnízdil v počítačích v bavorské jaderné elektrárně Gundremmingen. 

Autoři Confickera vybudovali po celém světě velkou síť infikovaných PC využitelných na libovolnou úlohu, poněvadž mohou díky viru ovládat počítače na dálku. Na jeho řízení použili autoři červa inovativní způsob. Každý den se vygenerují nové náhodné domény, kam se vir hlásí a žádá instrukce.

Tím prakticky bezpečnostním expertům znemožňují, aby mohli Confickera zcela vyřadit z provozu.

Důležité jsou aktualizace
Většina antivirových programů by si nicméně i s tou nejnovější verzí měla poradit. Pokud ne, mohou pomoci s jeho vystopováním nejrůznější on-line antivirové skenery. Ty jsou zpravidla k dispozici zadarmo.

Jak zajistit, aby se červ do počítače vůbec nedostal? Bezpečnostní experti důrazně doporučují nainstalovat do počítače všechny přístupné bezpečnostní aktualizace, které jsou dostupné přes systém automatických aktualizací nebo přes stránku Windows Update.

Vyděračské viry napadly více než čtvrtinu firem

18.12.2017 Novinky/Bezpečnost Viry
Počet útoků vyděračských programů na firmy letos vzrostl. Podíl napadených podniků se meziročně zvýšil o čtyři procentní body na 26 procent. Na vině jsou především tři nebývale mohutné útoky na firemní sítě, které zásadním způsobem změnily prostředí firemních počítačových sítí. Uvedla to antivirová firma Kaspersky Lab.
Firmy celosvětově napadly postupně vlny škodlivých programů WannaCry v květnu, ExPetr na konci června a BadRabbit v říjnu. Všechny se zaměřovaly na korporátní sítě. Na podniky útočily i jiné tzv. ransomwary, které dohromady stály za 240 000 útoky.

"Tyto známé útoky z průběhu celého roku jsou extrémním důkazem toho, že se kyberzločinci čím dál více zajímají o firemní cíle. Tento trend jsme ale zaznamenali už v roce 2016. Letos však nabral na obrátkách a zatím se nezdá, že by nějak polevoval," uvedl analytik Kaspersky Lab Fedor Sinitsyn. "Děje se tak především proto, že jsou firmy velmi zranitelné, schopné zaplatit vyšší výkupné než jednotlivci a většinou jsou k tomu i ochotnější, aby udržely v chodu svoji výrobu," dodal.

Letos výrazně klesl počet nově detekovaných vyděračských programů. Jejich počet klesl z loňských 62 na 38 v roce letošním. O to víc se ale zvýšil počet nově detekovaných verzí existujícího ransomwaru, a to na 96 000 proti loňským 54 000. Navýšení je zřejmě výsledkem snahy útočníků skrýt programy před stále lepšími technikami detekce.

Zhruba 65 procent společností, které byly letos ransomwarem napadeny, tvrdí, že přišly o přístup k většině nebo dokonce ke všem datům. Každá šestá firma, která zaplatila výkupné, se ke svým datům už nedostala. Tato čísla se v podstatě shodují s údaji za rok 2016.

Rok 2017 ve znamení ransomwaru

18.12.2017 SecurityWorld Viry
Poměr firem napadených ransomwarem v roce 2017 stoupl na 26,2 %. V předchozím roce bylo na firmy zacíleno o necelá 4 procenta všech ransomwarových útoků méně – 22,6 %. Na vině jsou především tři doposud nebývale mohutné útoky na firemní sítě, které zásadním způsobem změnily prostředí firemních počítačových sítí.

Rok 2017 se do historie kybernetické bezpečnosti zapíše především kvůli ransomwarovým útokům. Ty udeřily na společnosti po celém světě nečekaně prostřednictvím útoků s počítačovými červy. Hlavní motiv zatím zůstává nejasný. Jde o WannaCry z 12. května, ExPetr z 27. června a BadRabbit, který byl aktivní v druhé polovině října.

Všechny využily exploity navržené pro nabourání do korporátních sítí. Na podniky útočily i jiné ransomwary, které dohromady stály za 240 000 útoky. Tolika ransomwarovým infekcím zabránily v napadení korporátních počítačů po celém světě produkty Kaspersky Lab.

„Tyto známé útoky z průběhu celého roku jsou extrémním důkazem toho, že se kyberzločinci čím dál více zajímají o firemní cíle. Tento trend jsme ale zaznamenali už v roce 2016. Letos však nabral na obrátkách a zatím se nezdá, že by nějak polevoval. Děje se tak především proto, že jsou firmy velmi zranitelné, schopné zaplatit vyšší výkupné než jednotlivci a většinou jsou k tomu i ochotnější, aby udržely v chodu svoji výrobu. Není proto překvapením, že se objevují noví útočníci zaměření na firmy, kteří k útokům využívají vzdálené desktopové systémy,“ říká Fedor Sinitsyn, Senior Malware Analyst ze společnosti Kaspersky Lab.

Další trendy spojené s ransomwarem v roce 2017

V roce 2017 bylo celkem napadeno bezmála 950 000 unikátních uživatelů, zatímco v roce 2016 jich bylo 1,5 milionu. Tento markantní rozdíl je způsoben změnou v detekční metodologii. Například downloadery, které jsou běžně spojovány s krypto-malwarem, jsou nyní detekovány heuristickými technologiemi. Telemetrie Kaspersky Lab je už neklasifikuje jako ransomware.
Tři nejznámější útoky, ale i ransomwarové rodiny AES-NI nebo Uiwix, využívaly sofistikované exploity. Ty na veřejnost unikly na jaře 2017, když je zveřejnila skupina známá jako Shadow Brokers.
Došlo k výraznému poklesu nově detekovaných ransomwarových rodin. Jejich počet klesl z 62 v roce 2016 na 38 v roce letošním. O to víc se ale zvýšil počet nově detekovaných verzí existujícího ransomwaru – více než 96 000 v roce 2017 oproti loňským 54 000. Toto navýšení je zřejmě výsledkem snahy útočníků skrýt svůj ransomware před stále lepšími technikami detekce.
Ve druhém čtvrtletí letošního roku řada skupin své ransomwarové aktivity ukončila a klíče potřebné pro dešifrování dat zveřejnila. Pařily mezi ně AES-NI, xdata, Petya/Mischa/GoldenEye a Crysis. Crysis se následně opět objevil, nejspíše v režii jiné skupiny.
Kyberzločinci se stále větší oblibou využívali k infikování firem metodu vzdálených desktopových systémů. Ta se stala hlavním nástrojem mnoha skupin jako jsou Crysis, Purgen/Globelmposter a Cryakl.
65 % společností, které byly letos ransomwarem napadeny, tvrdí, že přišly o přístup k většině nebo dokonce ke všem datům. Každá šestá firma, která zaplatila výkupné, se ke svým datům už nedostala. Tato čísla se v podstatě shodují s údaji za rok 2016.

Velmi úspěšná je iniciativa No More Ransom, která byla spuštěna v červenci 2016. Ta spojuje orgány činné v trestním řízení a soukromé společnosti. Ty společně vyhledávají a následně zneškodňují velké ransomwarové rodiny. Snaží se tak pomoci koncovým uživatelům získat svá data zpět, a zároveň tím narušují lukrativní způsob výdělku kyberzločinců.

Bezpečnostní experti varovali před virem Redirector. Uživatele navede na škodlivé weby

7.12.2017 Novinky/Bezpečnost Viry

Antivirová společnost Eset vydala žebříček těch největších hrozeb za měsíc listopad. V nich kraloval trojský kůň Redirector, který dokáže v počítači udělat pěknou neplechu. Uživatele totiž přesměrovává na škodlivé weby. Lidé by si tak na něj měli dát velký pozor.

„Redirector je škodlivý kód, který automaticky přesměrovává internetový prohlížeč napadeného zařízení na škodlivé stránky, odkud uživatel může stáhnout do svého počítače další druhy malwaru. Škodlivý software bývá obvykle vložen přímo do HTLM kódu odkazovaných stránek,“ varoval Miroslav Dvořák, technický ředitel společnosti Eset.

Uživatel se tedy může tímto trojským koněm infikovat i v případě, kdy bude pracovat s nějakou infikovanou webovou stránkou.

„Jde o nepříjemný malware, který se projevuje automatickým otevíráním stránek s různým, často nesmyslným obsahem. K otevírání stránek dochází v nepravidelných intervalech a dané stránky mohou uživatele nabádat, aby si stáhl další software, například kvůli napadení jeho počítače a eliminaci škod,“ doplnil Dvořák.

Otevírá okna s nevyžádanou reklamou
Nevyžádaná okna internetového prohlížeče otevírá i druhý v listopadu nejčetněji zachycený malware v Česku, který nese plný název JS/Adware.AztecMedia. „Nepřesměrovává však na jiné internetové stránky, nýbrž otevírá okna s nevyžádanou reklamou a v některých případech dokáže dokonce i změnit domovskou stránku internetového prohlížeče,“ konstatoval bezpečnostní expert.

Třetím nejčastěji detekovaným škodlivým kódem v listopadu byl exploit SMB/Exploit.DoublePulsar. „Jde o nechvalně proslulý škodlivý kód, který ke svému šíření využíval ransomare WannaCry,“ zdůraznil Dvořák.

Škodlivý software ransomware pojmenovaný jako WannaCry nebo WanaCrypt0r 2.0 letos v květnu napadl 300 000 počítačů ve 150 zemích světa. Podle bezpečnostních expertů jde vůbec o největší útok ransomwaru vůbec.

Přehled deseti nejrozšířenějších virových hrozeb za uplynulý měsíc naleznete v tabulce níže:

Deset nejčastějších internetových hrozeb v České republice za říjen 2017:
1. JS/Redirector (3,91 %)
2. JS/Adware.AztecMedia (3,59 %)
3. SMB/Exploit.DoublePulsar (3,56 %)
4. JS/Danger.ScriptAttachment (3,03 %)
5. PowerShell/Agent.BS (2,75 %)
6. Java/Adwind (2,51 %)
7. Win32/GenKryptik (2,30 %)
8. PowerShell/Adware.Adposhel (2,23 %)
9. VBS/TrojanDownloader.Agent.PJJ (1,65 %)
10. JS/Kryptik.MX (1,44 %)
Zdroj: Eset

Šest nejobávanějších virů počítačového a mobilního světa

4.12.2017 Novinky/Bezpečnost  Virus
Každý den kolují internetem tisíce virů, které cílí na klasické počítače, tablety i chytré telefony. Antivirová společnost Check Point zveřejnila žebříček šesti škodlivých kódů, které cílí právě na zmiňovaná zařízení. Právě na ně – a na způsob, jakým je kyberzločinci šíří – by si měli dát uživatelé velký pozor.

Žebříček je rozdělen na dvě části. V jedné je přehled třech nejrozšířenějších virů, které útočí na klasické počítače, v druhé pak trojice malwarů cílících na mobilní zařízení, jako jsou tablety a chytré telefony.

Nejprve se pojďme podívat, jaké škodlivé kódy útočí na klasická PC. První příčku obsadil RoughTed. Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.

Vyděračské viry na scéně
Druhá příčka pak patří vyděračskému viru Locky. Tento ransomware, který byl poprvé detekován v únoru 2016, se šíří především prostřednictvím spamu s infikovanou wordovou přílohou nebo přílohou ve formátu Zip, která obsahuje kód pro stažení a instalaci malwaru šifrujícího uživatelské soubory.

Nezvaný návštěvník Locky dokáže uzamknout počítač a za zpřístupnění zašifrovaných dat požaduje výkupné.

Trojici nejrozšířenějších virů pak uzavírá Seamless. Jde o systém distribuce provozu (TDS), který nenápadně přesměruje oběti na škodlivou webovou stránku, což vede k infekci pomocí tzv. exploit kitu. To jinými slovy znamená, že poté, co se tento záškodník uhnízdí v počítači, mohou do něj počítačoví piráti stahovat jakékoliv další škodlivé kódy.

V bezpečí nejsou ani mobily
Ani mobilní zařízení nejsou před škodlivými kódy v bezpečí. Nejvíce by se měli mít uživatelé na pozoru před virem Triada, který je nejrozšířenějším malwarem pro chytré telefony a počítačové tablety. Tento modulární backdoor cílí na zařízení s operačním systémem Android.

Škodlivý kód uděluje superuživatelské oprávnění útočníkům, takže kyberzločinci mohou stahovat do mobilních zařízení další malware. Triada také umí zfalšovat URL odkazy uložené v prohlížeči a nasměruje tak uživatele na podvodné stránky.

Druhá příčka patří vyděračskému viru LeakerLocker, který opět cílí na zařízení se systémem Android. Čte osobní uživatelská data a následně je ukazuje uživateli a hrozí, že pokud nedojde k zaplacení výkupného, tak budou informace zveřejněny na internetu.

Trojici nejrozšířenějších mobilních škodlivých kódů uzavírá Lotoor. Jde o hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení. Díky tomu pak mohou útočníci zotročit zařízení na dálku.

Tajná těžba kryptoměn v prohlížečích: Zavření okna s infikovaným webem už nepomůže
2.12.2017 Živě.cz Viry
Tajná těžba kryptoměn v prohlížečích: Zavření okna s infikovaným webem už nepomůže
Bezpečnostní experti odhalili nový způsob, jak záškodníci mohou zapojit do těžby kryptoměn návštěvníky webů prostřednictvím internetových prohlížečů. Útočníci tentokrát vytvořili sofistikovaný skript, který dokáže generovat kryptoměnu i po zavření záškodnického webu. Bližší informace o hrozbě zveřejnil Bleeping Computer.

Coinhive stále populární
Těžba virtuální měny v internetových prohlížečích se těší velké popularitě mezi různými skupinami útočníků. Díky známému open-source skriptu Coinhive může zisk generovat prakticky jakýkoliv web. Není přitom potřeba žádná interakce s uživatelem.

Výrazným problémem je však délka samotné těžby, která je přímo úměrná délce procházení webu. Pokud totiž uživatel stráví na webu se skrytou těžbou 60 sekund, tak je zřejmé, že jeho počítač bude generovat zisk pouze v průběhu jedné minuty. Není proto překvapením, že útočníci začali hledat způsob, jak délku těžby prodloužit na maximum.

Sekundární okno se schová za hodinami
Výzkumníci ze společnosti Malwarebytes upozornili na nový, v principu triviální trik, díky kterému bude těžba kryptoměny pokračovat i po opuštění záškodnického webu. Ten je založen na speciálním kódu v JavaScriptu, který vytvoří vyskakovací pop-up okno v definované velikosti. Jeho součástí je i vzorec určený pro dynamický výpočet pozice tohoto okna na obrazovkách uživatelů.

Výsledkem skriptu je miniaturní okno, které se na mnoha počítačích zobrazí skryté za panelem úloh systému Windows. Uvnitř ukrytého okna se nakonec spustí samotná těžba.

Je tam! Nenápadně schované dole za hodinami. Okno prohlížeče se skriptem na těžbu kryptoměn. K odhalení stačí trochu zvětšit hlavní panel.
Běžný uživatel si nemusí všimnout nic podezřelého. Okno je skutečně dobře schované a mechanismus navíc dokáže oklamat většinu nástrojů pro blokování reklam. Navíc útočníci nastavili maximální zátěž procesoru na nižší hodnoty, aby plně vytížený počítač nebudil podezření.

Pozor v sedmičkách i Windows 10
Tento trik v současnosti funguje v nejnovější verzi internetového prohlížeče Google Chrome v prostředí operačních systémů Windows 7 a Windows 10. Skript byl odhalen na pochybných internetových stránkách pro dospělé.

Schéma útoku dokáže prozradit ikona aktivního internetového prohlížeče v hlavním panelu. V případě, že nemáte otevřenou žádnou webovou stránku, tak by neměla být v hlavním panelu zobrazena ani zvýrazněna ikona prohlížeče. Pokud tam je, zřejmě je na pozadí skryté okno.

V rámci preventivních opatření by měl být v počítači nainstalován a řádně aktualizovaný antivirový software. Většina z bezpečnostních produktů už totiž dokáže zachytit i skripty pro těžbu virtuálních jmen.

V neposlední řadě existují různá rozšíření internetových prohlížečů, která dokáží zablokovat nežádoucí skripty. Nejznámějším je asi No Script, nebo relativně nový projekt NoCoin zaměřený právě na blokování těžebních skriptů.

Nejrozšířenější hrozbou je virus Danger

7.11.2017 Novinky/Bezpečnost Viry
Počítačoví piráti stále nepolevují v šíření počítačového viru Danger. Tento škodlivý kód tak byl v minulém měsíci – stejně jako v těch předchozích – nejrozšířenější počítačovou hrozbou vůbec. Vyplývá to ze statistiky antivirové společnosti Eset.
Danger je nejrozšířenější hrozbou s téměř desetiprocentním podílem. Sluší se nicméně podotknout, že v uplynulých měsících měl tento škodlivý kód ještě větší procentuální zastoupení.

Tento virus, plným názvem JS/Danger.ScriptAttachment, je velmi nebezpečný. Otevírá totiž zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry z rodiny ransomware.

Výkupné neplatit
Vyděračské viry začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.

Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

Zneužívají Office
Na pozoru by se měli nicméně uživatelé mít i před dalšími hrozbami, jak ukazují říjnové statistiky. České uživatele například v minulém měsíci ohrožovala nová hrozba využívající protokol DDE, v závěru měsíce dosahovala podílu 40 procent.

Do čela žebříčku nejrozšířenějších počítačových hrozeb se nedostala právě jen kvůli tomu, že se začala šířit až před koncem měsíce. „Útočníci v tomto případě oprášili starší technologii, která je však v aplikacích stále dostupná. Nejčastěji se jedná o programy v rámci balíku kancelářských programů Office,“ uvedl Miroslav Dvořák, technický ředitel společnosti Eset.

„Protokol DDE zneužívá důvěřivosti uživatelů, kterým přijde nevyžádaný e-mail s přílohou, nejčastěji v podobě wordovského dokumentu. Po jeho otevření se uživateli objeví upozornění, že dokument obsahuje odkazy, které mohou směřovat na jiné soubory a zda je chce aktualizovat. Pokud uživatel toto potvrdí, dochází ke spuštění procesu infikování,“ konstatoval Dvořák.

Zároveň nastínil, jak jsou počítačoví piráti v šíření podobných hrozeb zběhlí. „Útočníci v tomto případě úspěšně využívají metod sociálního inženýrství, aby adresáta zmátli a vytvořili u něj dojem, že příloha je bezpečná. Nastavení zablokování spouštění maker nemá na zabránění infekce žádný vliv,“ uzavřel Dvořák.

Přehled deseti nejrozšířenějších virových hrozeb za uplynulý měsíc naleznete v tabulce níže:

Top 10 hrozeb v České republice za říjen 2017:
1. JS/Danger.ScriptAttachment (8,70 %)
2. JS/TrojanDownloader.Nemucod (5,13 %)
3. VBA/DDE (4,41 %)
4. JS/ProxyChanger (3,33 %)
5. JS/Adware.AztecMedia (3,18 %)
6. SMB/Exploit.DoublePulsar (2,52 %)
7. Java/Adwind (2,16 %)
8. Win32/GenKryptik (2,05 %)
9. VBS/TrojanDownloader.Agent.PGX (1,75 %)
10. JS/Kryptik.MX (1,68 %)
10. VBS/TrojanDownloader.Agent.PGF (1,86 %)
Zdroj: Eset

Ransomware? Bad Rabbit spíše pouze maskoval phishingový útok na Ukrajině

7.11.2017 CNEWS.cz Viry
Co když sledujete útok a nevšimnete si, že mezitím za vašimi zády probíhá útok jiný? Na Ukrajině během výskytu Bad Rabbitu probíhal útok phishingový.

Koncem října postihl část světa další velký útok ransomwaru, jenž vzbudil pozornost médií. Vypadá to, že v tomto roce je vůbec nejvíce postižena Ukrajina, nebo aspoň patří k nejvíce postiženým. Zatímco ransomware WannaCry postihl mnoho organizací po celém světě, koncem června dorazila hrozba jménem Petya. Tentokrát byla nejvíce postižena právě Ukrajina.

Zajímavé je, že ačkoli se zdánlivě jednalo o útok ransomwaru, ve skutečnosti to byl spíše zákeřný malware, jehož cílem byl způsobit rozsáhlé škody. Dodávám, že cílem ransomwaru je naproti tomu vydělat peníze – zašifruje data na počítači a pak za ně vyžaduje výkupné. Malware byl tedy založen na ransomwaru Petya, nicméně s ohledem na jeho chování a účel byl tento škodlivý kód bezpečnostními experty a expertkami nazván i jako NotPetya.

Ransomware pro odvedení pozornosti
NotPetya není mrtvý. Jak ukazují nedávná zkoumání, na jeho základech staví nedávno řádící ransomware Bad Rabbit. Malwarebytes Labs uvádí, že za oběma škodlivými kódy stojí pravděpodobně stejní lidé. Se zajímavým tvrzením pak exkluzívně přišla agentura Reuters, jež před pár dny získala vyjádření šéfa kybernetické policie Serhiye Demedyuka.

Zatímco byl svět zaneprázdněn Bad Rabbitem, probíhal na Ukrajině paralelně jiný útok. Jednalo se o phishingový útok s cílem ukrást informace finanční a tajné informace. Ačkoli se v Rusku Bad Rabbit rozšířil více, nová informace říká, že hlavním cílem byla pravděpodobně Ukrajina. Demedyuk řekl, že se hybridní útoky stávají běžnými. Samotná taktika, kdy je vyvolána událost, která odpoutá pozornost od skutečného problému, není vůbec nová.

Ransomware Petya (foto: Avast)
Phishingový útok byl zacílen na uživatelky a uživatele softwaru od ruské firmy 1C, jež produkuje mj. nástroje pro účetnictví. Útok ransomwaru Petya/NotPetya byl přitom zahájen rovněž prostřednictvím softwaru pro účetnictví, jenž se nazývá M.E.Doc. Podvodné e-maily rozeslané během nedávného útoku se tvářily, jako by přicházely od vývojářského studia 1C. Ukrajinská policie získala oznámení od patnácti firem, které phishingovému útoku podlehly.

Celkový rozsah útoku prý zatím odhadnout nelze. Zato je zajímavé, že ukrajinské orgány dokázaly od června zastavit pětici velkých útoků na finanční instituce a strategickou infrastrukturu, jak zjistili v Reuters.

Populární stránka ke streamování anime Crunchyroll infikovala návštěvníky malwarem
6.11.2017 Živě.cz Viry

Je celkem obvyklé, že na velké weby čas od času zaútočí podlí útočníci, ale Crunchyroll, největší streamovací služba s japonskými seriály anime, se stala o víkendu terčem mimořádné závažného útoku.Neznámí pachatelé nahradili domovskou stránku Crunchyroll falešnou a návštěvníky zkoušeli infikovat malwarem.K útoku došlo během soboty. Útočníci se snažili docílit toho, aby si návštěvníci s Windows PC stáhli infikovaný program „CrunchyViewer“. Když to člověk udělal a soubor spustil, na pozadí systému se mu aktivoval nechtěný proces. Mobilní uživatelé ohroženi nebyli. Stalo se to, že útočníkům se podařilo napadnou Cloudflare konfiguraci mateřské společnosti služby Ellation, která běžně přesměrovává provoz do Crunchyroll a nasměrovali ji na falešný server obsahující malware. Dobrá správa pro uživatele tak je, že vlastní stránka zasažena nebyla a všechny uživatelské účty jsou v bezpečí.V tuto chvíli je již vše v pořádku a návštěvníci se nemusí ničeho obávat. Bude ale chvíli trvat, než se internet dozví, kdo za útokem stál.
Je celkem obvyklé, že na velké weby čas od času zaútočí podlí útočníci, ale Crunchyroll, největší streamovací služba s japonskými seriály anime, se stala o víkendu terčem mimořádně závažného útoku. Neznámí pachatelé nahradili hlavní stránku falešnou a návštěvníky zkoušeli infikovat malwarem.

K útoku došlo během soboty. Útočníci se snažili docílit toho, aby si návštěvníci s Windows PC stáhli infikovaný program „CrunchyViewer“. Když to člověk udělal a soubor spustil, na pozadí systému se mu aktivoval nechtěný proces. Mobilní uživatelé ohroženi nebyli.

Kdo za útokem stojí a co bylo jeho účelem, je předmětem vyšetřování. Stalo se nicméně to, že útočníkům se podařilo napadnou konfiguraci uložiště Cloudflare mateřské společnosti služby Ellation, která běžně přesměrovává provoz do Crunchyroll, a nasměrovali ji na falešný server obsahující malware. Vlastní stránka zasažena nebyla a všechny uživatelské účty jsou v bezpečí.

Nic tragického se nestalo, ani pokud člověk infikovaný soubor stáhnul a nespustil. Pokud tak však udělal, je možné manuálně odstranit problematické soubory a registry. Jak na to, Ellation popisuje na své stránce.

Šíří se nový ransomware Bad Rabbit, maskuje se jako update Flashe
29.10.2017 Lupa.cz Viry
Počítačové systémy zatím zejména v Rusku a na Ukrajině začal 24. října napadat nový ransomware, pro který se začal používat název Bad Rabbit. Mezi napadenými jsou například ruská tisková agentura Interfax, platební systém v kyjevském metru či mezinárodní letiště v ukrajinské Oděse, informuje server ZDNet.

Podle antivirové firmy ESET stojí přinejmenším za nákazou v kyjevském metru nová varianta ransomwaru Diskcoder.D, který se před několika měsíci proslavil pod jménem Petya/nonPetya.

TIP: Vyděrači v počítači: jaká je nejlepší obrana proti ransomwaru?

Kaspersky Lab pro změnu informují o tom, že malware se do počítačů dostává z nakažených webových stránek. Maskuje se jako update pro Adobe Flash a pokouší se uživatele přesvědčit, aby soubor s malwarem sám spustil.

Podle firmy Check Point malware po nainstalování v počítači zašifruje soubory a za odemčení požaduje výkupné ve výši 0,05 bitcoinu. Na zaplacení dává lhůtu 40 hodin.

Bezpečnostní experti varovali před agresivním vyděračským virem

26.10.2017 Novinky/Bezpečnost Viry
Internetem se masivně šířil nový vyděračský virus zvaný Bad Rabbit, tedy v překladu Zlý králík. Maskoval se přitom za aktualizaci oblíbeného programu pro přehrávání videí Flash Player, upozornil bezpečnostní tým Cisco Talos.
Bad Rabbit tedy patří do rodiny vyděračských virů označovaných souhrnným názvem ransomware. Tento nezvaný návštěvník útočí velmi podobně jako škodlivý kód Nyetya, který hrál hlavní roli při jednom z nedávných globálních útoků.

„Do zařízení se škodlivý software dostane tak, že jej uživatelé stáhnou a spustí v domnění, že jde o aktualizaci oblíbeného nástroje Flash Player. Uživatelům, kteří navštíví infikované webové stránky, se zobrazí aktualizační okno s možnostmi ‚Remind later‘ a ‚Install‘. Obě varianty ale vedou k infekci,“ uvedli bezpečnostní experti z Cisco Talos.

Útočil především na východní Evropu a Rusko
Podle nich tento záškodník útočil především ve východní Evropě a Rusku. Není nicméně vyloučeno, že na něj mohli na internetu narazit také tuzemští uživatelé. „Podle dostupných informací byl malware aktivní přibližně šest hodin před tím, než byla zdrojová webová stránka odstraněna,“ konstatovali bezpečnostní experti.

Přestože samotný útok trval jen pár hodin, byl velmi masivní. „Zatím není zcela jasné, jaká ransomwarová varianta byla k útokům použita, ale znovu se ukazuje, jak nebezpečný ransomware může být. A jak rychle může narušit životně důležité služby, pokud není použito správné zabezpečení,“ řekl Petr Kadrmas, bezpečnostní výzkumník ve společnosti Check Point.

Ten zároveň připomněl, jak v poslední době podobných útoků přibývá. „Počet ransomwarových útoků se v první polovině roku 2017 zdvojnásobil ve srovnání se stejným obdobím v roce 2016, ale 99 % organizací stále ještě nemá základní kyberbezpečnostní technologie, které mohou podobným útokům zabránit. Pokud by měly organizace odpovídající bezpečnostní mechanismy, mohly by zabránit i těmto útokům,” uzavřel Kadrmas.

Útočil především na firmy
Jak patrné, útok vyděračského viru Bad Rabbit cílil především na společnosti a organizace. Není samozřejmě vyloučeno, že mohl zablokovat také počítače běžných uživatelů, právě naopak – je to velmi pravděpodobné.

Organizace by měly při ochraně svých počítačových systémů používat víceúrovňový přístup: blokovat přístup ke škodlivým webům, zablokovat možné stahování malwaru a pomocí ochrany koncových bodů zastavit napadení zařízení. To všechno samozřejmě v kombinaci se zásadami správného zálohování a bezpečnostního školení uživatelů.

Změní PIN a zašifruje data. Trojský kůň DoubleLocker cílí na mobily

24.10.2017 Novinky/Bezpečnost Viry
Na chytré telefony s operačním systémem Android cílí trojský kůň zvaný DoubleLocker, před kterým varovala antivirová společnost Eset. Ta upozornila, že tento nezvaný návštěvník dokáže změnit na mobilním zařízení přístupový PIN kód a navíc ještě zašifrovat uložená data. Za jejich zpřístupnění pak požaduje výkupné.
DoubleLocker se tedy na napadeném zařízení chová úplně stejně jako vyděračské viry, které jsou označovány souhrnným názvem ransomware.

„DoubleLocker zneužívá služby Android Accessibility, což je oblíbený trik mezi kybernetickými zločinci. Jakmile je podvodná aplikace spuštěna, zažádá si o aktivaci služby zpřístupnění, která se v tomto případě vydává za aplikaci Google Play Service,“ přiblížili bezpečnostní experti útok škodlivého kódu.

Útočník získá administrátorská práva
Problém nastane ve chvíli, kdy uživatel na svém zařízení potvrdí aktivaci této služby. Útočník tak totiž získá administrátorská práva k zařízení, tedy jinými slovy může s napadeným přístrojem dělat na dálku prakticky cokoliv.

Podle bezpečnostních expertů se tento malware šíří především v Evropě a Turecku. Konkrétně byl jeho výskyt zaznamenán v Polsku a Německu, ojediněle pak v Bělorusku a Estonsku. Uživatele v České republice zatím nenapadl.

Na chytré telefony a počítačové tablety se počítačoví piráti zaměřují pravidelně. Lidé je totiž zpravidla nechávají bez jakékoliv obrany, tedy bez nainstalovaného antivirového programu. A tím nevědomky pomáhají počítačovým pirátům, pro ně je totiž v takovém případě velmi snadné nechráněné zařízení napadnout.

Nejobávanější trojský kůň může za každý 13. útok v Česku

6.10.2017 Novinky/Bezpečnost Viry
Jedním z nejobávanějších virů současnosti je trojský kůň Chromex. Několik posledních měsíců se totiž pravidelně umísťoval na předních příčkách žebříčku nejrozšířenějších škodlivých kódů, v září mu dokonce kraloval – může za každý 13. útok v Česku. Vyplývá to z pravidelné statistiky antivirové společnosti Eset.

„Žebříček nejčastějších internetových hrozeb v České republice za měsíc září vedl trojský kůň JS/Chromex.Submelius. Jeho podíl na celkových virových hrozbách byl 7,34 procenta,“ uvedl Miroslav Dvořák, technický ředitel společnosti Eset.

Ten zároveň zdůraznil, že zářiové statistiky pěkně zamíchaly kartami. „Po více než roce z čela žebříčku sestoupil JS/Danger.ScriptAttachment. Ten ještě v loňském měsíci držel bezmála čtvrtinový podíl, nyní je to méně než tři procenta,“ podotkl Dvořák.

Chromex využívá například popularity neoficiálních streamovacích služeb na internetu a uživatelům nabízí instalaci škodlivých pluginů. Útočníci přitom často slibují, že pluginy zrychlí načítání internetových stránek, ve skutečnosti ale způsobují opak. Často je na možnost instalace podobných pluginů možné narazit na různých streamovacích stránkách s českou nebo slovenskou doménou.

Cílí na Chrome
„Jak napovídá jeho název, Chromex se soustředí na doplňky k internetovému prohlížeči Chrome. V České republice se poprvé četněji vyskytl letos v březnu, kdy se ve statistice objevil na pátém místě,“ doplnil bezpečnostní expert.

Druhým nejčetnějším škodlivým kódem byl v minulém měsíci JS/ProxyChanger. „Jde o trojského koně, který brání přístupu na určité webové stránky a přesměrovává provoz na konkrétní IP adresy. Může například oběť přesměrovat na web útočníka,“ vysvětlil Dvořák.

Tento škodlivý kód v září dosáhl podílu 3,18 procenta. Virovou trojkou v minulém měsíci byl Java/Adwind, další trojský kůň, který slouží jako backdoor a umožňuje vzdálené ovládání napadeného zařízení.

Přehled deseti nejrozšířenějších virových hrozeb za uplynulý měsíc naleznete v tabulce níže:

Top 10 hrozeb v České republice za září 2017
1. JS/Chromex.Submelius (7,34 %)
2. JS/ProxyChanger (3,18 %)
3. Java/Adwind (3,17 %)
4. VBS/TrojanDownloader.Agent.PFE (2,98 %)
5. JS/Danger.ScriptAttachment (2,93 %)
6. Win32/RiskWare.PEMalform (2,40 %)
7. SMB/Exploit.DoublePulsar (2,31 %)
8. Win32/GenKryptik (1,95 %)
9. JS/Adware.AztecMedia (1,87 %)
10. VBS/TrojanDownloader.Agent.PGF (1,86 %)
Zdroj: Eset

Viry se nevyhýbají ani internetu věcí. Rozesílají spam

29.9.2017 Novinky/Bezpečnost Viry
S tím, jak roste počet chytrých zařízeních zapojených do internetu věcí (IoT), roste i zájem hackerů o jejich zneužití. Stále častěji se tak stávají obětí malwaru, jako je například Mirai. Botnety tvořené těmito ovládnutými zařízeními jsou určeny především k DDoS útoků, nový výzkum však ukázal, že je hackeři používají i pro masové rozesílání nevyžádané pošty.
Analýza, kterou provedla ruská bezpečnostní firma Doctor Web, odhalila, že linuxový trojan Linux.ProxyM používaný počítačovými zločinci k zajištění své online anonymity, dostal nedávno aktualizaci. Ta do něj přidala funkci pro rozesílání spamu.

Trojan Linux.ProxyM byl objevený letos v únoru. Provozuje SOCKS proxy server nakaženém IoT Zařízení a má schopnost detekovat tzv. honeypoty (anglicky „hrnce medu“), což jsou informační systémy, jejichž úkolem je přitahovat potenciální útočníky a zaznamenat jejich činnost. Díky tomu je pro antivirové systémy nesnadné ho odhalit.

Virus může fungovat na téměř všech linuxových zařízeních, včetně routerů, set-top boxů a dalších zařízeních, které fungují na architekturách x86, MIPS, PowerPC, MIPSEL, ARM, Motorola 68000, Superh a SPARC.

Problém je však v tom, že uživatelé v současnosti nemohou zařízení pro internet věcí jakkoliv chránit. Zatímco pro běžné počítače jsou k dispozici antivirové programy a další bezpečnostní software, pro chytré žárovky, mobilem ovladatelné termostaty a další podobnou elektroniku zatím nic podobného není.

Opravdu speciální ransomware: pošli nahé fotky, my odblokujeme počítač
22.9.2017 Živě.cz Viry

Běžný ransomware spočívá v uzamknutí počítače a požadování výkupného
Nový vzorek však místo platby v Bitcoinech chce nahé fotky
Může jít jen o vtípek bez reálného zašifrování dat
Takto vypadá běžný ransomware.Nejdřív zašifruje uživatelská data, následně vyžaduje platbu výkupného.Může se dostat i do oblíbených programů, tady do známé aplikace pro konverzi videa.Vydírání může mít rovněž podobu sdílení odkazu.Takto se ve webovém rozhraní spravují ransomwarové kampaně, které může vytvořit i méně zkušený "hacker".
Pokud je systém nakažen ransomwarem, útočníci zašifrují uživatelská data a za jejich zpřístupnění vyžadují výkupné. V drtivé většině případů je to platba prostřednictvím Bitcoinů nebo jiné kryptoměny. Malware Hunter Team však informoval o netradičním vzorku ransomwaru, který místo platby žádá nahé fotografie oběti. Informoval o tom web Motherboard.

Malware nese označení nRansomware a při napadení počítače, dojde k jeho uzamknutí a zobrazení zprávy vyžadující netradiční výkupné.

Takto vypadá pracovní plocha počítače po napadení nRansomwarem (foto: Hybrid Analysis)
Útočníci v něm uživatele instruují k založení e-mailového účtu na šifrovaném Protonmailu. Následně má oběť na uvedenou adresu odeslat zprávu, vyčkat na odpověď a následně poslat deset nahých fotografií. Pokud útočníci ověří pravost fotografií, pošlou kód pro odemknutí počítače.

Zpráva je doplněna o pozadí s Mašinkou Tomášem a na pozadí hraje podkresová hudba ze souboru your-mom-gay.mp3 (ve skutečnosti jde o hlavní hudební motiv seriálu Larry, kroť se). Analýza malwaru je k dispozici na univerzálním skeneru VirusTotal a podrobnější zpráva potom na Hybrid Analysis.

Navzdory tomu, že byl vzorek softwaru vyhodnocen jako škodlivý, není jisté, že jde o opravdový ransomware, který by na pozadí reálně data zašifroval. Může jít o vtípek spočívající v pouhém překrytí obrazovky zmíněným obrázkem, který má uživatele vystrašit a ty méně pozorné snad k opravdovému odeslání fotek donutit.

Takto netradiční ransomware jsme si samozřejmě chtěli vyzkoušet ve virtuálním stroji, bohužel se nám však nepodařilo proces uzamknutí/zašifrování dat nastartovat.

Trojský kůň vysaje bankovní konto. Pronajmout si ho může kdokoliv

21.9.2017 Novinky/Bezpečnost Viry
Uživatele smartphonů s Androidem stále častěji ohrožují nebezpečné trojské koně, které ukradnou cenná osobní data včetně přihlašovacích údajů do internetového bankovnictví a doslova vyluxují účet. Bezpečnostní experti společnosti SfyLabs nyní objevili nového záškodníka zvaného Red Alert 2.0, který je nabízen na tzv. darknetu k pronajmutí za pouhých 500 dolarů za měsíc, tedy necelých 11 000 Kč.

Na rozdíl od jiných bankovních trojských koní pro Android, jako jsou BankBot a ExoBot, které byly vytvořeny na základě uniklého zdrojového kódu starších trojských koní, je Red Alert 2.0 napsaný úplně od začátku.

Malware pro internetové bankovnictví Red Alert byl v uplynulých měsících distribuován prostřednictvím mnoha on-line hackerských fór a jeho tvůrci ho neustále aktualizovali a přidávali do něj nové funkce ve snaze vytvořit z něj nebezpečnou hrozbu pro potenciální oběti.

Stejně jako většina ostatních trojských koní pro Android nabízí i Red Alert celou řadu možností, jako je krádež přihlašovacích údajů, zcizení potvrzujících SMS zpráv, zobrazování překryvných oken přes legální bankovní aplikaci a další. Vedle toho jej však jeho tvůrci vybavili i jednou zajímavou funkcionalitou, která má zabránit tomu, aby oběti obdržely varování od banky o kompromitování jejich účtu. Dokáže totiž zablokovat všechny příchozí hovory od bank a dalších finančních institucí.

Lidé zabezpečení podceňují
Další zajímavá věc o Red Alert 2.0, kterou zjistili bezpečnostní experti SfyLabs, spočívá v tom, že používá Twitter k zabránění ztráty robotů, když je jeho příkazový a řídící server vyřazen. To sice bylo již dříve viděno u malwaru pro PC, ale u Red Alert 2.0 je to poprvé, co bylo něco takového nalezeno u bankovního trojana pro Android.

Red Alert 2.0 se aktuálně zaměřuje na klienty více než 60 bank po celém světě a pracuje na Androidu 6.0 Marshmallow a předchozích verzích.

Na chytré telefony a počítačové tablety se počítačoví piráti zaměřují pravidelně. Lidé je totiž zpravidla nechávají bez jakékoliv obrany, tedy bez nainstalovaného antivirového programu. A tím nevědomky pomáhají počítačovým pirátům, pro ně je totiž v takovém případě velmi snadné nechráněné zařízení napadnout.

Kyberzločinci jednoduše obejdou antiviry. V ohrožení je 400 miliónů počítačů

19.9.2017 Novinky/Bezpečnost Viry
Bezpečnostní experti ze společnosti Check Point odhalili nový způsob, jak mohou počítačoví piráti relativně snadno obejít zabezpečení počítačů s operačním systémem Windows 10. Tato metoda přitom nezneužívá žádnou bezpečnostní trhlinu, ale jednu z funkcí tohoto operačního systému.
„Technika nazvaná Bashware využívá novou funkci Windows 10 nazvanou "Subsystem for Linux" (WSL), která ještě nedávno byla jen v betaverzi, ale nyní už je plně podporovanou funkcí Windows,“ uvedl konstatoval Petr Kadrmas, bezpečnostní odborník ze společnosti Check Point.

Jde o oblíbený linuxový terminál (Bash), jenž je dostupný pro uživatele operačního systému Windows a umožňuje nativně spustit soubory z Linuxu v operačním systému Windows. Tento hybridní koncept tedy umožňuje současně kombinovat systémy Linux a Windows.

Stávající bezpečnostní řešení v desítkách však ale ještě stále nejsou přizpůsobena pro sledování procesů spustitelných linuxových souborů. „Kyberzločincům se tak otevírají nová dvířka, jak nepozorovaně spustit škodlivý kód a využít funkce WSL k maskovaní před bezpečnostními produkty, které ještě neimplementovaly odpovídající detekční mechanismy,“ zdůraznil Kadrmas.

Stovky miliónů ohrožených PC
„Check Point testoval tuto techniku na většině předních antivirových a bezpečnostních produktů a malware nebyl detekován. Bashware tak může potenciálně ovlivnit libovolný ze 400 miliónů počítačů, které v současné době pracují se systémem Windows 10,“ podotkl bezpečnostní expert.

Na hrozbu nemůže z logiky věci zareagovat samotný Microsoft, ale tvůrci jednotlivých antivirových řešení. Ta musí být schopna pracovat jak v prostředí Windows, tak Linuxu. V opačném případě jsou uživatelé vystaveni riziku.

Díky nové funkci ve Windows 10 vznikl neodhalitelný malware. Antiviry jsou na něj krátké
13.9.2017 Živě.cz Viry
Tým počítačových expertů z bezpečnostní společnosti Check Point vytvořil nový druh škodlivého kódu pro Windows 10, který nedokáže zachytit žádné antivirový software. Infiltrační technika spoléhá na unixový shell, který je volitelnou součástí systému Windows 10. Na hrozbu upozornil web iTWire.

Připomeňme, že Microsoft loni překvapil svým rozhodnutím integrovat do operačního systému Windows 10 plnohodnotný příkazový shell interpreter Bash. Následně, 3. srpna 2016, byl uvolněn komplexní balík aktualizací známý pod názvem Anniversary Update a unixový příkazový řádek se tak stal součástí Windows 10.

Funkce Windows Subsystem for Linux (WSL), která je zodpovědná za běh unixového shellu, využívá pro svou činnost sadu speciálních ovladačů a služeb. Za účelem maximální kompatibility byly zavedeny i takzvané Pico procesy umožňující spouštění ELF souborů v prostředí systému Windows.

V praxi jsou všechny vstupy inicializované přes WSL transformovány na ekvivalentní volání, které lze spustit v jádru systému Windows. Následně se s požadavky pracuje tak, jakoby je inicializovala běžná aplikace vytvořená pro Windows. Reálně však nejde o virtualizaci, ale o nativní překlad systémových volání.

Výzkumníci ve své zprávě upozornili, že funkce WSL by mohla být zneužita na dokonalé zamaskování záškodnické aktivity. Během testování vytvořili vzorek škodlivého kódu, kterým průběžně infikovali počítače se špičkovými bezpečnostními produkty. Výsledkem je, že se jim podařilo obejít každý z nich a úspěšně spustili infiltraci.

Dostal jméno Bashware

Experti upozorňují, že tzv. Bashware pro svou činnost nevyužívá žádné logické, ani programátorské chyby ve WSL. Podle jejich slov je útok možný kvůli nedostatečnému zájmu ze strany výrobců a dodavatelů bezpečnostních produktů.

Problémem má být zejména mylné přesvědčení, že funkce WSL musí být manuálně povolena přes režim určený pro vývojáře. Proto v současnosti neexistuje výraznější snaha o její antivirové ošetření.

Funkce WSL je skutečně volitelná a standardně není aktivní. Podle výzkumníků však stačí jednoduchým skriptem upravit několik klíčů v registru systému Windows a celá činnost se provede nenápadně na pozadí. Jediné, co musí potenciální oběť udělat, je spustit podstrčený soubor. Počítač se následně může infikovat malwarem či vyděračským virem nového typu.
První část videa prezentuje reálnou funkčnost nespecifikovaného antivirového softwaru. Ve druhé části se spustí malware zneužívající WSL. Komplexní škodlivý kód průběžně aktivuje WSL, vývojářské prostředí, nainstaluje rozhraní Wine a nakonec spustí samotnou infiltraci. Závěrečná část prezentuje spuštění a činnost vyděračské viru.
Společnost Check Point odmítla specifikovat, které bezpečnostní produkty selhaly. Cílem výzkumu údajně bylo vzbudit zájem tvůrců antivirů o zajištění funkce WSL.

Zákeřný virus se zaměřuje na hráče počítačových her

29.8.2017 Novinky/Bezpečnost Viry
Na pozoru by se měli mít v posledních dnech hráči počítačových her. Právě na ně se zaměřuje nový škodlivý kód zvaný Joao, který odhalili bezpečnostní experti z antivirové společnosti Eset. Tento záškodník je velmi nebezpečný, neboť dokáže do počítače následně stáhnout jakoukoliv další hrozbu. Útočníci tak nad napadeným strojem mohou zcela převzít kontrolu.
Joao se šíří prostřednictvím her stahovaných z neoficiálních internetových obchodů.

„K jeho šíření útočníci zneužili několik her typu MMORPG, jež modifikovali přidáním trojan downloaderu pro stahování dalšího malwaru,“ vysvětlil Václav Zubr, bezpečnostní expert společnosti Eset.

Podle něj útočníci zneužili hned několik her, za jejichž vývojem stojí společnost Aeria Games. „Pozměněné verze potom podstrčili návštěvníkům neoficiálních herních webů,“ uvedl bezpečnostní expert.

Infikovány mohou být i další hry
Sluší se nicméně podotknout, že hrozba se nemusí týkat pouze titulů od studia Aeria Games. Stejným způsobem mohli počítačoví piráti zneužít také další hry, které pocházejí od konkurenčních vývojářů.

„Infikované počítače odesílaly na řídící server útočníků informace o nakaženém počítači a stahovaly další škodlivé komponenty jako software pro DDoS útok a kód pro špehování své oběti,“ konstatoval Zubr.

Zároveň zdůraznil, že uživatelé neměli moc šancí poznat, že je jejich stroj infikován. „Modifikované hry fungují tak, jak mají. Když se uživatel rozhodne stáhnout si takto upravenou hru, nic nebude nasvědčovat tomu, že je něco v nepořádku. Hráči bez spolehlivého bezpečnostního softwaru si takto nakazí své zařízení,“ podotkl expert.

Jak poznat zavirovaný počítač?
V současnosti mohou oběti nezvaného návštěvníka Joao v počítači poměrně jednoduše nalézt. Stačí dát vyhledat soubor mskdbe.dll, což je knihovna tohoto škodlivého kódu. Pokud je daný soubor v počítači obsažen, je potřeba jej odvirovat.

„Útočníci však mohou tento soubor kdykoli přejmenovat, proto by měli hráči infekci vyhledat prostřednictvím bezpečnostních programů,“ poradil Zubr.

Internetové hrozby v Česku: Chromex v červenci srovnal krok s malwarem Danger

8.8.2017 SecurityWorld Viry
Eset varuje před trojským koněm JS/Chromex.Submelius, který se šíří přes neoficiální streamovací služby.

Sledování neoficiálních streamovacích stránek na internetu se během léta řadě Čechů nevyplatí. Mnoho těchto webů je totiž infikováno trojským koněm JS/Chromex.Submelius a pro spuštění videa vyžadují několikeré kliknutí na náhled videa, které otevírá nová okna prohlížeče a zobrazuje v nich reklamy.

Tyto weby v některých případech fungují na doménách .cz a .sk a obsahují nabídky instalace škodlivých pluginů. Eset zaznamenal během července takřka stejný počet detekcí tohoto trojského koně jako u v poslední době nejčastější tuzemské internetové hrozby, malwaru JS/Danger.ScriptAttachment.

JS/Chromex.Submeliux o prvním prázdninovém měsíci představoval 16,72 procenta zachycených hrozeb, malware JS/Danger.ScriptAttachment dosáhl podílu 17,50 procenta.

„Nárůst detekcí trojského koně JS/Chromex.Submeliux může souviset s obdobím prázdnin. Právě v této době více uživatelů využívá neoficiální streamovací služby a stahuje si nabízené pluginy,“ říká Miroslav Dvořák, technický ředitel společnosti Eset. „Pluginy však mají naprosto opačný efekt. Navíc mohou do napadeného zařízení instalovat downloader,“ vysvětluje Dvořák.

Nejčetnější internetovou hrozbou zůstává JS/Danger.ScriptAttachment. Tento škodlivý kód se šíří především prostřednictvím příloh nevyžádaných e-mailů.

„Neškodí jen sám o sobě, dokáže do napadeného zařízení stáhnout další škodlivé kódy včetně vyděračského ransomware, který zašifruje obsah zařízení a požaduje po oběti výkupné,“ varuje Dvořák.

Třetí nejčastěji zaznamenanou hrozbou v červenci byl škodlivý kód JS/Adware.AztecMedia. Ten v internetovém prohlížeči otevírá nevyžádaná okna s reklamou. V některých případech dokáže dokonce i změnit domovskou stránku internetového prohlížeče. V červenci představoval 4,36 procenta zaznamenaných hrozeb v České republice.

Deset nejčastějších internetových hrozeb v České republice za červenec 2017:

1. JS/Danger.ScriptAttachment (17,50 %)

2. JS/Chromex.Submeliux (16,72 %)

3. JS/Adware.AztecMedia (4,36 %)

4. Win32/GenKryptik (2,29 %)

5. SMB/Exploit.DoublePulsar (2,25 %)

6. PDF/Fraud (1,90 %)

7. JS/Adware.BNXAds (1,88 %)

8. Java/Kryptik.FN (1,77 %)

9. Java/Kryptik.FL (1,76 %)

Philadelphia RaaS - ransomware jako byznys za pár dolarů

30.7.2017 SecurityWorld Viry
Vytvářet a šířit ransomware je stále jednodušší a ve své podstatě k tomu nejsou nutné žádné speciální dovednosti. Ve skutečnosti potřebují kybernetičtí zločinci jen odhodlání realizovat své nekalé úmysly a mít přístup k tzv. temnému webu (z anglického dark web, je možné se setkat například i s označením zakázaný nebo tajemný web či internet) – tedy k tržišti, kde jsou sady pro tvorbu malware prodávány stejně jako boty nebo hračky na Amazonu.

Tento trend úzce souvisí s konceptem ransomware jako služba (ransomware as a service) a jedním z jeho konkrétních příkladů je nebezpečný a propracovaný kit Philadelphia.

Na červencové konferenci Black Hat 2017 zveřejnila společnost Sophos podrobnou studii s názvem „Ransomware as a Service (Raas): Deconstructing Philadelphia“. V této zprávě se Dorka Palotay, výzkumnice budapešťské pobočky globální sítě pro zkoumání hrozeb SophosLabs, zaměřila na pochopení vnitřních mechanismů kitu na tvorbu ransomware – sady Philadelphia, kterou si může za 400 amerických dolarů pořídit naprosto kdokoli.

Po zakoupení mohou noví „uživatelé“ unést a držet vaše počítačová data jako rukojmí a vyžadovat za jejich osvobození výkupné. Ano, je to přece o ransomware.

The Rainmakers Labs, autoři tohoto RaaS kitu, přistupují ke svému podnikání podobně jako legitimní softwarové společnosti, které prodávají své produkty a služby. Zatímco samotná Philadelphia je dostupná na šedých trzích v rámci temného webu, marketingové aktivity jsou veřejné – na YoutTube je k dispozici video, které přináší podrobnosti o samotném kitu i o rozsáhlých možnostech přizpůsobení výsledného ransomware. A videem to nekončí, součástí webu provozovaného na generické TLD doméně .com je i podrobný popis, jak kit používat.

Koncept ransomware jako služba sice není zcela nový, nicméně novinkou je právě marketingové úsilí vyzdvihující atraktivitu přístupu „připrav si svůj vlastní ransomware útok“.

„Snahy skupiny The Rainmakers Labs jsou překvapivě sofistikované. Podrobnosti o Philadelphii jsou veřejně dostupné na webu, čímž se tento kit zásadně liší od své konkurence inzerované v podzemních zákoutích temného webu,“ konstatuje Dorka Palotay. „K nalezení Philadelphie není potřeba Tor prohlížeč, a to, jak je tento kit odvážně propagován, bohužel naznačuje další nepříliš příznivý vývoj.“

Philadelphia není zajímavá jen marketingem. Pozornost si zaslouží i řada pokročilých voleb, pomocí kterých mohou „kupující“ výsledný ransomware přizpůsobit svým konkrétním představám a lépe jej zacílit na potenciální oběti. Mezi tyto rozšiřující možnosti patří podpora sledování oběti na mapách Google (‘Track victims on a Google map‘) nebo volba ‘Give Mercy’ pro případné slitování a dešifrování určitých souborů zdarma. Nechybí ani tipy na vytvoření vlastní kampaně nebo popis nastavení řídícího centra a postupů pro výběr peněžních částek.

Jistou ironií je, že ‘Give Mercy’ nemusí být projevem vstřícnosti k obětem, ale také jakousi zvrácenou formou zadních vrátek umožňujících zločincům dostat se z ošemetných situací, například během testování nebo v případě nechtěného útoku na přátele.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

Volba pro sledování obětí na mapách Google zní trochu děsivě a počítačovým zločincům umožňuje podívat se na „cíle“ svých útoků z demografického pohledu. Získané informace jsou vcelku důležité, protože představují kvalifikované vstupy pro rozhodování, zda útok zopakovat, zda ransomware nějak modifikovat nebo třeba zda neuvažovat právě o povolení „soucitu“.

Ani jedno z uvedených rozšíření, stejně jako řada dalších funkcí, není však jedinečnou záležitostí Philadelphie. A stejně tak platí, že jde o možnosti, jejichž výskyt není příliš obvyklý. Ve skutečnosti jsou to příklady funkcionalit nejnovějších kitů a potvrzení toho, že ransomware jako služba je čím dál tím podobnější legálnímu softwarovému trhu. A to v opravdu globálních rozměrech.

„Za pozornost určitě stojí fakt, že Philadelphia stojí 400 amerických dolarů. A další ransomware kity se prodávají v cenách od 39 do 200 dolarů,“ uvádí dále Dorka Palotay. „Nicméně čtyři stovky jsou pro zájemce o Philadelphii stále ještě dobrou cenou, protože za ně získají i budoucí aktualizace, neomezený přístup a možnost vytvořit libovolný počet vlastních variant ransomware. Jinými slovy je to v podstatě stejné, jako u běžného software dostupného v modelu SaaS, kdy mají zákazníci možnost využívat vždy aktuální verzi.“

Philadelphia přináší navíc i tzv. mosty – PHP skript, který umožňuje správu komunikace mezi útočníky a oběťmi včetně ukládání informací o jednotlivých útocích.

Mezi další volby umožňující přizpůsobení výsledného ransomware útoku patří v případě Philadelphie úprava vyděračské zprávy pro oběti, a to včetně její barvy nebo toho, zda se má zobrazit ještě před zašifrováním souborů. Určitě nemilá je i tzv. Ruská ruleta, kdy aktivací této volby mohou autoři zajistit smazání některých souborů po uplynutí předem stanové lhůty, která se obvykle pohybuje v řádu hodin. Mechanismus ruské rulety je nicméně v ransomware kitech poměrně běžný a jeho účelem je vyvolat paniku a donutit uživatele k rychlejšímu zaplacení výkupného.

Možnosti přizpůsobení i zmiňované mosty zvyšují zisk a dávají kybernetickému zločinu zcela nové rozměry. Obojí by přitom mohlo vést k rychlejším inovacím ransomware jako takového. Mimochodem, jak vyplývá z podrobných analýz dalších RaaS platforem, existuje v souvislosti s konceptem ransomware jako služba řada různých zdrojů příjmů, a to od procentuálního dělení výkupného přes prodej předplatného až po zpřístupňování dashboardů umožňující sledování útoků.

Globální síť pro zkoumání hrozeb SophosLabs také uvádí, že někteří kybernetičtí zločinci již využívají „cracknuté“ nebo pirátské verze kitu Philadelphia a na jejich základě pak prodávají svoji vlastní ošizenou variantu, pochopitelně za menší peníze. Samotné krádeže ničím novým nejsou, nicméně nesporně zajímavá je míra tohoto počínání. Předpřipravené hrozby, které od útočníků nevyžadují skoro žádné znalosti a jsou snadno dostupné, se navíc neustále vyvíjí, a společnost Sophos předpokládá, že trend okrádání lumpů lumpy nadále poroste.

Mezi kybernetickými zločinci není krádež cizího kódu nebo vytvoření vlastní varianty ransomware na základě starší existující verze ničím neobvyklým. Tento přístup jsme měli možnost pozorovat i u nedávných Petya hrozeb, kdy v sobě varianta NotPetya kombinovala jednu z předchozích verzí ransomware Petya, Golden Eye, s exploitem Eternal Blue umožňujícím šíření hrozby a infikování počítačů ve skutečně globálním měřítku.

Nebezpečný virus útočil pět let. Nikdo si ho nevšiml

26.7.2017 Novinky/Bezpečnost Viry
Více než pět let se šířil internetem zákeřný virus Stantinko, aniž si toho kdokoliv všiml. Zmapovat chování tohoto nezvaného návštěvníka se podařilo až nyní bezpečnostním expertům antivirové společnosti Eset.
Malware zvaný Stantinko útočil doposud především v Rusku, Bělorusku a na Ukrajině. Podle bezpečnostních expertů je riziko nakažení tímto škodlivým kódem v České republice poměrně nízké, protože cílí především na rusky hovořící uživatele. Zcela vyloučit riziko útoku v tuzemsku samozřejmě ale nelze.

Jakmile je počítač infikován, nainstaluje dvě škodlivé služby v rámci operačního systému Windows, které se spouštějí při každém jeho startu. „Když ho ‚chytíte‘, je obtížné se ho zbavit, protože každá z obou služeb má schopnost znovu nainstalovat tu druhou. Aby uživatel problém plně eliminoval, musí vymazat ze svého počítače obě tyto služby současně,“ vysvětluje Frédéric Vachon, analytik společnosti Eset.

Zásuvné moduly pro Chrome
Konkrétně jsou nainstalovány dva zásuvné moduly – „The Safe Surfing“ a „Teddy Protection“. Oba jsou přitom běžně k dispozici ke stažení pro prohlížeč Google Chrome. „Během naší analýzy byly oba pluginy na internetu stále nabízeny,“ podotkl Marc-Etienne Léveillé, expert na výzkum malwaru ve společnosti Eset.

„Na první pohled vypadají jako legitimní rozšíření webového prohlížeče, a dokonce mají své internetové stránky. Pokud je však nainstaluje Stantinko, obdrží tato rozšíření odlišnou konfiguraci, která obsahuje příkazy na provádění podvodných kliknutí na reklamy a vkládání vlastního kódu do navštěvovaných webových stránek,“ konstatoval Léveillé.

S nakaženým počítačem si pak počítačoví piráti mohou dělat cokoliv, co chtějí. „To znamená například masivní anonymní vyhledávání stránek vytvořených pomocí nástrojů Joomla a WordPress, na něž následně provádějí tzv. brute force útoky s cílem vyhledání a odcizení dat, a mohou též vytvářet falešné účty na Facebooku,“ zdůraznil Vachon.

S napadeným počítačem tak mohou kyberzločinci provádět další útoky, ale stejně tak například vydělávat peníze na zobrazované reklamě, která by se jinak na počítači vůbec nezobrazovala.

Skrýval se dlouho
Zajímavé je především to, jak dlouho se podařilo malware Stantinko počítačovým pirátům skrývat před zraky bezpečnostních expertů a antivirových programů. Dosáhli toho tak, že škodlivá data ukrývali ve zdrojových kódech programů, které na první pohled vypadaly legitimně.

„Škodlivý kód využívá vyspělé techniky a je skryt buď zašifrovaný v souboru, nebo v registru Windows. Následně je dešifrován pomocí klíče, který se vygeneruje během prvotního napadení. Jeho škodlivé chování nelze detekovat, dokud ze svého řídicího serveru neobdrží nové komponenty, což komplikuje jeho odhalení,“ uzavřel Léveillé.

Stantinko se šíří internetem i nadále, majitelé většiny antivirových programů s aktualizovanou databází by však proti němu měli již být chráněni.

Nebezpečný virus útočil pět let. Nikdo si ho nevšiml

26.7.2017 Novinky/Bezpečnost Viry
Více než pět let se šířil internetem zákeřný virus Stantinko, aniž si toho kdokoliv všiml. Zmapovat chování tohoto nezvaného návštěvníka se podařilo až nyní bezpečnostním expertům antivirové společnosti Eset.
Malware zvaný Stantinko útočil doposud především v Rusku, Bělorusku a na Ukrajině. Podle bezpečnostních expertů je riziko nakažení tímto škodlivým kódem v České republice poměrně nízké, protože cílí především na rusky hovořící uživatele. Zcela vyloučit riziko útoku v tuzemsku samozřejmě ale nelze.

Jakmile je počítač infikován, nainstaluje dvě škodlivé služby v rámci operačního systému Windows, které se spouštějí při každém jeho startu. „Když ho ‚chytíte‘, je obtížné se ho zbavit, protože každá z obou služeb má schopnost znovu nainstalovat tu druhou. Aby uživatel problém plně eliminoval, musí vymazat ze svého počítače obě tyto služby současně,“ vysvětluje Frédéric Vachon, analytik společnosti Eset.

Zásuvné moduly pro Chrome
Konkrétně jsou nainstalovány dva zásuvné moduly – „The Safe Surfing“ a „Teddy Protection“. Oba jsou přitom běžně k dispozici ke stažení pro prohlížeč Google Chrome. „Během naší analýzy byly oba pluginy na internetu stále nabízeny,“ podotkl Marc-Etienne Léveillé, expert na výzkum malwaru ve společnosti Eset.

„Na první pohled vypadají jako legitimní rozšíření webového prohlížeče, a dokonce mají své internetové stránky. Pokud je však nainstaluje Stantinko, obdrží tato rozšíření odlišnou konfiguraci, která obsahuje příkazy na provádění podvodných kliknutí na reklamy a vkládání vlastního kódu do navštěvovaných webových stránek,“ konstatoval Léveillé.

S nakaženým počítačem si pak počítačoví piráti mohou dělat cokoliv, co chtějí. „To znamená například masivní anonymní vyhledávání stránek vytvořených pomocí nástrojů Joomla a WordPress, na něž následně provádějí tzv. brute force útoky s cílem vyhledání a odcizení dat, a mohou též vytvářet falešné účty na Facebooku,“ zdůraznil Vachon.

S napadeným počítačem tak mohou kyberzločinci provádět další útoky, ale stejně tak například vydělávat peníze na zobrazované reklamě, která by se jinak na počítači vůbec nezobrazovala.

Skrýval se dlouho
Zajímavé je především to, jak dlouho se podařilo malware Stantinko počítačovým pirátům skrývat před zraky bezpečnostních expertů a antivirových programů. Dosáhli toho tak, že škodlivá data ukrývali ve zdrojových kódech programů, které na první pohled vypadaly legitimně.

„Škodlivý kód využívá vyspělé techniky a je skryt buď zašifrovaný v souboru, nebo v registru Windows. Následně je dešifrován pomocí klíče, který se vygeneruje během prvotního napadení. Jeho škodlivé chování nelze detekovat, dokud ze svého řídicího serveru neobdrží nové komponenty, což komplikuje jeho odhalení,“ uzavřel Léveillé.

Stantinko se šíří internetem i nadále, majitelé většiny antivirových programů s aktualizovanou databází by však proti němu měli již být chráněni.

Zaplaťte, jinak odhalíme vaše soukromí. Vyděračský virus cílí na mobily a tablety

14.7.2017 Novinky/Bezpečnost Viry
Český Národní bezpečnostní tým CSIRT.CZ varoval před novým vyděračským virem, který podle nejstřízlivějších odhadů ohrožuje tisíce uživatelů operačního systému Android. Pokud oběti tohoto škodlivého kódu nezaplatí výkupné, útočníci zveřejní soukromá data z napadeného zařízení.
Nově objevený škodlivý kód se jmenuje SpyDealer. „Po oběti požaduje 50 dolarů (1200 Kč), jinak prý uvolní její osobní údaje, včetně fotografií, historie webových stránek a textových zpráv,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

„Podle pracovníků McAfee SpyDealer krade data z aplikací Facebook, WhatsApp a Skype. Uživatelé napadených zařízení jsou informováni, že pokud do 72 hodin nezaplatí, budou jejich osobní data poslána všem kontaktům v telefonním a e-mailovém seznamu,“ doplnil Bašta.

Virus se dostal do oficiálního obchodu
Bezpečnostní pracovníci navíc zjistili, že zmiňovaný škodlivý kód se podařilo útočníkům propašovat i do oficiálního obchodu Google Play. Konkrétně jej obsahovaly aplikace „Wallpapers Blur HD“ a „Booster & Cleaner Pro“. Ty však již nyní nejsou v oficiálním obchodu ke stažení.

Vyděračské viry cílí na mobilní zařízení, tedy na chytré telefony i počítačové tablety, stále častěji. V průběhu prvních tří měsíců tohoto roku se objem mobilního ransomwaru více než ztrojnásobil.

V prvním čtvrtletí letošního roku tak množství detekovaných souborů mobilního ransomwaru vystoupalo na číslo 218 625. Přitom ještě na konci loňského roku bylo detekováno pouze 61 832 mobilních vyděračských virů.

Útočí stejně jako na PC
Vyděračské viry se chovají na napadených mobilech stejně agresivně jako na klasických počítačích. Dokážou zašifrovat celou paměť zařízení a smartphone nebo tablet uzamknou tak, aby jej nebylo možné používat.

Za zpřístupnění uložených dat pak požadují výkupné. To se často může pohybovat v řádech několika tisíc korun. Přitom ani po zaplacení zmiňované částky uživatelé nemají jistotu, že se k uloženým datům skutečně dostanou. Podvodníci totiž v některých případech jednoduše vezmou peníze a už se nikdy neozvou.

Výkupné by tedy uživatelé neměli platit nikdy. Jedinou šancí, jak se k zašifrovaným datům dostat, je zařízení odvirovat. To ale není vůbec jednoduchý proces a v některých případech se to nemusí ani podařit.

Avast představil Štít proti ransomwaru, který zabrání cizím aplikacím, aby vám zašifrovaly počítač
14.7.2017 Živě.cz Viry

Avast představil Štít proti ransomwaru, který zabrání cizím aplikacím, aby vám zašifrovaly počítačAvast představil Štít proti ransomwaru, který zabrání cizím aplikacím, aby vám zašifrovaly počítačAvast představil Štít proti ransomwaru, který zabrání cizím aplikacím, aby vám zašifrovaly počítačAvast představil Štít proti ransomwaru, který zabrání cizím aplikacím, aby vám zašifrovaly počítačAvast představil Štít proti ransomwaru, který zabrání cizím aplikacím, aby vám zašifrovaly počítač Microsoft na sklonku června oznámil, že na základě stále častějších ransomwarových kampaní upraví Windows 10 takovým způsobem, aby se samy osobě lépe chránily virům, které se snaží zašifrovat osobní soubory a poté vyžadují výkupné. Desítky proto v podzimní aktualizaci dostanou zámek, který znemožní přepis souborů neznámými soubory.

Pokud se vám však nechce čekat až do podzimu, případně máte na počítači třeba stále nejpopulárnější Windows 7, podobnou ochranu pro vás připravil také Avast. Jeho bezpečnostní software Avast Internet Security, Avast Premier, AVG Internet Security a AVG Ultimate totiž v poslední aktualizaci získal funkci Štít proti ransomwaru.

Štít proti ransomwaru umožní měnit soubory ve zvolených složkách pouze autorizovanými aplikacemi

V konfiguraci budete moci nastavit složky a případně i typy souborů, které budou moci měnit pouze povolené aplikace (třeba ty kancelářské, grafické editory aj.). Pokud se je však pokusí přepsat neautorizovaná aplikace, antivirus ji okamžitě zablokuje.

V principu se vlastně jedná o velmi jednoduché řešení, které však může být v ochraně před zrádným ransomwarem zdaleka nejúčinnější.

Ransomware pro Android vyhrožuje, že odhalí historii vašeho internetového brouzdání
13.7.2017 Živě.cz Viry

Ransomware vyhrožuje, že rozešle všem kontaktům v mobilu soukromé informaceUkázka infikované aplikaceTakové pokyny v McAfee objevili v kódu infikovaných aplikacíUkázka infikované aplikaceTakové pokyny v McAfee objevili v kódu infikovaných aplikací6 FOTOGRAFIÍ
zobrazit galerii
McAfee odhalil další útok, který je zaměřený na mobilní zařízení s Androidem. Jmenuje se LockerLeaker a jde o vyděračský malware, který vyhrožuje, že rozešle soukromá data a historii internetového prohlížení všem vašim kontaktům.

Typický ransomware zašifruje pevný disk a po uživateli požaduje za odemčení peníze. LeakerLocker na to jde podobně, ale přesto jinak. Zálohuje si uživatelova soukromá data a vyhrožuje, že pokud uživatel nezaplatí 50 dolarů, rozešle je všem kamarádům a rodině v seznamu kontaktů.

McAfee odhalil, že se LeakerLocker šíří skrze dvě aplikace v obchodě Google Play – Wallpaper Blur HD (staženo 5 – 10 tisíckrát) a Booster Cleaner Pro (staženo 1 až 5 tisíckrát), přičemž není vyloučeno, že se nachází i na dalších místech. Infikováno bylo až 15 tisíc zařízení. Obě dvě aplikace mají pozitivní recenze, které naznačují, že byly napsány útočníky.

Jakmile si člověk aplikace se škodlivým kódem stáhne, vyzvou jej k potvrzení přístupů, včetně přístupu k hovorům, k SMS zprávám a kontaktům. Následně na obrazovce zobrazí výhrůžku.

Hrozba ale není až tak ničivá. McAfee prováděl analýzu, k čemu všemu se LeakerLocker skutečně dokáže dostat a zjistil, že ke zcela všem informacím na zařízení ne. Dokáže ovšem získat historii internetové prohlížení, znění SMS zpráv a fotografie z alba, tedy data, o kterých bezesporu nechcete, aby se potulovala světem.

Ransomware, hrozba na vzestupu. Nebylo lepší, když nám viry nedávaly na výběr?
13.7.2017 Lupa.cz Viry
Jak je možné se nakazit? Jaké typy ransomwaru existují? A vyplatí se útočníkům zaplatit? Odpovědět se pokoušíme v novém seriálu na téma ransomware.
Možná jste před rokem slovo výkupné „ransom“ nepoužívali, možná vám jako mně evokovalo spíš pána z MI6 Arthura Ransomea a jeho Vlaštovky a Amazonky. Zatímco v minulém roce se už už zdálo, že hlavní hledáček malwaru se zaměřuje na mobilní zařízení, letos jsou opět na talíři hlavně počítače.

Když byl před nějakou dobou CSIRT.CZ osloven, aby připravil seriál o ransomwaru, nevěděli jsme, že bude po informacích taková sháňka. Bylo to ještě než Google pro dotaz „ransomware“ vracel 26 milionů odkazů a než se luhy a háji českých mainstreamových medií prohnal WannaCry, následován poté po šesti týdnech NotPetyou.

Opravdu jsme se nenudili: v našem seriálu se budeme snažit shrnout, co ransomware je, jak se s časem vyvíjí, co dělat před a co dělat po (prevence a mírnění škod), jak je ransomware možné zapasovat do ekosystému škodlivých programů a co pro vás, ať už jako oběti, či jako činitele, v současnosti mohou udělat policejní orgány.

R jako ransomware
Mezi okamžikem, kdy jsem se poprvé pousmál nad screenshotem: „Tady Policie ČR, zablokovali jsme vám počítač, protože jste sdílel soubory! Toto je Vaše IP adresa! Jste v Mělníku! Zaplaťte tak a tak!“ a mezi chvíli, když jsem zvedl sluchátko se zoufalým pánem: „Zašifrovalo nám to všechny počítače ve firmě! Zálohovali jsme na síťový disk, ten je také zašifrovaný!“ se změnilo leccos.

Předně nám trochu mrzne úsměv na rtech, když pomyslíme na to, zda nám nečouhá nějaký zapomenutý port. Když první viry, které člověk potkal, ta data alespoň mazaly („Disk is one half“, psal mi virus coby osmiletému nad z poloviny smazaným 12megovým diskem a já si to neuměl přeložit a měsíce myslel, že je to jakási legrace, nová funkcionalita BIOSu), když vám viry nedávaly na výběr, bylo to možná milejší. Aspoň člověk nebyl ve stínu té hrozivé svobody volby, asi jako někdo, kdo právě utopil harddisk v akváriu a sedí nad mobilním připojením ve snaze rozhodnout, jestli pro pár fotek z Mácháče zaplatí osm tisíc za rekonvalescenci disku u specializované společnosti. Zaplatím-li požadovanou sumu, budu jedním z pěti, kterým se data nevrátí, jak je u statistiky ransomwaru obvyklé? Nebo je to dokonce ransomware, kde se data nevrací nikomu?

Že máte na cloudu historii souborů? A jak dlouhou? A co když potkáte kousek, jenž se snaží nahrát soubor mnohokrát za sebou, aby se přemazala i jejich případná historie?

To se nám zasteskne po nějakém tom malwaru pro introverty, který při startu Skype napíše všem kontaktům: „Hi!“, abyste pak dvě hodiny všem na potkání vysvětlovali, že si povídat vlastně nechcete.

Někdy máme štěstí v neštěstí
Zatímco WannaCry řičel ve stovce zemí, povedlo se najít jeho kill switch, vlastnost, která šíření dané verze malwaru zastaví. Stačilo, aby Marcus Hutchins koupil doménu, na jejíž neexistenci program spoléhal – a řádění polevilo. Další vlna sice na sebe nenechala dlouho čekat, ale společnosti už měly čas záplatovat a připravit se proti odhalenému vektoru útoku.

Měli jsme vlastně ještě štěstí, že poslední dva ransomwary, o kterých se hodně psalo, jsou napsány fušersky. A neříkám to jenom proto, že má díru každý program a ta díra se najde, zvlášť když se na vás vrhnou analytici celého širého napadeného světa.

Promiňte, ale postavit celý business model na tom, že všechny finanční záležitosti s oběťmi provedete na německé freemailové službě Posteo, kterou Vám týž den zablokují. Autorům druhého viru NotPetya přišlo jen kolem 30 plateb – pánům se podpálil les, aby si opekli buřt. Respektive nebohou Ukrajinu, je pravděpodobné, že šlo o kyberútok, který se pouze maskoval jako finančně lačný. Data byla likvidována bez meškání. Jaké to teprve bude, až někdo vydá řádně otestovaný ransomware s vadou, na niž se nenarazí hned první den?

Napadá ransomware i mou platformu?
Ano. A pokud ne dnes, poptejte se zítra.

Již jsem zmiňoval, že hlavní cíl ransomwaru jsou desktopy. Jak to tak bývá, hlavní odrazový můstek jsou tradičně Windows – široká základna vhodných uživatelů. Stejně jako se před pár lety říkalo „Viry na Linuxu nefungují“, protože Linux nebyl tak populární, a pak klepl tučňáka přes zoban Mayhem a Mirai a kdoví, co ještě, i ransomware s upířím výrazem šplhá ze své půlnoční rakve, plné poštovních známek, USB zdířek a ethernetové kabeláže.

Máme tu i kousky požírající webové servery (KimcilWare), přes síť dostupné databáze, ale i sociální účty. Už před rokem si 16letý Liverpoolan hodlal přibrigádničit krádežemi účtů na Instagramu. Na své si samozřejmě už nějakou dobu přicházejí uživatelé OS X a v budoucnu se můžeme jistě těšit na lepší podporu IoT zařízení.

Je třeba dodat, že na mobilech je nižší tendence k šifrování dat, protože se to nevyplatí – uživatelé tak chytrých mobilů, na nichž běží malware, příliš snadno zálohují na obtížněji napadnutelný cloud; nemějte však pocit falešného bezpečí.

Kolik typů znáš…
Jak platí u každého malwaru, je výzvou každý daný malware klasifikovat. Představte si, že milion druhů hmyzu, které lidstvo zvládlo katalogizovat, jsou druhy malwaru. Jistá část připadá na ransomware; jeden typ ransomwaru je pak pakobylka. Tipnete si, kolik je v řádu strašilek druhů a poddruhů? Autoři malware stále přepisují, jak se jim hodí, jaký dostávají feedback; přepisují a znovupoužívají jej i lidé, kterým projde pod rukama. Myslíte si, že třeskuté ransomwary zneužily nějaké svobodozednářské zranitelnosti? Že NotPetya přišla zčistajasna? Mě překvapilo/pobavilo, když jsem se dočetl, že sám anonymní autor původního malware Petya zkoušel proti zhoubě pomoci.

Možností, jak ransomware členit, je nepřeberně. Výzkumníci z celého světa se spojují a sdílí IoC, tzv. indikátory kompromitace, podle kterých lze poznat blížící se zhoubu. Možná by vás zajímal například dokument se seznamem IoC, které o WannaCry zveřejnil US-CERT – v přiloženém XLS jsou názvy souborů a jejich hashů, které WannaCry na systému vytváří.

Uvádím například tuto škálu, kam ransomware můžete zařadit:

Strašáci – Nejméně nebezpečnou formou jsou falešné antivirové zprávy (například ve formě reklam na webu), které vypadají jako systémová tlačítka a hlásají: „Našli jsme malware na vašem počítači, zaplaťte a my vám ho odstraníme“. Kdo neklikne, neprohloupí.

Lenoši – Malware sídlí na počítači, omezí se však na zprávu, že se počítač šifruje a ať laskavě zaplatíme. Nic se však v systému neděje, soubory se jenom přejmenovávají. Útočník nemusí nic moc řešit.

Lockery – zamezují přístup k počítači „Tady Policie ČR…,“ ale nic víc nepodnikají. Pokud je uživatel dostatečně zběhlý a zbaví se hlášky, najde soubory neporušené.

Cryptor – pronikne až na kůži a soubory zašifruje; klíč si odešle do světa a vám zbývá naděje, že někdo kladný dobude útočníkovy servery a klíče získá…

Wiper – nejhorší, co se může stát je, že útočník vůbec nepočítá s tím, že by vám soubory vrátil. O peníze žádá, data však ničí.

Kudy ke mně vede cesta?
Vede odevšad. Touž bakterii můžete chytit při jídle s neumytýma rukama nebo dobrou pozicí před pčíkancem ve vestibulu Jiřího z Poděbrad; je to lhostejné.

Přichází e-mailem v příloze, přichází nezáplatovaným portem napřímo přes síť, protože jste neaktualizovali, přichází nezáplatovaným portem napřímo přes síť, protože vydavatel vašeho systému/programu neupdatoval, přichází dokumentem od nicnetušícího kolegy. Ve Wordu není pro nic za nic velké žluté oznámení: „Soubor jste stáhli z internetu, nelze editovat“.

Budeme si střádat na výkupné?
„Pomáhá platit?“, ptají se lidé často. Možná ano i určitě ne – je to jako jednat s teroristy. Já vím, snadno se mi mluví, když mám externí disk hluboko ve skříni, jenže když zaplatíme, příště budou chtít víc.

Navíc se vy osobně můžete stát oblíbeným terčem na nějakém seznamu úspěšně prolomených obětí. Když Ježíš vyhnal zlého ducha, a člověk stejně nezáplatoval, vrátilo se duchů sedm.

Virus infikoval milióny zařízení. Hackerům vydělal velké peníze

11.7.2017 Novinky/Bezpečnost Viry
Na pořádný balík peněz si přišli v uplynulých dvou měsících neznámí počítačoví piráti, kterým se podařilo infikovat více než 14 miliónů mobilů a tabletů s operačním systémem Android. Vydělávali především na zobrazování nevyžádané reklamy. Upozornila na to bezpečnostní společnost Check Point.
Nově objevený nezvaný návštěvník se jmenuje CopyCat a jde o poměrně sofistikovaný škodlivý kód, který dokáže v napadeném zařízení udělat pěknou neplechu.

Může například rootovat operační systém, což jinými slovy znamená, že do něj počítačoví piráti mohou snadno propašovat libovolný další škodlivý kód nebo nad přístrojem převzít kontrolu na dálku. Útočníci nicméně CopyCat využívali jinak.

Vydělávali na reklamě
Na infikovaných tabletech a chytrých telefonech zobrazovali nevyžádanou reklamu. Z ní pak inkasovali veškeré svoje zisky, které rozhodně nebyly malé. Podle bezpečnostních expertů si touto cestou vydělali přibližně 1,5 miliónu dolarů, tedy v přepočtu více než 34 miliónů korun.

Většina uživatelů totiž reklamu nepovažovala za škodlivou, a jednoduše ji zavřela. Oběti útoku tak nevědomky vydělávaly kyberzločincům velké peníze.

Za napadení mobilu nebo tabletu si nicméně většinou mohli uživatelé sami. CopyCat se totiž šířil výhradně přes neoficiální kanály, nikoliv přes originální obchod s aplikacemi Google Play. To jinými slovy znamená, že do přístrojů si záškodníka stáhli lidé sami, pokud instalovali aplikace z neznámých zdrojů, například nejrůznějších podvodných stránek.

Útok se nevyhnul ani Evropě
Nově objevená hrozba útočila nejčastěji v Asii, například v USA ale bylo napadeno více než 280 tisíc mobilních zařízení. CopyCat se objevil také v Evropě, zda se útočníkům podařilo napadnout zařízení některých tuzemských uživatelů, však v tuto chvíli není jasné.

I tento virus opět ukazuje, že mobilní zařízení mohou být stejně zranitelná jako klasické počítače. Při používání smartphonů a tabletů by tak měli být uživatelé stejně obezřetní. Samozřejmostí by měl být například nainstalovaný antivirový program.

Poučení z malwaru NotPetya
10.7.2017 Root.cz Viry

V dnešním díle si přečtete, jak probíhalo napadení sítě hostující software M.E.Doc malwarem NotPetya a jaké poučení z toho plyne. Následují i další užitečné bezpečnostní informace z celého světa.
Vše důležité o infekci internetu malwarem NotPetya
Malware označovaný jako Petya, NotPetya apod. se do světa a zejména na Ukrajinu rozšířil prostřednictvím velmi rozšířeného účetního a daňového softwaru „M.E.Doc“ („Můj elektronický dokument“), který vytvořila ukrajinská firma „Intellect Service“. Tento malware se šířil z infikovaných strojů dále do sítě prostřednictvím zranitelnosti MS17–010 v protokolu SMB 1.0. Útočníkům se podařilo infiltrovat síť zmíněné firmy, získat přístup ke zdrojovému kódu programu M.E.Doc a rozeslat uživatelům programu jeho infikované verze maskované jako regulérní nové verze.

Podle údajů, které zveřejnily firmy Talos a ESET, vypadal časový rozvrh útoku na síť firmy „Intellect Service“ takto:

14. 4. a 15. 5.2017: Update server distribuoval zákazníkům infikovanou verzi softwaru M.E.Doc.

22. 5. 2017: Firma „Intellect Service“ informovala zákazníky, že od 18. 5. se v sítích objevuje ransomware podobný WannaCry. To ale údajně se softwarem M.E.Doc nesouvisí, protože firma posílá svůj software antivirovým společnostem ke kontrole.

22. 6. 2017: Update server distribuoval zákazníkům poslední infikovanou versi softwaru M.E.Doc.

27. 6. 2017, 8.59 UTC: Útočník se přihlásil na update server s ukradeným jménem a heslem administrátora; získal rootovský přístup prostřednictvím su.

27. 6. 2017, 9.15 UTC: Provoz update serveru byl přesměrován na cizí server v síti OVH (Francie).

27. 6. 2017, 12.31 UTC: Přesměrování provozu update serveru na cizí server skončilo.

27. 6. 2017, 14.11 UTC: Cizí uživatel v lotyšské síti Bighostlv-NET ukončil relaci SSH a odhlásil se z update serveru.

27. 6. 2017, 19.46 UTC: Disk na cizím serveru v síti OVH byl smazán.

Firma ESET zjistila, že útočníci měli přístup ke zdrojovému kódu programu M.E.Doc a infikovali modul ZvitPublishedObjects.dll. Tento modul sbírá mj. kódy EDRPOU (obdoba našich daňových identifikačních čísel DIČ), uživatelská jména a hesla uživatelů a poštovních proxy serverů. Takto zjištěná data byla odeslána na (falešný) update server ve formě cookies; žádný C&C kanál nebyl použit.

Každý stroj, na kterém byl spuštěn infikovaný program M.E.Doc, také reagoval na tyto externí příkazy:

vykonání příkazu shell,
zápis souboru na disk, včetně možného spuštění jako program nebo jako DLL; soubor pak byl přepsán náhodnými daty a smazán,
odeslání libovolného souboru z infikovaného stroje,
odeslání informací o systému (verse OS, 32/64 bitů, privilegia, nastavení UAC, uživatelská a proxy jména a hesla).
Z těchto zjištění plyne:

Šlo o útok cílený na Ukrajinu a na cizí firmy, které s Ukrajinou obchodují. Díky tomu, že útočníci znají údaje EDRPOU (DIČ), přesně vědí, která firma zpracovává své účetnictví na M.E.Docu a ve které síti.
Cílem útoku bylo zničit data napadených firem (sabotáž), infikovat další počítače v napadených sítích a zjistit údaje o obchodních transakcích napadených firem.
Finanční zisk nebyl cílem útoku, přestože ten se tvářil jako ransomware a požadoval za dešifrování dat 300 USD v bitcoinech.
Závěry:

Útok byl velmi dobře naplánován a proveden. Pro útočníky musel být velmi drahý.
Nyní je odhalena metoda infekce v softwaru M.E.Doc i manipulace s update serverem; útočník už tedy tímto způsobem nedokáže spouštět vlastní kód na velikém množství infikovaných počítačů (údajně u 80 % ukrajinských firem).
Aby vynaložené prostředky nepřišly nazmar, je pravděpodobné, že na infikovaných počítačích mohou existovat další dosud neznámá zadní vrátka, skrze něž je útočník bude moci znovu ovládnout.
Všechny firmy už napadené i ty, které využívají software MEDoc nebo podobný, které obchodují s Ukrajinou nebo které provozují své systémy na Ukrajině, by měly dávat velký pozor, protože proti nim stojí nebezpečný protivník.
Doporučují se zejména tyto kroky:

změna přístupových hesel uživatelů i poštovních a proxy serverů,
rozdělení sítě na samostatné části,
důkladné monitorování ohrožených systémů,
omezení přístupu do sítě,
včasná instalace bezpečnostních záplat,
přechod ze starších systémů na Windows 10,
instalace IPS na spojích mezi zahraničními firmami a jejich ukrajinskými pobočkami,
instalace vhodné ochrany na všech ukrajinských systémech,
řídit se podle doporučení firem Microsoft a Cisco.

Obří kybernetický útok byl na spadnutí. Policie ho zarazila

5.7.2017 Novinky/Bezpečnost Viry
Ukrajinská kybernetická policie spolu s experty tajné policie SBU zabránili v úterý druhé etapě počítačového útoku na Ukrajinu. Na Facebooku to v noci na středu oznámil ukrajinský ministr vnitra Arsen Avakov. Odborníci se stále snaží odhalit, kdo byl za předchozím útokem, který minulý týden začal napadením počítačů ukrajinských firem a institucí, než se rozšířil po celém světě.
Druhý útok byl podle Avakova odstartován v úterý ve 13:40 kyjevského času (12:40 SELČ) a měl vyvrcholit v 16:00.

"Kybernetická policie do 15:00 zablokovala rozesílání a aktivaci viru ze serverů informačního systému M.E.Doc. Útok byl zastaven. Servery byly zajištěny společně se stopami aktivity kybernetických zločinců se zjevnými zdroji z Ruské federace," napsal Avakov.

Dodal, že kybernetická policie uživatelům důrazně doporučuje změnit hesla a digitální podpisy.

Policie zabavila servery
Šéf ukrajinské kybernetické policie Serhij Demyďuk už v úterý večer oznámil, že policie zabavila servery kyjevské softwarové firmě MEDoc, která je podezřelá z šíření škodlivého programu před týdnem v úterý. Neřekl ale, že se tak stalo po zabránění dalšímu útoku, jak o něm v noci na středu informoval ministr vnitra.

Podle policistů hackeři na aktualizační server ukrajinské firmy umístili škodlivý malware, který se pak s novou verzí softwaru dostal do počítačů po celém světě. Šlo o vyděračský virus známý jako Win32/Diskcoder.C Trojan, který dokáže na napadeném stroji udělat pěknou neplechu.

Uživatelé napadení virem místo startu operační systému uvidí tuto zprávu.
Uživatelé napadení virem místo startu operačního systému uvidí tuto zprávu.

A to dokonce větší než drtivá většina dalších vyděračských virů. Ty totiž často potřebují k zašifrování dat na pevném disku poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dříve, než v počítači nadělají nějakou větší škodu.

Nově objevená hrozba však funguje jiným způsobem. Na disku nezašifruje všechna data, ale pouze tzv. MBR (Master Boot Record). Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.

Na zašifrování MBR nepotřebuje nový vyděračský virus několik hodin, stačí mu pouze pár vteřin. Antiviry prakticky nemají šanci škodlivý kód zachytit. Hned po prvním restartu je problém na světě.

Ukrajinská firma vinu odmítá
Firma MEDoc jakoukoli odpovědnost za šíření škodlivého softwaru odmítla.

Ukrajinští činitelé hned po prvním útoku minulý týden obvinili Rusko, že stojí v pozadí tohoto kybernetického zločinu, což Moskva rázně odmítla.

Nebezpečný Chromex je opět na scéně, varovali počítačoví experti

4.7.2017 SecurityWorld Viry
Počítačoví piráti začali v minulých týdnech opět hojně šířit trojského koně zvaného Chromex. Ten se držel na předních příčkách žebříčku s nejrozšířenějšími kybernetickými hrozbami ještě v dubnu, pak se však stáhl do ústraní. V červnu však přišla další vlna útoků, ve kterých hrál Chromex opět hlavní roli.
Před dramatickým rozšířením tohoto trojského koně mezi zaznamenanými hrozbami varovali bezpečnostní odborníci z antivirové společnosti Eset. Podle nich patří Chromexu aktuálně druhá příčka v žebříčku nejrozšířenějších počítačových hrozeb.

„Svým podílem se blížil k dlouhodobě nejsilnějšímu škodlivému kódu JS/Danger.ScriptAttachment. Eset, který tuto hrozbu detekuje jako JS/Chromex.Submelius, jej v červnové statistice virových hrozeb identifikoval v 13,93 procentech případů,“ uvedl Miroslav Dvořák, technický ředitel společnosti Eset.

Slibují zrychlení internetu
„Chromex využívá například popularity neoficiálních streamovacích služeb na internetu a uživatelům nabízí instalaci škodlivých pluginů,“ doplnil Dvořák.

Útočníci přitom často slibují, že pluginy zrychlí načítání internetových stránek, ve skutečnosti ale způsobují opak. Často je na možnost instalace podobných pluginů možné narazit na různých streamovacích stránkách s českou nebo slovenskou doménou.

„Jak napovídá jeho název, Chromex se soustředí na doplňky k internetovému prohlížeči Chrome. V České republice se poprvé četněji vyskytl letos v březnu, kdy se ve statistice objevil na pátém místě. Dosud však nepředčil největší internetovou hrozbu současnosti, škodlivý kód Danger,“ konstatoval Dvořák.

Pozor na infikované přílohy e-mailů
Tento virus, plným názvem JS/Danger.ScriptAttachment, je velmi nebezpečný. Otevírá totiž zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry typu ransomware.

Danger, který se šíří prostřednictvím infikovaných příloh e-mailů, měl v červnu podíl 17,81 procenta, což je meziměsíční pokles o 3,58 procentního bodu.

Stále to však mezi detekovanými hrozbami stačilo na absolutní prvenství. Přehled deseti nejrozšířenějších virových hrozeb za uplynulý měsíc naleznete v tabulce níže:

Top 10 hrozeb v České republice za červen 2017:
1. JS/Danger.ScriptAttachment (17,81 %)
2. JS/Chromex.Submeliux (13,93 %)
3. JS/Adware.AztecMedia (6,65 %)
4. JS/ProxyChanger (4,59 %)
5. Win32/GenKryptik (4,22 %)
6. Java/Adwind (2,88 %)
7. JS/Adware.Imali (2,71 %)
8. JS/TrojanDownloader.Nemucod (2,66 %)
9. PDF/TrojanDropper.Agent.AE (1,70 %)
10. PDF/TrojanDropper.Agent.AJ (1,62 %)

Sonda do hlubin ransomwaru Petya

4.7.2017 SecurityWorld Viry
Evropu v uplynulých dnech postihla nová vlna kybernetických útoků. Jako první byly napadené významné organizace na Ukrajině, posléze se útoky rozšířily především po Evropě. Experti Trend Micro vydali zprávu, ve které podrobně analyzovali situaci okolo tohoto malwaru.

Ačkoliv se stav rychle vyvíjí, zprávy naznačují, že jde o vypuknutí nové varianty ransomwaru Petya, o kterém odborníci poprvé podrobně informovali již v březnu 2016. Není výjimkou, že kyberzločinci svůj škodlivý software leckdy vylepšují.

Nová varianta používá funkci EternalBlue a nástroj PsExec jako infekční vektory. Je známo, že Petya přepisuje systém Master Boot Record (MBR), čímž zablokuje přístup uživatelů k jejich zařízením a zobrazuje tzv. modrou obrazovkou smrti (BSoD).

V případě Petya obrazovka BSoD slouží jako nástroj zobrazení žádosti o výkupné. Ransomware se rychle rozšiřuje, napadá organizace, podniky i konečné uživatele. Jeho propuknutí je podobné jako útok ransomwaru WannaCry.

Modrá obrazovka smrti v případě napadnutí ransomwaru Petya.

Průběh infekce

Prvotní vstup ransomwaru do systému zahrnuje použití nástroje PsExec, který je oficiálním nástrojem společnosti Microsoft a používá se ke spouštění procesů na vzdálených systémech. Využívá také exploit EternalBlue, který byl již dříve aplikován při útoku ransomwaru WannaCry.

Ten se zaměřuje na zranitelnost Serveru Message Block (SMB) v1. V napadeném systému se nová verze programu Petya spustí procesem rundll32.exe. Samotné šifrování se pak provede pomocí souboru s názvem perfc.dat, který se nachází v adresáři Windows.

Ransomware poté přidá plánovanou úlohu, která po hodině systém restartuje. Zároveň se Master Boot Record (MBR) upraví tak, aby bylo provedeno šifrování, a zobrazí se příslušná výhružná zpráva. Na začátku se objeví chybné oznámení CHKDSK, v ten moment probíhá šifrování.

Neobvyklé pro tento ransomware je, že nemění přípony zašifrovaných souborů. Dále také, že oproti jiným ransomwarům se šifrování zaměřuje zejména na typy souborů používaných v podnikovém prostředí, a ne na obrázky a video soubory.

Diagram útoku ransomwaru Petya

Mimo využití technologie EternalBlue vykazuje Petya i další společné znaky s ransomwarem WannaCry.

Podobně jako při útocích WannaCry, je i výkupní proces ransomwaru Petya poměrně jednoduchý: využívá přednastavenou adresu Bitcoin, čímž se proces dešifrování stává pro útočníky mnohem obtížnější, na rozdíl od předchozích útoků Petya, které měly pro tento proces rozvinutější rozhraní.

Od každého uživatele ransomwaru požaduje zaplatit 300 dolarů. Stejně jako při všech útocích ransomwaru, experti nedoporučují výkupné uhradit – v tomto případě to platí dvojnásobně, protože e-mailová adresa uvedená ve vyděračském odkazu již není aktivní.

Aby se předešlo a zabránilo infekci, doporučují experti uživatelům a organizacím okamžitě vykonat následující kroky:

Aktualizovat systémy pomocí nejnovějších záplat nebo zvážit použití virtuální opravy
Aplikovat princip omezení privilegií pro všechny pracovní stanice
Omezit a zajistit používání nástrojů pro správu systému jako jsou PowerShell a PsExec
Zablokovat nástroje a protokoly pro systémy které je nevyžadují (t. J. Port TCP 445)
Pravidelně zálohovat důležité údaje
Aktivně monitorovat sítě v souvislosti s výskytem jakýkoliv podezřelých aktivit nebo anomálií
Využívat mechanismy monitorování chování, které mohou zabránit nezvyklým změnám (např. šifrování) systémů
Nastavit segmentaci sítě a kategorizaci dat pro zmírnění dalších škod, které mohou vzniknout při útoku
Zabezpečit e-mailovou bránu a použít kategorizaci adresy URL (na zablokování škodlivých webových stránek), aby se snížil prostor pro útok.

Vyděračský virus byl jen zástěrka. Hlavním cílem byla ukrajinská infrastruktura

30.6.2017 Novinky/Bezpečnost  Viry
Hlavním cílem rozsáhlého kybernetického útoku, který v úterý zasáhl kromě ukrajinských a ruských podniků i západní Evropu a Spojené státy, byla ukrajinská infrastruktura. Agentuře Reuters to řekl vysoký představitel ukrajinské policie. Hackeři prý pravděpodobně instalovali škodlivý malware, který využijí pro budoucí sabotáže.
Výpadek počítačového systému v důsledku hackerského útoku zaznamenaly soukromé i vládní instituce přibližně v 60 zemích po celém světě. Nejvíce však piráti udeřili na Ukrajině, kde se podle antivirové společnosti Eset nacházelo 75 procent zasažených počítačů. Hackeři za odšifrování počítačové sítě požadovali 300 dolarů (zhruba 7000 Kč).

Útočníci v současnosti nicméně nevydělají na škodlivém kódu Win32/Diskcoder.C Trojan ani korunu. E-mailová schránka, prostřednictvím které komunikovali se svými obětmi, je totiž zablokovaná. Útočníci tak nemají svým obětem jak napsat, že mají zaplatit výkupné.

Je zodpovědné Rusko?
Podle ukrajinských politiků za počítačovými útoky pirátů stojí Rusko, mluvčí Kremlu Dmitrij Peskov však obvinění označil za nepodložená. Kyjev obviňoval Moskvu i z předešlých dvou kybernetických zásahů na Ukrajině.

Uživatelé napadení virem místo startu operačního systému uvidí tuto zprávu.
FOTO: Avast

Podle bezpečnostních expertů cílem útoku bylo instalovat do ukrajinských vládních i komerčních počítačů takzvaný malware, škodlivý program sloužící k poškození nebo vniknutí do počítačového systému. Spíše než pro vydírání pak hackeři využijí program pro budoucí sabotáže, tvrdí odborníci.

Podle zdroje agentury Reuters v ukrajinské policii jsou požadavky na výkupné pouze zástěrkou. „Vzhledem k tomu, že byl virus modifikován tak, aby zasáhl všechna data a zabránil jejich dešifrování, pravděpodobnost instalace nového malwaru je velmi vysoká," řekl agentuře.

Oběti jsou i v Rusku
Předpoklady policie potvrzuje i kyjevská kybernetická výzkumná firma Information Systems Security Partners (ISSP). Podle jejich představitelů peníze nejspíš nebyly hlavním cílem hackerů vzhledem k tomu, že výkupné zaplatilo jen několik lidí.

„Téměř ve všech institucích, jejichž sítě byly zasaženy, ne všechny počítače skončily v režimu offline," řekl šéf ISSP Oleh Derevjanko. „Snažíme se pochopit, co mohli (hackeři) v těchto počítačích zanechat, když je zasáhli," dodal.

V Rusku se terčem kybernetického útoku stalo osm desítek společností včetně ropné jedničky Rosněfť. Ukrajina hlásila výpadky IT v bankovním sektoru, energetických i rozvodních sítích a poštovních společnostech.

Virus stále představuje hrozbu
Ať už pochází virus Win32/Diskcoder.C Trojan odkudkoliv, na napadeném stroji dokáže udělat pěknou neplechu. A to dokonce větší než drtivá většina dalších vyděračských virů. Ty totiž často potřebují k zašifrování dat na pevném disku poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dříve, než v počítači nadělají nějakou větší škodu.

Nově objevená hrozba však funguje jiným způsobem. Na disku nezašifruje všechna data, ale pouze tzv. MBR (Master Boot Record). Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.

Na zašifrování MBR nepotřebuje nový vyděračský virus několik hodin, stačí mu pouze pár vteřin. Antiviry tak prakticky nemají šanci škodlivý kód zachytit. Hned po prvním restartu je pak problém na světě.

Tento týden ve světě neútočil ransomware, ale nebezpečný wiper. Měl jediný cíl: Nadobro zničit co nejvíce dat
29.6.2017 Živě.cz Viry
Nejpostiženější zemí se stala Ukrajina, kde malware vyřadil například supermarkety. Odnesly to také banky a jejich bankomaty. Útočníci si zatím přišli asi na 9 200 dolarů.Takto se Petya hlásí po restartování systému. Pokud tuto obrazovku spatříte, počítač ihned vypněte.Tento týden ve světě neútočil ransomware, ale nebezpečný wiper. Měl jediný cíl: Nadobro zničit co nejvíce dat
Zprvu to vypadalo jako cílený kybernetický útok na Ukrajinu, po napadení dalších zemí se však začalo psát o další vlně ransomwaru Petya v jeho nové modifikaci. V podstatě se tedy mělo jednat o podobnou smršť, která před týdny zasáhla svět v souvislosti s vlnou WannaCry.

Včerejší vlna ransomwaru zasáhla i Česko. Petya je zákeřnější než WannaCry
Společnost Kaspersky Lab nicméně přišla s poněkud odlišným zjištěním. Před pár dny neútočil vyděračský ransowmare, ale wiper, který se za ransowmare pouze vydával. Stručně řečeno, podle inženýru, kteří se o svém zjištění rozepsali na webu Securelist, byl malware navržený takovým způsobem, že bylo prakticky nemožné dešifrovat data. A to i v případě, že by některá z obětí opravdu poslala výkupné.

V čem byl konkrétně problém? Když ransomware zašifruje počítač, vytvoří pro něj jedinečný identifikátor, který útočníkovi poslouží k tomu, aby na jeho základě mohl oběti vygenerovat dešifrovací klíč, který počítač uvede opět do provozu.

Klepněte pro větší obrázek
Osobní klíč, který měla oběť zaslat e-mailem útočníkovi. obratem by získala dešifrovací klíč. Podle Kaspersky Lab se však jedná pouze o shluk náhodných znaků.

Když se však analytici z Kaspersky Lab podívali do nitra nového ransomwaru, zjistili, že funkce, která má generovat onen jedinečný klíč odpovídající zašifrovaným datům na počítači oběti, ve skutečnosti generuje jen náhodný balast – náhodné znaky.

Funkce pro generování osobního klíče ve skutečnosti generuje jen sled náhodných znaků

Suma sumárum, je to vlastně hoax na druhou. Vypadá to jako ransomware, šifruje to soubory jako ransomware, žádá to výkupné jako ransomware… Ale zašifrovaná data už nikdy nedešifruje, protože chybí klíč.

Aby toho nebylo málo, jak už jsme psali včera, útočníci chtěli komunikovat s obětmi skrze poštovní schránku na službě Posteo, kterou však krátce po útoku provozovatel zablokoval.

Malware, který při šíření sítí zneužíval stejných zranitelností jako WannaCry, měl tedy podle Kaspersky Lab jediný cíl: Nadobro zničit co nejvíce dat a nenávratně poškodit co nejvíce obětí.

Řádění vyděračského viru stále pokračuje. Kvůli nedostatečnému zabezpečení

29.6.2017 Novinky/Bezpečnost Viry
Svět zažil tento týden jeden z největších útoků vyděračských virů v celé historii počítačů. Přestože se podle některých zahraničních zdrojů podařilo řádění záškodníka zvaného Win32/Diskcoder.C Trojan zastavit, bezpečnostní experti společnosti Check Point upozornili na to, že vyhráno rozhodně ještě není.
Vyděračský virus Win32/Diskcoder.C Trojan, který je vylepšenou variantou nechvalně známého škodlivého kódu Petya, se totiž internetem neustále šíří. I když ne tak závratným tempem jako v prvním dnu.

Tento nezvaný návštěvník totiž využívá nedostatečného zabezpečení u jednotlivců i firem. „Alarmující je, že drtivá většina společností nemá nasazené takové technologie, které by je před podobnými typy útoků ochránily. Není potom divu, že se útoky tak rychle a snadno šíří,“ uvedl Peter Kovalčík, SE Manager ve společnosti Check Point Software Technologies.

„Problémem je i určitá roztříštěnost zabezpečení, často je nasazeno příliš mnoho různých řešení namísto sjednocené bezpečnostní architektury, která by byla zaměřená na prevenci a zastavení útoků, než mohou způsobit nějaké škody,“ konstatoval Kovalčík.

Nainstalujte nejnovější aktualizace
Ten zároveň nastínil, jaký byl u tohoto záškodníka vývoj. „Podle všeho se jedná o novou verzi ransomwaru Petya, který se poprvé objevil v březnu 2016. Nová verze se velmi rychle šíří podnikovými sítěmi po celém světě, podobně jako to dělal minulý měsíc ransomware WannaCry,“ podotkl bezpečnostní expert.

Uživatelé napadení virem místo startu operační systému uvidí tuto zprávu.
FOTO: Avast

„Organizace by měly okamžitě použít nejnovější bezpečnostní záplaty společnosti Microsoft a zakázat protokol SMBv1 pro sdílení souborů na systémech Windows. Zásadní je také nasazení preventivních bezpečnostních technologií a velmi důležité je i vzdělávání zaměstnanců. Aby měli povědomí o hrozbách a možných rizicích, která mohu být v příchozích e-mailech od neznámých odesílatelů nebo v podezřelých e-mailech od známých kontaktů,“ uzavřel Kovalčík.

Stejná obezřetnost je na místě i u klasických domácích uživatelů. I ti by pochopitelně měli mít nainstalované všechny nejnovější aktualizace.

Útočníci v současnosti nevydělají prostřednictvím škodlivého kódu Win32/Diskcoder.C Trojan ani korunu. E-mailová schránka, prostřednictvím které komunikovali se svými obětmi, je totiž zablokovaná. Útočníci tak nemají svým obětem jak napsat, že mají zaplatit výkupné. [celá zpráva]

Hrozbu nepodceňovat
To nicméně nemění nic na tom, že na počítači stále dokáže tento nezvaný návštěvník udělat pěknou neplechu. A to dokonce větší než drtivá většina dalších vyděračských virů. Ty totiž často potřebují k zašifrování dat na pevném disku poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dříve, než v počítači nadělají nějakou větší škodu.

Nově objevená hrozba však funguje jiným způsobem. Na disku nezašifruje všechna data, ale pouze tzv. MBR (Master Boot Record). Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.

Na zašifrování MBR nepotřebuje nový vyděračský virus několik hodin, stačí mu pouze pár vteřin. Antiviry tak prakticky nemají šanci škodlivý kód zachytit. Hned po prvním restartu je pak problém na světě.

Nová Petya nevydírá, prostě jen ničí, data nebylo v plánu obnovit
29.6.2017 Root.cz Viry

Světem otřásá další vlna vyděračského malware, který obětem zašifruje disk a požaduje výkupné. Ukázalo se ale, že ve skutečnosti jde jen o zástěrku a data není možné vůbec obnovit. Není to vyděrač, je to zabiják.
V úterý se světem rozběhla nová forma malware Petya, který využívá známou zranitelnost, přepisuje MBR a při falešné kontrole disku po restartu pak zašifruje veškerá data. Nakonec zobrazí vyděračskou zprávu, podle které stačí zaplatit na bitcoinovou peněženku pouhých 300 dolarů, tedy asi 7000 korun, a vyděrači vám ochotně vaše data obnoví. Dokonce takovou službu výslovně garantují.

Ošklivý kus kódu
Malware zvaný NewPetya nebo také Petwrap už napadl velké firmy, banky, elektrárny zejména v Rusku a na Ukrajině, ale také ve Španělsku, Francii, Británii, Indii a dalších částech světa. Nevyhnul se pochopitelně ani Česku. Využívá stejnou útočnou techniku EternalBlue jako starší WannaCry a navíc přidává EternalRomance, zranitelnost portu 445. Detaily šíření popisuje Kaspersky Lab.

Malware pak v napadeném počítači čeká několik desítek minut, poté je počítač restartován a během startu proběhne zákeřná akce: falešná kontrola disku zašifruje veškeré NTFS oddíly a MBR je přepsán vlastním zavaděčem s vyděračskou hláškou.

Odborníci si velmi rychle všimli toho, že se všem postiženým uživatelům objevuje stejná hláška se stejnými údaji a dokonce stejnou e-mailovou adresou wowsmith123456@posteo.net. Považovali to za nedotaženost této kampaně, protože adresa byla útočníkům velmi rychle odstřižena provozovatelem e-mailového serveru a tím byla znemožněna komunikace s útočníky.

Ukázalo se ale, že to vůbec není neschopností autorů.

Obnova dat nebyla nikdy v plánu
Nová forma malware Petya se totiž jenom tváří jako ransomware. Ve skutečnosti útočníci nikdy neměli v plánu s nikým komunikovat a za výkupné obnovovat data. E-mailová adresa je jen součástí kamufláže, aby uživatelé měli pocit, že to může vyjít. Vše se tváří „důvěryhodně“ včetně nutnosti zaslat identifikační klíč disku, což je technika známá z dřívějších ransomwarových kampaní. Uživatelé jsou při setkání s takovými informacemi ochotnější poslat peníze. Nic za ně ale nedostanou.

Nová Petya totiž není vyděračským malware, ale podle nejnovějších analýz jen ničí data bez možnosti jejich obnovy. Matt Suiche ze společnosti Comae Technologies kód analyzoval a zjistil, že nová varianta malware si nikam neukládá původní šifrovanou podobu MBR, ale prostě ji smaže.

Matt Suiche, Comae Technologies
Vlevo nová varianta ničící data, vpravo původní šifrující
Vlastně tak už není co obnovovat, protože původní obsah disku je zašifrován a MBR je pryč. I kdyby měli tedy autoři chuť vám po zaplacení pomoci, nemají jak. Spekuluje se, zda jde o úmysl či o chybu, ale změna v kódu je tak razantní, že se můžeme spíše přiklonit k úmyslu. Útočníkům je to jednoduše fuk, potřebují peníze, zbytek je nezajímá.

Podívejte se, jak vypadají obrazovky počítačů po napadení ransomware:

Vyšlo jim to, vydělali
Nejsmutnější na celém případu je, že se celá akce podařila a útočníci vydělali. Podle záznamů v bitcoinové peněžence přistálo v době psaní článku 45 plateb v celkové hodnotě 4 bitcoiny. Útočníci si tak přišli v přepočtu na více než 230 000 korun.

e to jen další potvrzení toho, že vyděračům se platit nemá. Jednak to podporuje jejich byznys, ale především nemáte jistotu, že za své peníze něco dostanete. V tomto konkrétní případě máte naopak jistotu, že vám zůstanou jen zašifrovaná data pro pláč.

Je tu ale i druhá varianta, kterou zmiňuje i Matt Suiche. Totiž že jde jen kouřovou clonu, která má zakrýt nějaký další větší útok, třeba v rámci testování kybernetické války nebo jiné závažné zprávy.

První ransomware existoval už v roce 1989. Největší neplechu způsobil WannaCry

28.6.2017 Novinky/Bezpečnost Viry
Škodlivý software, který omezuje nebo zabraňuje uživateli přístup k počítači nebo souborům a který v úterý ochromil počítače po celém světě, se obecně označuje jako ransomware (z anglického ransom - výkupné). Za obnovení přístupu totiž požaduje výkupné, zpravidla v digitálních měnách (často bitcoinech), aby se zamezilo možnosti vysledovat platbu.
První známý ransomware byl objeven v roce 1989 pod názvem „AIDS trojan“. Autorem byl Joseph Popp, jehož software prohlašoval, že určitému softwaru v počítači vypršela licence, zašifroval soubory na disku a vyžadoval po uživateli platbu ve výši 189 dolarů firmě PC Cyborg Corporation za odemknutí systému.

Popp byl následně prohlášen za duševně chorého, aby nemusel stanout před soudem. Slíbil příspěvky, které vydělal svým malwarem, na podporu výzkumu AIDS.

Výběr známých kybernetických útoků s použitím ransomwaru z posledních let (řazeno chronologicky):

WinLock – V srpnu 2010 ruské úřady zatkly deset osob napojených na ransomwarového červa známého jako WinLock. Bez použití šifrování zamezil přístupu do systému zobrazením pornografických obrázků a vyzval uživatele k zaslání prémiové textové zprávy za cenu okolo deseti dolarů. Za tuto zprávu uživatel získal kód, který mohl být použit k odemknutí počítače. Podvod zasáhl mnoho uživatelů v Rusku a v sousedních zemích, hackerská skupina údajně takto získala okolo 16 miliónů dolarů.

Reventon – Další ransomware se začal šířit v roce 2012. Zobrazil na obrazovce varování, že uživatel použil počítač pro nějaký druh nelegální činnosti, například pro stahování softwaru bez licence či dětské pornografie. Žádal výkupné za odblokování. Šířil se zejména v západní Evropě a v USA. V únoru 2013 byl v Dubaji zatčen ruský občan, který měl mít napojení na Reventon, později bylo zatčeno dalších deset osob.

CryptoWall nebo CryptoLocker – Poprvé byl zaznamenán v září 2013. Od té doby, nejprve v anglicky mluvících zemích a následně i v dalších státech, bylo nakaženo několik tisíc počítačů. Hackeři za zpřístupnění klíče v anglicky mluvících zemích nejčastěji žádali částku kolem 300 dolarů či eur, v Česku to obvykle bylo kolem 10 000 korun, případně dvojnásobek při nedodržení platby v časovém limitu.

Fusob – Další ransomware s názvem Fusob se šířil od dubna 2015 do března 2016 do mobilních telefonů, požadoval výkupné ve výši od 100 do 200 dolarů. Nejvíce uživatelů (na 40 procent) bylo zasaženo v Německu, méně v Británii a USA.

Škodlivý software pojmenovaný jako WannaCry nebo WanaCrypt0r 2.0 letos v květnu napadl 300 000 počítačů ve 150 zemích světa.
WannaCry – Škodlivý software ransomware pojmenovaný jako WannaCry nebo WanaCrypt0r 2.0 letos v květnu napadl 300 000 počítačů ve 150 zemích světa (asi 600 v ČR). Asi nejmasivnější útok obdobného druhu napadl jednotlivé uživatele, ale také univerzity, nemocnice, dráhy a řadu dalších společností. Za obnovení přístupu požadoval výkupné ve virtuální měně v hodnotě od 300 do 600 dolarů (až 14 000 korun). Útok vedl k nárůstu cen akcií firem zaměřených na kybernetickou bezpečnost. Podle posledních zpráv jsou autoři programu z Číny, původně se spekulovalo o severokorejské stopě.

ExPetr nebo Petya – Nový škodlivý software, který analytici společnosti Kaspersky Lab nazvali ExPetr, zasáhl v úterý řadu podniků a institucí v celém světě včetně ČR. Obzvlášť tvrdě byly zasaženy Ukrajina a Rusko, útoky hlásí rovněž firmy ze západní Evropy a Spojených států. Česká republika je podle antivirové společnosti Eset devátým nejvíce postiženým státem. Hackeři podle Esetu žádají od svých obětí platbu 300 dolarů (zhruba 7000 Kč), jinak napadené a zašifrované zařízení neuvolní.

Včerejší vlna ransomwaru zasáhla i Česko. Petya je zákeřnější než WannaCry
28.6.2017 Živě.cz Viry
Především země východní Evropy zasáhla další masivní vlna ransomwaru
Petya šifruje MBR a může napadnout i záplatovaný systém
Útočníci si vydělali asi 9 tisíc dolarů
Výzva zobrazena po zašifrování souborů.Nejpostiženější zemí se stala Ukrajina, kde malware vyřadil například supermarkety. Odnesly to také banky a jejich bankomaty. Útočníci si zatím přišli asi na 9 200 dolarů.Takto se Petya hlásí po restartování systému. Pokud tuto obrazovku spatříte, počítač ihned vypněte.

Měsíc po tom, co svět vyděsil malware WannaCry, se včera v podobné míře rozšířila další celosvětová infekce. Opět jde o ransomware využívající díru v protokolu SMB a opět jsou nejvíc postiženy země východní Evropy. Tentokrát to ale odneslo i Česko, které se podle Esetu dostalo mezi desítku nejpostiženějších zemí.

Nákaza má označení Win32/Diskcoder.C Trojan a je známá od loňského roku pod názvem Petya. Do jisté míry funguje velmi podobně jako WannaCry – šíří se pomocí nezáplatovaného protokolu pro sdílení v lokální síti, zároveň je ale nezanedbatelné množství počítačů zašifrováno vinou rozkliknutí nebezpečné přílohy v e-mailu. Rovněž může být zneužit systémový program PsExec, jenž standardně slouží pro vzdálenou instalaci aplikací. I proto může být napaden systém, v němž jsou instalovány aktualizace vydané po infekci malwarem WannaCry.

Ukrajina a další země čelí nevídanému kybernetickému útoku. Kdosi útočí na banky, vládu, čerpací stanice i energetiku
Ukrajina a další země čelí nevídanému kybernetickému útoku. Kdosi útočí na banky, vládu, čerpací stanice i energetiku
Petya na rozdíl od WannaCry a větší části tzv. ransomware nešifruje jednotlivé soubory na disku, ale MBR (Master Boot Record). Systém tak ztratí přístup ke spouštěcímu záznamu a místo nastartování systému je uživateli po restartu počítače zobrazen pouze požadavek výkupného. Až v případě, že tento mechanismus selže, začne Petya šifrovat i další soubory na disku.

Tento princip fungování je na jednu stranu zákeřný svou rychlostí – zašifrovat miniaturní MBR záznam je otázkou několika sekund. Na druhou stranu nejsou nijak poškozena samotná data a v případě, že není zahájen proces jejich šifrování, je možné soubory získat po vložení disku do neinfikovaného stroje.

Ačkoliv by se mohlo zdát, že při takto masivním rozšíření musí být ransomware pro útočníky zlatým dolem, většinou je tomu naopak. K opravdovému zaplacení výkupného se odhodlá jen zlomek obětí. V tomto případě si podle výpisu transakcí v bitocinové peněžence přišli útočníci asi na 9 250 dolarů, což je v přepočtu asi 214 tisíc korun. Vzhledem k tomu, že požadují asi 300 dolarů po každé oběti, zaplatilo maximálně 30 postižených.

Eset nejspíše odhalil nebezpečnou ruskou kyberzbraň. Možná nás všechny odpojí od elektřiny
Eset nejspíše odhalil nebezpečnou ruskou kyberzbraň. Možná nás všechny odpojí od elektřiny
Bizarní je však systém, jakým chtěli útočníci od obětí získávat peníze. Vše mělo být postaveno pouze na e-mailové konverzaci, kdy schránku provozovali na německé službě Posteo. Ta jim však byla brzy zablokována a oběti se tak s útočníky ani nemohou spojit. Žádný velký byznys to tedy z pohledu útočníků není.

Pokud se do vašeho systému ransomware postavený na vzorku Win32/Diskcoder.C, nejlepší reakcí je okamžité vypnutí počítače. Zatímco zašifrování spouštěcího záznamu trvá jen několik sekund, znepřístupnění dalších dat může zabrat i několik hodin. Proto je nutné po restartu počítače (který Petya vyžaduje) jej ihned vypnout. Právě v tomto okamžiku totiž zobrazí požadavek výkupného a započne šifrování dalších dat.

Zákeřná Karmen: Tento ransomware by dokázala ovládat i vaše babička
Zákeřná Karmen: Tento ransomware by dokázala ovládat i vaše babička
Opět však musíme připomenout především nutnost automatických aktualizací systému. Ty odstraní většinu bezpečnostních děr dřív, než je mohou útočníci zneužít. V případě malwaru šířeného pomocí nezáplatovaného SMB je provozování neaktualizovaného systému navíc značně nezodpovědné. Snadno může dojít k infekci dalších počítačů v síti.

Další velký útok ransomwaru zasáhl nezáplatované počítače. Nejvíce je postižena Ukrajina

28.6.2017 CNEWS.cz Viry
Útok je globální a napadá počítače různých institucí.

Včera večer bezpečnostní firmy informovaly o novém masivním útoku ransomwaru, který byl zahájen 27. června v odpoledních hodinách. Ačkoli je jde o globální akci, nejvíce jsou postiženy instituce v Ukrajině. Kromě řady různých soukromých firem byly zasaženy banky, energetické firmy, dopravní služby, ale také vláda.

Podle Esetu k dalším výrazněji postiženým patří Itálie, Izrael či Srbsko. Avast uvádí, že rychle přibývají výskyty v Rusku, Indii, Francii, Španělsku a Nizozemsku. Ransomware řádí též ve střední Evropě. České republika je devátým nejvíce zasaženým státem. Bezpečnostní experti a expertky odhadují, že se jedná o variantu škodlivého kódu s názvem Petya.

„Nový ransomware připomíná známý škodlivý kód Petya. Když se mu podaří infiltrovat do MBR (Master boot record), hlavního spouštěcího záznamu počítače, zašifruje celý disk. V opačném případě šifruje jednotlivé soubory, stejně jako ransomware Mischa,“ říká Robert Lipovský, analytik z Esetu. Podle této firmy je za data požadováno výkupné ve výši 300 dolarů. (Odpovídající částka je požadována v Bitcoinech.) Malware identifikuje jako Win32/Diskcoder.C Trojan.

„V současné době jsme zastavili 12 000 pokusů o útok této modifikace ransomwaru Petya, který zneužívá exploitu EternalBlue. Z našich dat také víme, že 38 milionů počítačů, které jsme zkontrolovali minulý týden, dosud nemají záplatovaný svůj software a jsou tedy potenciálně snadno zranitelné. Skutečný počet snadno napadnutelných počítačů ale bude ještě vyšší,“ uvádí Jakub Křoustek, bezpečnostní expert z Avastu.

Fabian RODES @FabianRODES
«Maman, pourquoi les gens ils quittent l'avion … pourquoi le film il marche plus !» #petya
19:21, 27. Jun. 2017
119 119 retweetů 65 65lajků
Twitter Ads info and privacy
Použité zranitelné místo

Ve hře je tedy opět díra v protokolu SMB, kterou nedávno zneužíval WannaCry. Záplata pro SMB je k dispozici od března, zjevně ale řada počítačů stále záplatována není. Mimochodem, Microsoft z Windows bude postupně odebírat protokol SMB1.

Nástroje využité při útoku

Současně je při útoku používán PsExec, nástroj na vzdálenou instalaci softwaru. Podle Check Pointu se do útoku možná zapojil také Loki Bot, jenž se zaměřuje na odcizování přihlašovacích údajů. Tímto malwarem se můžete nakazit přes upravený dokument RTF, jenž pomocí skriptu stáhne samotný malware. Zapojení Loki Botu je ale zatím nepotvrzené.

Průběh šíření infekce v lokální síti

Když Petya pronikne na počítač, proskenuje lokální síť pomocí žádosti protokolu ARP. Pomocí protokolu SMB pak komunikuje se stroji v této síti (které odpovídají), později zahájí ještě komunikaci pomocí protokolu HTTP. Komunikace končí v momentě, kdy jsou stroje zašifrovány. Takto v kostce průběh útoku popisuje Check Point.

Ransomware Petya žádá o výkupné (foto: Avast)
Závěr

Snímek obrazovky počítače po napadení ransomwarem nám nabídl Avast. Aktuální informace na Twitteru sdílela mj. Kateryna Kruk, známá politická aktivistka a politoložka. V jednom příspěvku popisuje, že její otec nemohl na čerpací stanici natankovat palivo. Potíže mělo např. také kijevské metro, jež nepřijímalo platební karty.

Co dodat? Kybernetické útoky mohou vážně narušit běžný život. Svět se přitom zřejmě od posledního útoku nepoučil dostatečně a instalace záplat je stále podceňována. Podceňovány mohou být také některé zásady bezpečnosti.

Sledovat
Kateryna_Kruk @Kateryna_Kruk
Just called my father. He says he couldn't buy fuel at a petrol station, the system is shut down.
Everyone is disoriented.
15:26, 27. Jun. 2017
76 76 retweetů 35 35lajků
Twitter Ads info and privacy
Sledovat
ArianaGic/Аріянॳць @GicAriana
What #Russia has hit in #cyberattack in #Ukraine SO FAR:
Government Ministry
Power grid
Banks
Media
Postal
Airport
Cell/internet providers
14:54, 27. Jun. 2017
67 67 retweetů 29 29lajků
Twitter Ads info and privacy
Sledovat
Kateryna_Kruk @Kateryna_Kruk
National Police was targeted too, but it withstood all attacks.#Ukraine #CyberAttack
15:30, 27. Jun. 2017
6 6 retweetů 9 9lajků
Twitter Ads info and privacy
Sledovat
Kateryna_Kruk @Kateryna_Kruk
New victims in #Ukraine #CyberAttack: Ministry of Interior Affairs, Kyiv City administration, Pension Fund of Ukraine(!!!)
15:22, 27. Jun. 2017
14 14 retweetů 10 10lajků
Twitter Ads info and privacy
Sledovat
Kateryna_Kruk @Kateryna_Kruk
Even #Kyiv metro is under cyber attack. Payments by banking cards aren't accepted. https://twitter.com/kyivmetroalerts/status/879670749149245440 …
14:53, 27. Jun. 2017
12 12 retweetů 2 2lajky
Twitter Ads info and privacy
Mimochodem, pamatujete na Microsoft, který nedávno uvolnil určité záplaty také pro své nepodporované operační systémy Windows Vista a XP? Tvrdil, že ví o blížícím se útoku. Jednalo se o opatření namířené právě proti včerejšímu globálnímu výskytu modifikovaného ransomwaru Petya? To zatím nevíme.

Masivní kybernetický útok nevyšel. Útočníci kvůli školácké chybě nevydělají ani korunu

28.6.2017 Novinky/Bezpečnost Viry
V úterý se začal internetem jako lavina šířit nový vyděračský virus Win32/Diskcoder.C Trojan. Útočníkům se však tento škodlivý kód nevyplatí, protože udělali školáckou chybu. Z napadených strojů tak nedostanou ani korunu.

Uživatelé napadení virem místo startu operačního systému uvidí tuto zprávu.
Většina vyděračských virů jsou poměrně sofistikované škodlivé kódy. Po zablokování počítače požadují výkupné, platba z každého napadeného účtu je přitom směřována do jiné bitcoinové peněženky. Vystopovat útočníky je tedy prakticky nemožné a stejně tak není reálné zablokovat jednotlivé transakce. Útočníkům z vyděračských virů plynou často i milióny korun.

V případě ransomwaru Win32/Diskcoder.C Trojan však útočníci tak chytří nebyli. S majiteli napadených počítačů totiž komunikují prostřednictvím e-mailu na serveru posteo.net. V podstatě každý, kdo chce odblokovat počítač, musí útočníkům napsat.

E-mail je zablokovaný
Právě to se ale provozovatelům serveru posteo.net nelíbilo, a tak e-mailovou schránku počítačových pirátů ještě v úterý večer zablokovali, stalo se tak pouhých pár hodin poté, co se vyděračský virus začal šířit internetem.

V současnosti proto prakticky není možné zaplatit výkupné, přestože to útočníci požadují. Už nyní je tak jisté, že i s ohledem na množství napadených strojů nevydělají v současnosti kyberzločinci ani jedinou korunu.

Ransomware Win32/Diskcoder.C Trojan napadl v úterý večer bankovní sektor, energetické i poštovní společnosti. Stejně tak ale útočil i v domácnostech. Nejvíce postižena je Ukrajina, do žebříčku deseti zemí, ve kterých virus řádil nejvíce, se nicméně dostala také Česká republika, jež je aktuálně na deváté příčce žebříčku.

Zákeřný vyděračský virus
Win32/Diskcoder.C Trojan je poměrně zákeřný škodlivý kód. Většina vyděračských virů totiž potřebuje k zašifrování dat na pevném disku poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dříve, než v počítači nadělají nějakou větší neplechu.

Nově objevená hrozba však funguje jiným způsobem. Na disku nezašifruje všechna data, ale pouze tzv. MBR (Master Boot Record). Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.

Na zašifrování MBR nepotřebuje nový vyděračský virus několik hodin, stačí mu pouze pár vteřin. Antiviry tak prakticky nemají šanci škodlivý kód zachytit. Hned po prvním restartu je pak problém na světě.

Počítačový virus zasáhl světové firmy, postižen byl i Černobyl

28.6.2017 Novinky/Bezpečnost Viry
Firmy v řadě evropských zemí se v úterý staly terčem kybernetického útoku. Postižena byla dánská přepravní společnost Maersk či ruský ropný gigant Rosněfť. Obzvláště rozsáhlý byl útok na Ukrajině, kde se terčem stala i jaderná elektrárna Černobyl, pošta, největší distribuční energetická společnost UkrEnergo i centrální banka.
Postižen byl americký nadnárodní potravinářský koncern Mondelez, přední přepravce Maersk, francouzský výrobce stavebnin St. Gobain, ruská ropná společnost Rosněfť, britská reklamní firma WPP či výrobce letadel Antonov.

Akce neidentifikovaných útočníků podle prohlášení napadených institucí na Ukrajině narušily jejich operace. Postižena byla i černobylská jaderná elektrárna, kde podle agentury AFP byli technici nuceni přerušit měření radioaktivity. Mezi dalšími postiženými podniky byla státní pošta, největší státem vlastněná banka Oschad bank, největší energetický distributor UkrEnergo a alespoň částečně i vládní počítačová síť.

Centrální banka uvedla, že se stala terčem „neznámého viru“, a v prohlášení dodala, že věří, že je proti kyberútokům dostatečně zabezpečená. Ruský Rosněfť musel kvůli útoku přejít na rezervní řídicí systém.

Podle agentury Interfax-Ukrajina se virus chová podobně jako vyděračský virus WannaCry, jehož původci po napadených požadovali výkupné. To pro stanici BBC potvrdil i počítačový expert z Univerzity v Surrey Alan Woodward.

„Zdá se, že je to verze vyděračského viru (ransomware), který se objevil loni. Zločinci ho počátkem letošního roku zaktualizovali, když došlo k porážce některých jeho aspektů. Ten ransomware se nazýval Petya a jeho aktualizovaná verze Petrwap,“ uvedl Woodward.

Analýza napadení ransomware: stačí otevřený port RDP a slabé heslo
28.6.2017 Root.cz Viry
Počátkem letošního roku byl proveden útok ransomwaru na Windows servery několika desítek firem. Situace byla vždy hodně podobná, ráno se začali ozývat uživatelé, že počítačové systémy jsou nedostupné.
Jak probíhalo napadení
Povolaní administrátoři systémů následně zjistili, že veškeré soubory jako dokumenty, obrázky, pdf, txt, rar, zip, kupodivu i exe, atd. ve všech adresářích (mimo adresáře Windows), včetně všech připojených síťových jednotek, jsou zašifrované. Protože většina administrátorů neodpojovala zálohovací zařízení, došlo i na zašifrování záloh. Koncovka upravených souborů se u každé napadené firmy lišila. Někde byla náhodně vygenerovaná, někde měla podobu .wallet. Na ploše serveru Windows bylo upozornění podobného znění:

ALL YOUR IMPORTANT FILES ARE ENCRYPTED. For more information, open the file „HOW TO DECRYPT FILES.html“ on the desktop or any other folder with encrypted files.
Tento soubor dále obsahoval kontaktní e-mail umístěný na nějaké exotické doméně (india.com, asia.com a další) a číslo bitcoinové peněženky, pro každý útok jedinečné. Při rozhovoru s administrátory těchto napadených systémů většina tvrdila, že jediný způsob, jak jejich systémy mohly být napadeny, byl přes e-mail. Incident se prý odehrál tak, že sekretářka otevřela zavirovaný e-mail a neštěstí bylo na světě. Bohužel, skutečnost byla jiná. Společným jmenovatelem asi 15 napadených serverů, které jsem měl možnost analyzovat, byl operační systém MS Windows ve verzích 2008, 2008R2, 2012 Server a Small Business Server. Dále byla spuštěna vzdálená plocha RDP na portu 3389.

Některé napadené firmy se pokusily kontaktovat útočníka na uvedeném e-mailu. Komunikace probíhala vždy v angličtině a vždy byla krátká, proto z ní nelze určit, zda angličtina je rodným jazykem útočníka. Reakční doba na e-mail byla vždy hodinu až dvě. Částka v bitcoinech byla různá, od 2 do 4 bitcoinů. Jedna z napadených firem dokázala usmlouvat částku za dešifrování souborů na 0,8 bitcoinu. Zaplatit či nezaplatit, je věčné dilema. Obecně je doporučováno neplatit a tím nepodporovat autory malwaru. Bohužel, pro některé firmy byla data natolik významná, že se rozhodly zaplatit.

Po zaplacení domluvené finanční částky v bitcoinech poškozené firmy obdržely e-mailem binární exe soubor, který administrátoři měli na napadeném systému spustit a tím zjistit jedinečné ID, které se mělo zaslat na útočníkům e-mail. Poté jim byl vygenerován unikátní binární exe soubor na dešifrování souborů. Číselné ID byl pravděpodobně veřejný klíč použité asymetrické kryptografie. Jak pachatelé slíbili, tak i splnili a firmy, které zaplatily, získaly zpět své soubory. Tím, že distribuoval soubory pro dešifrování přes email, vyhnul se útočník vytváření řídicích C&C serverů a tím v podstatě ušetřil.

Analýza dat
Od napadených firem byly vyžádány disky ze serverů (případně virtuální disky), netflow, log z hraničního routeru, případně další individuální data. Bohužel většina napadených firem neshromažďovala netflow, hraniční routery byly SOHO zařízení (případně VDSL modemy od operátora), takže síťových logů moc nebylo. Některé firmy byly omezeny kapacitou diskového prostoru, a proto smazaly napadené servery dříve, než se z nich mohla vytvořit záloha pro analýzu. Jak jsem již zmínil výše, ransomware vynechal adresář C:\Windows a díky tomu byly k dispozici Event Log EVTX (prohlížeč událostí).

Analýzou dat (celá probíhala v Linuxu) bylo zjištěno, že slabé místo napadených serverů byl otevřený port 3389, na který útočník provedl slovníkový útok. V několika případech byl před lety nainstalován čistý operační systém se slabým administrátorským heslem a poté byl stroj přidán do domény. Bohužel, slabé heslo administrátora již zůstalo. Dále v několika případech byla na pokyn vedení firmy vypnutá bezpečnostní politika hesel (složitost, uzamykání hesla apod.). V průběhu analýzy všech dat bylo zjištěno, že k těmto útokům kupodivu došlo již v průběhu října až prosince loňského roku, ale samotné šifrování dat proběhlo až z počátku roku 2017. První útok byl zaznamenán již v srpnu, kdy díky všímavosti administrátora systému nebyl dokončen.

Také bylo vidět, jak se útočník postupně zlepšuje. Ze začátku využíval účtu administrator nebo admin a postupně zjišťoval, že by se tím mohl lehce prozradit. Začal si vytvářet různé nové uživatele s různé názvy jako test, ss, system, adm.smallbusiness, diablo, ssystem, sbs1 a podobně.

Po úspěšném překonání hesla útočník využil napadený server ke svým účelům a nesnažil se po sobě ani příliš uklízet. Díky tomu byly nalezeny na ploše Windows různé nástroje jako aplikace na proklik reklam, nástroj pro distribuovaný útok na bitcoinovou směnárnu, IP skenery pro skenování rozsahu adres, nástroje RDPBrute pro slovníkový útok, GeoIP databáze s rozsahy IP adres pro sken, různé slovníky vhodné pro slovníkový útok a dále seznam proxy serverů pro anonymizaci. Některé tyto soubory měly názvy psané azbukou. Při vyhledání názvů v Google byly nalezeny odkazy ke stažení těchto souborů na ruských diskuzních fórech.

Aby nebyl útočník obtěžován hláškami antiviru, byly použity unlockery na odblokování zamčených souborů v systému. Díky tomu pak bylo možné smazat jakýkoliv zamčený soubor a tím mohl útočník jednoduše poškodit antivir tak, aby byl nefunkční. V okamžiku, kdy útočník server již nepotřeboval, vypnul službu shadow copy service (aby nebylo možné jednoduše obnovit soubory) a spustil ručně proces šifrování.

I zde v průběhu času došlo k vývoji. Ruční spouštění aplikací postupně nahrazovaly různé cmd a powershellové skripty. Samotný cryptoransomware potřeboval ke své činnosti nainstalované knihovny MS Visual C++ 2010 nebo novější. V jednom případě byl napaden hypervisor VMWaru, na kterém běžely jak MS Windows, tak i Linux. A jelikož pro linux neměl útočník funkční cryptoransomware, vymazal jednoduše celý virtuální server včetně virtuálního disku.

Všechny IP adresy, ze kterých byl proveden jak úspěšný, tak neúspěšný útok, byly analyzovány mimo jiné i v Shodanu, kdy bylo zjištěno, že většina útočících IP adres má otevřený port 3389 a tudíž se jedná o stejně napadené servery. IP adresy byly z celého světa, převládaly IP adresy z Ruska a Ukrajiny a dále z USA, Kanady, Iránu, Seychel atd. Dále byly využity anonymizéry StrongVPN a CyberGhost. Jedna IP adresa patřila lékařskému zařízení na ozařování onkologicky nemocných kdesi v Indonésii.

Poučení pro příště
Jelikož je provedení podobného útoku velmi jednoduché, mezi touto sérií se objevily dva odlišné případy, kdy byl po úspěšném ovládnutí systému spuštěn open-source software Diskcryptor, který se běžně používá pro legitimní šifrování diskového oddílu. Poté i tento útočník vyžadoval platbu v bitcoinech. Po úspěšném převodu peněz zaslal hesla, která byla ručně zadaná při šifrování oddílu. Složitost takových hesel nebyla nijak vysoká (max. 6 znaků), v jednom případě obsahovalo toto heslo dokonce pouze čísla.

Poučení pro všechny: Dle mého názoru nepatří žádná služba pro administraci celého firemního systému na veřejnou IP adresu. Pokud je nutný přístup z internetu, je potřeba použít VPN se silným ověřováním pomocí certifikátu (OpenVPN, L2TP/IPSec …). Dále je důležité se zamyslet nad zálohováním. Nestačí jen zálohovat, ale zároveň přemýšlet nad bezpečností a také integritou uložených záloh.

V době, kdy se tyto útoky rozeběhly (tj. leden 2017), jsem si udělal přehled v Shodan.io. Vyhledal jsem si IP adresy s otevřeným port 3389 v lokalitě jednoho krajského města. Ve výsledcích lze v Shodanu u některých IP adres vidět i uživatelská jména. Tím má potenciální útočník významně usnadněnou činnost. Stejné vyhledávání v Shodanu jsem zopakoval za tři měsíce a zjistil jsem nárůst otevřených portů 3389 (RDP) o 30 %, což je hodně znepokojivé. Pokud nezačnou administrátoři dbát více na bezpečnost, můžeme se v budoucnu dočkat dalších podobných útoků.

Nová globální epidemie ransomwaru tentokrát ohrožuje i Česko

28.6.2017 SecurityWorld Viry
Nový vyděračský malware útočí hlavně na větší firmy – ohrožený je tak bankovní sektor, energetické či poštovní společnosti.

Podle Esetu například Ukrajina hlásí mimořádné výpadky IT v bankovním sektoru, energetických rozvodných sítích a poštovních společnostech.

Mezi významně postiženými zeměmi je i Itálie, Izrael, Srbsko, ale také země střední a východní Evropy včetně České republiky. Ta byla při vrcholu nákazy na deváté příčce žebříčku nejvíce zasažených států.

Rozsah škod způsobených novým typem ransomware ještě nebyl potvrzen, experti včera nezaznamenali žádné zprávy o výpadcích dodávek elektrické energie, jako tomu bylo dříve u nechvalně proslulého malware Industroyer.

Útok se ale rozhodně nesoustředí jen na několik vybraných zemí, postiženo je i Španělsko, Indie a velké potíže hlásí dánská námořní společnosti Maersk či britská reklamní společnost WPP.

„Nový ransomware připomíná známý škodlivý kód Petya. Když se mu podaří infiltrovat do MBR (Master boot record), hlavního spouštěcího záznamu počítače, zašifruje celý disk. V opačném případě šifruje jednotlivé soubory, stejně jako ransomware Mischa,“ říká Robert Lipovský, analytik Esetu. Tvůrci kódu žádají od obětí platbu 300 dolarů, jinak napadená zařízení neodšifrují.

Také experti firmy Check Point potvrzují pravděpodobnou podobnost s ransomwarem Petya, který namísto šifrování jednotlivých souborů rovnou zašifruje celý pevný disk.

Check Point podle svých slov zjistil zapojení bota Loki, který byl použit ke krádežím přihlašovacích údajů. „Naše analýza potvrdila, že ransomware zneužívá pro své šíření SMB zranitelností,“ říká Daniel Šafář z Check Pointu.

To potvrzuje i Eset - nový ransomware se podle něj šíří prostřednictvím kombinace SMB exploitu, který využíval i nechvalně známý ransomware WannaCry, jehož útok zasáhl před více než měsícem na 200 milionů počítačů, a programu PsExec, což je nástroj pro vzdálenou instalaci a spouštění libovolných aplikací.

„Tato nebezpečná kombinace může být důvodem, proč se tato epidemie velmi rychle šíří po celém světě, a to i poté, co předchozí útok WannaCry široce medializoval problematiku ransomwaru a většina zranitelností již byla záplatována,“ vysvětluje Lipovský.

Škodlivému kódu podle něj stačí, aby infikoval jediný počítač a dostal se tak do firemní sítě, kde pak malware může získat administrátorská práva a šíří se do dalších počítačů.

Počítačový virus zasáhl světové firmy a snaží se je vyřadit z provozu

27.6.2017 Novinky/Bezpečnost Viry
Firmy v řadě evropských zemí se v úterý staly terčem kybernetického útoku. Postižena byla dánská přepravní společnost Maersk či ruský ropný gigant Rosněfť. Obzvláště rozsáhlý byl útok na Ukrajině, kde se terčem staly pošta, největší distribuční energetická společnost UkrEnergo i centrální banka.
Postižen byl americký nadnárodní potravinářský koncern Mondelez, přední přepravce Maersk, francouzský výrobce stavebnin St. Gobain, ruská ropná společnost Rosněfť, britská reklamní firma WPP či výrobce letadel Antonov.

Akce neidentifikovaných útočníků podle prohlášení napadených institucí na Ukrajině narušily jejich operace. Postižena byla státní pošta, největší státem vlastněná banka Oschad bank, největší energetický distributor UkrEnergo a alespoň částečně i vládní počítačová síť.

Centrální banka uvedla, že se stala terčem „neznámého viru“, a v prohlášení dodala, že věří, že je proti kyberútokům dostatečně zabezpečená. Ruský Rosněfť musel kvůli útoku přejít na rezervní řídicí systém.

Podle agentury Interfax-Ukrajina se virus chová podobně jako vyděračský virus WannaCry, jehož původci po napadených požadovali výkupné. To pro stanici BBC potvrdil i počítačový expert z Univerzity v Surrey Alan Woodward.

„Zdá se, že je to verze vyděračského viru (ransomware), který se objevil loni. Zločinci ho počátkem letošního roku zaktualizovali, když došlo k porážce některých jeho aspektů. Ten ransomware se nazýval Petya a jeho aktualizovaná verze Petrwap,“ uvedl Woodward.

Důvěřivce připraví o peníze. Virová hrozba se týká i Česka

25.6.2017 Novinky/Bezpečnost Viry
Je to už pěkně starý trik, ale evidentně funguje. A tak se kyberzločinci zkouší s vyděračskými viry napálit uživatele znovu a znovu. Nejprve jim zablokují počítač, údajně kvůli tomu, že používali nějaký nelegální software nebo stahovali autorsky chráněná díla. Za odemčení pak požadují zaplacení pokuty. Podobné triky zkouší počítačoví piráti také v Česku.
Vyděračské viry kolují internetem několik posledních let. I přesto se každý měsíc nechají na výzvu o zaplacení výkupného nachytat další a další lidé. Počítačovým pirátům se tak logicky vyplatí tyto nezvané návštěvníky šířit, a tak je nasazují stále častěji.

Globální síť pro zkoumání hrozeb SophosLabs sledovala chování různých vyděračských virů, které jsou označovány souhrnným názvem ransomware, několik posledních měsíců, konkrétně od října 2016 do dubna 2017. A výsledky ukazují, že nejčastěji se vyděračské viry šíří ve Velké Británii.

Česko na nižších příčkách, ale...
Nelichotivou druhou příčku obsadila Belgie, kterou na dalších pozicích následovaly Nizozemsko a Spojené státy americkými. Nezvaní návštěvníci se nevyhýbají ani tuzemským počítačům. Česku patří s podílem menším než jedno procento 66. příčka.

Přestože riziko nakažení je v tuzemsku výrazně nižší než v případě celé řady dalších evropských států, nevyplácí se rozhodně tuto hrozbu podceňovat. Útočníci totiž v napadených strojích dovedou udělat pěnou neplechu.

Útoky vyděračských virů jsou vždy na chlup stejné. Nejprve tito záškodníci zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Výkupné neplatit
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty.

Sluší se připomenout, že výkupné by ale lidé neměli platit, protože nemají žádné záruky, že data budou skutečně zpřístupněna. Z podobných případů, které se objevovaly v minulosti, dokonce vyplývá, že nedochází k odšifrování dat prakticky nikdy. Jediným řešením je počítač odvirovat, což však nemusí být jednoduché.

Ostražitost před vyděračskými viry připomněl v minulých týdnech škodlivý kód WannaCry. Ten napadl za pouhých pár hodin více než 300 000 počítačů v 150 zemích světa. Jen v České republice bylo přitom napadeno přes 600 stovek strojů, což bezpečnostní experti považují za úspěch – šíření tohoto ransomwaru v zahraničí bylo totiž daleko intenzivnější.

Vyděračský virus napadl továrnu Hondy

23.6.2017 Novinky/Bezpečnost Viry
V posledních týdnech nebylo o vyděračském viru WannaCry takřka slyšet. To ale neznamená, že by se i nadále nešířil internetem, právě naopak. Tomuto nezvanému návštěvníkovi se dokonce podařilo zavirovat důležité systémy v jedné japonské továrně automobilky Honda. Ta tak musela být uzavřena.
WannaCry útočil v polovině minulého měsíce. Tehdy zvládnul za pouhých pár hodin infikovat více než 300 000 počítačů ve 150 zemích světa.

Pak se po něm doslova slehla zem, kvůli čemuž patrně někteří uživatelé nabyli falešného pocitu bezpečí. Rozhodně to platí i o bezpečnostních expertech, kteří měli na starosti počítačové systémy v japonské Hondě.

Minulý týden se tak systémy této automobilky staly obětí právě vyděračského viru WannaCry. A to i přesto, že obrana před ním je relativně jednoduchá – stačí nainstalovat aktualizaci, která vstupu tohoto nezvaného návštěvníka do Windows zamezí.

Továrna ve městě Sayama, která jinak produkuje na tisícovku aut denně, tak musela být na několik dní odstavena.

Jak připomněl server Cnet, s vyděračským virem WannaCry má nepříjemné zkušenosti i další automobilka. Útok totiž již dříve postihl společný podnik Renault-Nissan. Tento koncern tak byl na čas nucen zastavit produkci například v Japonsku či Indii.

Jak probíhá útok viru WannaCry
WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Je však nutné zdůraznit, že ani po zaplacení výkupného uživatelé nemají jistotu, že se k datům dostanou.

WannaCry se začal internetem šířit v polovině května. Za pouhých pár hodin stihl nakazit více než 300 000 počítačů ve více než 150 zemích světa. Takřka polovina všech zachycených detekcí (45,07 %) připadá na Rusko. Je to dáno tím, že především v tamních chudých lokalitách ještě uživatelé hojně používají zastaralý operační systém Windows XP, který byl vůči škodlivému kódu WannaCry nejvíce zranitelný.

Druhou a třetí příčku pak zaujaly Ukrajina (11,88 %) a Tchaj-wan (11,55 %). Ostatní státy, které se dostaly v žebříčku nejpostiženějších zemí do první desítky, měly podíl tak v řádech jednotek procent. Šlo například o Egypt, Indii či Filipíny.

Česká republika zasažena jen okrajově
Česká republika skončila v přehledu s podílem 0,15 % až na 52. místě. Sluší se nicméně podotknout, že spodní příčky měly velmi podobný podíl až prakticky do konce žebříčku, který obsahovat 150 států. Například sousední Slovensko ale na tom bylo hůře – virus WannaCry tam měl podíl 0,26 %.

V Česku byly přitom infikovány stovky strojů. „Podle našich údajů počet infekcí překonal číslo 620,“ uvedl již dříve na dotaz Novinek Pavel Bašta, bezpečnostní analytik Národního bezpečnostního týmu CSIRT.CZ.

WannaCry už hrozbu nepředstavuje. Kvůli lajdácké práci počítačových pirátů

15.6.2017 Novinky/Bezpečnost Viry
Vyděračský virus WannaCry na začátku května vyděsil takřka celý svět. Tento škodlivý kód totiž za pouhých pár hodin stihl infikovat více než 300 000 počítačů ve 150 zemích světa. Jak však nyní ukázala detailní analýza tohoto nezvaného návštěvníka, počítačoví piráti při programování WannaCry odvedli lajdáckou práci. Udělali několik zásadních chyb, díky kterým je možné napadené soubory vrátit zpět.
Analýzu vyděračského viru WannaCry provedli bezpečnostní experti z antivirové společnosti Kaspersky Lab. Právě ti upozornili na to, že autoři tohoto malwaru při jeho vývoji udělali několik chyb, díky kterým je možné napadené soubory vrátit zpět.

Zmiňované chyby v kódu umožňují podle nich snadné obnovení zašifrovaných dat. To je možné pomocí volně dostupných nástrojů, jako je například WannaKey, o kterém Novinky.cz informovaly již dříve. [celá zpráva]

Lajdácká práce počítačových pirátů se ale ukázala na napadených strojích ještě daleko více. „Při procesu zpracování ‚read-only‘ souborů chyba vůbec neumožňuje tyto soubory zašifrovat. Místo toho malware vytvoří zašifrované kopie souborů, zatímco jejich originály zůstanou netknuté a jsou pouze skryté, což jde však snadno vrátit zpět. Jednoduše řečeno, malwaru se nepodaří originály smazat,“ popsal jednu z hlavních chyb ve WannaCry Anton Ivanov, bezpečnostní odborník společnosti Kaspersky Lab.

„S podobnými chybami jsme se už v minulosti několikrát setkali – autoři ransomwaru často dělají závažné chyby, které následně umožňují bezpečnostním systémům úspěšně navrátit napadené soubory. A právě to je i případ WannaCry – přinejmenším první a zároveň nejrozšířenější verze této ransomwarské rodiny. Pokud jím byl uživatelův počítač napaden, existuje velká šance na obnovu většiny souborů,” doplnil Ivanov.

Jak probíhá útok viru WannaCry
WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Je však nutné zdůraznit, že ani po zaplacení výkupného uživatelé nemají jistotu, že se k datům dostanou.

WannaCry se začal internetem šířit v polovině května. Za pouhých pár hodin stihl nakazit více než 300 000 počítačů ve více než 150 zemích světa. Takřka polovina všech zachycených detekcí (45,07 %) připadá na Rusko. Je to dáno tím, že především v tamních chudých lokalitách ještě uživatelé hojně používají zastaralý operační systém Windows XP, který byl škodlivým kódem WannaCry nejvíce zranitelný.

Druhou a třetí příčku pak zaujaly Ukrajina (11,88 %) a Tchaj-wan (11,55 %). Ostatní státy, které se dostaly v žebříčku nejpostiženějších zemí do první desítky, měly podíl tak v řádech jednotek procent. Šlo například o Egypt, Indii či Filipíny.

Česká republika zasažena jen okrajově
Česká republika skončila v přehledu s podílem 0,15 % až na 52. místě. Sluší se nicméně podotknout, že spodní příčky měly velmi podobný podíl až prakticky do konce žebříčku, který obsahovat 150 států. Například sousední Slovensko ale na tom bylo hůře – virus WannaCry tam měl podíl 0,26 %.

V Česku byly přitom infikovány stovky strojů. „Podle našich údajů počet infekcí překonal číslo 620,“ uvedl již dříve na dotaz Novinek Pavel Bašta, bezpečnostní analytik Národního bezpečnostního týmu CSIRT.CZ.

Čtyři dobré důvody, proč neplatit při útoku ransomwaru

10.6.2017 SecurityWorld Viry
Útoky ransomwaru jsou, jak se zdá, stále na vzestupu. Zde jsou čtyři dobré důvody, proč byste neměli za získání vašich dat zpět platit, a také jeden důvod, proč to lidé dělají.

Když se v důležitém systému objeví požadavek na zaplacení peněz, máte jen krátký čas na rozhodnutí, zda zareagovat na útok ransomwaru.

On-line vydírání je na vzestupu, protože zločinci používají různé útočné vektory včetně sad exploitů, škodlivých souborů a odkazů ve spamových zprávách, aby infikovali systémy pomocí ransomwaru.

Jakmile jsou všechny soubory zašifrované, může se oběť buď sama pokusit obnovit soubory, nebo zaplatit výkupné. Přestože existují určité výjimky, oběti jen zřídka dokážou prolomit šifrování a obnovit přístup. Mnohem častěji vyvolá úspěšný útok ransomwaru úplné smazání dotčených systémů a rychlé obnovení všeho z čistých záloh.

Ať už organizace zaplatí, nebo ne, výkupné není bezpečnostním rozhodnutím. Je to rozhodnutí obchodní. Placení totiž podporuje zločince v tom, aby příště znovu zaútočili. Nezaplacení znamená ušlý zisk při čekání na obnovení souborů personálem IT.

Není to snadná volba, ale čtěte dál o důvodech, proč je dobré výkupnéne zaplatit.

1. Stanete se větším cílem

Jak se říká: Nekrmte trolly, jinak budou provokovat, aby vyvolaly reakci. Ransomware je trochu podobný. Platba výkupného jen útočníky povzbudí.

Zločinci spolu mluví. Řeknou ostatním, kdo zaplatil výkupné a kdo ne. Jakmile se zjistí, že oběť platí, nic nezabrání dalším, aby se také nepokusili získat nějaké výkupné.

Další nebezpečí: Stejní útočníci se mohou vrátit. Když jste zaplatili jednou, proč byste nezaplatili znovu?

2. Zločincům nelze věřit

Spoléhat na zločince, že dodrží své slovo, je riskantní pokus. Vypadá to jako jednoduchá výměna – peníze za dešifrovací klíč. Neexistuje však žádný způsob, jak zjistit, zda lze vyděračskému gangu věřit, že dodrží svou část dohody. Mnoho obětí zaplatilo výkupné a zpět přístup ke svým souborům nezískalo.

Platí to oběma směry: Proč platit, když nelze očekávat, že získáte svá data zpět? Na pověsti záleží, a to i ve světě zločinu.

Gang CryptoWall je dobře známý pro své vynikající služby zákazníkům, jako jsou poskytnutí prodloužené lhůty pro získání výkupného, poskytování informací, jak získat bitcoiny (preferovaná metoda platby) či rychlé dešifrování souborů po zaplacení.

Ostatní rodiny malwaru, jako TeslaCrypt, Reveton a CTB-Locker, mají horší pověst. Komu lze skutečně věřit? Zjišťovat odpověď zaplacením není nejlepší strategie.

3. Vaše příští výkupné bude vyšší

Vyděrači obvykle nepožadují přehnané částky. Průměrné výkupné je mezi 300 až 1 000 dolary. Jak podléhá více organizací, zločincům roste sebevědomí a požadují vyšší částky. Je těžké stanovit tržní cenu dat, když oběti skutečně potřebují získat své soubory zpět.

Například zdravotnické zařízení Hollywood Presbyterian Medical Center zaplatilo 17 tisíc dolarů za obnovení přístupu ke svým systémům s elektronickými lékařskými záznamy.

To je doslova almužna ve srovnání s potenciální ztrátou obratu cca 534 tisíc dolarů v době, kdy se oddělení IT snažilo obnovit data a pacienti museli cestovat do jiných nemocnic, uvádí hrubý odhad Andrew Hay, ředitel zabezpečení informací ve společnosti DataGravity.

Nyní to bylo 17 tisíc, ale tento gang by snadno mohl příští týden požadovat 50 tisíc dolarů atd.

Je to jednoduchá ekonomika. Prodávající nastaví cenu na základě toho, co je kupující ochoten zaplatit. Pokud oběti odmítají platit, útočníci nemají důvod zvyšovat částky výkupného.

4. Povzbuzujete zločince

Vezměte to z dlouhodobého hlediska. Zaplacení výkupného umožní organizaci obnovit data, ale tyto peníze nepochybně podpoří další kriminální aktivitu. Útočníci mají více peněz na vývoj pokročilejších verzí ransomwaru a důmyslnějších mechanismů dodávek.

Mnoho gangů kyberzločinu funguje jako legitimní společnosti s více zdroji obratu a různými produktovými řadami. Peníze ze schémat ransomwaru lze použít k financování dalších útočných kampaní.

„Vždy je zde kus odpovědnosti za to, na co se peníze použijí,“ uvedl William Noonan, zástupce zvláštního agenta kybernetických operací tajné služby USA na přednášce Verizon RISK Team během nedávné konference RSA v San Francisku.

Placení výkupného problém přiživuje.

Jeden důvod zaplatit

Všechny argumenty uvedené výše jsou naprosto platné. Existuje však pádný důvod, proč mnoho obětí nakonec zaplatí: Potřebují své soubory zpět. A nemají na výběr.

Když ransomware zasáhne všechny spisy na policejním oddělení, není čas čekat na někoho, kdo by se pokusil prolomit šifrování a soubory obnovil. Když probíhá aktivní vyšetřování, může obnovení ze záloh trvat příliš dlouho.

Pomiňme příslovečné coby, kdyby. Když organizace nemá zavedenou dostatečně robustní zálohovací strategii pro obnovení souborů (nebo jsou zálohy poškozené též), je kázání o důležitosti prevence mimořádně neužitečné.

Mnoho obětí se může také rozhodnout zaplatit ze strachu, že pokud tak neučiní, může útočník způsobit v rámci odvety ještě větší škody.

Organizace, které se rozhodnou platit, nejsou samy. V nedávné studii Bitdefenderu polovina obětí ransomwaru uvedla, že zaplatily, a dvě pětiny respondentů uvedly, že by zaplatily, kdyby se do takové situace někdy dostaly.

Oborové odhady naznačují, že gang CryptoWall od června 2014 vymohl od svých obětí více než 325 milionů dolarů.

Pár gramů prevence...

Nelze dostatečně zdůraznit, že nepřetržité zálohy usnadňují organizacím obnovu po infikování ransomwarem bez nutnosti platit zločincům. Dobrá strategie zálohování obsahuje platformy Linux, Mac OS X i Windows.

Není to totiž jen záležitost systému Windows, protože došlo ke zjištění ransomwaru pro všechny tři operační systémy. A ani mobilní zařízení nejsou imunní. Přemýšlejte holisticky a nezávisle na platformách.

Pravidelně zálohujte a udržujte nedávnou záložní kopii mimo lokalitu a off-line. Zálohování na sdílené svazky nefunguje, pokud jsou připojené místně k počítači – ransomware dokáže k těmto souborům přistupovat také.

Po vytvoření zálohy odpojte USB disk, aby ransomware nemohl infikovat dané úložné zařízení. Pravidelně testujte zálohování, abyste zajistili, že jsou soubory archivované správně.

Období následující po infekci ransomwarem není časem pro zjišťování, že kritické soubory nebyly uložené a úlohy nebyly spuštěné včas.

Mnoho útoků ransomwaru spoléhá na škodlivé přílohy e-mailů a na odkazy ve spamových e-mailech. Zajistěte, aby všichni, od řadových zaměstnanců přes IT personál až po nejvyšší manažery, znali základy: Neklikat na odkazy bez ověření, že jde o legitimní e-mail.

Dobré je také ověřit zprávu před otevřením přílohy, a pokud dokument požaduje povolení maker, tak to neumožnit.

Mohl by být dobrý nápad nainstalovat prohlížeče dokumentů Microsoft Office, aby bylo možné zkontrolovat soubory bez jejich otevření v aplikacích Word a Excel – ztíží to tak spouštění škodlivého kódu.

Udržujte veškerý software v aktuálním stavu. Mnoho kitů pro tvorbu exploitů spoléhá na neopravené zranitelnosti v populárních aplikacích, jako jsou Microsoft Office, Internet Explorer a Adobe Flash.

Nainstalujte tyto aktualizace, jakmile to bude možné. Pro útočníky zvyšte obtížnost instalace ransomwaru do počítače prostřednictvím útoku typu drive-by-download.

Za celosvětovým vyděračským virem stál teprve 14letý mladík. Skončil v poutech

8.6.2017 Novinky/Bezpečnost Viry
Pod pojmem hacker si většina lidí pravděpodobně představí nějakého počítačového experta, který po studiích na vysoké škole zběhnul na temnou stranu. Jenže ve skutečnosti mohou hackerské dovednosti ovládat bez nadsázky doslova děti. V Japonsku například kvůli šíření obávaných vyděračských virů zadrželi teprve 14letého mladíka.
Informoval o tom server The Hacker News. V souvislosti s vyděračskými viry, které jsou často označovány souhrnným názvem ransomware, zadrželi hackera v Japonsku vůbec poprvé. Na tom by patrně nebylo nic tak překvapivého, pokud by v poutech neskončil teprve náctiletý mladík.

Zatím žádnému hackerovi, na kterého si došlápla policie, totiž nebylo méně než 15 let.

Pikantní na celé kauze je, že mladík zákeřný škodlivý kód nejen šířil v prostředí internetu, ale zároveň jej skutečně i sám naprogramoval. A to není tak snadné, jak by se mohlo na první pohled zdát. Jeho znalost programování tak musela být na poměrně slušné úrovni.

Toužil po penězích a slávě
Motivace k takovému činu byla u japonského hackera jasná. Toužil po penězích, neboť od svých obětí požadoval za odemčení počítače a zpřístupnění dat i zaplacení výkupného.

Nakonec mu ale jeho úspěch stoupl tak do hlavy tak, že se na sociálních sítích začal chlubit, jak je úspěšný – kolik počítačů zaviroval a kolik peněz díky tomu vydělal. Aby všem dokázal, že za vyděračským virem stojí skutečně on, dokonce na internet nahrál i jeho zdrojový kód.

Svým neopatrným chováním nakonec všechny důkazy naservíroval ochráncům zákona jak na zlatém podnosu. Ti jej pak obvinili z šíření počítačových virů a infikování více než stovky počítačů.

Jaký trest mladíkovi hrozí, není v tuto chvíli jasné. Policie se totiž k případu nechce s ohledem na velmi nízký věk hackera vůbec vyjadřovat.

Strašák jménem WannaCry
Jak nebezpečné dokážou vyděračské viry být, ukázal minulý měsíc rozsáhlý útok škodlivého programu WannaCry. Vir, který zašifruje soubory na počítači a bez zaplacení výkupného je neuvolní, infikoval odhadem na 300 000 počítačů ve 150 zemích světa.

WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Je však nutné zdůraznit, že ani po zaplacení výkupného uživatelé nemají jistotu, že se k datům dostanou.

Vyděračské viry AES-NI a XData už neděsí. Bezpečnostní experti mají lék

8.6.2017 Novinky/Bezpečnost Viry
Hned na dva vyděračské viry vyzráli bezpečnostní experti. Hrozbu pro uživatele tak již škodlivé kódy AES-NI a XData nepředstavují, neboť odborníci z antivirové společnosti Eset vytvořili nástroj, pomocí kterého je možné tyto záškodníky ze systému vyhnat a uzamčená data zpřístupnit i bez placení výkupného.
Bezpečnostním expertům pomohli anonymní uživatelé, kteří zveřejnili na jednom diskuzním fóru zabývajícím se pomocí obětem vyděračských virů kódy, pomocí nichž je možné data odšifrovat.

Právě s jejich pomocí byl pak vytvořen dešifrovací nástroj. „Ten funguje na soubory zašifrované klíčem RSA, který používá verze ransomware AES-NI B, jež přidává k napadeným souborům přípony .aes256, .aes_ni a .aes_ni_0day, a také na data zašifrovaná ransomwarem ve verzi XData,“ přiblížil technickou stránku věci Pavel Matějíček, manažer technické podpory společnosti Eset.

Stahovat dešifrovací nástroj je možné zdarma na stránkách tvůrců.

Zašifrují data, chtějí výkupné
Na napadeném stroji dokážou oba vyděračské viry udělat pěkný nepořádek. Nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.

Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.

Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

WannaCry pro Windows 10? Potenciálně ano, ale jen pro starší verzi 1511

8.6.2017 CNEWS.cz Viry
Bezpečnostní firma naportovala exploit, jenž využívá WannaCry, na Windows 10. Ukazuje se, že nové verze Windows jsou skutečně bezpečnější.

Vzpomenete si ještě na WannaCry? Tento ransomware začal zhruba v polovině válcovat organizace po celém světě a ukázal, že nejsou dodržovány základy bezpečného chování v kybernetickém prostoru. V podstatě napadal jen počítačů s Windows 7. Ikspéček v tomto ohledu byla nezajímavá, v případě Desítek pro změnu Microsoft tvrdil, že je tento systém vůči ransomwaru imunní.

To vedle ke spekulacím, proč tomu tak je. Kolega Lukáš Václavík se v podcastu zamyslel nad tím, jestli to není dané povinností instalovat servisní aktualizace. Nebo se systému díra vůbec nenacházela? Nebo se v něm nacházela, ale jiné ochranné mechanismy neumožnily její zneužití? Protože příslušná záplata vyšla i pro Windows 10, měl minimálně z části pravdu Lukáš. Nedokáži ověřit, zda by WannaCry dokázal proniknout do Desítek bez záplaty.

Komentář: Vyhýbáte se aktualizacím? Jste nezodpovědní a ohrožujete společnost

Ten, kdo WannaCry vypustil, k průnikům do počítačů využil exploit EternalBlue, jenž vytvořila NSA. (V poslední době uniká rovněž řada hackovacích materiálů vytvořených CIA. Známé jsou pod souhrnným označením Vault 7.) Bezpečnostní firma RiskSense zveřejnila analýzu tohoto exploitu a co víc, EternalBlue naportovala na Windows 10. Netřeba se děsit k smrti, protože se nejedná o crackery, kteří by měli zájem exploit co nejrychleji vypustit do veřejného prostoru a začít zneužívat.

RiskSense se zaměřil na Windows 10 v1511 v 64bitové edici. Především ale použil systém bez výše odkázané záplaty, která je od března k dispozici. Report uvádí, že pro Windows XP, Vista a 7 neexistují účinná opatření proti zneužití díře – v tomto případě je jediné účinné řešení instalace záplaty. Pro Desítky pak platí, že díky dodatečným prvkům zabezpečení tento systém nelze zneužít tak snadno.

Poslední verze Windows 10, kterou lze zneužít, je právě 1511. (Najdete ji jen na 4,6 % počítačů s Windows 10; verzi 1507 pak na 1,6 %.) Stroje s Windows 10 v1607 jsou schopné zneužiti díry zabránit díky prvku náhodnosti přidaného do položek tabulky stránek. Bez něj bylo možné překonat funkci DEP. Pro Windows 10 v1703 navíc platí, že přidává prvek náhodnosti v souvislosti s hardwarovou abstraktní vrstvou (příslušná knihovna je jednou z prvních, která se při bootování nahrává do paměti).

Jednoduše řečeno je tak zabráněno dalším možnostem, jak do systému proniknout. Report tak potvrdil, že to nebyly plané řeči, když Microsoft řekl, že Desítky nelze napadnout. Jsou bezpečnější jednak díky tomu, že měl každý nainstalovanou záplatu, jednak je samotný systém skutečně lépe zabezpečený díky novým ochranným prvkům. Pokud vás otázky ze druhého odstavce trápily, můžete teď v klidu spát. Eventuálně si přečtěte celý report, který je ovšem poměrně obsáhlý.

Nejrozšířenějším kybernetickým hrozbám kraluje virus Danger

7.6.2017 Novinky/Bezpečnost Viry
Hned několik měsíců po sobě byl v loňském i letošním roce nejrozšířenějším virem na světě škodlivý kód Danger. A situace se příliš nezměnila ani v květnu, kdy tento nezvaný návštěvník představoval nejčastější bezpečnostní hrozbu na českém internetu. Vyplývá to z pravidelné měsíční statistiky antivirové společnosti Eset.
„Zpětná analýza potvrdila naše dřívější tvrzení ohledně reálného dopadu ransomwaru WannaCry, který se České republice vyhnul. Obava uživatelů tedy nebyla na místě – hrozba byla jednak včas detekována a Česko navíc nebylo primárním cílem této kampaně. Na druhou stranu to však přimělo řadu firemních i domácích uživatelů k tomu, aby si uvědomili, že takové hrozby jsou reálné a je třeba přistupovat k IT bezpečnosti odpovědně,“ konstatoval Miroslav Dvořák, technický ředitel společnosti Eset.

Podle něj byl tak v uplynulém měsíci nejrozšířenější hrozbou právě Danger s téměř čtvrtinovým podílem. Tento virus, plným názvem JS/Danger.ScriptAttachment, je velmi nebezpečný. Otevírá totiž zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry z rodiny ransomware.

Téměř desetinu detekovaných hrozeb pak představoval adware AztecMedia. „Jde o aplikaci, která je určena k doručování nevyžádaných reklam. Její kód se vkládá do webových stránek a uživateli otevírá v prohlížeči nevyžádaná pop-up okna nebo bannery s reklamou,“ vysvětluje Dvořák. Tento adware je nepříjemný i v tom, že dokáže bez vědomí uživatele změnit domovskou stránku internetového prohlížeče.

Zpomaluje počítač
„Adware ale není vir, uživatel musí s jeho instalací souhlasit. Obvykle se maskuje za užitečný doplněk internetových prohlížečů, který slibuje výrazné zrychlení práce s internetem. Opak je ale pravdou, adware počítač zpomaluje, protože ho zaměstnává otevíráním nevyžádaných reklam,“ upřesnil Dvořák.

Na třetí příčce nejčastěji detekovaných hrozeb se pak v květnu umístil trojský kůň Chromex, který přitom ještě o měsíc dříve atakoval nejvyšší příčku žebříčku. „Nyní je však již na ústupu, jeho podíl na květnových hrozbách činil 7,62 procenta oproti téměř 20 procentům v dubnu. Chromex se šíří prostřednictvím neoficiálních streamovacích stránek a může přesměrovat prohlížeč na konkrétní adresu URL se škodlivým softwarem,“ uzavřel Dvořák.

Přehled deseti nejrozšířenějších virových hrozeb za uplynulý měsíc naleznete v tabulce níže:

Top 10 hrozeb v České republice za květen 2017:
1. JS/Danger.ScriptAttachment (21,39 %)
2. JS/Adware.AztecMedia (8,81 %)
3. JS/Chromex.Submeliux (7,62 %)
4. Win32/GenKryptik (4,37 %)
5. JS/TrojanDownloader.Nemucod (3,77 %)
6. Java/Adwind (3,62 %)
7. Win32/Adware.ELEX (2,85 %)
8. PDF/TrojanDropper.Agent.AD (2,65 %)
9. Java/Kryptik.BK (2,59 %)
10. PDF/TrojanDropper.Agent.Z (2,04 %

Data zašifrovaná ransomwarem AES-NI a XData lze snadno dekódovat

7.6.2017 SecurityWorld Viry
Nástroj pro dešifrování zařízení napadených ransomwarem AES-NI, jejichž soubory byly zakódované škodlivými kódy Win32 / Filecoder.AESNI.B a Win32 / Filecoder.AESNI.C (známými také jako XData), představil Eset.
Dešifrovací nástroj proti AES-NI je založen na klíčích, jež byly nedávno zveřejněné na sociální síti Twitter a na internetovém fóru, které pomáhá obětem ransomwaru.

„Dešifrovací nástroj funguje na soubory zašifrované klíčem RSA, který používá verze ransomware AES-NI B, jež přidává k napadeným souborům přípony .aes256, .aes_ni a .aes_ni_0day, a také na data zašifrovaná ransomware ve verzi XData,“ vysvětluje Pavel Matějíček, manažer technické podpory v Esetu.

Oběti, jejichž soubory jsou stále zašifrované těmito variantami ransomware, si mohou stáhnout dešifrovací program zde.

WannaCry v Česku nezlobil, Danger byl mnohem efektivnější

5.6.2017 SecurityWorld Viry
Kromě škodlivého kódu Danger byste si měli dát pozor i na nevyžádanou reklamu AztecMedia, která bez souhlasu uživatele mění domovskou stránku prohlížeče.

Zavirované přílohy e-mailů, které obsahují škodlivý kód Danger, byly i v květnu nejčastější bezpečnostní hrozbou na českém internetu. Představovaly víc než každou pátou detekci pokusu o průnik do počítačů. Konkrétně šlo o 21,39 procenta případů.

Ransomware WannaCry, který byl v uplynulých týdnech v popředí zájmu, se na celkovém počtu hrozeb podílel pouze 0,15 procenty. V uplynulém měsíci ale výrazně přibývalo případů nevyžádané internetové reklamy, tzv. adware. Vyplývá to z pravidelné měsíční statistiky společnosti Eset.

„Zpětná analýza potvrdila dřívější tvrzení ohledně reálného dopadu ransomwaru WannaCry, který se České republice vyhnul. Obava uživatelů tedy nebyla na místě – hrozba byla jednak včas detekována a Česko navíc nebylo primárním cílem této kampaně. Na druhou stranu to však přimělo řadu firemních i domácích uživatelů k tomu, aby si uvědomili, že takové hrozby jsou reálné a je třeba přistupovat k IT bezpečnosti odpovědně,“ popisuje Miroslav Dvořák, technický ředitel Esetu.

Téměř desetinu detekovaných hrozeb představoval adware AztecMedia. „Jde o aplikaci, která je určena k doručování nevyžádaných reklam. Její kód se vkládá do webových stránek a uživateli otevírá v prohlížeči nevyžádaná pop-up okna nebo bannery s reklamou,“ vysvětluje Dvořák. Tento malware je nepříjemný i v tom, že dokáže bez vědomí uživatele změnit domovskou stránku internetového prohlížeče.

„Adware ale není vir, uživatel musí s jeho instalací souhlasit. Obvykle se maskuje za užitečný doplněk internetových prohlížečů, který slibuje výrazné zrychlení práce s internetem. Opak je ale pravdou, adware počítač zpomaluje, protože ho zaměstnává otevíráním nevyžádaných reklam,“ upřesňuje Dvořák.

AztecMedia v květnu představoval 8,81 procenta všech detekovaných internetových hrozeb v České republice a v žebříčku škodlivých kódů se umístil na druhém místě hned za malware Danger.

Třetí nejčetnější kybernetickou hrozbou byl v květnu trojský kůň Chromex, který během dubna atakoval nejvyšší příčku žebříčku Esetu. Nyní je však již na ústupu, jeho podíl na květnových hrozbách činil 7,62 procenta oproti téměř 20 procentům v dubnu. Chromex se šíří prostřednictvím neoficiálních streamovacích stránek a může přesměrovat prohlížeč na konkrétní adresu URL se škodlivým softwarem.

Top 10 hrozeb v České republice za květen 2017:

1. JS/Danger.ScriptAttachment (21,39 %)

2. JS/Adware.AztecMedia (8,81 %)

3. JS/Chromex.Submeliux (7,62 %)

4. Win32/GenKryptik (4,37 %)

5. JS/TrojanDownloader.Nemucod (3,77 %)

6. Java/Adwind (3,62 %)

7. Win32/Adware.ELEX (2,85 %)

8. PDF/TrojanDropper.Agent.AD (2,65 %)

9. Java/Kryptik.BK (2,59 %)

10. PDF/TrojanDropper.Agent.Z (2,04 %)

Zdroj: Eset, červen 2017

Nový virus z Číny napadl celosvětově 250 miliónů PC, i v ČR

1.6.2017 Novinky/Bezpečnost Viry
Na internetu se rychle rozšířil škodlivý program Fireball původem z Číny, který nakazil na celém světě 250 miliónů počítačů. V České republice hrozba infikovala přes 18 procent organizací a firem. Uvedla to ve čtvrtek antivirová firma Check Point, která hrozbu odhalila.
Fireball v počítači oběti přebírá kontrolu nad webovými prohlížeči a ovládá je. Má schopnost spouštět jakýkoli kód na infikovaných počítačích a stahovat jakýkoli soubor nebo škodlivý program. Zároveň dokáže převzít kontrolu a manipulovat s webovým provozem pro generování zisků z reklamy.

Za celou operací stojí digitální marketingová agentura Rafotech se sídlem v Pekingu, uvedl Check Point. Rafotech používá Fireball k manipulaci webových prohlížečů a změnám výchozích vyhledávačů a domovských stránek na falešné vyhledávače, které jednoduše přesměrují dotazy na yahoo.com nebo google.com.

Falešné vyhledávače také sbírají osobní informace o uživatelích. Fireball může mimo jiné špehovat oběti, instalovat nové škodlivé programy nebo spouštět škodlivé kódy na infikovaných počítačích, což vytváří masivní bezpečnostní chybu v postižených strojích a sítích.

Nejvíce počítačů hrozba infikovala v Indii, kde bylo nakaženo deset procent všech PC, a v Brazílii, kde nákaza dosáhla 9,6 procenta.

Stařičký Windows XP odolal WannaCry i bez aktualizace. Zachránila ho modrá obrazovka smrti
1.6.2017 Živě.cz Viry

Stařičký Windows XP odolal WannaCry i bez aktualizace. Zachránila ho modrá obrazovka smrti
Vlna zákeřného vyděračského malwaru WannaCry už pominula a v bezpečnostní firmě Kryptos se rozhodli zpětně prověřit zranitelnost jednotlivých verzí operačního systému v simulovaném běžném provozu počítače. A došli k překvapivému závěru - starý systém Windows XP kupodivu odolával. Sice obsahoval zneužitou bezpečnosntí díru, ale systém při pokusu malwaru o spuštění škodlivého kódu zkolaboval a proceduru tak přerušil.

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update
Průvodcem viru WannaCry na systému Windows XP tak byl pád systému zakončený tzv. „modrou obrazovkou smrti“. Pro uživatele tohoto systému nic neobvyklého. Po restartu byl pak systém opět čistý. Virus sice bylo možné zavést manuálně, ale jeho automatizovanou rutinou ne.

Testy probíhaly na Windows XP Service Pack 2 a Windows XP Service Pack 3. Dále se sledovala odolnost novějších systémů včetně serverových verzí. Ty už jsou stabilnější a instalaci WannaCry přečkaly bez úhony. Což jim ale bylo v tomto případě na škodu.

Ačkoli z aktuální bezpečnostní aféry vyšel Windows XP jako odolný hrdina, je potřeba si uvědomit, že za imunitu vůči WannaCry nevděčí abnormální odolnosti, ale paradoxně naopak slabosti. Starý nestabilní a nepodporovaný systém je v součtu pochopitelně daleko nebezpečnější než aktuální aktualizované verze.

Zatímco se svět děsil WannaCry, Microsoft v tichosti opravil „největší chybu historie“
WannaCry už v tuto dobu nepředstavuje žádné větší riziko. Všechny dotčené verze systému byly opraveny aktualizací. A mimořádnou bezpečnostní aktualizaci dostaly dokonce i Windows XP.

První stopy nebyly správné. Za vyděračským virem WannaCry podle expertů stojí Číňané

30.5.2017 SecurityWorld Viry
Za vyděračským virem WannaCry, který v polovině května napadl přes 300 000 počítačů ve více než 150 zemích světa, stojí údajně Číňané. Původně přitom dvě na sobě nezávislé antivirové společnosti uvedly, že stopy vedou do Severní Koreje. Nové vyšetřování bezpečnostních expertů z firmy Flashpoint však nasvědčuje tomu, že první indicie byly chybné, uvedl server BBC.
K takovému závěru došli bezpečnostní experti možná až překvapivě snadno. Ukázalo se totiž, že pouze čínská verze viru WannaCry obsahuje správnou interpunkci a gramatiku napříč celou výzvou o zaplacení výkupného.

Počítačoví piráti tak s největší pravděpodobností pocházeli podle expertů právě z Číny, neboť v ostatních jazykových mutacích byly chyby. Skoro to prý vypadalo, jako kdyby texty kyberzločinců byly z čínštiny pouze přeloženy pomocí nějakého automatického překladače.

Část kódu si jen vypůjčili
Původně se přitom bezpečnostní experti domnívali, že za vyděračským virem stojí hackeři ze Severní Koreje. Dvě antivirové společnosti – Kaspersky Lab a Symantec – totiž nezávisle na sobě zjistily, že část zdrojového kódu tohoto vyděračského viru se velmi podobá některým programům, které jsou používány hackerskou skupinou Lazarus.

O té se již delší dobu spekuluje, že jde o krycí jméno pro skupinu kybernetických expertů, kteří pracují pro Severní Koreu. Tamní režim to však nikdy oficiálně nepotvrdil.

Nyní se však spíše zdá, že kyberzločinci si pro WannaCry pouze vypůjčili část zdrojového kódu od kolegů ze Severní Koreje a že skuteční útočníci pocházejí z Číny. Oficiálně se nicméně k útoku stále ještě nikdo nepřihlásil.

Nejvíce virus zasáhl Rusko
WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Nejvíce útočil tento nezvaný návštěvník v Rusku, odkud pochází takřka polovina všech zachycených detekcí (45,07). Je to dáno tím, že především v tamních chudých lokalitách ještě uživatelé hojně používají zastaralý operační systém Windows XP, který byl proti škodlivému kódu WannaCry nejvíce zranitelný.

Druhou a třetí příčku pak zaujaly Ukrajina (11,88 %) a Tchaj-wan (11,55 %). Ostatní státy, které se dostaly v žebříčku nejpostiženějších zemí do první desítky, měly podíl v řádech jednotek procent.

Česká republika skončila v přehledu s podílem 0,15 % až na 52. místě. Sluší se nicméně podotknout, že spodní příčky měly velmi podobný podíl až prakticky do konce žebříčku, který obsahoval 150 států. Například sousední Slovensko však na tom bylo hůře – virus WannaCry tam měl podíl 0,26 %.

Mobilního ransomwaru dramaticky přibylo, varovali bezpečnostní experti

30.5.2017 Novinky/Bezpečnost Viry
Vyděračské viry, které jsou označovány souhrnným názvem ransomware, dokážou pěkně potrápit majitele klasických počítačů. Stejnou neplechu ale dokážou udělat tito nezvaní návštěvníci také ve smartphonech a tabletech. A právě na mobilní zařízení se zaměřují kyberzločinci stále častěji, jak upozornili bezpečnostní experti antivirové společnosti Kaspersky Lab.
„V průběhu prvních tří měsíců tohoto roku se objem mobilního ransomwaru více než ztrojnásobil,“ uvedli bezpečnostní experti.

V prvním čtvrtletí letošního roku tak množství detekovaných souborů mobilního ransomwaru vystoupalo na číslo 218 625. Přitom ještě na konci loňského roku bylo detekováno pouze 61 832 mobilních vyděračských virů.

Útočí stejně jako na PC
Vyděračské viry se chovají na napadených mobilech stejně agresivně jako na klasických počítačích. Dokážou zašifrovat celou paměť zařízení a smartphone nebo tablet uzamknou tak, aby jej nebylo možné používat.

Za zpřístupnění uložených dat pak požadují výkupné. To se často může pohybovat v řádech několika tisíc korun. Přitom ani po zaplacení zmiňované částky uživatelé nemají jistotu, že se k uloženým datům skutečně dostanou. Podvodníci totiž v některých případech jednoduše vezmou peníze a už se nikdy neozvou.

Výkupné by tedy uživatelé neměli naopak platit nikdy. Jedinou šancí, jak se k zašifrovaným datům dostat, je zařízení odvirovat. To ale není vůbec jednoduchý proces a v některých případech se to nemusí ani podařit.

Spojené státy zasaženy nejvíce
V prvním čtvrtletí letošního roku se velmi často šířily různé modifikace škodlivých kódů z rodiny Congur. „Primárním cílem ransomwarové rodiny Congur je zabránit uživateli v přístupu do zařízení. Přenastavením nebo obnovením jeho PIN (hesla) k němu získává administrátorská práva. Některé varianty malwaru navíc tato práva zneužívají k nainstalování svých modulů do systémové složky, odkud je téměř nemožné je odstranit,“ podotkli bezpečnostní experti.

„Navzdory oblibě rodiny Congur zůstal Trojan-Ransom.AndroidOS.Fusob.h nejrozšířenějším mobilním ransomwarem. Byl odpovědný za 45 % útoků tohoto typu v prvním čtvrtletí 2017. Hned po svém spuštění vyžaduje tento trojan administrátorská oprávnění a zároveň sbírá informace o zařízení včetně GPS lokace a historie hovorů. Tato data poté nahraje na podvodný server. Ten na základě obdržených informací může vydat příkaz k zablokování zařízení,“ konstatovali bezpečnostní experti.

Podle nich byly zemí s největším počtem infikovaných mobilních zařízení během prvního letošního čtvrtletí Spojené státy.

Mapa zemí, kde se mobilní ransomware šířil nejčastěji.
FOTO: Kaspersky Lab

Malware EternalRocks je ještě vážnější hrozbou než WannaCry

26.5.2017 SecurityWorld Viry
Trend Micro varuje před zákeřným síťovým červem EternalRocks hackerské skupiny Shadowbroker, který využívá více škodlivých kódů než WannaCry.

SpolečnostTrend Micro varuje před novým malwarem EternalRocks. O hrozbě informovalo i Národní centrum kybernetické bezpečnosti. EternalRocks nepoužívá, na rozdíl od ransomwaru WannaCry, pouze dva uniklé nástroje Národní bezpečnostní agentury (NSA) EternalBlue a DoublePulsar. Využívá dalších pět: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch a SMBTouch. Šíří se zneužíváním chyb v protokolu SMB pro sdílení souborů v OS Windows.

Nový kmen malwaru poprvé identifikoval Miroslav Stampar, bezpečnostní výzkumník a člen chorvatského vládního bezpečnostního týmu. Zjistil, že EternalRocks funguje ve dvou fázích. Nejprve stáhne TOR klienta, kterého použije jako komunikační kanál a odešle na Command & Control server. Z něj překvapivě nepřijde odpověď hned, ale až za 24 hodin, což je zřejmě kvůli tomu, aby malware oklamal sandbox a bezpečnostní analýzu.

Odpověď přijde ve formě hlavního komponentu taskhost.exe, která vygeneruje zazipovaný soubor shadowbroker.zip s nástroji NSA. Po rozbalení souboru začne EternalRocks skenovat internet a hledat systémy s otevřeným portem 445, který slouží jako brána pro síťového červa. Některé zranitelnosti zneužité EternalRocks byly vyřešeny březnovou aktualizací Microsoftu MS17-010.

Na rozdíl od WannaCry nevypadá na první pohled EternalRocks tak nebezpečně, protože nemá žádný škodlivý dopad – nepožaduje výkupné ani nezamyká soubory. Skrývá ovšem nebezpečný potenciál, jakmile by někdo malwaru využil a udělal z něj zbraň. EternalRocks navíc nemá zabudovaný „kill switch“, díky kterému by jej bylo možné jednoduše vypnout.

Koho tedy nedonutil ani útok WannaCry aktualizovat svůj systém, toho snad přesvědčí potenciálně ještě nebezpečnější malware EternalRocks. Vzhledem k tomu, že využívá stejných exploitů jako WannaCry, měli by uživatelé a síťoví administrátoři své systémy bezprostředně aktualizovat a zabezpečit. U obou hrozeb se vyplatí myslet na to, že prevence je snazší než odstranění následků prohraného boje s malwarem.

České nemocnice jsou na útoky ransomware zoufale nepřipraveny, varuje expert

25.5.2017 Novinky/Bezpečnost Viry
Česká republika má štěstí, že nebyla v hledáčku tvůrců škodlivého kódu WannaCry. Tuzemská zdravotnická zařízení by dopadla hůře než v Británii.
Úroveň zabezpečení českých nemocnic a dalších zdravotnických zařízení proti kybernetickým útokům je naprosto zoufalá a trvale nedostatečná. Na konferenci Kyberkriminalita a ochrana soukromí, kterou v úterý pořádal Ústavně-právní výbor Senátu ve spolupráci s Národním centrem bezpečnějšího internetu, to řekl Aleš Špidla z Českého institutu manažerů informační bezpečnosti. Útok škodlivého kódu WannaCry, který potrápil britská zdravotní střediska a zasáhl celý svět, by podle Špidly způsobil českým nemocnicím mnohem větší škody.

„Navštívil jsem mnoho nemocnic a vůbec se nedivím, že mají tak velký problém s ransomware WannaCry. Jejich systém zabezpečení, úroveň aplikací, které používají, jsou naprosto nedostatečné,“ prohlásil Špidla. Problém je podle něj i v nedostatečném tlaku státu na provozovatele těchto zařízení, aby lépe ochránili citlivá osobní data pacientů. „V minulosti jsme se zabývali otázkou, zda pod zákon o kybernetické bezpečnosti spadnou zdravotnická zařízení o kapacitě nad 2 500 lůžek. Takové ale v České republice žádné není,“ konstatoval Špidla.

Pomůže evropské nařízení o ochraně dat?
V současné době se podle Špidly vedou odborné diskuse o tom, zda by se zákon o kybernetické bezpečnosti měl vztahovat na zařízení o kapacitě od 500 nebo až od 800 lůžek. „Jenže například IKEM se nevejde ani do toho nižšího parametru. Přitom to je vysoce specializované zařízení se spádovostí pro celou republiku,“ upozornil Špidla. Nepřipravenosti nemocnic na útoky podobné poslední vlně ransomware WannaCry, která se České republice vyhnula (napadeno bylo jen několik set počítačů), podle něj učiní přítrž evropské nařízení o ochraně osobních dat, takzvané GDPR. „Je to šance, jak provést zásadní revizi bezpečnostních opatření,“ míní Špidla.

GDPR určuje firmám, ale i veřejným institucím, které spravují osobní data občanů, zajistit jejich ochranu před zneužitím. Nařízení začne platit v květnu příštího roku a jeho porušení může stát firmu i několik procent z ročního obratu. U nadnárodních společností se navíc sankce bude vypočítávat z obratu mateřského koncernu, nikoli tuzemské pobočky. Mediálně známý případ bývalého zaměstnance mobilního operátora T-Mobile, který vynesl z firmy databáze zákazníků, by tak firmu mohl stát až několik miliard korun.

Nemocnice nejsou jediné, špatně chráněné jsou i chemičky
Aleš Špidla na konferenci Kyberkriminalita a ochrana soukromí zmínil vedle zranitelnosti nemocnic také další rizikové podniky, například chemické závody. „Byl jsem u jednoho klienta, který zastupuje chemičku, která když bouchne, vyhubí polovinu okresu. Když jsem viděl jejich zabezpečení, bál jsem se tam vůbec sedět v zasedačce,“ prohlásil.

Podle Václava Zubra, bezpečnostního experta společnosti ESET, si zatím značná část českých firem i veřejných institucí riziko úniku citlivých dat nebo jejich zašifrování neuvědomuje. „Přestože útok ransomwarem WannaCry Českou republiku v podstatě minul, měl by tento známý incident i u nás pomoci zvýšit povědomí o kybernetických hrozbách a v důsledku vést k lepšímu zabezpečení proti nim,“ řekl Zubr.

Podle statistiky, kterou zveřejnila společnost ESET, vyděračský vir WannaCry postihl zejména internetové uživatele v Rusku, kde byla zaznamenána téměř polovina celosvětových detekcí tohoto škodlivého kódu. Výrazněji se kampaň projevila také na Ukrajině a Tchaj-Wanu. V České republice tento ransomware nenapadl žádnou veřejnou instituci, na Slovensku se s ním potýkala fakultní nemocnice v Nitře.

Experti dohlížející na sankce proti KLDR jsou terčem hackerů

23.5.2017 Novinky/Bezpečnost Viry
Experti OSN vyšetřující porušování sankčních podmínek uvalených na Severní Koreu jsou terčem kybernetických útoků, za kterými stojí hackeři s velmi dobrým přehledem o jejich práci. OSN to uvádí v interním varovném e-mailu, napsala v pondělí agentura Reuters.
Hackerům se 8. května podařilo proniknout do počítače jednoho z expertů. "Spolu se souborem zip (formát pro kompresi dat) byla poslána velmi osobní zpráva, která ukazuje, že hackeři mají velice podrobný přehled o současné vyšetřovací struktuře výboru a jeho pracovních metodách," citovala agentura Reuters z varovného e-mailu. Ten také uvedl, že výbor, který sankční podmínky sleduje, byl podobně napaden v roce 2016.

Fakt, že jeden z počítačů člena výboru byl prolomen, potvrdilo italské zastoupení při OSN. Zmíněný varovný e-mail hovoří o tom, že výbor je pod neustálým kybernetickým tlakem hackerů.

Severokorejské zastoupení při OSN odpovědnost za hackerský útok na experty výboru odmítlo s tím, že taková obvinění jsou směšná. KLDR rovněž popřela, že by se podílela na nedávném útoku vyděračským virem WannaCry, který se rozšířil na více než 230 000 počítačů po celém světě. Bezpečnostní odborníci přitom v útoku WannaCry nalezli určité technické souvislosti, které vedou ke KLDR.

WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Symantec: WannaCry útočil od února. Pravděpodobně za ním stojí skupina Lazarus
23.5.2017 CNEWS.CZ Viry

Bezpečnostní firmy se snaží vypátrat původ ransomwaru WannaCry a nové informace nabídl Symantec. Ten na svém blogu shrnuje dosavadní zkušenosti s tímto škodlivým kódem. První útok firma zaznamenala 10. února tohoto roku, kdy byla napadena jediná organizace.

Během dvou minut od nakažení prvního stroje se škodlivý kód rozšířil na stovku počítačů v organizaci. Útočnictvo za sebou zanechalo nástroje, jež se tak mohly stát předmětem zkoumání.

WannaCry útočil od února

Kromě nich bylo nalezeno pět druhů malwaru, tři z nich jsou přímo spojeny s hackerskou skupinou Lazarus. Dva ze trojice platí za varianty backdooru Destover, jenž byl použit v útoku na Sony. Třetím kouskem byl trojský kůň Volgmer, jenž byl Lazarem nasazován proti jihokorejským cílům. Novým vzorkem WannaCry bylo do 27. března napadeno nejméně pět organizací. Podle Symantecu zde nelze vysledovat vzorec, podle něhož byly cíle vybrány.

V tomto případě při nasazení vyděračského softwaru byly použity dva různé backdoory, a sice Alphanc a Bravonc. Krátká verze zní, že se jedná o škodlivé softwary, jež vykazují spojitost s Lazarem. Útoky v menší míře pokračovaly i v dubnu. Nakonec přišel nám již dobře známý rozsáhlý útok, který začal 12. května. V tento den se začala šířit další nová verze WannaCry, jež k šíření zneužila známé díry ve Windows (CVE-2017-0144 a CVE-2017-0145). Připomínám, že byly opraveny Microsoftem během března.

Ransomware se šířil na počítače v lokální síti, ale i na vzdálené stroje připojené k internetu. Všechny nalezené varianty ransomwaru jsou si velmi podobné, archivy používané v rámci distribuce škodlivého kódu jsou šifrovány podobnými hesly (wcry@123, wcry@2016 a WNcry@2ol7). Peněženky používané pro příjem Bitcoinů v prvních útocích podle Symantecu nebyly využívány dalšímu skupinami.

I to jsou významné indikátory, které Symantec vedou k závěru, že za těmito hrozbami stojí stejná skupina. Již jsem zmínil skupinu Lazarus. WannaCry podle bezpečnostní firmy sdílí část kódu s backdoorem Contopee, jenž je spojen právě s Lazarem. Jedna z variant používá shodné šifry. WannaCry se dále podobá malwaru Fakepude a trojskému koni Alphanc, přičemž oba jsou spojeny se stejnou hackerskou skupinou.

Činnost skupiny Lazarus

V tomto bodě je vhodné odpovědět, kdo je tedy Lazarus. Tato skupina se zabývá kybernetickou zločineckou činností a její první doložené útoky byly zaznamenány v roce 2009. K jejím nejúspěšnějším zločinům patří již zmíněný útok na filmovou divizi Sony v roce 2014. V roce 2016 pak skupina zaútočila na Bangladesh Central Bank. Z této akce si odnesla kořist ve výši závratných 81 milionů dolarů.

Kaspersky Lab v březnu vydal report o skupině, kde dochází k zajímavým tvrzením. Detaily naleznete ve zmíněné zprávě, zde jen zmíním, že podle Kasperky Lab operoval Lazarus od začátku s velkým rozpočtem a jeho snahou je zřejmě být dále finančně soběstačný. Do hry vstoupila skupina Bluenoroff, která pod Lazarus spadá a která se podle všeho specializuje právě na získávání finančních zdrojů. Ta v podstatě vydělává peníze, aby udržela operace Lazara v činnosti. Ke své činnosti pak využívá pak škodlivé kódy vytvořené touto skupinou.

Takhle vypadá vyděračská obrazovka ransomwaru WannaCry
Již jsem uvedl, že odborná veřejnost WannaCry začala spojovat se Severní Koreou. Kasperky Lab před dvěma měsíci odhalil spojení mezi Bluenoroffem a Severní Koreou v podobě adresy IP. Protože je tedy Bluenoroff považována za součást skupiny Lazarus, může být WannaCry jakožto dítko Lazara skutečně prací lidí ze Severní Korei. Toto pojítko samo o sobě jako usvědčující důkaz není dostatečné, takže zatím můžeme leda spekulovat.

Ruský bezpečnostní podnik Kaspersky Lab ve své zprávě uvádí, že měřítko operací skupiny Lazarus, která výrazně roste od roku 2011, je šokující. Výroba malwaru, s nímž je zacházeno jako s jednorázovým materiálem, který je při dalším úroku nahrazen lepší zbraní, podle firmy nemůže být dílem amatérů. Zdá se, že Lazarus funguje jako továrna na malware, který následně distribuuje skrze více nezávislých subjektů. O skupině Lazarus patrně ještě uslyšíme.

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

23.5.2017 Živě.cz Viry
WannaCry se masivně rozšířil kvůli zranitelnosti ve Windows
Ta mu umožnila, aby se pokusil sám napadnout další počítače
Jenže ta chyba už je dva měsíce opravená!
Kdo se v týdnu setkal na svém PC s podobnou obrazovkou, musel buď zaplatit, nebo se smířit se ztrátou datKdo se v týdnu setkal na svém PC s podobnou obrazovkou, musel buď zaplatit, nebo se smířit se ztrátou datKdo se v týdnu setkal na svém PC s podobnou obrazovkou, musel buď zaplatit, nebo se smířit se ztrátou datJedna z modifikací WannaCry ve virtuálních WindowsŠíření ransomwaru WannaCry v prvních hodinách podle Avastu12 FOTOGRAFIÍ

O ransomwarovém útoku WannaCry z minulého víkendu už toho byly popsány stohy a to i u nás na Živě.cz, nicméně je třeba vyvrátit ještě jednu fámu, která se hned zkraje diskutovala zejména v zaoceánských médiích.

Takto se šířil WannaCry hodinu po hodině. Zaútočil v pátek během snídaně
Virus WannaCry vyděsil svět. Co hrozí a jak se bránit?
Může za to Microsoft?

Mnohá z nich totiž zpočátku za hlavní viníky označila NSA a Microsoft. Národní bezpečnostní agentura měla údajně přispět tím, že ve svých laboratořích napsala programy pro zneužití zranitelnosti Windows, kvůli které se pak mohl hotový virus lépe šířit lokálními sítěmi a internetem. A právě tyto nástroje, původně určené ke kybernetickým operacím NSA, unikly v minulosti na veřejnost a dostaly se nakonec až do rukou autorů WannaCry.

Podrobná analýza WannaCry na webu Microsoftu

Microsoft byl naopak viněn mnoha komentátory na protějším břehu Atlantiku za odmítavý přístup k tvorbě záplat pro staré verze Windows včele s XPčkami. Mnozí totiž měli během první vlny za to, že WannaCry napáchá nejvíce škody právě na dnes již nepodporovaném operačním systému Microsoftu, který stále používá nezanedbatelné procento počítačů.

WannaCry se nejvíce šířil na Windows 7. Záplata je přitom k dispozici už od března

Tweet Costina Raia, šéfanalytika z Kaspersky Lab, však tuto hypotézu jednoznačně vyvrátil a nepřímo označil za hlavního viníka celého průšvihu nás samotné. Tedy nás ne, v Česku měl totiž ransomware prozatím jen minimální zásah.

Costin Raiu ✔ @craiu
#WannaCry infection distribution by the Windows version. Worst hit - Windows 7 x64. The Windows XP count is insignificant.
15:40, 19. May. 2017
644 644 retweetů 406 406lajků
Informace o reklamách na Twitteru a soukromí
Z grafu výše je zřejmé, že počet napadených Windows XP, tedy alespoň podle Kaspersky Lab, byl naprosto… Zanedbatelný. Tato verze Windows tam vlastně vůbec nefiguruje. Drtivou většinu analyzovaných mašin naopak poháněly Windows 7.

WannaCry se mohl skrze Windows 7 opravdu velmi dobře šířit dál, protože vedle typické ruční nákazy (manuální spuštění viru třeba z poštovní přílohy a zašifrování PC) mohl zneužít ještě oné zranitelnosti ve Windows, zkopírovat se na další mašiny v lokální síti a dokonce i na internetu, no a opět se spustit. Právě tímto způsobem se nejspíše nakazily velké podniky jako ony citované britské nemocnice, některé drážní systémy v zahraničí aj.

Microsoft by si za takový průšvih zasloužil pohlavek a obvyklý odsudek typu: „No jo, zase ta děravá Windows. Ještě že mám na svém počítači Linux,“ jenže rozhodně ne v tomto případě. Jak to? Jednoduše z toho důvodu, že záplata oné zranitelnosti CVE-2017-0145 je oficiálně venku už dva měsíce. Microsoft ji zveřejnil jako hromadnou opravu MS17-010 a to 14. března letošního roku!

Aktualizovaná Windows by se mohla lépe bránit masivnímu šíření

Jelikož firma označila tento balík záplat jako kritický, brzy se dostal na všechny stanice připojené k internetu a to skrze obvyklý subsystém Windows Update. Tedy vlastně nedostal, ale měl se dostat. Proč k tomu zjevně v nejednom případě nedošlo, zůstává otázkou, rozhodně se však nejednalo o počítače mimo internet. To by se totiž tak rychle nenakazily. Doslova během několika hodin.

Co vlastně WannaCry šifruje?

Po aktivaci ransomware prochází úložiště a pokouší se zašifrovat soubory s příponami vypsanými níže. Oběť poškozené soubory snadno rozezná, mají totiž změněnou příponou na .WNCRY. Soubor obrazek.jpg se tedy promění v obrazek.jpg.WNCRY.

.123, .jpeg, .rb, .602, .jpg, .rtf, .doc, .js, .sch, .3dm, .jsp, .sh, .3ds, .key, .sldm, .3g2, .lay, .sldm, .3gp, .lay6, .sldx, .7z, .ldf, .slk, .accdb, .m3u, .sln, .aes, .m4u, .snt, .ai, .max, .sql, .ARC, .mdb, .sqlite3, .asc, .mdf, .sqlitedb, .asf, .mid, .stc, .asm, .mkv, .std, .asp, .mml, .sti, .avi, .mov, .stw, .backup, .mp3, .suo, .bak, .mp4, .svg, .bat, .mpeg, .swf, .bmp, .mpg, .sxc, .brd, .msg, .sxd, .bz2, .myd, .sxi, .c, .myi, .sxm, .cgm, .nef, .sxw, .class, .odb, .tar, .cmd, .odg, .tbk, .cpp, .odp, .tgz, .crt, .ods, .tif, .cs, .odt, .tiff, .csr, .onetoc2, .txt, .csv, .ost, .uop, .db, .otg, .uot, .dbf, .otp, .vb, .dch, .ots, .vbs, .der”, .ott, .vcd, .dif, .p12, .vdi, .dip, .PAQ, .vmdk, .djvu, .pas, .vmx, .docb, .pdf, .vob, .docm, .pem, .vsd, .docx, .pfx, .vsdx, .dot, .php, .wav, .dotm, .pl, .wb2, .dotx, .png, .wk1, .dwg, .pot, .wks, .edb, .potm, .wma, .eml, .potx, .wmv, .fla, .ppam, .xlc, .flv, .pps, .xlm, .frm, .ppsm, .xls, .gif, .ppsx, .xlsb, .gpg, .ppt, .xlsm, .gz, .pptm, .xlsx, .h, .pptx, .xlt, .hwp, .ps1, .xltm, .ibd, .psd, .xltx, .iso, .pst, .xlw, .jar, .rar, .zip, .java, .raw.
Jediným možným vysvětlením je tedy to, že se jednalo o počítače bez adekvátních záplat, a mnozí pozorovatelé se tak domnívají, že WannaCry byl speciálně navržen právě pro tento případ. Ostatně i jeho autoři museli dobře vědět, že oprava, která by spolehlivě zamezila jeho masivnímu šíření, je už dávno k dispozici. Zároveň však věděli, že mnozí na svých počítačích nejspíše vypínají či jinak omezují automatickou instalaci aktualizací a že se to děje spíše na východě. A právě na východě, především v Rusku, řádil WannaCry zdaleka nejvíce.

Je to přitom právě operační systém se všemi čerstvými záplatami a prostý selský rozum při surfování po webu, který nás před malwarem všeho druhu ochrání zdaleka nejlépe.

Hrdinou být nechtěl. Tento mladík zachraňoval svět před vyděračským virem

22.5.2017 Novinky/Bezpečnost Viry
Řádění vyděračského viru WannaCry, který napadl za pouhých pár hodin na 300 tisíc zařízení ve více než 150 zemích světa, zastavil teprve 22letý bezpečnostní expert Marcus Hutchins. Zpráva o jeho boji proti počítačovým pirátům obletěla svět a z něho se stala během pár dní celebrita. On sám britskému deníku The Daily Mail řekl, že o žádné ovace nestál a jsou mu spíše na obtíž.

Bezpečnostní expert Marcus Hutchins
FOTO: Frank Augstein, ČTK/AP
Marcus pracuje pro server MalwareTech.com již několik let. Právě zmiňované stránky pravidelně sledují dění na internetu a u nových hrozeb se snaží zjistit jejich funkčnost, aby je mohl s kolegy následně vyřadit zcela z provozu.

A to dělal tento mladík i předminulý týden, kdy se mu podařilo zastavit řádění viru WannaCry. Tehdy však jeho jméno nikdo neznal – mladík se snažil pracovat v anonymitě. Jak sám říká, o žádnou slávu nestál.

Pět minut slávy
S ohledem na jeho hrdinský čin – tak alespoň jeho práci označují zahraniční média – se však před světem schovat nemohl. „Nesnažil jsem se stát slavným, naopak jsem chtěl pracovat anonymně,“ prohlásil pro server Guardian bezpečnostní expert.

„Jsem jen náhodný hrdina. Vím, že jde jen o pět minut slávy, ale je to pro mě i tak hrozně,“ neskrýval Marcus nechuť ze zájmu médií a slávy. „Stát v záři reflektorů mě nebaví,“ doplnil.

Stěžoval si i na to, že je na sociálních sítích doslova pod palbou nejrůznějších fanoušků. „V podstatě jsem ze dne na den přišel o veškeré soukromí, prohlásil 22letý bezpečnostní expert.

Jakkoliv své zásluhy za zastavení škodlivého kódu WannaCry bagatelizuje, byl to právě on, kdo skutečně pomohl před infikováním ochránit přinejmenším desetitisíce dalších strojů a šíření viru zastavil.

Šlo vlastně o náhodu
Britský bezpečnostní expert se k informacím o nezvaném návštěvníku dostal předminulý pátek jako jeden z prvních. Dokonce se mu podařilo získat funkční vzorek vyděračského viru. „Když jsem jej začal zkoumat v uzavřeném prostředí, všiml jsem si, že se snaží při komunikaci kontaktovat internetovou doménu, která není zaregistrovaná,“ přiblížil mladík na svém blogu.

Konkrétně šlo o web iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Díky tomu mohl získat více informací o této nebezpečné hrozbě.

Po několikahodinovém zkoumání mladík přišel na to, že to skutečně souvisí se zaregistrováním volné domény. Kyberzločinci pravděpodobně nechali ve WannaCry takovouto bezpečnostní pojistku, aby mohli na dálku v případě potřeby šíření viru jednoduše vypnout. Například i kvůli tomu, aby je bezpečnostní experti nemohli vystopovat zpět.

Teprve 22letý bezpečnostní expert však tuto pojistku odhalil dříve, než ji mohli použít. A to byl poměrně heroický výkon – obzvláště s ohledem na to, že si bral týden dovolenou a k počítači se připojil spíše jen ze zvědavosti.

WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Windows 7 poháněl 98 % počítačů napadených WannaCryem. Nástroje na dešifrování dat vydány

22.5.2017 CNEWS.cz Viry
První zjištění ukazuje, že děravá Ikspéčka již dnes útočnictvo nezajímají. Vznikly již nástroje na dešifrování dat, jsou však významně limitovány.

Nedávný globální útok ransomwaru WannaCry zdůraznil nutnost diskutovat o určitých otázkách. Kdo za něj nese zodpovědnost? Někteří vinu svalují na Microsoft, který pro změnu vidí problém v neaktualizovaných počítačích. Sám dokonce vydal záplatu pro Windows XP, ačkoli nejspíš nikdo neočekával, že by k tomu ještě někdy mělo dojít. První „bonusová“ záplata přišla krátce po skončení životnosti operačního systému v roce 2014.

Opravení díry, kterou využíval WannaCry, představuje druhou záplatu, kterou Microsoft neměl povinnost vyprodukovat. Zatímco se někteří oprávněně obávají především počítačů s Ikspéčky, které tedy již nejsou podporovány a jejichž podíl používanosti podle Net Applications.com činí stále zhruba 7 %, ruský antivirový specialista Kaspersky Lab odhalil zajímavou věc.

Ve skutečnosti podle výzkumu firmy WannaCry napadl v drtivé většině případů počítače s Windows 7. Konkrétně se na tyto stroje ransomware dostal v 98,35 % ze všech případů. Počet napadených počítačů s Windows XP je naproti tomu zanedbatelný. Nelze se divit, protože Sedmičky pohání většinu klasických počítačů (48,5 % v dubnu podle Net Applications.com). Ikspéčka se navíc na západě již skoro nevyskytují, relativně vysoký podíl si drží zejména kvůli Číně.

Fakt, že ransomware WannaCry na počítače s Ikspéčky necílil, potvrzuje, že se dnes jedná o relativně bezvýznamnou platformou z pohledu útočnictva. Strojů s Desítkami se již nachází dost, ale tento systém pro změnu nelze stejným útokem napadnout.

Nástroje na dešifrování dat zašifrovaných ransomwarem WannaCry

Dnes již (možná) můžete své soubory zašifrované ransomwarem WannaCry zachránit díky nástroji, jehož funkčnost byla otestována v systémech Windows XP, 7 (32bitová verze), 2003, Vista a Windows Server 2008. Stále platí, že zálohování a obnova dat ze zálohy je vaší největší nadějí na úspěch a nejlepší obranou. Uvedený nástroj WannaKey totiž operuje se signifikantními omezeními.

Především počítač nesmí být po nakažení restartován a část paměti, kde se nachází prvočísla využívaná při šifrování, nesmí být přepsána. Na základě práce výzkumníka, který vyprodukoval uvedený nástroj pro dešifrování souborů, vznikl ještě druhý nástroj. WanaKiwi funguje stejně a je omezen stejnými limity, práce s ním je však podle The Hacker News snazší.

Výkupné u WannaCry je na nic – zašifrované soubory se neodemknou

18.5.2017 SecurityWorld Viry
Novou živou mapu ransomwarové infekce WannaCry, která ukazuje aktuální rozsah mezinárodní ransomwarové epidemie, uveřejnil Check Point Software Technologies. Eset zase uveřejnil statistiky ohledně zásahu jednotlivých zemí.

Mapa ukazuje klíčové statistiky a údaje o jednotlivých zemích v reálném čase. K dispozici je na adrese https://attacks.mgmt.cloud/.

Naznačuje, že WannaCry i nadále útočí na organizace po celém světě. Aktuálně infikuje jeden stroj každé tři sekundy. Tvůrci ale podle všeho žádné soubory neodemykají – od obětí pouze inkasují peníze.

Výzkumníci byli schopni sledovat 34 300 pokusů o útok v 97 zemích. Dnes dochází k pokusu o útok v průměru každé 3 sekundy, což je mírný pokles od původního tempa před 2 dny, kdy docházelo k nějakému pokusu o útok každou sekundu. Nejčastěji byly zaznamenány pokusy o útok v Indii, USA a Rusku.

Check Point zjistil, že organizace postižené ransomwarem WannaCry pravděpodobně nedostanou zpět své soubory, dokonce i když zaplatí výkupné.

Problémový platební a dešifrovací systém a falešná ukázka dešifrovacího procesu vyvolávají otázku, jestli jsou vývojáři ransomwaru WannaCry schopni splnit slib a po zaplacení výkupného soubory dešifrovat.

Zatím 3 bitcoinové účty spojené s kampaní WannaCry obdržely od obětí zhruba 77 000 dolarů. Navzdory tomu, a na rozdíl od mnoha jiných ransomwarových variant, nebyl doposud zaznamenán žádný případ, že by někdo obdržel soubory zpět.

Také Eset zveřejnil statistiku detekcí ransomware Win32/ Filecoder.WannaCryptor.D neboli WannaCry. Vyplývá z ní, že v největší míře byli tímto druhem malware zasaženi uživatelé v Rusku, které zaznamenalo bezmála polovinu všech detekcí a dále na Ukrajině a Tchaj-Wanu.

Česká republika je až na 52. pozici v seznamu zasažených zemí – podle Esetu i díky tomu, že nastala velmi brzká detekce této hrozby, která zamezila větším škodám či díky tomu, že Česká republika pravděpodobně nebyla primárním cílem tohoto útoku

Samotná detekce této hrozby ale neznamená, že došlo i k infikování počítače.

Eset podle svých slov zachytil i řadu falešných verzí WannaCry, větší riziko však nepředstavují, mají uživatele spíše jen vystrašit.

Podíl na infekci WannCry podle států

1. Rusko (45,07 %)

2. Ukrajina (11,88 %)

3. Tchaj-Wan (11,55 %)

4. Filipíny (2,95 %)

5. Egypt (2,38 %)

6. Irán (2,16 %)

7. Indie (1,69 %)

8. Thajsko (1,55 %)

9. Itálie (1,19 %)

10. Turecko (1,06 %)

...

37. Slovensko (0,26 %)

52. Česká republika (0,15 %)

Zdroj: Eset, 16. 5. 2017

Útok viru WannaCry byl amatérský a plný chyb

17.5.2017 Novinky/Bezpečnost Viry
Zatímco velké společnosti zabývající se kybernetickou bezpečností poukazují na severokorejské stopy nedávného útoku nového vyděračského programu WannaCry, americký magazín Wired si všímá amatérismu, kterého se podle něj strůjci škodlivého softwaru dopustili.
Vir, který zašifruje soubory na počítači a bez zaplacení výkupného je neuvolní, infikoval odhadem na 300 000 počítačů ve 150 zemích světa. V tuzemsku měl tento nezvaný návštěvník infikovat více než 600 strojů.

Rozsah nákazy, kvůli které se zhroutily například systémy britského zdravotnictví či síťová infrastruktura německých drah DB, se sice může zdát mimořádný, ale zpeněžení útoku je podle Wired spíše bídné a srovnatelné dokonce jen s malými údery virů žádajících výkupné.

Podle Bílého domu zatím zasažení uživatelé na výkupném celkem zaplatili necelých 70 000 dolarů (1,7 miliónu korun).

Katastrofální selhání
„Z hlediska vyděračského plánu je to katastrofální selhání," citoval Wired Craiga Williamse z divize pro kybernetickou bezpečnost Talos společnosti Cisco. "Velké škody, obrovská publicita a obrovská pozornost bezpečnostních orgánů, a přitom (útok) přinesl velmi nízký zisk, jako mají střední či úplně malé vyděračské kampaně," dodal Williams.

Hackeři navíc zvolili velmi nerozumný postup převodu kryptoměny bitcoin, ve které žádali výkupné, což expertům umožní snadné vystopování zisku útočníků. Odborník Matthew Hickey z londýnské bezpečnostní firmy Hacker House zjistil již o víkendu, tedy bezprostředně po pátečním šíření nákazy, že škodlivý program nemá automatickou platební identifikaci každé oběti zvlášť.

Místo vytvoření jedinečné bitcoinové adresy pro každý napadený počítač nabízí vir jen jednu ze čtyř předem daných platebních adres.

Výše zmíněný postup usnadňuje napadeným automatizovanou záchranu dat a naopak kriminálníkům komplikuje identifikaci počítače, jehož uživatel výkupné zaplatil. "Je to skutečně ruční práce, někdo to musí potvrdit a poslat klíč," vysvětlil Hickey.

Generální vypínač
Za další prvek fušerství označil Wired existenci jakéhosi generálního vypínače, kterým bylo možné šíření viru zastavit. Na jeho přítomnost přišel teprve 22letý bezpečnostní expert z anglického serveru MalwareTech.com.

Výzkumník nyní opakovaně prohlašuje, že program zablokoval "jen náhodou", a varuje, že nová generace programu by proti takto snadnému zastavení mohla být imunní. Ta už se objevila na internetu.

Naštěstí vylepšená druhá generace tohoto nezvaného návštěvníka se internetem nešíří tak rychle, jako tomu bylo ještě na konci minulého týdne. Nic tedy zatím nenasvědčuje tomu, že by počítačoví piráti spustili tak masivní útok jako v pátek.

WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Experti z brněnského Greycortexu: WannaCry nás překvapil svou agresivitou v síti
16.5.2017 Živě.cz Virus
O ransomwarové vlně toho již byly napsány tuny a souhrnný článek si můžete přečíst i u nás na Živě.cz, za zmínku ale stojí i zkušenosti českého Greycortexu, který se zabývá podrobnou analýzou komunikace v síti a to pomocí prvků A.I.

Microsoft udělal nečekaný krok. Kvůli WannaCry vydal záplatu pro Windows XP
Výzkumníci z brněnského startupu spustili virus ve virtuálním prostředí a sledovali, jak se bude chovat. „Překvapilo nás, že se tento ransomware v síti chová velmi neobvykle až agresivně. Kromě jednodušeji odhalitelných metod jako je skenování portu 445, jsme detekovali celou sérii anomálií jako pokusy o připojení k více než 4 000 zařízením v celkem 175 zemích během pouhých 5 minut,“ popisuje Michal Šrubař z Greycortexu.

WannaCry právě zašifroval soubory na Windows. Ale jen v sandboxu virtualizovaných Windows.

Jak už vyšlo najevo během víkendu, ransomware se po prvním spuštění pokusí spojit s doménou iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (80/tcp), a pokud druhá strana odpoví, malware zůstane nečinný. Autoři si tedy připravili zadní vrátka pro plošnou deaktivaci a díky zabrání této domény se podařilo první vlnu malwaru pozastavit.

Výzkumníci z Greycortexu doménu na firewallu zablokovali, aby se virus aktivoval, a sledovali, co se bude dít dál. Ransomware začal šifrovat soubory a ověřil konektivitu do internetu pokusem o připojení na doménu youtube.com.

Dále se už virus pokusil šířit dál skrze lokální síť a internet a to pomocí všemožnými záškodníky oblíbené služby MS-DS (Microsoft Directory Services) a zranitelnosti MS17-010. Během pouhých pěti minut se infikované zařízení pokusilo zaútočit na více než 4 000 dalších počítačů a obešlo oněch 175 zemí světa.

Po spuštění se WannaCry pokoušel šířit dál na tisíce zařízení internetu

V interní síti se pokusil virus otevřít port 445/tcp a úspěšně začal šifrovat soubory na dalším počítači v LAN. Ransomware také stáhl potřebné soubory z dist.torproject.org, aby mohl komunikovat s anonymizační sítí TOR. Tato síť se v případě ransomware často používá k výměně klíčů, které používá k šifrování úložišť.

Zbytek už znáte. Na každém zašifrovaném počítači virus zobrazil dialog o úspěšném útoku a s žádostí o zaplacení výkupného. A to s varováním, že pokud bitcoinový obnos nedorazí na zadanou adresu v dané lhůtě, pokuta se zdvojnásobí.

Aktivita WannaCry, jak ji ve svém monitorovacím systému zachytil GreyCrotex

Greycortex se snaží vyvinout takovou analýzu sítě, aby došlo k odhalení podivného chování některých klientů dostatečně rychle před samotnou nákazou. Software tedy neustále analyzuje veškerý tok a pomocí prvků strojového učení odhaluje podobné anomálie.

V Česku je více než 600 počítačů napadených virem WannaCry

16.5.2017 Novinky/Bezpečnost Viry
Vyděračský virus WannaCry má po celém světě více než 300 000 obětí, v Česku je však počet infikovaných strojů výrazně nižší. Nezvaný návštěvník se zabydlel ve zhruba 600 strojích. V úterý to potvrdil český Národní bezpečnostní tým CSIRT.CZ.
Jak útočí vyděračské viry

Na napadeném stroji dokážou vyděračské viry udělat pěkný nepořádek. Nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
„Podle našich údajů počet infekcí překonal číslovku 620,“ uvedl na dotaz Novinek Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Ještě v pondělí to přitom vypadalo, že počet napadených strojů bude výrazně nižší. První odhady totiž hovořily o tom, že počet zavirovaných počítačů se bude pohybovat mezi 300 a 400.

Počty neustále rostou
Počet infekcí nicméně stoupá postupně i ve světě. Původně se totiž předpokládalo, že WannaCry úspěšně pronikl do 200 000 počítačů ve více než 150 zemích světa. Už v pondělí však američtí bezpečnostní experti, kteří pracují pro Bílý dům, uvedli, že infikovaných strojů je různě po světě přinejmenším 300 000.

Bezpečnostní experti už navíc škodlivý kód WannaCry zaznamenali ve vylepšené verzi, kterou není možné tak snadno vypnout, jako tomu bylo u té první.

Druhá verze vyděračského viru WannaCry
FOTO: Mark Schiefelbein, ČTK/AP

Naštěstí vylepšená druhá generace tohoto nezvaného návštěvníka se internetem nešíří tak rychle, jako tomu bylo ještě na konci minulého týdne. Nic tedy zatím nenasvědčuje tomu, že by počítačoví piráti spustili tak masivní útok jako v pátek.

Tak velkou silou, a navíc v tak velkém měřítku zatím žádný ransowmare neútočil. A to přitom různých variant vyděračských virů existují bez nadsázky tisíce.

WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Státní správu v Česku zatím kybernetický útok nezasáhl

16.5.2017 Novinky/Bezpečnost Viry
Státní správu ani jiné systémy důležité pro chod státu zatím současný masivní kybernetický útok nezasáhl. Bezpečnostní radu státu o tom v pondělí odpoledne informoval vládní zmocněnec pro kyberbezpečnost Dušan Navrátil.
Jak útočí vyděračské viry

Na napadeném stroji dokážou vyděračské viry udělat pěkný nepořádek. Nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
"Naštěstí se týká České republiky tato záležitost pouze okrajově. Útoky nebyly provedeny na velké nebo státní organizace," řekl po zasedání novinářům. Ve Strakově akademii mimo jiné jednal o platech pracovníků IT ve státní správě, které podle něj nemohou konkurovat soukromým firmám.

Vyděračský virus WannaCry se začal internetem šířit už v pátek. Za pouhých pár hodin stačil infikovat na 200 tisíc počítačů ve více než 150 zemích světa. Mezi postiženými se objevili nejen jednotliví uživatelé, ale také univerzity, benzínky, nemocnice, dráhy a řada dalších společností.

Antivirová společnost Avast uvedla, že škodlivý kód WannaCry útočil také v Česku. Napadl zde podle prvních odhadů na 400 počítačů. Tak velkou silou, a navíc v tak velkém měřítku zatím žádný ransowmare neútočil. A to přitom různých variant vyděračských virů existují bez nadsázky tisíce.

Takto vypadala obrazovka uzamčená vyděračským virem.
FOTO: repro thehackernews.com

"Nikdo ze subjektů státní správy ani z komerční sféry spadající pod NBÚ, což jsou systémy důležité pro chod státu, tedy kritická informační infrastruktura, se nám zatím neozval, že by měl tento problém," řekl už dříve mluvčí Národního bezpečnostního úřadu Radek Holý. Tyto subjekty mají podle něj v případě napadení povinnost se hlásit NBÚ. "Takže si myslíme, že u nás ještě nic takového nenastalo," podotkl Holý.

Na NBÚ se zatím obrátil jediný subjekt, který pod něj ale nespadá. "Tomu se věnujeme a zjišťujeme, jestli je to opravdu tento útok, který řeší. Jde o profesní organizaci, není to státní správa ani žádný podstatný komerční subjekt," dodal mluvčí. Název organizace neuvedl.

Vyděračský virus WannaCry má vylepšeného následovníka. Už se šíří internetem

16.5.2017 Novinky/Bezpečnost Viry
Obavy bezpečnostních expertů se potvrdily. Vyděračský virus WannaCry, který infikoval na konci minulého týdne během pouhých pár hodin na 200 tisíc zařízení ve více než 150 zemích světa, se objevil na internetu ve vylepšené verzi. Zastavit ho bude složitější, než tomu bylo v prvním případě.
Řádění vyděračského viru WannaCry se minulý týden postavil teprve 22letý bezpečnostní expert z anglického serveru MalwareTech.com. Tomu se podařil husarský kousek, kdy díky analýze škodlivého kódu vyfoukl počítačovým pirátům internetovou doménu, s jejíž pomocí šíření škodlivého kódu zastavil.

On sám však varoval, že oslavy rozhodně nejsou namístě. Podle jeho odhadů z neděle totiž měli počítačoví piráti už v průběhu pondělí nasadit vylepšenou verzi vyděračského viru, kterou už nepůjde tak snadno vypnout. 

Zatím jen pár vzorků
Kyberzločinci byli nakonec ještě rychlejší. Podle serveru The Hacker News se podařilo škodlivý kód viru WannaCry 2.0 zachytit již během neděle.

Vylepšená druhá verze se podle prvotní analýzy velmi podobá té první. Rozdíl je však v tom, že WannaCry 2.0 již neobsahuje žádnou pojistku, pomocí které by ho bylo možné snadno vypnout. Jinými slovy zastavit jeho šíření nebude tak snadné, jako tomu bylo u první generace WannaCry.

Vylepšený vyděračský virus již koluje internetem. Zatím se však podařilo zachytit pouze několik málo vzorků. Vše tedy nasvědčuje tomu, že žádný masivní útok zatím kyberzločinci nespustili. Kdy a zda vůbec se tak stane, není v tuto chvíli jasné.

Nejsilnější útok ransomwaru
WannaCry 2.0 útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Mapa zemí, kde WannaCry během pátku útočil.
FOTO: repro malwaretech.com

Vyděračský virus WannaCry se začal internetem šířit už v pátek. Za pouhých pár hodin stačil infikovat na 200 tisíc počítačů ve více než 150 zemích světa. Mezi postiženými se objevili nejen jednotliví uživatelé, ale také univerzity, benzínky, nemocnice, dráhy a řada dalších společností.

Antivirová společnost Avast uvedla, že škodlivý kód WannaCry útočil také v Česku. Napadl zde podle prvních odhadů na 400 počítačů.

Tak velkou silou, a navíc v tak velkém měřítku zatím žádný ransowmare neútočil. A to přitom různých variant vyděračských virů existují bez nadsázky tisíce.

Svět zachránil před vyděračským virem teprve 22letý mladík

14.5.2017 Novinky/Bezpečnost Viry
Řádění vyděračského viru WannaCry, který napadl za pouhých pár hodin na 200 000 zařízení ve více než 150 zemích světa, má svého hrdinu. Šíření nezvaného návštěvníka napříč různými kouty světa totiž zastavil teprve 22letý bezpečnostní expert z anglického serveru MalwareTech.com.
Mladík zkoumal chování viru a registrací jedné konkrétní domény zastavil jeho šíření. (Ilustrační foto)
Hned na úvod se sluší zmínit, že i přes svůj nízký věk je mladík poměrně ostřílený bezpečnostní expert, který se snaží hatit plány kybernetických zločinců několik posledních let. Pravidelně sleduje dění na internetu a u nových hrozeb se snaží zjistit jejich funkčnost, aby je mohl s kolegy následně vyřadit zcela z provozu.

I proto svou pravou identitu úzkostlivě skrývá. Jednoduše z obav o svou vlastní bezpečnost.

Přestože je jeho totožnost neznámá, stal se prakticky přes noc světovou celebritou – jeho příběh, jak zastavil šíření vyděračského viru WannaCry, doslova obletěl celou planetu.

Server MalwareTech.com se snaží monitorovat aktuální virové hrozby v reálném čase. I díky tomu se mladík prakticky okamžitě dozvěděl o tom, že nějaký útok probíhá. A mohl jej začít analyzovat.

První na ráně byly nemocnice
Sluší se také připomenout, že právě Anglie informovala o masivním kybernetickém útoku jako jedna z prvních zemí, tamní nemocnice totiž byly kvůli řádění vyděračského viru vyřazeny z provozu. 

Britský bezpečnostní expert se k informacím o nezvaném návštěvníku dostal jako jeden z prvních. Dokonce se mu podařilo získat funkční vzorek vyděračského viru.

„Když jsem jej začal zkoumat v uzavřeném prostředí, všiml jsem si, že se snaží při komunikaci kontaktovat internetovou doménu, která není zaregistrovaná,“ přiblížil mladík na svém blogu.

Konkrétně šlo o web iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Díky tomu mohl získat více informací o této nebezpečné hrozbě.

Mapa zemí, kde WannaCry během pátku útočil.
FOTO: repro malwaretech.com

Okamžitě si uvědomil, jak velkou silou tentokráte kyberzločinci útočí. „Za jedinou sekundu bylo vidět na šest tisíc požadavků,“ konstatoval bezpečnostní expert s tím, že už krátce po zaregistrování a přesměrování domény se šíření škodlivého kódu prakticky zastavilo.

Po několikahodinovém zkoumání mladík přišel na to, že to skutečně souvisí se zaregistrováním volné domény. Kyberzločinci pravděpodobně nechali ve WannaCry takovouto bezpečnostní pojistku, aby mohli na dálku v případě potřeby šíření viru jednoduše vypnout. Například i kvůli tomu, aby je bezpečnostní experti nemohli vystopovat zpět.

Teprve 22letý bezpečnostní expert však tuto pojistku odhalil dříve, než ji mohli použít. A to byl poměrně heroický výkon – obzvláště s ohledem na to, že si bral týden dovolenou a k počítači se připojil spíše jen ze zvědavosti.

Další útok v pondělí?
Mladík sám nicméně v neděli varoval, že vyhráno bezpečnostní experti rozhodně nemají. Podle něj je velmi pravděpodobné, že počítačoví piráti nasadí vylepšený virus WannaCry, který již tak snadno vypnout nepůjde.

Stát by se tak mělo v nejbližší době, podle odhadů bezpečnostního experta ze serveru MalwareTech pravděpodobně již v pondělí. 

Masivní kybernetický útok vyděračského viru WannaCry zasáhl podle Europolu 200 tisíc zařízení ve 150 zemích světa. Tento škodlivý kód útočí úplně stejně jako drtivá většina ostatních vyděračských virů, které jsou označovány souhrnným názvem ransomware.

Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují již zmiňované výkupné. 

Takto vypadala obrazovka uzamčená vyděračským virem.
FOTO: repro thehackernews.com

V pondělí udeří hackeři znovu, varovali bezpečnostní experti

14.5.2017 Novinky/Bezpečnost Viry
Masivní kybernetický útok vyděračského viru WannaCry zasáhl podle Europolu 200 000 zařízení ve 150 zemích světa. Počítačový expert, jehož oslovila britská BBC varoval, že další vlna může přijít v nejbližší době.
V pátek zasáhl prakticky celý svět jeden z nejmasivnějších útoků v celé historii internetu. Řádění vyděračského viru WannaCry, který pronikl do více než 200 000 zařízení ve 150 zemích světa, se podařilo po několika hodinách zastavit. Bezpečnostní experti ze serveru MalwareTech však varovali, že další vlna útoku by mohla přijít již v pondělí.

Byl to právě server MalwareTech, který pravidelně přináší informace o nejrůznějších kybernetických hrozbách, kterému se podařilo zmapovat chování vyděračského viru WannaCry a informovat o tom, kde všude útočil.

Mapa zemí, kde WannaCry během pátku útočil.
FOTO: repro malwaretech.com

Šlo pouze o první vlnu
Bezpečnostní experti z tohoto serveru nicméně v neděli upozornili na to, že útok byl pouze první vlnou. Podle nich je velmi pravděpodobné, že druhá přijde již v průběhu pondělí. A bude daleko intenzivnější než ta první.

První verze škodlivého viru WannaCry totiž obsahovala chyby, díky kterým se podařilo šíření tohoto nezvaného návštěvníka už během pár hodin zastavit. Ta druhá však bude mít podle serveru MalwareTech všechny slabiny ošetřené, a tak nebude obrana před ní vůbec snadná.

Útočníci se navíc podle odhadů MalwareTechu budou snažit šířit škodlivý kód co nejdříve, pravděpodobně již v pondělí, aby minimalizovali šanci, že stihnou antivirové společnosti – a i samotní uživatelé – zareagovat.

Kdo za šířením škodlivého kódu WannaCry stojí, zatím není jasné.

Šli po penězích
Jisté je nicméně to, že jde o jeden z nejmasivnějších útoků vyděračských virů v celé historii internetu. „200 000 obětí, a to přinejmenším ve 150 zemích. Ročně řešíme na dvě stovky kybernetických útoků, ale něco takového jsme dosud neviděli,“ uvedl ředitel Europolu Rob Wainwright.

On sám připustil, že všichni postižení kybernetickým útokem se ještě nepřihlásili, a tak konečná bilance bude pravděpodobně ještě daleko vyšší. První páteční odhady totiž hovořili pouze o polovičním počtu obětí.

„Naše bezpečnostní řešení zaregistrovala v průběhu pátečního dne více než 45 000 útoků ransomwaru WannaCry v 74 zemích světa. Mezi nejpostiženější země patří Rusko, Ukrajina a Indie. Obětí se stalo také 16 britských nemocnic či společnosti ve Španělsku,“ konstatoval v pátek David Emm, hlavní bezpečnostní analytik týmu GReAT společnosti Kaspersky Lab.

Antivirová společnost Avast již dříve uvedla, že škodlivý kód WannaCry útočil také v Česku. Napadl zde podle prvních odhadů na 400 počítačů.

Takto vypadala obrazovka uzamčená vyděračským virem.
FOTO: repro thehackernews.com

WannaCry útočí úplně stejně jako drtivá většina ostatních vyděračských virů, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechny data. Za jejich zpřístupnění následně počítačoví piráti požadují již zmiňované výkupné.

„Vzhledem k tomu, že útočníci vyžadují relativně nízké výkupné 300 USD (7300 Kč), je velmi pravděpodobné, že se nejedná o cílené útoky. Kdyby totiž útočník věděl, že je schopen napadnout tak vysoký počet systémů najednou, požadoval by za opětovné zpřístupnění dat daleko vyšší částku,“ podotkl Emm.

„Ransomware použitý při tomto útoku je relativně nový. Poprvé se objevil v únoru 2017 a nejnovější varianta se objevila v pátek ráno. Přesto se šíří velmi rychle a útočí na organizace napříč Evropou a Asií,“ uvedl Daniel Šafář, Country Manager pro Českou republiku a region CZR ve společnosti Check Point Software Technologies.

Páteční masivní útok ransomwaru Wcry: co všechno o něm víme?
13.5.2017 Lupa.cz  Viry
Průběžně přidáváme informace týkající se útoku ransomwaru založeného na pomůckách uniklých z NSA. Bude zajímavé sledovat co se stane v Česku v pondělí, až se zapnou počítače ve firmách a státní správě.

Text průběžně upravujeme a doplňujeme s tím, jak se objevují nové informace.
Masivní vlna ransomwaru napadla počítače v desítkách zemí po celém světě. Mezi napadenými je například řada nemocnic ve Velké Británii, které kvůli tomu přestaly fungovat. Předpokládá se, že útok umožnila chyba ve Windows, kterou využívala i NSA, a útočné pomůcky se objevily v nedávném úniku (viz ShadowBrokers a Equation Group a MS17–010). WanaCrypt0r 2.0 se podle Avastu objevila už na minimálně 75 tisících počítačů ve stovce zemí.

Nutné dodat je, že tahle chyba zneužívá chyb v SMB, tedy síťovém protokolu, takže z toho plyne, že napadené počítače byly napadeny z nějakého jiného počítače v téže sítí (kam se útočný program mohl dostat e-emailem či z webu) nebo, ještě hůře, byly volně dostupné přes internet. Tahle chyba byla Microsoftem opraveno někdy v březnu, takže to opět nejspíš znamená, že napadené počítače nejsou aktualizovány, jak by měly.

Šíření výše uvedeného ransomwaru se podařilo zastavit registraci domény. Pokud vám to připadá zvláštní, tak uvnitř kódu byl „kill switch“, tedy poslání požadavku na určitou doménu, který pokud by uspěl, zastaví další šíření ransomwaru. Jak uvádí ‚Accidental hero‘ finds kill switch to stop spread of ransomware cyber-attack, zjištění z analýzy vedlo k registraci domény a tím zastavení šíření. Byť tedy prvotní registrace domény proběhla prostě ze zvědavosti poté, co se jméno objevilo v kódu.

Microsoft opravuje XP, to vypadá dost vážně
Microsoft vypustil opravu pro Windows XP, Windows 8 i Windows Server 2003 aby zabránil zneužívání chyby pro další útoky. To, že se objevila i záplata pro Windows XP ukazuje, že dost dobře možná hodně napadených počítačů používalo tento již dlouho nepodporovaný operační systém. Viz Customer Guidance for WannaCrypt attacks.

Windows Defender už by měl tenhle druh malwaru/ransomwaru poznat. Nutné dodat, že ještě v sobotu se stále nevědělo, kde to celé začalo. Podle Fox-it a CrowdStrike byl na počátku nejspíš spam obsahující falešné faktury. Další šíření je už věcí prohledávání všech dostupných sítí na napadnutelné stroje.

Miliony děravých strojů, co ten váš?
Shodan ukazuje 1,3 milionu strojů s otevřeným portem 445 (necelých pět tisíc v Česku), ale to nejde jenom o stroje s Windows. Podle Dana Tentlera je na Internetu minimálně 1,34 milionů napadnutelných strojů (které nemají potřebné opravy).

Pokud máte napadnutelný stroj, tak je nutné okamžitě záplatovat, pokud nemůžete, tak zajistit blokování přístupu (TCP/UDP) k portům 138/139/445 a zakázat SMBv1, plus ideálně ještě zakázat RDP (TCP/UDP port 338) přístup z Internetu (který byste mít neměli).

Problém s WanaCry je ten, že se šíří automaticky (červ/worm) tak, že napadené stroje napadají další, které najdou – pokud se tedy ve vaší síti kdekoliv objeví napadený stroj, tak se nákaza začne šířit. Do sítě se může dostat třeba v e-mailu, klasicky třeba jako příloha, ale někdo si ho může i stáhnout a spustit. Antivirové programy tradičně na počátku útoků nepomohou.

Vlastně docela povedený kousek software

Jak přesně funguje WanaCrypt0r ukazují Malwarebytes Labs v The worm that spreads WanaCrypt0r a je to docela dobrá věc ke studiu. Najdete tam i www.iuqerfsodp9ifjaposdfjhgo­surijfaewrwergwea.com aneb doménu, která sloužila jako „stop“ při spuštění viru. Tedy alespoň tohle dělala původní verze viru, novější už to dělat nemusí.

Na konci je dost podstatná zmínka o tom, že vedle WCry se přidává ještě DoublePulsar backdoor (taky z dílny NSA). A také to, že vedle snahy šířit se hledáním napadnutelných počítačů využívá i případných aktivních RDP spojení na další počítače.

Masivní kyberútok zasáhl ve desítkách zemí. Ochromil nemocnice i Telefóniku
13.5.2017 Cnews.cz Viry

Po celém světě útočí nový ransomware WanaCrypt0r 2.0 (někdy označovaný jako WCry nebo WannaCry). Obětem s Windows XP / Server 2003 a novějšími napadne počítač, zašifruje soubory a zobrazí okno, ve kterém požaduje zaplacení výkupného (po omezený čas), jinak uživatel ztratí k datům přístup. Zaplatit musí 300 dolarů v bitcoinech na peněženku https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94.

Zaplať 300 dolarů, jinak přijdeš o data

„WanaCrypt0r 1.0 se poprvé objevil 10. února 2017 a v omezené míře byl použit v březnu. Verze 2.0 byla poprvé detekována včera ráno a bohužel se šíří velmi rychle a globálně. Mezi oběti patří například britská zdravotnická zařízení NHS a mnoho dalších důležitých organizací po celém světě, například v Rusku, Turecku, Indonésii, Vietnamu, Japonsku, Španělsku a Německu. Útokem byla zasažena i Telefonica ve Španělsku nebo společnost Santander,“ říká Daniel Šafář, Country Manager pro Českou republiku a region CZR ve společnosti Check Point Software Technologies.

Avast odhaduje, že WCry zasáhl již v 99 zemích, nejvíce se projevuje v Rusku, Ukrajině a na Tchaj-wanu. Firma již zaznamenala přes 75 000 detekcí ransomwaru. Kaspersky Lab rovněž potvrzuje nejvíce ohrožené země a říká, že v některých případech chce vyděračský software i 600 dolarů. Kaspersky v prvních hodinách detekoval 45 000 útoků v 74 zemích.

Jak útok probíhá?

Ransomware využívá zranitelnosti v protokolu SMB, který počítače s Windows používají k síťovému sdílení disků nebo tiskáren. Exploit EternalBlue (nebo MS17-010) zneužívající díru v systému má údajně na svědomí americká rozvědka NSA nebo společnost Equation Group, která s ní spolupracuje. Hackerská skupina ShadowBrokers od Equationu exploit získala a zveřejnila jej na internetu. Jiná (neznámá) skupina s ním vytvořila WCry.

Takhle vypadá vyděračská obrazovka

Nejvíce napadené země

WCry může vydírat i v češtině

Vlastnosti WCry

Jak vypnout SMB
Microsoft vydal opravu pro SMB již v březnu (zde), ale evidentně ne všechny počítače ji už mají. Alternativním řešením k ochraně je dočasně vypnout funkci SMB. Položku najdete v Ovládací panely | Programy a funkce | Zapnout nebo vypnout funkce systému Windows | Podpora pro protokol sdílení souborů SMB 1.0/CIFS. Automaticky by měly být chráněny počítače schované za NATem.

Oživeno: Microsoft tvrdí, že počítače s Windows 10 nebyly útokem postiženy. Ohroženy jsou systémy Windows XP SP3 x86, Windows XP SP2 x64, Windows Server 2003 SP2 a Windows 8. Opravu tak překvapivě vydal i pro zastaralé XP a Server 2003, stahujte odsud.

WCry na vás může zaútočit, aniž byste cokoliv vědomě stahovali. Pokud nejste schovaní na firewallem/NATem a máte otevřené porty pro vnější komunikaci přes SMB, ransomwarem vás může nakazit kdokoliv z internetu. Útok je prakticky nevysledovatelný, přes internet komunikuje pomocí Toru. WCry se navíc může dostat na jeden počítač v domácí/firemní síti a pak napadnout ostatní.

Bezpečnostní společnosti nedoporučují platit výkupné, přestože zatím dešifrovací software nemají v rukou. Oběti by měly data obnovit ze zálohy. A pokud zálohu nemají, je to dobré poučení do budoucna.

WanaCrypt0r 2.0 popisují:

Avast/AVG
Eset
Check Point
Kaspersky
McAfee
Symantec

Svět v pátek postihl masivní útok ransomwaru WannaCry
13.5.2017 Živě.cz Viry

Zatímco si mnozí z vás dávali svůj páteční zasloužený drink, na hromadu institucí po celém světě útočil zákeřný ransomware WannaCry. Jednalo se o jednu z největších malwarových kampaní v poslední době, která podle Check Pointu a Kaspersky Lab během pátku zasáhla nejméně 74 zemí světa.

Antivirová společnost omylem označila jako malware systémové soubory. Zákazníkům se zhroutily Windows
„Mezi nejpostiženější země patří Rusko, Ukrajina a Indie. Obětí se stalo také 16 britských nemocnic či společnosti ve Španělsku,“ říká David Emm, hlavní bezpečnostní analytik týmu GReAT společnosti Kaspersky Lab.

První verze tohoto viru se dostala na veřejnost už počátkem roku a menší kampaň proběhla v březnu, aktuální vlna se však vymyká svojí velikostí a rychlostí šíření.

„Ransomware použitý při tomto útoku je relativně nový. Poprvé se objevil v únoru 2017 a nejnovější varianta se objevila dnes ráno, v pátek 12. května 2017. Přesto se šíří velmi rychle a útočí na organizace napříč Evropou a Asií,“ doplňuje Daniel Šafář z Check Point Software Technologies.

Kaspersky Lab jen v pátek zaznamenal 45 000 útoků WannaCry, který na infikovaném počítači zašifruje data a poté požaduje výkupné, které je v tomto případě relativně nízké okolo 300 amerických dolarů. I proto by mohl v krajním případě leckdo zaplatit.

U podobných ransomwarových útoků se samozřejmě nepoužívají běžně bankovní převody, ale platba skrze kryptoměny v čele s bitcoinem.

V Anglii vypadly nemocniční systémy a lékaři se vrátili k tužce. Mluví se o útoku hackerů

12.5.2017 Novinky/Bezpečnost Viry
Velký výpadek postihl v pátek odpoledne systémy National Health Service (NHS), což je organizace, která v Anglii zajišťuje zdravotní péči. Informovali o tom zástupci NHS. Vše nasvědčuje tomu, že výpadek je způsoben útokem hackerů. Upozornil na to server BBC.
Problémy s připojením k nemocničním systémům, které spravuje právě NHS, hlásily postupně nemocnice v Londýně, Blackburnu či například Cumbrii. Jak upozornil server BBC, problémy má i řada nemocnic z dalších měst.

Kvůli ochromeným informačním systémům jsou počítače v nemocnicích prakticky nepoužitelné. Personál se tak musel vrátit zpátky k papírům a tužkám, poznamenal server BBC.

Nemusíte? Nechoďte!
Pacienti kvůli tomu musí počítat s daleko delšími čekacími dobami, než je obvyklé.

Lékaři, kteří se nedostanou k informacím o pacientech a naplánovaných úkonech, vyzvali proto pacienty, aby zbytečně nevyráželi do nemocnice, pokud to skutečně není nezbytně nutné. A to platí i pohotovostech.

Zástupci NHS zatím oficiálně neuvedli, co problémy způsobilo. Prakticky všechny nemocnice – i ty které problémy nehlásily – však vyzvali k tomu, aby nepoužívali informační systémy.

„Před hodinou jsme od NHS obdrželi výzvu, abychom neprodleně vypnuli veškeré naše počítače,“ uvedl vpodvečer pro server BBC jeden z pracovníků nemocnice v Yorku.

Virus v systémech NHS?
Je tedy více než pravděpodobné, že pracovníci NHS zachytili nějaký kybernetický útok. Podrobnosti však zatím nejsou k dispozici.

Je možné, že se kyberzločincům podařilo umístit přímo do systémů této zdravotní organizace. Odtud se pak nezvaný návštěvník šířil do počítačů v jednotlivých nemocnicích. Kdyby tedy lékaři využívali systémy NHS nadále, nevědomky by zavirovali své počítače.

Kdy budou systémy jednotlivých nemocnic opět funkční, není v tuto chvíli jasné. Pracovníci NHS nicméně podle vlastních slov usilovně pracují na zjednání nápravy.

HP přibaluje do svých notebooků keylogger. Ukrývá se v audio ovladačích
12.5.207 Živě.cz Viry

Švýcarská bezpečnostní skupina Modzero přišla se zprávou, podle níž výrobce notebooků HP dodává ovladače obsahující keylogger – aplikaci, která zachycuje a ukládá veškeré stisknuté klávesy. Ačkoliv samozřejmě nejde o spyware, jde o značně nezodpovědnou vlastnost, která je bezpečnostním rizikem.

Útočníci hacknuli server oblíbené aplikace pro macOS. Získali přihlašovací údaje včetně správců hesel
Keylogger je zabudován do balíku se zvukovými ovladači, které mají mimo jiné na starost také funkčnost speciálních multimediálních kláves. Právě jejich stisknutí aplikace hlídá a kvůli tomu do textového souboru ukládá veškeré stisknuté klávesy. Mezi nimi samozřejmě můžou být i hesla či další citlivé údaje.

Soubor MicTray.log se nachází ve složce C:\Users\Public\ a je přepsán při každém spuštění systému. Pokud ale uživatel používá pravidelné zálohování systémového disku, může nyní ve svých zálohách objevit i několikaletou historii všech stisknutých kláves. Asi není třeba dodávat, že pro případné útočníky jsou takové logy zlatým dolem.

Hackeři využili chyby v mobilní sítí O2 Telefónica, vybrali lidem bankovní účty
Pokud patříte mezi majitele některého z následujících notebooků, zkontrolujte si, zda se na vašem disku nachází výše zmíněný soubor a zda v běžících procesech objevíte i položku MicTray64.exe. Pokud ano, nejjednodušší cestou, jak zabránit ukládání záznamů o stisknutých klávesách, bude její přejmenování. Bohužel není vyloučeno, že po tomto zásahu nebudou korektně fungovat všechny speciální klávesy. HP ani společnost Conexant Systém, která za ovladači stojí na zprávy bezpečnostních analytiků z Modzero nereagovala, a tak zatím není jasné, jak rychle a zda se postarají o nápravu.

Procesory Intel mají už 7 let chybu, která umožňuje vzdálené ovládnutí celého počítače
Notebooky a počítače, kde se s potenciálně nebezpečnými ovladači můžete setkat:

HP EliteBook 820 G3
HP EliteBook 828 G3
HP EliteBook 840 G3
HP EliteBook 848 G3
HP EliteBook 850 G3
HP ProBook 640 G2
HP ProBook 650 G2
HP ProBook 645 G2
HP ProBook 655 G2
HP ProBook 450 G3
HP ProBook 430 G3
HP ProBook 440 G3
HP ProBook 446 G3
HP ProBook 470 G3
HP ProBook 455 G3
HP EliteBook 725 G3
HP EliteBook 745 G3
HP EliteBook 755 G3
HP EliteBook 1030 G1
HP ZBook 15u G3
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1
HP Elite x2 1012 G1
HP EliteBook Folio 1040 G3
HP ZBook 17 G3
HP ZBook 15 G3
HP ZBook Studio
HP EliteBook Folio G1

Se Shodanem proti malwaru

4.5.2017 SecurityWorld Viry
Nový nástroj Malware Hunter, spolupracující s vyhledávacím enginem Shodan, už odhalil téměř šest tisíc zákeřných RAT serverů.

Společnost Recorded Future představila nový nástroj pro boj s malwarem, určený především do podnikového prostředí. Na jeho vývoji spolupracovala s autory Shodanu, vyhledávacího enginu určeného pro vyhledávání nikoliv stránek, ale počítačů a dalších elektronických zařízení připojených k internetu.

Jejich společné dílo má prostý název Malware Hunter. Jeho úkolem je nepřetržité skenování sítě a nacházení kontrolních bodů spjatých s více než desítkou různých RAT trojských koňů, včetně programů Gh0st RAT, DarkComet, njRAT, ZeroAccess nebo XtremeRAT. Ty všechny spadají do kategorie komerčních malwarových nástrojů sehnatelných za peníze na pochybných hackerských fórech.

K odhalení jejich centrálních uzlů Malware Hunter navazuje spojení s veřejnými IP adresami a odesílá data tvářící se jako ta, která by vzdálenému serveru odesílal trojan. Zatím se mu takto podařilo nalézt více než 5700 RAT serverů, z nichž se víc než 4000 nacházelo na území Spojených států. Nejrozšířenější mezi nimi byl Gh0st RAT, malware čínského původu používaný od roku 2009.

Výstupem práce Malware Hunteru je v reálném čase aktualizovaný seznam centrálních uzlů malwaru, s nímž mohou bezpečnostní, ale i jiné firmy či nezávislí vývojáři pracovat a škodlivý přenos dat blokovat. Tím tak brání útočníkům ve zneužívání zasažených počítačů nebo kradení dat. Teoreticky jde o rychlejší řešení, než čekat na to, až bezpečnostní společnosti odhalí nové typy nebezpečných RAT programů a škodné servery ve svém sofwaru zablokují.

Trojský kůň Chromex se Českem šíří jako lavina, varovali bezpečnostní odborníci

3.5.2017 Novinky/Bezpečnost Viry
Doslova jako lavina se Českem šíří škodlivý kód Chromex. Tento trojský kůň představoval v dubnu každou pátou zachycenou hrozbu. Upozornili na to bezpečnostní odborníci z antivirové společnosti Eset.
Trojskému koni Chromex, jehož celý název zní JS/Chromex.Submelius, patří aktuálně druhá příčka v žebříčku nejrozšířenějších počítačových hrozeb. „Uživatel na něj může narazit například při sledování filmů nebo seriálů prostřednictvím některé neplacené a neoficiální streamovací stránky,“ uvedl Miroslav Dvořák, technický ředitel společnosti Eset.

„Ty totiž pro spuštění videa vyžadují několikeré kliknutí na náhled videa, které otevírá nová okna prohlížeče a zobrazuje v nich reklamy. Tyto weby v některých případech fungují na doménách .cz a .sk a obsahují nabídky instalace škodlivých pluginů,“ doplnil Dvořák.

Uživatel vpustí záškodníka sám do PC
Chromex může přesměrovat prohlížeč na konkrétní adresu URL se škodlivým softwarem. Ten je obvykle vložen do HTML a může zobrazovat falešná chybová hlášení typu „Chcete-li pokračovat v práci s prohlížečem, měli byste si nainstalovat rozšíření“.

Pokud uživatelé budou na tuto výzvu reagovat, nevědomky vpustí do svého počítače nezvaného návštěvníka – trojského koně.

Chromex nicméně není jedinou hrozbou, která dělá aktuálně bezpečnostním expertům vrásky na čele. Již několik měsíců varují také před škodlivým kódem zvaným Danger. Tento virus otevírá zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry z rodiny ransomware.

Zašifrují data a chtějí výkupné
Tyto škodlivé kódy začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.

Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

Přehled deseti nejrozšířenějších virových hrozeb za měsíc duben naleznete v tabulce níže:

Top 10 hrozeb v České republice za duben 2017:
1. JS/Danger.ScriptAttachment (21,33 %)
2. JS/Chromex.Submeliux (19,22 %)
3. Win32/Adware.ELEX (3,78 %)
4. JS/TrojanDownloader.Nemucod (3,73 %)
5. Java/GRat (2,89 %)
6. VBA/TrojanDownloader.Agent.CZT (2,38 %)
7. Java/Kryptik.AP (2,28 %)
8. PowerSheil/TrojanDownloader.Agent.MY (1,88 %)
9. Java/Adwind (1,47 %)
10. Win32/Packed.VMProtect.ABO (1,37 %)
Zdroj: Eset

Bezpečnostní experti bijí na poplach. Nebezpečný virus Locky je opět na scéně

2.5.2017 Novinky/Bezpečnost Viry
Locky patřil v loňském roce k těm nejrozšířenějším vyděračským virům, které kolují internetem. I když se mohlo zkraje letošního roku zdát, že je na ústupu, opak je pravdou. Výzkumníci z týmu Cisco Talos upozornili, že jej kyberzločinci nasazují znovu.
„Po většinu roku 2016 patřil Locky mezi nejrozšířenější vyděračské softwary. Ke svému šíření využíval e-mailové kampaně s infikovanými přílohami. Ransomware Locky byl rozesílán prostřednictvím botnetu (internetový robot zasílající spamy, pozn. red.) Necurs,“ připomněli bezpečnostní experti.

Ti zároveň zdůraznili, že s koncem roku 2016 šíření tohoto vyděračského viru z rodiny ransomwarů bylo výrazně utlumeno.

Zlom nastal až s příchodem jara. „Před několika týdny se Necurs opět probudil a začal posílat spamy nabízející výhodný nákup akcií. Dne 21. dubna zaznamenal bezpečnostní tým Cisco Talos první velkou kampaň ransomwaru Locky prostřednictvím botnetu Necurs za posledních několik měsíců,“ upozornili bezpečnostní experti.

Dešifrovací algoritmus zatím není znám
Podle nich je aktuálně probíhající kampaň velmi intenzivní. Za pouhých pár hodin se jim totiž podařilo zajistit přes 35 tisíc odeslaných e-mailů, ve kterých se nezvaný návštěvník ukrýval.

Samotný útok tedy probíhá úplně stejně, jako tomu bylo u Lockyho již v loňském roce. Po spuštění přílohy v nevyžádaném e-mailu se do PC nahraje vyděračský virus, který dále škodí. Zašifruje data a za jejich zpřístupnění požaduje výkupné.

Dešifrovací algoritmus zaručující obnovu dat po útoku Lockyho zatím není bohužel znám.

Zákeřná Karmen: Tento ransomware by dokázala ovládat i vaše babička
23.4.2017 Živě.cz Viry

Jak složité je spustit ransomwarovou kampaň?
Karmen spíše než malware připomíná CRM systém
Ve webovém rozhraní se vyzná každý
Nejzákeřnějším typem virů je bez diskuze ransomware. Na rozdíl od obvyklého malwaru, který bude skrze váš počítač rozesílat spamy nebo se třeba pokoušet těžit bitcoiny, ale je v jeho zájmu, abyste jej vůbec neobjevili, ransomwaru si všimnete okamžitě. V tu chvíli je však už zpravidla pozdě.

Do nitra zákeřného ransomwaru. Takto vypadá útok na počítače personalistek
Ransomware totiž šifruje data oběti a poté vyžaduje výkupné. Jedinou spolehlivou obranou je tedy záloha všech osobních dokumentů a citlivých dat.

Zlaté oko

Na začátku roku jsme se na jeden takový ransomware podívali pod drobnohledem. Jednalo se o jednu z mnoha variant viru Petya, který zašifroval celý systémový oddíl počítače, takže po restartu se již nenahrály Windows, ale maličký program uložený na začátku pevného disku, který jen oznámil, že jste obětí útoku, a pokud nezaplatíte výkupné okolo 1,3 BTC (aktuálně 42 tis. Kč), naprosto o vše přijdete.

Dobrý den, zašifrovali jsme Vám počítač. Pošlete nám bitcoin a užijte si zbytek dne

Zimní ransomware Petya/GoldenEye se vydával za falešný životopis jistého Rolfa Dreschera, který se šířil jako XLS příloha e-mailu, cílil tedy na nepozorné personalisty, kteří v naději nového špičkového zaměstnance mohli zapomenout na základní bezpečnostní poučky.

Jmenuji se Karmen, zašifruji vám soubory a vy mi zaplatíte

Uběhlo pár měsíců a tentokrát se se zajímavým úlovkem pochlubili zase specialisté z Recorded Future. Zmapovali totiž novou modifikaci ransomwaru, který si říká Karmen a nejspíše se inspiroval ve studijním open-source „ransomawaru“ Hidden Tear, jehož kód najdete na GitHubu.

Na undergroundových tržištích se objevil nový ransomware Karmen

Karmen není zdánlivě tak nebezpečný jako Petya, šifruje totiž pouze uživatelské soubory, ke kterým má práva. V podstatě jej tedy musíte sami spustit a ke všemu k běhu vyžaduje nainstalovaný .NET Framework.

Jenže to vlastně stačí. Ransomware nepotřebuje šifrovat systémové soubory. Proč by to dělal? Vždyť ty nemají žádnou cenu. Jeho cílem je vaše unikátní složka v C:\Users, na které se po spuštění okamžitě vyřádí a dle rychlosti disku a velikosti dat zničí soubor po souboru dostatečně silnou šifrou AES-256.

Video: Takhle útočí ransomware

Oběť to záhy pozná, soubory totiž budou mít novou příponu GRT a také ikonu. Co se stane, ilustruje video níže, které vytvořili přímo autoři viru. Nejprve tedy uvidíte několik oken Průzkumníku a v něm běžné soubory, které autor videa otevře, aby bylo zřejmé, že jsou zcela v pořádku.

Poté autor videa spustí samotný virus a ten okamžitě začne soubory šifrovat. Na obrazovce se zároveň zobrazí zpráva o útoku a varování, aby se oběť o nic nepokoušela, protože by mohla o data nenávratně přijít. Obsah souborů při další zkoušce už samozřejmě neodpovídá těm původním.

Samotný ransomware se zároveň snaží detekovat, jestli neběží v sandboxu (třeba na virtuálním počítači antivirové firmy). V takovém případě okamžitě smaže program pro dešifrování, aby analytik nemohl snadno zjistit, jak v nitru funguje.

Karmen by ovládla i vaše babička

Na Karmen je ale nejzajímavější něco úplně jiného. Nikoliv virus samotný, ale ekosystém okolo. Správa ransomwarové kampaně je totiž zjevně naprosto jednoduchá. Zdaleka nejtěžším kouskem je tedy v tomto případě dostat se vůbec do některého s ruských undergroundových fór a Karmen si koupit.

Správa ransomwarové kampaně Karmen. V dashboardu vidím počet nakažených klientů, počet těch, kteří už zaplatili a celkovou částku. (Zdroj: Recorded Future)

Pokud se to útočníkovi podaří a samotný virus dopraví k oběti (třeba opět skrze poštovní přílohu), stačí spustit webové rozhraní Karmen, které funguje jako jakési CRM. Toto ale nevyvinul SAP a jemu podobní, ale zjevně pár znuděných ruských studentů, kteří si chtějí vydělat na vodku a chléb.

Klient tedy bude moci v prohlížeči sledovat, jak mu naskakují noví a noví zákazníci a jestli už zaplatili správní poplatek v bitcoinech, který jim může dynamicky nastavovat. Po úspěšné platbě se pak automaticky aktivuje příkaz k dešifrování. Tedy pokud mezi tím ransomwarová kampaň neskončila. Platba útočníkovi je tedy vždy ošemetná. Virus se sice může dál samovolně šířit, ale spojení na vzdálený server, kde to vše někdo ovládá, už dávno nemusí existovat. A hlavně, uskutečněná platba pouze a jen motivuje další případné ransomwarové útočníky.

Seznam jednotlivých nakažených klientů a jejich aktuální stav (Zdroj: Recorded Future)

A co tedy dělat, aby se Karmen neobjevila i u vás na počítači? Polovinou úspěchu je racionální chování na internetu a tou druhou pak řádně zabezpečený počítač. A jak radí specialisté z Recorded Future, pokud narazíte na soubory níže, raději je hned smažte (a ne, opravdu je neposílejte svým nadřízeným).

joise.exe (MD5 checksum: 9c8fc334a1dc660609f30c077431b547)
n_karmen.exe (MD5 checksum: 56b66af869248749b2f445be8f9f4a9d)
build.exe (MD5 checksum: 521983cb92cc0b424e58aff11ae9380b)

Mezi hackery se rozmáhá ransomware jako služba

20.4.2017 SecurityWorld Viry
Bezpečnostní experty znepokojuje nový trend. Ransomware jako služba se dá koupit za necelých 4 500 Kč.

Kyberzločinci mohou do svého arzenálu přidat další snadno použitelnou zbraň. Ransomware kit Karmen, který se na černém trhu objevil k dostání za 175 dolarů, tedy necelých 4 500 Kč. Na pochybných internetových fórech ho nabízí rusky hovořící hacker s nickem DevBitox, na kterého upozornila bezpečnostní společnost Recorded Future,

Karmen podle ní spadá do kategorie ransomware-as-a-service – ransomware jako služba, která v poslední době zaznamenává znepokojující rozmach. Takový ransomware totiž mohou zneužít i začínající hackeři s minimálními znalostmi, kteří za své peníze dostanou celý balík webových nástrojů určených k vývoji jejich vlastních ransomware útoků.

Práci s Karmen usnadňuje jednoduše ovladatelné rozhraní skrz které mohou uživatelé ransomware modifikovat, k dispozici mají také rychlý přehled zařízení, které se jim podařilo napadnout, a k tomu pohled do „banku“, kde vidí, kolik už jim jejich kriminální aktivity vynesly.

Rusky komunikující DevBitox, pravděpodobně jen jeden z vývojářů zodpovědných za Karmen, tento hackerský kit nabízí na několika pochybných fórech s tím, že dostupné jsou ruská a anglická jazyková verze. Dle zjištění Recorded Future od loňského prosince prodal dvacet kopií, které byly vysledovány v Německu a v USA. Pořizovací cena 175 dolarů se platí jednorázově předem.

„Takto nízká cena umožňuje vydat se hackerskou cestou více lidem a pořizovatelům umožňuje nechat si sto procent toho, co se jim podaří z obětí útoků získat,“ konstatuje šéf Recorded Future Andrej Baryšev.

Na druhou stranu, ti technicky zdatnější, mohou svá data zašifrovaná skrz Karmen relativně snadno zachránit. Škodlivý kód je totiž postavený na Hidden Tear, opensourceovém ransomware projektu, který kyberzločinci již delší dobu používají k vývoji vlastních ransomwarových mutací a proti kterému se bezpečnostním expertům daří docela zdárně bojovat vydáváním bezplatných nástrojů pro rozšifrování „unesených“ dat.

Malware pro Microsoft Word se šířil e-mailovou přílohou

12.4.2017 SecurityWorld Viry

Útočníci během posledních několika měsíců aktivně zneužívali zero day zranitelnost v oblíbené kancelářské aplikaci Microsoft Word. Pomocí zranitelnosti šířili malware. Dle informací serveru BBC v úterý 11. dubna Microsoft chybu opravil ve standardní měsíční bezpečností aktualizaci.
Mluvčí Microsoftu doporučil Word aktualizovat bezprostředně po vydání záplaty; není jisté, zda se chyba dotkla i verze Wordu pro Apple Mac.

První zpráva o útocích se objevila teprve nedávno od bezpečnostní firmy McAfee, kteří analyzovali několik podezřelých souborů Wordu. Vyšlo najevo, že soubory zneužívají zranitelnost vyskytující se „ve všech verzích Microsoft Office včetně nejnovějších Office 2016 na Windows 10“.

Chyba souvisí s technologií Windows OLE (object linking and embedding), která umožňuje vkládání a následnou úpravu objektů a odkazů v dokumentu, píší výzkumníci z McAfee v příspěvku na blogu.

Když jsou dokumenty útočníků otevřeny uživatelem, připojí se k externímu serveru a stáhnou soubor HTA (HTML Application), která obsahuje VBScript kód – samozřejmě infikovaný malwarem. HTA soubor se tváří jako RTF a je automaticky spuštěn.

„Úspěšný útok zavře nakažený dokument Wordu a vyskočí falešný, který se uživateli objeví,“ popisují výzkumníci McAfee. „V pozadí již tiše běží malware, nainstalovaný v systému oběti.“

Prohledáním bezpečnostních dat z minula firma McAfee zjistila, že útoky probíhají minimálně od konce ledna.

Po zprávě McAfee potvrdili analytici z jiné bezpečnostní společnosti, FireEye, že si jsou rovněž vědomi těchto útoků, a to již několik týdnů. Vše oznamovali Microsoftu a spolupracovali s ním na řešení.

Dle FireEye jsou nakažené dokumenty Wordu zaslány jako e-mailová příloha. Firma neposkytla žádné ukázky nakažených e-mailů, vzhledem k zero day stavu zranitelnosti však zřejmě mířily pouze na omezené množství uživatelů.

Jak McAfee, tak FireEye si povšimly, že zranitelností lze prolomit většinu na paměti založené ochrany, která je ve Windows zahrnuta. Zranitelnost je totiž spíše chybou v logice než v programování.

Downloadery a trojské koně ohrožují české uživatele nejčastěji

10.4.2017 SecurityWorld Viry
Škodlivý kód Danger se nevzdává -- tuzemských kybernetickým hrozbám dominuje už řadu měsíců. Kdy skončí jeho nadvláda?
Nápor škodlivých příloh e-mailů, kterými se šíří škodlivý kód Danger, nepolevuje. Ukazuje to průzkum, který uveřenil Eset. V březnu představovala tato internetová hrozba každý čtvrtý zachycený útok v České republice.

Oproti únoru se podíl tohoto malware na celkových internetových hrozbách zvýšil o pět procentních bodů a vrací se na hodnoty, které vykazoval v průběhu loňského roku.

„Danger je klasickým downloaderem, který může do napadeného zařízení stahovat další malware a různé druhy škodlivých kódů včetně ransomware. Z pohledu uživatele a prevence je důležité být obezřetný a neotevírat každou přílohu, zvláště pokud je vám odesílatel či samotný e-mail podezřelý,“ říká Miroslav Dvořák, technický ředitel Esetu.

Fakt, že se Danger v České republice drží tak dlouho na výsluní, podle Dvořáka dokládá, že jde o účinný malware, pomocí kterého si útočníci stále dokáží najít dost obětí.

Mezi downloadery patří i druhý v březnu nejčetněji zachycený malware Nemucod. Jeho podíl meziměsíčně vzrostl téměř na dvojnásobek únorové hodnoty, dosáhl takřka devíti procent. Novým zástupcem v přehledu deseti nejčastějších internetových hrozeb je trojský kůň Java/QRat.

„Jde o variantu Remote Acces Trojanu pro Javu. Utočníci ho využívají jako zadní vrátka pro vzdálený přístup do systému napadeného zařízení, obvykle k úniku citlivých dat,“ popisuje Dvořák.

Java/QRat může prohlížet soubory, zachytávat přihlašovací údaje, spouštět programy, aktivovat webové kamery a vyvíjet další aktivity na pozadí, aniž by o nich uživatel napadeného zařízení věděl.

Top 10 hrozeb v České republice za březen 2017:

1. JS/Danger.ScriptAttachment (25,90 %)

2. JS/TrojanDownloader.Nemucod (8,84 %)

3. Java/GRat (5,48 %)

4. Win32/Adware.ELEX (4,60 %)

5. JS/Chromex.Submeliux (2,39 %)

6. Win32/Deceptor.AdvancedSystemCare (1,72 %)

7. Java/Adwind (1,59 %)

8. Win32/Packed.VMProtect.ABO (1,57 %)

9. Win32/Obfuscated.NIT (1,53 %)

10. Win32/Packed.VMProtect.AAA (1,43 %)

Zdroj: Eset, duben 2017

Internetem se šíří zákeřný vir, který zneužívá dokumenty Office. Zaplata zatím chybí
10.4.2017 Živě.cz Viry
McAfee varuje před spouštěním dokumentů Office z neznámých zdrojů a když už, tak v bezpečném režimu, který nabízejí novější verze kancelářského balíku.

Nejbizarnější virus pro Android? Falešný Avast obalený falešným PornHubem, za který zaplatíte 100 dolarů
Podle McAfee se totiž sítí šíří zákeřný virus, na který zatím chybí záplata. Malware přitom dokáže zneužít doposud nezdokumentované zranitelnosti a obejít zabezpečení i na Office 2016 v kombinaci s Windows 10. Zneužití se tedy týká všech verzí Office a Windows.

Virus se šíří jako dokument Wordu v příloze e-mailu. Ve skutečnosti se však jedná o RTF soubor a v jeho nitru se skrývá zákeřný skript VBSA, který ze serveru útočníka stáhne webový soubor HTA, uvnitř kterého je opět RTF a další kód, který stáhne hromadu malwaru z dalších serverů.

Otevírání nechtěných dokumentů z pochybných zdrojů by nicméně měl být základní předpoklad nehledě na to, jestli obsahuje virus, anebo se jedná třeba o běžný spam.

Žádné peníze, nový typ ransomwaru po vás chce vysoké skóre ve hře
10.4.2017 Živě.cz Viry

Ransomware je nepříjemná záležitost, která vám zablokuje počítač a nutí vás zaplatit určitou sumu peněz, jinak o všechna svá data přijdete. Zatím tento typ malwaru vždy vyžadoval po lidech finance. Rensenware ale peníze nevyžaduje – chce, aby lidé k odblokování počítače dosáhli vysokého skóre v anime hře.

Do nitra zákeřného ransomwaru. Takto vypadá útok na počítače personalistek
O podivném malwaru informoval jako první Malware Hunter Team na Twitteru. Pokud se podle něj počítač nakazí rensenware, stane se mu zcela to samé jako u klasického ransomware, tedy zablokuje se a zobrazí hlášku o možnostech, jak jej odblokovat.

​Takové upozornění se objeví nakaženým počítačům

Místo zaplacení částky ale škodlivý kód chce, aby člověk získal 0,2 miliardy bodů v LUNATIC úrovni hry TH12 – Undefined Fantastic Object. To není úplně jednoduché, protože se jedná o jednu ze šílených japonských anime stříleček.

Jak je asi jasné, rensenware byl vytvořen spíš jako vtip než jako způsob, jak někomu ublížit. Jakmile se o malware začala zajímat média, přihlásil se k němu jeho tvůrce. Na Twitteru vystupuje pod jménem Tvple Eraser. „Byl to vtip, s kamarády jsme se tomu smáli. Kód jsem na internetu opravdu rozšířil. Někteří lidé to ale nepochopili a začali mě obviňovat. Tak se omlouvám… nechtěl jsem být zlý,“ napsal tvůrce.

Už se kradou i viry. Jeden ransomware využívá pirátskou kopii jiného
Omluva je zahrnuta i do nástroje, kterým lze rensenware odstranit. Zmanipuluje paměť hry tak, aby se člověk nemusel snažit skóre získat. Takže teoreticky pokud chcete, můžete si zkusit věc nainstalovat – původní „zlou“ verzi stejně autor stáhl, nová verze jasně říká, že se jedná o vtip.

Každý čtvrtý útok má na svědomí virus Danger

8.4.2017 Novinky/Bezpečnost Viry
Škodlivý kód Danger se několik posledních měsíců drží na samotném vrcholu žebříčku nejrozšířenějších virových hrozeb. A jinak tomu nebylo ani v uplynulém měsíci, kdy byl tento nezvaný návštěvník zodpovědný za každý čtvrtý počítačový útok. Vyplývá to z analýzy antivirové společnosti Eset.
Na přelomu loňského a letošního roku počet detekovaných útoků, který měl Danger na svědomí, citelně klesal. V posledních týdnech jej však počítačoví piráti opět nasazují stále častěji.

A evidentně se jim to vyplácí. Tento škodlivý kód totiž otevírá zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry z rodiny ransomware.

Chtějí výkupné
Tyto škodlivé kódy začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.

Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

Hrozbu, která nese plný název JS/Danger.ScriptAttachment, se tedy rozhodně nevyplácí podceňovat. Záškodník se šíří především přes nevyžádané e-maily. Právě na ty by si tak uživatelé měli dávat největší pozor. Na první pohled lákavá sleva, či dokonce nějaká výhra totiž nemusí být skutečná a může se za ní ukrývat právě Danger.

„Z pohledu uživatele a prevence je důležité být obezřetný a neotevírat každou přílohu, zvláště pokud je vám odesílatel či samotný e-mail podezřelý. Fakt, že se Danger v České republice drží tak dlouho na výsluní, dokládá, že jde o účinný malware, pomocí kterého si útočníci stále dokáží najít dost obětí,“ řekl Miroslav Dvořák, technický ředitel společnosti Eset.

Danger není jedinou hrozbou
Mezi downloadery patří i druhý v březnu nejčetněji zachycený malware – Nemucod. „Jeho podíl meziměsíčně vzrostl téměř na dvojnásobek únorové hodnoty, dosáhl takřka devíti procent,“ konstatoval Dvořák.

„Novým zástupcem v přehledu deseti nejčastějších internetových hrozeb je trojský kůň Java/QRat. Jde o variantu Remote Acces Trojanu pro Javu. Utočníci ho využívají jako zadní vrátka pro vzdálený přístup do systému napadeného zařízení, obvykle k úniku citlivých dat,“ uzavřel Dvořák.

Seznam deseti nejrozšířenějších hrozeb za měsíc březen naleznete v tabulce níže:

Top 10 hrozeb v České republice za březen 2017:
1. JS/Danger.ScriptAttachment (25,90 %)
2. JS/TrojanDownloader.Nemucod (8,84 %)
3. Java/GRat (5,48 %)
4. Win32/Adware.ELEX (4,60 %)
5. JS/Chromex.Submeliux (2,39 %)
6. Win32/Deceptor.AdvancedSystemCare (1,72 %)
7. Java/Adwind (1,59 %)
8. Win32/Packed.VMProtect.ABO (1,57 %)
9. Win32/Obfuscated.NIT (1,53 %)
10. Win32/Packed.VMProtect.AAA (1,43 %)
Zdroj: Eset

Nejrozšířenější malwarovou rodinou byl v únoru botnet Kelihos

31.3.2017 SecurityWorld Viry
Check Point Software Technologies zveřejnil únorový Celosvětový index dopadu hrozeb, podle kterého se downloader Hancitor poprvé umístil v Top 5 nejrozšířenějších malwarových rodin.

Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika zaznamenala nárůst útoků a posun o 15 míst na nebezpečnější 41. pozici. Slovensko se naopak posunulo o 36 míst mezi bezpečnější země a aktuálně mu patří 65. pozici.

Na prvním místě se v Indexu hrozeb umístila Zambie, která se posunula o 13 míst. Největší skok mezi nebezpečnější země zaznamenal Katar, který se vyhoupl ze 118. příčky na 58. Celkově žebříček doznal v únoru mnoha změn a řada nebezpečnějších zemí se posunula mezi bezpečnější a naopak.

Downloader Hancitor, který na infikovaných zařízeních instaluje například bankovní trojské koně nebo ransomware, se posunul o 22 míst po více než ztrojnásobení globálního dopadu v uplynulém měsíci. Hancitor, někdy označovaný také jako Chanitor, se obvykle šíří prostřednictvím Office dokumentů s makry ve phishingových e-mailech s „důležitými“ zprávami, jako jsou hlasové zprávy, faxy nebo faktury.

Index vyhodnotil Kelihos, botnet používaný k bitcoinovým krádežím, jako nejrozšířenější malwarovou rodinu s 12 % ovlivněnými organizacemi po celém světě. Kelihos je aktivní od roku 2010 a dokázal se přizpůsobit od obyčejných spamových kampaní k pronajímání botnetu na rozesílání spamu komukoli, kdo je ochoten zaplatit. Přestože byl odstaven v roce 2011 a znovu o rok později, pokračoval i tak ve vývoji a transformaci v botnet a vzrostl více než třikrát během pouhých dvou dnů loni v srpnu. V současné době Kelihos stále roste a je to jeden z nejvýznamnějších distributorů nevyžádané pošty na světě. Disponuje „armádou“ s více než 300 000 infikovanými počítači, z nichž každý může posílat více než 200 000 e-mailů každý den.

Z analýzy Top 3 malwarových rodin vyplývá, že hackeři používají při útocích na organizace širokou škálu útočných vektorů a taktik. Tyto hrozby mají dopad na celý infekční řetězec, včetně nevyžádaných e-mailů, které se šíří pomocí botnetů, a downloaderů, které nakonec umístí ransomware nebo trojského koně do počítače oběti.

Top 3 nejrozšířenější škodlivé kódy v únoru byly Kelihos, který ovlivnil 12 % organizací, HackerDefender, který měl dopad na 5 %, a Cryptowall, který ovlivnil 4,5 % organizací po celém světě.

Top 3 - malware:

Kelihos - Botnet zaměřený především na bitcoinové krádeže a rozesílání spamu. Využívá peer-to-peer komunikaci, která umožňuje každému jednotlivému uzlu působit jako C&C server.
HackerDefender - Uživatelský rootkit pro Windows může být využit ke skrytí souborů, procesů a klíčů registru, a také k implementaci backdooru a přesměrování portu, který funguje na základě TCP portů otevřených stávajícími službami. Takže není možné najít skryté backdoory tradičními postupy.
Cryptowall – Ransomware, který začínal jako Cryptolocker doppelgänger, ale nakonec jej překonal. Po odstavení ransomwaru Cryptolocker, se stal Cryptowall jedním z nejvýznamnějších ransomwarů současnosti. Cryptowall je známý pro využití AES šifrování a komunikaci s C&C serverem přes anonymní síť Tor. Šíří se prostřednictvím exploit kitů, škodlivé reklamy a phishingových kampaní.

V oblasti mobilního malwaru došlo k několika zajímavým změnám. Nejaktivnější variantou byl v únoru Hiddad, který do čela poskočil z 3. příčky, na druhém místě skončil Hummingbad a z prvního místa se na třetí propadl backdoor Triada.

Top 3 - mobilní malware:

Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Hummingbad - Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.
Triada - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.

„Nárůst využití různých malwarových variant ukazuje problémy, kterým čelí IT oddělení po celém světě. Je nezbytně nutné, aby se organizace dostatečně vybavily na boj s neustále rostoucím počtem hrozeb a využívaly napříč celou podnikovou sítí pokročilé bezpečnostní systémy,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point.

Check Point analyzoval i malware útočící na podnikové sítě v České republice a i v únoru pokračoval vzestup nových škodlivých kódů. Conficker se po výrazné dominanci během roku 2016 umístil v únoru až na 4. příčce.

Na první místo se naopak vyhoupl botnet Kelihos, který odsunul na druhou pozici ransomware Cryptowall. Na 3. příčce byl rootkit HackerDefender.

Top 10 malwarových rodin v České republice – únor 2017

Malwarová rodina

Popis

Kelihos

Botnet Kelihos (neboli Hlux) je P2P botnet zapojený především do krádeží bitcoinů, těžení bitcoinu a odesílání nevyžádané pošty. Šíří se prostřednictvím spamu, který obsahuje odkazy na další malware. Botnet může také komunikovat s ostatními počítači a vyměňovat informace o zasílání spamu, krást citlivé informace nebo stáhnout a spustit škodlivé soubory. Pozdější verze se většinou šíří přes weby sociálních sítí, zejména Facebook.

Cryptowall

Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil v roce 2014.

HackerDefender
HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.

Conficker
Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.

Fareit
Fareit je trojský kůň, který byl poprvé detekován v roce 2012 a jeho varianty obvykle kradou uživatelský jména a hesla uložená ve webových prohlížečích. Navíc kradou také identifikační údaje k e-mailu a FTP, jako jsou seznam adresářů, heslo, číslo portu, název serveru, typ serveru a uživatelské jméno.

TorrentLocker
Torrentlocker je ransomwarová rodina, která šifruje uživatelské dokumenty, obrázky a další typy souborů. Útočníci po oběti požadují za dešifrování platbu 4,1 bitcoinů (přibližně 1800 dolarů).

Slammer
Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.

Delf
Delf je velká rodina trojských koňů, používaných ke krádežím dat. Některé varianty se liší tak výrazně, že jsou klasifikovány jako červy nebo viry.

Škodlivé aktivity jsou velmi variabilní, od ukončování procesů, přes krádeže dat až po stahování dalšího malwaru.

RookieUA
RookieUA je určen ke krádežím informací. Získává informace o uživatelských účtech, jako jsou přihlašovací jména a hesla, a odesílá je na vzdálený server. HTTP komunikace probíhá pomocí neobvyklého uživatelského agenta RookIE/1.0.

Hancitor
Downloader využívany k instalaci škodlivého kódu, jako jsou bankovní trojany a ransowmare na infikovaných strojích. Hancitor, někdy označovaný také jako Chanitor, se obvykle šíří prostřednictvím Office dokumentů s makry ve phishingových e-mailech s „důležitými“ zprávami, jako jsou hlasové zprávy, faxy nebo faktury.

Graftor
Graftor je adware a zneužívá webový prohlížeč. Svými vlastnostmi se podobá trojskému koni. Může být použit jako nástroj pro stažení dalších škodlivých kódů. Je také znám pro skrývání spustitelných příkazů a DLL v PNG souborech, aby se vyhnul detekci. Některými dodavateli je vnímán jen jako nežádoucí program, ale Graftor má rootkitové schopnosti a C&C funkce, které z něj dělají mnohem nebezpečnější malware, než je jen obyčejný adware.

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky, a pro to využívá informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů.

Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den.

Veselé Vánoce aneb Jak ransomware zašifroval firmám z Prahy data před účetní uzávěrkou

24.3.2017 Lupa.cz Viry
Další příběh o ransomwaru má nakonec šťastný konec. Jen obnovení dat a doplnění informací z nekompletních záloh ale zabralo měsíc.
Náš článek z konce loňského roku o tom, jak jednu malou zdravotnickou firmu v Brně napadl ransomware, vyvolal řadu debat. Hodně lidí se podivovalo především nad tím, že si někdo v podniku stále nechá dělat IT od „syna souseda od vedle“ a kvůli tomu zvýší bezpečnostní rizika. Dnešní příběh je z Prahy a ukazuje, že ransomware může zatopit i menší firmě plné technicky zdatnějších lidí.

Přesněji řečeno jde o dvě firmy s jedním majetkovým propojením. Jedna z nich se soustředí na obchodování s mobilními technologiemi a zaměstnává kolem patnácti lidí, druhá pak provozuje restauraci a práci dává asi osmi lidem.

Tyto propojené společnosti už řadu věcí kolem informačních technologií v minulosti přesunuly „ven“, fungují například na e-mailových službách od Googlu. Jedna věc ale i z historických důvodů zůstávala – server vytvořený z obyčejného počítače s Windows 10 běžící v kancelářích. Jeho jediným účelem bylo provozovat účetní software Pohoda.

Veselé Vánoce
Koncem roku 2016, někdy kolem Vánoc, když přišel čas na účetní uzávěrku, se to stalo. Asi šest lidí se k účetnímu serveru připojuje přes vzdálenou plochu (RDP), tentokrát ale nebyla k dispozici žádná data. Objevila se pouze hláška, že informace na serveru jsou zašifrovány, a pokud je chce firma dostat zpět, má zaplatit.

Autor: Check Point Software Technologies
Ransomware Merry X-Mas
Náš předchozí příběh z Brna ukazoval, jak složitě se k informacím o ransomwaru dostávají lidé bez zkušeností s IT, v pražském podniku ale několik zaměstnanců vědělo, o co jde. Začali tedy hledat informace na internetu. Zjistili jenom to, že v té době k dotyčnému malwaru ještě neexistoval veřejně dostupný klíč pro dešifrování.

TIP: Zaplať, nebo nedostaneš data. Příběh o tom, jak lehce vám může zatopit ransomware

„Došli jsme k tomu, že jde o typ ransomwaru, ke kterému zatím klíče nejsou. Začali jsme tedy řešit, jestli máme zaplatit,“ popisuje pro Lupu pan D. „To ale moc nikam nevedlo. Jeden kolega našel, že zrovna tito útočníci po zaplacení skutečně data odšifrují, druhý kolega ale našel přesný opak. Takže jsme se radši rozhodli nezaplatit.“

Jen toto vyhledávání informací zabralo několik dnů. Následovalo rozhodnutí, že si firmy obnoví data ze zálohy. Ta naštěstí byla uložena na hostovaném serveru mimo kanceláře. Jenže například restaurace přišla o účetní data za půl roku a zálohy rozhodně nebyly prováděny na denní či týdenní bázi.

Autor: Check Point Software Technologies
Podíl ransomwaru na trhu
Příběh má relativně dobrý konec, data se nakonec podařilo znovu poskládat dohromady. Nicméně zaměstnancům to zabralo měsíc času a náklady se odhadem pohybovaly mezi 50 až 60 tisíci. Mimochodem, dešifrovací nástroj na tento typ ransomwaru už dnes existuje.

Dvojnásobný růst ransomwaru
Server s Windows 10 a Pohodou ve dvou vinohradských firmách běží i nadále. Jsou tu ovšem některé změny: je třeba za firewallem, předělaly se porty a je nastavené pravidelné zálohování dat mimo kanceláře. V reakci na problém s ransomwarem firmy také přesouvají další služby do cloudu. „I jako malá firma vidíme cloud jako více bezpečný. Nezaměstnáváme odborníky na kybernetickou bezpečnost a naše starosti jsou jinde,“ říká pan D.

Autor: ESET
Vývoj ransomwaru na Androidu
To, jak se ransomware na server dostal, firmy do detailů nezjišťovaly. Některé typy ransomwaru každopádně útočí právě přes RDP, které se k připojování ve firmě používá. „Také je možné, že tam [na serveru] šéf něco udělal,“ říká pan D. Ransomware se jinak šíří různými cestami (PDF, přílohy, EXE soubory a tak dále) a kopíruje metody tradičního malwaru.

Podle společnosti Check Point se počet odhalených útoků přes ransomware v druhé polovině loňského roku zdvojnásobil a s podobným trendem lze počítat i do budoucna. Ransomware už tvořil 10,5 procenta útoků (více ve studii). Už dřívější průzkumy ukázaly, že jde nejspíše o nejvýdělečnější malware v historii, výkupné totiž platí i tři až pět procent napadených firem. Ransomware už má tisíce variant a hlavní rodiny se postupně modifikují a vyvíjejí.

Největší podíl mezi ransomwary má podle Check Pointu Locky (41 procent) následovaný Cryptowallem (27 procent) a Cerberem (23 procent). Ransomware už se také dá pronajímat jako služba (malware-as-a-service).

Společnost ESET zase upozorňuje, že se navyšuje i využívání ransomwaru v rámci mobilních zařízení, zejména Androidu. Objevují se zejména takzvané lockscreeny, které uzamknou úvodní obrazovku a tradiční zašifrování dat. Podle ESETu ransomware útoky na Android rostou rychleji než útoky jako celek (více ve studii). Ransomware už se objevuje také na chytrých televizích s Androidem.

Ransomware loni připravil firmy na celém světě o víc než miliardu dolarů

23.3.2017 Novinka/Bezpečnost Viry
Tvůrci vyděračských virů ransomware loni inkasovali od napadených firem na celém světě víc než miliardu dolarů. Údaj, který už loni předvídala americká FBI, nyní potvrdila ve svém bezpečnostním reportu společnost KnowBe4.
Firma upozorňuje, že třetina oslovených společností za posledních dvanáct měsíců čelila útoku ransomware. Z těch, jež byly proti těmto útokům chráněny některým z antivirových řešení, více než polovina (53 procent) ani tak nezabránila infekci ransomware.

KnowBe4 proto sestrojil speciální simulátor ransomware, který vyzkoušel u respondentů průzkumu. Test podstoupily téměř tři čtvrtiny oslovených firem, z nichž 48 procent nebylo schopno detekovat chování simulátoru, a jsou tedy potenciálně napadnutelné.

„Ransomware se primárně šíří formou phishingových kampaní e-mailem, takže uživatelé by měli být vyškoleni k tomu, aby jej dokázali identifikovat a zabránili tak jeho průniku do zařízení,“ říká generální ředitel KnowBe4 Stu Sjouwerman.

„Jde o jednoduché pravidlo, které se mohou uživatelé naučit. Pokud nebudou klikat na odkazy a otevírat podezřelé přílohy, neinfikují svůj pracovní počítač ransomware! Důležitou bezpečnostní vrstvou každé společnosti je lidský faktor. Zaměstnanci by měli být vyškoleni pro detekci podvodného e-mailu. Jakmile si to firmy uvědomí, jejich zabezpečení se dramaticky zlepší.“

Šest zašifrovaných PC a dva servery
Firmám, které loni čelily útoku ransomware, zločinci zašifrovali v průměru šest počítačů a dva servery. Vyvrací to dosavadní představu o tom, že ransomware napadne pouze počítač uživatele, který jej svou neopatrností stáhne do svého zařízení.

Každý útok v průměru způsobil dvanáctihodinovou pracovní prodlevu zaměstnanců, jejichž počítače byly napadeny, a dalších dvanáct hodin práce IT oddělení k nápravě tohoto problému. Pozitivní zprávou je, že drtivá většina napadených firem (94 procent) útočníkům nezaplatila požadované výkupné. Ty, které tak učinily, uhradily částky od tří do pěti bitcoinů, v přepočtu 30 až 150 tisíc korun.

„Platit útočníkům je krátkozraké, protože je tak motivujete k dalším útokům,“ varuje Miroslav Dvořák, technický ředitel společnosti ESET. „Důležitá je prevence a kvalitní bezpečnostní řešení, na které však nelze vždy a stoprocentně spoléhat. Útočníci jsou stále o krok napřed.“ Přesto se společnosti ESET daří před ransomware chránit, začátkem března jej největší německý časopis o IT Computer Bild označil za jedinou společnost, která dokázala spolehlivě detekovat útoky těchto vyděračských kampaní. Úspěšná byla i při pokusech o odstranění ransomware z infikovaných zařízení.

Autoři průzkumu rovněž připouštějí, že antivirová řešení mohou do určité míry ochránit firmy před tímto nebezpečím. „Společně s neustálým bezpečnostním školením a testováním zaměstnanců takto mohou firmy významně posílit svoje zabezpečení,“ upozorňují.

Už se kradou i viry. Jeden ransomware využívá pirátskou kopii jiného
21.3.2017 Živě.cz Viry

Bezpečnostní experti odhalili nový typ vyděračské škodlivého softwaru PetrWrap, který šifruje osobní data a za odblokování vyžaduje výkupné. Pozornost poutá zejména ukradeným zdrojovým kódem z jiného ransomwaru od konkurenční skupiny, upozorňuje Kaspersky Lab.
Do nitra zákeřného ransomwaru. Takto vypadá útok na počítače personalistek
Autoři kódu Petya určeného pro tvorbu účinného ransomwaru nabízí za poplatek distribuci jiným kyberzločineckým skupinám na černém trhu. Přidali k němu i kontrolní mechanismus, aby se nedal využívat bez zaplacení v „neautorizovaných“ typech malwaru. Jenže autorům PetrWap se však ochranu podařilo obejít.

Nežádoucí činnost infiltrace analytici pozorují jen od začátku roku, nezodpovězená však zůstává otázka způsobu jejího šíření. „Tvůrci používají vlastní šifrovací klíče, které jsou odlišné od těch, které nabízí ve svých prodávaných verzích Petya. Takže i proto dokáží zcela samostatně fungovat,“ informuje Kaspersky Lab.
Státy Evropy spojují síly proti vyděračským virům
Z technického pohledu dnes Petya a z ní odvozené viry patří mezi ty nejvážnější hrozby. Na počítači zašifruje data, přepíše celý pevný disk a znemožní načítání operačního systému.

V minulosti sice díky chybám v kryptografii výzkumníci našli způsob odemknutí napadených souborů, ale zločinci nedostatky odstranili a vytvořili aktuálně stále neprolomitelný ransomware.

Předinstalovaný malware ve smartphonech je novou zákeřnou hrozbou

19.3.2017 SecurityWorld Viry
Technologie Check Point Mobile Threat Prevention odhalila závažnou infekci ve 38 zařízeních se systémem Android ve velké telekomunikační společnosti a nadnárodní technologické společnosti. I když to není nic neobvyklého, jeden detail útoků je velmi zajímavý. Ve všech případech nebyl malware stažen do zařízení uživatelem, ale hrozba už byla v zařízení předinstalovaná.

Malware byl v zařízeních ještě předtím, než je uživatelé obdrželi, ale škodlivé aplikace nebyly součástí oficiální ROM dodaném výrobcem a byly přidány až někde během dodavatelského řetězce. V šesti případech byl malware navíc přidán pomocí systémových oprávnění přímo do ROM zařízení, takže hrozba nemohla být odstraněna uživatelem a zařízení muselo být přeflashováno.

Výzkumný tým byl schopen určit, kdy výrobce dokončil instalaci systémových aplikací, kdy byl nainstalován malware a kdy uživatel zařízení dostal.

Ve většině případů objevený předinstalovaný malware na zařízeních kradl informace a generoval zisky ze zobrazování nelegitimní reklamy. V jednom případě se jednalo o mobilní ransomware Slocker. Slocker používá šifrovací algoritmus AES pro zašifrování všech souborů na zařízení a za poskytnutí dešifrovacího klíče požadoval výkupné. Slocker používá pro komunikaci s C&C serverem anonymní síť Tor.

Obecným pravidlem je, že by se uživatelé měli vyhnout riskantním webovým stránkám a měli by stahovat aplikace pouze z oficiálních a důvěryhodných zdrojů. Nicméně jen dodržovat tyto pokyny nestačí. Předinstalovaný malware ohrožuje bezpečnost i těch nejpečlivějších uživatelů. Navíc uživatel, který obdrží zařízení s malwarem, není schopen zaznamenat jakékoliv změny v činnosti přístroje, které se často vyskytují po instalaci malwaru.

Objevení předinstalovaného malwaru vyvolává řadu znepokojivých otázek ohledně mobilní bezpečnosti. Uživatelé mohou dostat zařízení, které obsahuje zadní vrátka nebo je rootované bez jejich vědomí. Pro ochranu před normálním i předinstalovaným malwarem by měli uživatelé používat pokročilá bezpečnostní opatření, která mohou identifikovat a blokovat jakoukoliv anomálii v chování zařízení.

Danger děsí bezpečnostní experty, počet útoků stoupá

9.3.2017 Novinky/Bezpečnost Viry
Nejrozšířenější kybernetickou hrozbou byl v únoru škodlivý kód Danger. Bezpečnostní experti varovali především před tím, že počet útoků tohoto nezvaného návštěvníka dramaticky stoupá. Vyplývá to z analýzy antivirové společnosti Eset.
Danger byl loni nejrozšířenější hrozbou vůbec. Zkraje letošního roku však jeho podíl začal citelně klesat. Vše tedy nasvědčovalo tomu, že je tento nezvaný návštěvník na ústupu.

Nyní se však ukazuje, že opak je pravdou. „V lednu jsme zaznamenali výrazný pokles detekcí tohoto malwaru. Z měsíce na měsíc se snížil o 40 procentních bodů. V únoru se však podíl downloaderu Danger na celkových internetových hrozbách začal znovu zvyšovat až na více než 20 procent,“ konstatoval Miroslav Dvořák, technický ředitel společnosti Eset.

Virus, plným názvem JS/Danger.ScriptAttachment, je velmi nebezpečný. Otevírá totiž zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry z rodiny ransomware.

Hrozbu představují i Adwind a Nemucod
Danger nicméně není jediným škodlivým kódem, který dělá bezpečnostním expertům vrásky na čele. „V únoru posiloval i škodlivý kód Adwind, který představoval 6,86 procenta zachycených detekcí. Jde o backdoor, který cílí na systémy podporující Java runtime prostředí,“ uvedl Dvořák.

„Adwind funguje jako zadní vrátka. To znamená, že odesílá informace o napadeném systému a přijímá příkazy od vzdáleného útočníka. Může jít například o zobrazení zprávy v systému, otevření konkrétní internetové stránky, aktualizaci malwaru nebo stažení a spuštění nějakého souboru,“ doplnil.

Ten zároveň zdůraznil, že Adwind měl v uplynulém měsíci podíl 6,86 %. To je jen nepatrně více než v případě třetí nejrozšířenější hrozby – škodlivého kódu Nemucod. Také s pomocí tohoto viru mohou počítačoví piráti do napadeného stroje stahovat další škodlivé kódy, podobně jako v případě Dangeru.

Přehled deseti nejrozšířenějších virových hrozeb za uplynulý měsíc naleznete v tabulce níže:

Deset nejrozšířenějších počítačových hrozeb v ČR – únor 2017
1. JS/Danger.ScriptAttachment (20,94 %)
2. Java/Adwind (6,86 %)
3. JS/TrojanDownloader.Nemucod (6,33 %)
4. JS/ProxyChanger (4,36 %)
5. JS/TrojanDownloader.Agent.PQT (2,48 %)
6. Win32/Adware.ELEX (1,56 %)
7. Win32/Packed.VMProtect.AAA (1,56 %)
8. Win32/Packed.VMProtect.ABO (1,48 %)
9. JS/Kryptik.RE (1,24 %)
10. Win32/GenKryptik (1,24 %)

Podle nejnovější zprávy zaznamenal ransomware 752procentní nárůst

7.3.2017 SecurityWorld Viry
Trend Micro vydalo svoji nejnovější výroční bezpečnostní zprávu 2016 Security Roundup: A Record Year for Enterprise Threats, která potvrzuje, že rok 2016 byl rokem online vydírání. Kybernetické hrozby dosáhly loni svého historického maxima, zejména pak díky rostoucí oblibě ransomwaru i útoků využívajících firemní emaily (Business Email Compromise, BEC).

Nárůst nových rodin ransomwaru o 752 procent způsobil firmám po celém světě ztrátu ve výši 1 miliardy amerických dolarů. Společnost Trend Micro spolu s iniciativou Zero Day Initiative (ZDI) odhalily v průběhu roku 2016 celkem 765 zranitelností. Hned 678 z nich bylo zjištěno prostřednictvím bug bounty programu iniciativy ZDI – takto odhalená rizika ZDI prověřuje a následně o nich informuje příslušné výrobce.

Ve srovnání s rokem 2015 zaznamenala nárůst z pohledu zranitelností objevených společností Trend Micro a iniciativy ZDI značka Apple (145 procent), zatímco Microsoft se může pochlubit o 47 procent nižším počtem potenciálně nebezpečných chyb. Navíc došlo i k poklesu využívání nově objevených zranitelností v exploit kitech, a to o 71 procent. Částečně to bylo způsobené zatčením osob stojících za kitem Angler v červnu 2016.

„Spolu s tím, jak se hrozby diverzifikují a jsou stále sofistikovanější, přesunul se zájem kybernetických zločinců od jednotlivců tam, kde jsou peníze – tedy k podnikům,“ řekl Ed Cabrera, ředitel počítačové bezpečnosti společnosti Trend Micro. „Po celý rok 2016 jsme byli svědky vydírání firem i organizací za účelem zisku a neočekáváme, že by došlo ke zpomalení tohoto trendu. Náš průzkum si klade za cíl poskytnout podnikům informace o taktikách, které útočníci aktivně používají ke kompromitaci jejich dat, a také jim pomoci přijmout opatření umožňující zůstat krok před kybernetickými zločinci a chránit se před potenciálními útoky.“

Globální služba společnosti Trend Micro – Smart Protection Network – zablokovala během celého roku 2016 více než 81 miliard hrozeb, tedy ve srovnání s rokem 2015 o celých 56 procent více. Ve druhé polovině roku 2016 přitom bylo blokováno více než 3 000 útoků za sekundu. Během celého loňského roku bylo hned 75 miliard zablokovaných pokusů založeno na elektronické poště a takto vysoká čísla potvrzují, že emaily zůstávají pro počítačové zločince hlavní vstupní branou do infrastruktury nebo počítače oběti.

Česká republika se na celkovém počtu hrozeb podílela pouhými 0,17 procenty a vůči regionu EMEA pak 0,70 procenty. Obě hodnoty jsou horší například ve srovnání se Slovenskem (0,06 % a 0,23 %) a lepší například vůči Polsku (1,02 % a 4,08 %). Nejrozšířenějším detekovaným malwarem v České republice byl v roce 2016 Nemucod a například nejčastěji blokovanou doménou militarismreptilesoapsud.com.

Mezi hlavní zjištění pro rok 2016 patří:

Růst ransomwaru – v průběhu 12 měsíců se počet rodin ransomwaru zvýšil z 29 na 247. Jednou z hlavních příčin vysokého růstu je ziskovost tohoto typu hrozby. Ačkoli jednotlivci i organizace jsou před placením výkupného varováni, počítačoví zločinci si i tak jen za loňský rok přišli přibližně na 1 miliardu dolarů.
Vzestup útoků a podvodů prostřednictvím firemních emailů (BEC) – stejně jako v případě ransomwaru se ukázalo, že počítačové zločiny založené na hrozbách typu BEC jsou neuvěřitelně lukrativní záležitostí. Následkem vysoké obliby přišly firmy po celém světě v průměru o 14 000 dolarů. Tento typ hrozeb je navíc důkazem efektivity technik založených na sociálním inženýrství v případě útoků cílených na podnikovou sféru.
Různorodost zranitelností – Trend Micro spolu s iniciativou Zero Day Initiative objevily v roce 2016 rekordní počet zranitelností, z nichž byla většina nalezena v Adobe Acrobat Reader DC a v nástroji WebAccess společnosti Advantech. Obě aplikace jsou široce využívány v podnikových informačních architekturách a systémech SCADA (Supervisory Control and Data Acquisition).
Ústup exploit kitu ze slávy – po zatčení 50 počítačových zločinců se dříve dominantní exploit kit Angler pomalu vytrácí. A přestože netrvalo příliš dlouho a uvolněné místo začaly zaplňovat nové exploit kity, počet zranitelností obsažených v exploit kitech klesl do konce roku 2016 o 71 procent.
Bankovní trojské koně a malware zaměřený na bankomaty – počítačoví zločinci využívají ATM malware, kopírování informací z platebních karet i bankovní trojské koně. Nicméně útoky se během posledních let diversifikují, útočníci získávají osobní identifikační a přístupové údaje využitelné i v rámci průniků do firemních sítí.
Masivní útoky využívající malware Mirai – v říjnu 2016 využili útočníci špatného zabezpečení zařízení ze světa internetu věcí a pomocí přibližně 100 000 těchto zařízení provedli distribuovaný DoS útok (Distributed Denial-of-Service, DDoS) na vybrané služby, jako je Twitter, Reddit nebo Spotify, které tak byly několik hodin nedostupné.
Historický únik dat v Yahoo – v případě společnosti Yahoo sice došlo k historicky největšímu úniku dat, který se týkal jedné miliardy uživatelských účtů, již v srpnu 2013, nicméně incident byl zveřejněný až tři měsíce po dalším úniku v září 2016 týkajícím se 500 miliónů účtů. Tyto události vzbudily diskuzi o zveřejňování informací a odpovědnosti, kterou společnosti mají ke svým zákazníkům z pohledu bezpečnosti uživatelských dat.

Vyděračský ransomware více cílí na Android, inspirují je úspěšné útoky na počítače

5.3.2017 Novinky/Bezpečnost Viry
Mobilní zařízení s operačním systémem Android jsou častějším terčem útoků vyděračského škodlivého kódu. Loni těchto útoků meziročně přibylo o 50 procent, zjistila společnost ESET.
Různé škodlivé kódy loni útočily na Android více než v roce 2015, nárůst počtu případů ransomware byl ale nejvýraznější.

„I když jsme celkově zaznamenali nárůst detekcí malwaru na Androidu přibližně o 20 procent, útoky ransomware na tuto platformu rostou mnohem rychleji. Nejvyšší nárůst zaznamenal ESET v první polovině roku 2016, rozhodně bychom si ale nedovolili říci, že tato hrozba v dohledné době pomine,“ říká technologický ředitel společnosti ESET Juraj Malcho.

Ransomware je typ škodlivého kódu, který různými způsoby zablokuje zařízení a za jeho odblokování žádá od oběti výkupné. Loni šlo o historicky nejvyšší počet pokusů o infikování zařízení s Androidem tímto způsobem. ESET, který má tato data k dispozici díky svojí technologii LiveGrid, svá zjištění prezentoval na veletrhu Mobile World Congress v Barceloně.

Je to globální hrozba, varuje expert
Autoři lockscreenů (škodlivý kód, který uzamkne displej mobilního zařízení) a crypto-ransomware (škodlivý kód, který zašifruje obsah zařízení) využili uplynulý rok k tomu, aby zkopírovali techniky šíření, které používají druhy malware útočící na počítače.

Vyvinuli ale také sofistikované metody, které se zaměřují na technologie specifické pro operační systém Android. Kyberzločinci se zároveň zaměřili na to, aby nevyčnívali tím, že škodlivý kód šifrují a nebo ho skrývají hlouběji do infikovaných aplikací.

V průběhu roku 2015 společnost ESET zaznamenala, že zájem tvůrců ransomware, které cílí na Android, se přesunul z východní Evropy do USA a zaměřuje se na uživatele mobilních telefonů. Nicméně v loňském roce se ukázalo, že útočníci stále více míří i na asijský trh. „Určitě můžeme konstatovat, že se z ransomware na Androidu stala plnohodnotná globální hrozba,“ dodává Juraj Malcho.

Mobilní malware raketově roste, nejvíc je reklamních trojanů

2.3.2017 Root.cz Viry
Kaspersky Lab vydal podrobnou zprávu o stavu malware na mobilních telefonech. Z ní plyne, že útoků rapidně přibývá. Za rok proběhne tolik útoků, co dřív za pět let. Společnost Kaspersky Lab zveřejnila zprávu týkající se malware pro mobilní platformy. Z ní plyne, že v roce 2016 došlo k téměř trojnásobnému nárůstu detekcí mobilního malware proti roku předchozímu. Celkově došlo k 8,5 milionům škodlivých instalací, které byly identifikovány. Toto množství odhaleného malwaru za pouhý jeden rok odpovídá 50 % množství malwaru odhaleného mezi lety 2004 a 2015 – tedy za 11 let.

Nejvíce jsou zastoupeny reklamní trojské koně. Z 20 takovýchto programů je 16 trojanů, přičemž v roce 2015 jich bylo pouze 12. Nárůst je dobře patrný ze statistik, které Kaspersky Lab z mobilních zařízení získává:

Téměř 40 milionů útoků mobilním malwarem, přičemž přes čtyři miliony uživatelů používající zařízení s Androidem bylo ochráněno (oproti 2,6 milionům v roce 2015)
Přes 260 000 detekcí instalačních balíčků mobilních ransomwarových trojských koní (8,5násobný meziroční nárůst)
Více než 153 000 unikátních uživatelů napadených mobilním ransomwarem (v porovnání s rokem 2015 se jedná o 1,6násobný nárůst)
Přes 128 000 detekovaných mobilních bankovních trojanů (skoro 1,6násobný nárůst oproti roku 2015)

Druhy hrozeb v letech 2015 a 2016
Reklamní trojan: byl váš přístroj už napaden?
Zákeřné je, že trojany po úspěšném spuštění získají rootovská oprávnění a získají tak plnou kontrolu nad zařízením. To jim umožní nejen agresivně zobrazovat reklamu na infikovaných zařízeních, ale jsou též schopni skrytě instalovat jiné aplikace. Útočníci se také snaží přímo vydělat peníze tím, že pomocí Google Play nakupují aplikace.

Díky ovládnutí zařízení může trojan upravovat oddíl s operačním systémem, takže je velmi složité jej ze zařízení odstranit. Někteří reklamní trojští koně jsou dokonce schopni napadnout zálohovací systém, čímž prakticky znemožní vyřešení problému uvedením zařízení do továrního nastavení.

Hlavním problémem jsou v tomto případě bezpečnostní chyby v Android, ale zpráva upozorňuje na to, že mnoho je jich opraveno, ale uživatelé svá zařízení neaktualizují. V mnoha případech byli trojští koně schopni zneužít již záplatované zranitelnosti, protože si uživatelé nestáhli nejnovější aktualizace.

Bohužel se tento druh škodlivého softwaru opakovaně objevil v obchodě Google Play. Například maskovaný jako průvodce pro hru Pokemon GO. V tomto konkrétním případě byla aplikace stažena více než půl milionem uživatelů, přičemž je detekována jako Trojan.AndroidOS.Ztorg.ad.

Trojan.AndroidOS.Ztorg.ad vypadá jako průvodce hrou Pokemon GO
Ransomware a bankovní trojany
Vydírání se dnes netýká jen serverů ve firmách, ale čím dál častěji také mobilních telefonů. Moderní ransomwary překryjí zprávou vyžadující zaplacení výkupného otevřená okna, čímž znemožní používání celého zařízení. Tento princip využil nejoblíbenější ransomwarový program v roce 2016 – Trojan-Ransom.AndroidOS.Fusob.

Tento trojan nejčastěji útočí v Německu, Spojených státech a Británii, přičemž se cíleně vyhýbá státům bývalého Sovětského svazu a některým sousedícím zemím. Po svém spuštění provede trojan kontrolu jazyka zařízení a objeví-li nějaké neshody, může svou operaci zastavit. Útočníci stojící za tímto trojanem většinou pro odblokování přístroje požadují výkupné ve výši 100 až 200 dolarů. Toto výkupné musí být zaplaceno pomocí kódů předplacených karet pro iTunes.

Výrazně přibývá také bankovních trojanů. Za rok 2016 bylo mobilními bankovními trojany napadeno přes 305 000 uživatelů ve 164 zemích, předešlý rok šlo o 56 000 uživatelů ve 137 zemích. Mezi tři státy s nejvyšším podílem napadených uživatelů mobilními bankovními trojany patří Rusko, Austrálie a Ukrajina.

Trojan.AndroidOS.Ztorg.ad převlečený za přehrávač videa
Mobilní bankovní trojští koně se v průběhu roku vyvíjeli, mnoho z nich dokázalo obejít nové bezpečnostní mechanismy operačního systému Android a mohli tak pokračovat v kradení uživatelských informací i z nejnovějších verzí tohoto systému. Vývojáři těchto trojanů zároveň opakovaně vylepšovali schopnosti svých výtvorů. Například malwarová rodina Marcher kromě překrytí obvyklých bankovních aplikací ještě navíc uživatele přesměrovala ze stránek finančních institucí na phishingové weby.

Bez aktualizací to nepůjde
Množství reklamních trojských koní zneužívajících uživatelská práva v roce 2016 neustále rostlo. Kyberzločinci využívají faktu, že většina zařízení nemá nejnovější aktualizace operačního systému (nebo jsou provedeny pozdě), čímž se stávají náchylnými vůči starým a osvědčeným hrozbám, říká Petr Kuboš z Kaspersky Lab.

Navíc jsme podle jeho slov svědky toho, že se mobilní prostředí pro kyberzločince stává přeplněným, a proto se začínají poohlížet po světě za hranicí chytrých telefonů. Pravděpodobně tak letos zažijeme velké útoky na zařízení IoT, které budou spuštěny z mobilních zařízení. Útoky na podobná zařízení už probíhají, připomeňme ovládnutí chytrých kamer, síťových tiskáren nebo routerů.

Bankovní malware se v Google Play maskoval za aplikaci předpovědi počasí

2.3.2017 Novinky/Bezpečnost Viry
Pět tisíc uživatelů mobilních zařízení s operačním systémem Android si začátkem února stáhlo z oficiálního obchodu Google Play škodlivou aplikaci, která zneužívá internetové bankovnictví.
Škodlivá aplikace se objevila v nabídce Google Play 4. února a byla stažena po pouhých dvou dnech, kdy na ni upozornila společnost ESET. Její analytici detekovali hrozbu jako Trojan.Android/Spy.Banker.HU~~pobj. Aplikace se chovala jako skutečný nástroj na předpověď počasí, zároveň ale byla schopna na dálku zamknout nebo odemknout infikované zařízení a zachytit odesílané i přijímané textové zprávy.

Jakmile si uživatel tuto aplikaci stáhl do svého zařízení, ikona předpovědi počasí zmizela a infikovaný přístroj zobrazil falešnou obrazovku s požadavkem na aktualizaci operačního systému zařízení.

Pokud uživatel vyplnil formulář, včetně požadavku na změnu hesla pro odemykání a zamykání displeje, vydal svůj chytrý telefon všanc útočníkovi. Malware nicméně pracoval skrytě na pozadí, ovládaný vzdáleným řídícím serverem, aniž by o tom uživatel mobilního telefonu musel vědět.

Krade přihlašovací údaje k účtům
Malware je tak zákeřný, že ve chvíli, kdy uživatel spustí některou z aplikací internetového bankovnictví, zobrazí falešnou přihlašovací stránku a získá tak od oběti přihlašovací údaje k jejímu bankovnímu účtu. Díky tomu, že dokáže odchytit odesílané i přijímané textové zprávy, dokáže obejít i dvoufaktorovou autentizaci, tedy jednorázově vygenerované heslo, kterým uživatel prokazuje svoji totožnost při přihlašování k účtu přes internet.

Škodlivá aplikace nese název Good Weather a v současné době ji už v obchodu Google Play nelze stáhnout. Vyskytuje se v něm pouze legitimní aplikace téhož názvu od vývojáře AsdTm. Přesto mohou existovat uživatelé, kteří si stihli stáhnout škodlivou verzi.

Jak ji rozeznají od té správné? „Pokud jste si začátkem února stáhli aplikaci Good Weather a nejste si jisti, zda nejde zrovna o její škodlivou verzi, zkontrolujte si, zda máte na displeji telefonu žlutou ikonu s mrakem, který částečně zakrývá slunce. Tato aplikace je v pořádku. Škodlivá aplikace má modrou kruhovou ikonu, v níž je bílý mrak,“ popisuje Miroslav Dvořák, technický ředitel společnosti ESET.

Jak se zbavit škodlivé aplikace?
Infikované zařízení lze zbavit škodlivé aplikace za pomoci některého z mobilních antivirových programů. Pokud ji uživatel chce odinstalovat ručně, musí nejprve deaktivovat práva trojanu ke správě zařízení.

Poté lze škodlivou aplikaci odinstalovat pomocí Nastavení -> Aplikace -> Good Weather. „Je pravděpodobné, že se tato škodlivá aplikace bude vyskytovat ještě v některých neoficiálních obchodech s aplikacemi pro Android. Uživatelé by raději měli používat oficiální zdroj Google Play,“ radí Miroslav Dvořák.

Jak však prokázal tento i některé dřívější případy, i v Google Play se mohou vyskytnout zavirované aplikace. Uživatel by se proto měl vždy ujistit o tom, že zná všechna oprávnění, která by mohla aplikace uplatnit po stažení do jeho chytrého mobilního telefonu nebo tabletu. „Důležité je také číst uživatelské názory na tuto aplikaci a její hodnocení,“ podotýká Miroslav Dvořák.

Nákaza ransomwarem v Androidu raketově roste

1.3.32017 SecurityWorld Viry
Rekordní nárůst detekcí ransomware na zařízeních s operačním systémem Android za rok 2016 hlásí výzkumníci Esetu. Jde o typ škodlivého kódu, který různými způsoby zablokuje zařízení a za jeho odblokování žádá od oběti výkupné a loni dosáhl o historicky nejvyššího počtu pokusů o infikování.

„I když jsme celkově zaznamenali nárůst detekcí malwaru na Androidu přibližně o 20 procent, útoky ransomwaru na tuto platformu rostou mnohem rychleji. Nejvyšší nárůst byl v první polovině roku 2016, rozhodně bychom si ale nedovolili říci, že tato hrozba v dohledné době pomine,“ říká technologický ředitel Esetu Juraj Malcho.

Autoři lockscreenů (škodlivý kód, který uzamkne displej mobilního zařízení) a crypto-ransomware (škodlivý kód, který zašifruje obsah zařízení) využili uplynulý rok k tomu, aby zkopírovali techniky šíření, které používají druhy malware útočící na počítače.

Vyvinuli ale také sofistikované metody, které se zaměřují na technologie specifické pro Android. Kyberzločinci se zároveň zaměřili na to, aby nevyčnívali tím, že škodlivý kód šifrují a nebo ho skrývají hlouběji do infikovaných aplikací.

V průběhu roku 2015 Eset zaznamenal, že zájem tvůrců ransomware, které cílí na Android, se přesunul z východní Evropy do USA a zaměřuje se na uživatele mobilních telefonů. Nicméně v loňském roce se ukázalo, že útočníci stále více míří i na asijský trh. „Určitě můžeme konstatovat, že se z ransomwaru na Androidu stala plnohodnotná globální hrozba,“ dodává Malcho.

Experti bijí na poplach. Ransomware útočí stále častěji

24.2.2017 Novinky/Bezpečnost Viry
Dramatický nárůst útoků vyděračských virů, které jsou označovány souhrnným názvem ransomware, zaznamenali bezpečnostní experti. Podle aktuální zprávy antivirové společnosti Check Point se jejich podíl mezi jednotlivými hrozbami v druhé polovině loňského roku zvýšil na dvojnásobek. A bude hůř…
Co je ransomware? Každý třetí člověk to neví

Vyděračské viry, které jsou často označovány souhrnným názvem ransomware, patří několik posledních měsíců k těm nejzávažnějším hrozbám. Přesto každý třetí člověk neví, co slovo ransomware vlastně znamená. Tedy ani to, že jde o počítačového záškodníka. Vyplývá to z průzkumu antivirové společnosti Eset.
Průzkum se uskutečnil v USA a Kanadě, přičemž se ho dohromady účastnilo více než tři tisíce lidí. Třetina z nich odpověděla, že vůbec neví, co slovo ransomware znamená.
Bezpečnostní experti jim vysvětlili, že jde o škodlivé kódy, které dokážou uzamknout počítač a zašifrovat všechna uložená data. Také jim objasnili, že jde o škodlivé kódy, které uzamknou počítač, zašifrují data a za jejich zpřístupnění požadují výkupné. To by však 85 % lidí nebylo ochotných zaplatit. Raději by o takto uloupená data přišli.
Zajímavá je také informace o tom, jak si lidé svoje data chrání. Rovných 31 % dotázaných totiž uvedlo, že soubory uložené v počítači vůbec žádným způsobem nezálohuje. A to ani fotografie či videa. V případě útoku vyděračského viru by tak o svá data nenávratně přišli.
„V roce 2016 byly detekovány tisíce nových ransomwarových variant a v posledních měsících jsme byli svědky další změny. Ransomware je stále více a více centralizovaný a několik významných malwarových rodin dominuje celému trhu a útočí na organizace všech velikostí,“ podotkl Petr Kadrmas, bezpečnostní odborník ze společnosti Check Point.

Podle něj ale pochopitelně nejsou ničím výjimečným ani útoky na koncové uživatele. Na podniky a firemní sítě se nicméně počítačoví piráti zaměřují ještě častěji, protože tam mohou napáchat daleko větší neplechu.

Důvod, proč kyberzločinci ransomware tak často šíří, je prostý. „Ransomware prostě funguje a generuje útočníkům zisky. Organizace se snaží efektivně chránit, ale mnoho z nich nepoužívá správné zabezpečení a podceňuje vzdělávání zaměstnanců, kteří by rozpoznáním příznaků útoku mohli zabránit nákladným škodám,“ podotkl Kadrmas.

Vše tedy nasvědčuje tomu, že v letošním roce se budou vyděračské viry šířit ještě více, než tomu bylo v tom loňském.

Útoky jsou sofistikovanější
Sluší se navíc připomenout, že v šíření podobných nezvaných návštěvníků jsou kyberzločinci stále vynalézavější. Mnohdy případný útok nemusí odhalit ani zkušení uživatelé.

Jedním z nejnovějších triků je zobrazování webových stránek s nesmyslnými znaky. S podobnými, jaké se zobrazují například v textových dokumentech, pokud v počítači není nainstalovaný použitý font písem. Uživatel tak musí v praxi znakovou sadu manuálně doinstalovat, aby si mohl text přečíst. [celá zpráva]

A přesně na to sázejí počítačoví piráti. „Uživateli je zobrazena výzva k instalaci balíčku fontů pro Google Chrome s tím, že tím bude problém vyřešen,“ konstatoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ.

„Pokud uživatel na trik skočí, problémy mu teprve začnou, neboť si místo fontů nainstaluje do svého počítače trojského koně, nebo dokonce ransomware,“ doplnil bezpečnostní analytik s tím, že s podobnými útoky se mohou uživatelé setkat i na legitimních webových stránkách, které se podaří počítačovým pirátům napadnout.

Výkupné neplatit
Útoky vyděračských virů jsou vždy na chlup stejné. Nejprve tito záškodníci zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty.

Sluší se připomenout, že výkupné by ale lidé neměli platit, protože nemají žádné záruky, že data budou skutečně zpřístupněna. Z podobných případů, které se objevovaly v minulosti, dokonce vyplývá, že nedochází k odšifrování dat prakticky nikdy. Jediným řešením je počítač odvirovat, což však nemusí být jednoduché.

Nejbizarnější virus pro Android? Falešný Avast obalený falešným PornHubem, za který zaplatíte 100 dolarů
24.2.2017 Novinky/Bezpečnost Viry
Autorům ransomwaru pro Android se nedá upřít jedna věc
Mají zvrácený smysl pro humor
Vydávají se za Avast, FBI nebo třeba NSA
Autorům ransomwaru – nebezpečného malwaru, který zašifruje data a žádá výkupné – nelze upřít jednu věc: Smysl pro humor, i když poněkud zvrácený. Vyplývá to alespoň z bezpečnostní studie Trends in Android Ransomware (PDF), kterou připravili analytici z Esetu a která se tentokrát věnuje vyděračským virům, jenž se v minulosti šířily a mnohé i nadále šíří světem Androidu.

Aby měl ransomware čas zašifrovat přinejmenším veřejnou paměť na telefonu (SD kartu, sdílené vnitřní úložiště aj.), často se vydává za vcelku legitimní program. A než si leckdo všimne něčeho podezřelého, už může být pozdě.

Některé takové exempláře, které zachytili v Esetu, si však opravdu zaslouží pozornost. Jedním z nich je falešný antivirus označovaný jako Android/FakeAV.E. To samo o sobě není nic neobvyklého, protože v této podobě se začal šířit nejeden malware i na klasickém desktopu. Zdánlivě důvěryhodná aplikace, kterou jste dobrovolně spustili, pak ve skutečnosti natahala do počítače další malware, anebo začala šifrovat jeho pevný disk.

Falešný Avast obalený falešným PornHubem

Jeden takový mobilní antivirus je však trošku jiný, je totiž obalen ještě další fiktivní aplikací – PornHubem. Portál pro fanoušky nezávislé kinematografie asi netřeba příliš představovat. A proč si jej záškodníci vybrali? Nejen pro jeho věhlas, ale především proto, že Play Store neumožňuje publikaci pornografických aplikací, a tak i PornHub distribuuje aplikaci samostatně jako APK balíček, který musíte instalovat ručně. Tím pádem neprojde antivirovou kontrolou na straně Googlu a běžný uživatel zároveň povolí instalaci aplikací z alternativních zdrojů, čehož mohou využít další viry.

Skutečný a falešný PornHub s Avastem

V každém případě, jakmile aplikaci spustíte, zobrazí se sice základní obrazovka PornHubu, ihned poté ale i výzva ke kontrole virů. No a pak už to jde ráz naráz. Falešný antivirus Avast samozřejmě dle zadání autora vypíše bohatý seznam malwaru, které údajně našel, ve skutečnosti však sám zaviroval paměť, načež zobrazí drzý dialog, že z bezpečnostních důvodů raději vše zablokoval a vy si musíte koupit verzi Pro – tedy zaplatit výkupné 100 dolarů… Skrze bitcoin.

Falešná policie, FBI a NSA

Další zajímavou kamufláží nejednoho ransomwaru jsou bezpečnostní složky – zejména policie. Ta má přeci všude na světě respekt, takže se každý zalekne a raději zaplatí. Některé podvodné aplikace, které zašifrují data a žádají výkupné, tak sází na to, že po spuštění zobrazí dialog s informací, že na mobilu našly nějaký ten ilegální obsah – typicky warez, a podle paragrafu XYZ vám hrozí pokuta a trest odnětí svobody, čemuž se vyhnete pouze v případě, že zaplatíte malý správní poplatek... Skrze bitcoin.

Falešná ruská policie si pořídí i váš snímek, zatímco FBI a NSA jdou rovnou na věc a chtějí zaplatit pokutu, jinak budete vydáni do USA

Ochrana před podobným smetím na telefonu je přitom již roky stejná a vlastně docela jednoduchá. V prvé řadě stačí používat selský rozum a instalovat pouze aplikace s dobrým hodnocením, přes veškerou snahu Googlu totiž není zcela bezpečný ani jeho Play Store a čas od času přes jeho antivirové kontroly přeci jen něco proklouzne.

Více než 75 % ransomwaru pochází od ruskojazyčných zločinců
23.2.2017 Root.cz Viry

Přinejmenším 47 z celkových 62 ransomwarových rodin objevených v roce 2016 experty Kaspersky Lab bylo vyvinuto ruskojazyčnými kyberzločinci. To je jedno ze zjištění průzkumu, zaměřeného na ruskojazyčné ransomwarové podsvětí.
Společnost Kaspersky Lab zjistila, že se malé skupiny s omezenými schopnostmi transformují do velkých uskupení, která mají zdroje a ambice útočit na soukromé a korporátní cíle po celém světě.

Šifrovací ransomware – druh malwaru, který zašifruje složky oběti a za jejich odšifrování požaduje výkupné – je v současnosti jedním z nejnebezpečnějších druhů malwaru. Na základě dat společnosti Kaspersky Lab bylo v roce 2016 napadeno tímto druhem malwaru více než 1 445 000 uživatelů (včetně firem) po celém světě, píše se ve zprávě. S cílem lépe porozumět charakteru těchto útoků vypracovala Kaspersky Lab přehled ruskojazyčné ilegální komunity.

V poslední době je zaznamenatelný dramatický nárůst počtu útoků. Zpráva se zabývá také tím, proč se to děje právě teď, když ransomware je tu s námi už přes deset let. Důvody jsou prý tři:

Na černém trhu je velmi snadné koupit si nástroje k sestavení vlastního ransomware,
je možné si také koupit službu k distribuci vyděračského kódu,
díky kryptoměnám je byznysmodel vyděračů velmi jednoduchý.
Tři kola v soukolí
Jedním z hlavních zjištění je, že za vzestupem útoků šifrovacím ransomwarem v průběhu několika posledních let stojí velmi přizpůsobivý a uživatelsky nenáročný ekosystém. Ten dovoluje zločincům zaútočit šifrovacím ransomwarem bez ohledu na jejich programátorské schopnosti a finanční zdroje.

Odborníci identifikovali tři druhy zapojení do kriminální činnosti, týkající se ransomwaru:

Tvorba a vylepšování nových ransomwarových rodin,
vývoj a podpora programů spojených s distribucí ransomwaru,
účast v přidružených programech jako partner.
První druh zapojení vyžaduje po účastníkovi pokročilou znalost programování. Kyberzločinci, kteří vytvářejí nový ransomware, se v ransomwarovém podsvětí těší největší úctě, protože jsou to právě oni, kdo dávají vzniknout klíčovému elementu, na němž stojí celý ekosystém.

Inzerát nabízející ransomware s pokročilými vlastnostmi: silné šifrování, anti-emulační techniky, možnost zálohování uživatelských dat…
O úroveň níže jsou v hierarchii ti, kdo stojí za vývojem přidružených programů. Spadají sem i kriminální komunity, které s pomocí různých nástrojů, jako jsou exploit kit nebo spam, šíří ransomware.

Partneři přidružených programů jsou na nejnižší úrovni celého systému. Za využití různých technik pomáhají majitelům přidružených programů s distribucí malwaru výměnou za podíl na výkupném. Jediné co tito členové potřebují, je odhodlání a připravenost spáchat nelegální čin, přičemž pro vstup do tohoto „podnikání“ jim stačí jen pár bitcoinů.

Staň se partnerem, čím víc vyděláš, tím víc ti zůstane
Velký byznys především z Ruska
Podle odhadů se celkový denní výnos přidružených programů může pohybovat v desítkách až dokonce stovkách tisíc dolarů, z nichž okolo 60 % zůstává u samotných tvůrců jako čistý zisk.

Experti navíc při prozkoumávání tohoto podsvětí identifikovali několik rozsáhlých skupin ruskojazyčných zločinců specializujících se na vývoj a distribuci šifrovacího ransomwaru. Tyto skupiny mohou sdružovat desítky různých partnerů, z nichž každý má jiné programy cílící nejen na běžné internetové uživatele, ale i malé a střední podniky či dokonce velké společnosti. Původně se tyto skupiny zaměřovaly na Rusko a státy bývalého Sovětského svazu, ale nyní projevují čím dál větší zájem o společnosti i v jiných částech světa.

Více než tři čtvrtiny jednotlivých rodin ransomware mají napojení na rusky mluvící skupiny či jednotlivce. Tyto informace vycházejí z fór, řídicí infrastruktury a dalších informací dostupných na internetu, píše se ve zprávě. Důvodů je prý opět několik: v Rusku a jeho okolí je spousta zkušených programátorů a především tamní podsvětí má už s vyděračským softwarem své zkušenosti.

Ještě před dnešní velkou vlnou ransomware napojeného na kryptoměny se mezi lety 2009 a 2011 objevila v rusky mluvících zemích epidemie „lockerů“, které znemožnily používat prohlížeč nebo celý operační systém, dokud uživatel nezaplatil. Tehdy se platilo především pomocí prémiových SMS, dnes se otevřela cesta k jinému způsobu placení. Model ale zůstává stejný.

Několik velkých jmen na špici
Programátoři, šiřitelé i partneři tvoří velkou velkou organizaci, která se dohromady živí kyberzločinem. V současné době existuje v ruskojazyčných zemích jen několik velkých ransomwarových skupin. V čele stojí tvůrce malware a zároveň šéf celé operace. Ten tvoří samotný útočný kód, jeho moduly a spravuje provozní infrastrukturu.

S ním spolupracuje manažer, jehož prací je získávat nové partnery a podporovat ty stávající. Jen manažer přímo komunikuje s tvůrcem. Partneři, kterých je několik desítek, pak mají za úkol získávat aktuální verzi ransomware a šířit ji mezi oběti. Dělají to pomocí různých nástrojů a také pomocí affiliate spolupracovníků – lidí na nejnižší příčce v žebříčku. Všichni dostanou z vydělaných peněz svůj podíl.

Tisíce dolarů denně
Podle analýzy Kaspersky Lab se může příjem takové úspěšné skupiny pohybovat v řádu tisícovek dolarů denně. Profesionálně organizovaná skupina má ale zároveň nemalé výdaje, musí: aktualizovat malware, psát pro něj moduly, vylepšovat šifrování, přidávat nové techniky skrývání, sledovat reakci antivirových společností a platit lidi udržující infrastrukturu. Přesto zůstane v kapsách útočníků většina příjmů – až 60 %.

Ransomware se pak šíří především čtyřmi cestami: exploit kity, spamovými kampaněmi, sociálním inženýrstvím a cílenými útoky. Nejúspěšnější je využití exploit kitů, jejichž pronájem stojí tisíce dolarů měsíčně. Druhou nejúspěšnější metodou je šíření pomocí spamu, který se obvykle vydává za důležitou zprávu úřadů nebo třeba banky.

K útokům se čím dál častěji zneužívají také skutečné e-mailové účty už napadených firem. To usnadňuje šíření, protože nový příjemce dostává poštu od uživatele, kterého skutečně zná a může si s ním běžně psát. Zdá se, že útočníci napadnou jednu společnost, dostanou se do jejího e-mailového systému a pak odesílají ransomware na získané kontakty.

Profesionální skupiny se přesouvají k cíleným útokům
Analýza také říká, že se útočníci čím dál častěji přesouvají k cíleným útokům. Od jednotlivých uživatelů a malých organizací jdou spíše za relativně velkými firmami, které je možné přímo vydírat a získat tak jednorázově velké sumy. V jednom případě jsme viděli cílený útok na firmu s 200 počítači a jinou s 1000 stanicemi, říká zpráva.

Použitá metoda se přitom zásadně liší od dříve používaných postupů – nepoužívají se e-mailové kampaně, ale cílený útok na síť. Nejprve je nalezen zranitelný server, který patří velké společnosti. K útoku jsou použity volně dostupné exploity a nástroje. Pokud je v síti otevřený RDP přístup, útočníci jej využijí.

Poté jsou použity RAT nástroje jako PUPY a Mimikatz pro infikování sítě. Poté útočníci síť studují a prozkoumají a v konečné fázi pro ni na míru napíší ransomware, který ještě nebyl použit nikde jinde. Druhou variantou je ruční zašifrování důležitých souborů na serverech.

Útočníci se podle Kaspersky Lab přesouvají k sofistikovanějším typům útoku také proto, že jde o úspěšný byznys a skupiny jsou velmi dobře financovány. Zároveň je v případě firem způsobit přímé škody paralyzováním celé infrastruktury a poté požadovat velké výkupné. Odborníci proto radí, abyste rozhodně v případě takového útoku neplatili. Pokud to uděláte, vaše peníze poputují do ekosystému a čím víc financí zločinci dostanou, tím lepší budou mít přístup k sofistikovanějším nástrojům a dalším příležitostem.

Ransomware je instalován místo fontu pro Google Chrome. Útočníci jej šíří i na legitimních webech
23.2.2017 Živě.cz Viry

Jednu z nových cest, které mají malware dostat ke svým obětem popsal web Forbes. Je zaměřena především na uživatele nejrozšířenějšího prohlížeče Chrome a nejčastěji je uživatel napaden ransomwarem – škodlivým programem, který se postará o zašifrování souborů. Jejich znovuzpřístupnění je potom podmíněno zaplacením výkupného.
Chytrý kryt pro webovou kameru má chránit soukromí. Zaujal na Kickstarteru
Aktuální hrozba využívá dobře známého triku, kdy je uživateli podsunut falešný instalační soubor důležitého doplňku. Většinou to bývá aktualizace Flash Playeru či Javy, která umožní přehrání obsahu na webu. Tady však útočnici využili nový trik, kdy je malware distribuován na webu s nečitelným textem, který má být zpřístupněn po nainstalování dodatečných fontů. Místo nich je však uživateli nabídnut spustitelný EXE soubor, který se sice nazývá Chrome Font v7.51, ale místo nových písem se uživatel dočká zašifrovaných dat.

Útočníci naservírují uživateli web s nečitelným textem. Ten má být korektně zobrazen až po instalaci nového fontu. Za ním se samozřejmě skrývá malware (zdroj: Neosmart)

Pokud tedy náhodou narazíte na web, který zobrazí hlášku typu HoeflerText font was not found, rozhodně nestahujte nabízený soubor. Před instalací by měl rovněž upozorňovat samotný prohlížeč, nicméně neopatrní uživatelé by se k instalaci přeci jen mohli odhodlat.

Před stažením nebezpečného souboru by měl upozornit samotný Chrome výstrahou (zdroj: Neosmart)

Největší nebezpečí spočívá ve způsobu distribuce – útočníci totiž využívají legitimní webové stránky, k nimž získali přístup.

Obrana prakticky neexistuje. Viry samy smažou všechny stopy

15.2.2017 Novinky/Bezpečnost Viry
V loňském roce se doslova roztrhl pytel s vyděračskými viry. Ty dokázaly napáchat na napadeném stroji velkou neplechu, ale uživatel alespoň hned věděl, na čem je. Nezvaní návštěvníci se totiž téměř okamžitě přihlásili o výkupné. Nová vlna útoků v letošním roce je však daleko vážnější, protože si škodlivé kódy hrají s uživateli na schovávanou.
Útoky vyděračských virů mají prakticky vždy stejný scénář. Nezvaný návštěvník zašifruje uložená data na pevném disku. Útočníci se snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod.

Ani po zaplacení výkupného se uživatelé ke svým datům nemusejí dostat. Místo placení výkupného je totiž nutné virus z počítače odinstalovat a data rozšifrovat, což ale nemusí být vůbec jednoduché. A v některých případech to dokonce nejde vůbec.

V každém případě platí, že si uživatel aktivity počítačového viru všimne prakticky hned poté, co se uhnízdí v počítači. Pokud má tedy zálohu dat, stačí přeinstalovat operační systém a už není nijak ohrožen.

Snaží se zůstat v utajení
Bezpečností experti antivirové společnosti Kaspersky Lab však nyní upozornili na to, že se množí tzv. neviditelné cílené útoky. Jak je z jejich označení již patrné, počítačoví piráti se při nich snaží zůstat co nejdéle v utajení.

„Neviditelné útoky využívají pouze legální software, jako jsou široce dostupné penetrační testy a správcovské nástroje nebo PowerShell aplikační rámce pro automatizaci úloh v systému Windows. Nezanechávají přitom žádné malwarové soubory na pevném disku, nýbrž je ukrývají v operační paměti,“ podotkli bezpečnostní experti.

To velmi znesnadňuje případné odhalení škodlivých kódů v napadeném stroji. Běžně je totiž možné dohledat aktivitu hackerů na pevných discích klidně ještě rok po útoku. V případě, že jsou data ukryta v operační paměti, automaticky se smažou po prvním restartování počítače.

„Útočníci se v systému zdržují jen na nezbytně dlouhou dobu, během níž shromažďují informace ještě před tím, než se jejich stopy v systému vymažou prvním restartováním,“ doplnili odborníci.

Útočí především na firmy
Zmiňovanou taktiku používají kyberzločinci především při útocích na firmy. Není nicméně vyloučeno, že stejný postup nebudou v dohledné době aplikovat také při útocích na koncové uživatele.

Antivirová společnost Kaspersky Lab doposud odhalila podobné útoky na více než čtyřech desítkách společností v Evropě, USA, Jižní Americe a dalších koutech světa. Počítačoví piráti se při nich soustředí především na banky, telekomunikační společnosti a v neposlední řadě i na vládní organizace. Zda se podobný útok uskutečnil v Česku, není v tuto chvíli jasné.

V Česku se přes SMS šíří nebezpečný malware

14.2.2017 SecurityWorld Viry
První případy nové vlny útoků na banky v Česku a Slovensku prostřednictvím mobilního bankovnictví zachytili analytici Esetu. Kyberútočníci použili malware pro Android, který lokalizovali na tuzemské uživatele a k jeho šíření využili klasické SMS zprávy.

Na Česko cílí nová vlna malware, který se šíří podvodnými zprávami SMS. Podle aktuálních informací se útočníci prozatím zaměřili jen na ČSOB. Dá se však očekávat, že okruh cílových bank se brzy rozšíří, tvrdí Lukáš Štefanko z Esetu.

Škodlivý kód typu trojan pro platformu Android je novou variantou již známé rodiny malware, která se v závěru ledna šířila prostřednictvím falešných SMS zpráv, předstírajících komunikaci České pošty nebo obchodu Alza.cz.

Malware Android\Trojan.Spy.Banker.HV uživateli při otevření internetového bankovnictví podsune falešnou přihlašovací stránku. Nepozorný uživatel tak nevědomky odešle své přihlašovací údaje podvodníkům a vystaví se hrozbě vykradení účtu.

V aktuální útočné kampani, která probíhá v Česku a na Slovensku, je tento nebezpečný malware šíří pomocí SMS s odkazem na údajnou aplikaci společnosti DHL, která však stáhne podvodnou aplikaci s názvem „Flash Player 10 Update“ a ikonou společnosti DHL.

Přestože název aplikace útočníci změnili, ikonu zatím nikoli, což při instalaci v českém nebo slovenském prostředí působí podezřele.

Danger přestává strašit, nebezpečný virus je na ústupu

6.2.2017 Novinky/Bezpečnost Viry
Škodlivý kód Danger byl hned několik měsíců v minulém roce nejrozšířenější hrozbou kolující na internetu. V současnosti je však na ústupu, jeho podíl v lednu výrazně klesl. Vyplývá to ze statistik antivirové společnosti Eset.
Hned na úvod se sluší podotknout, že i v lednu byl Danger nejrozšířenější hrozbou vůbec. Jeho podíl však dramaticky klesl meziměsíčně o více než 30 procentních bodů na 11,05 %. Právě to ukazuje, že je tento nezvaný návštěvník na ústupu.

Nebezpečný virus, plným názvem JS/Danger.ScriptAttachment, je velmi nebezpečný. Otevírá totiž zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry z rodiny ransomware.

Zašifrují uložená data
Tyto škodlivé kódy začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.

Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

„Pokles podílu downloaderu Danger je opravdu významný. V prosinci představoval téměř každou druhou zaznamenanou hrozbu, v lednu jen každou desátou. Zjistili jsme však významný nárůst výskytu různých typů malware rodiny TrojanDownloader,“ řekl Miroslav Dvořák, technický ředitel společnosti Eset.

Stahuje další škodlivé kódy
Tento malware přitom dokáže v počítači nadělat také velmi pěknou neplechu. „Stejně jako v případě Dangeru jde, ostatně jak už sám název napovídá, o kód snažící do napadeného zařízení nahrát další škodlivé kódy,“ podotkl Dvořák.

TrojanDownloader – konkrétně jeho verze Agent.CHO – byl druhou nejrozšířenější hrozbou s podílem 5,03 %. První pětku pak uzavírají škodlivé kódy ProxyChanger a Nemucod.

Přehled deseti nejrozšířenějších hrozeb za měsíc leden naleznete v tabulce níže:

Top 10 hrozeb v České republice za leden 2017
1. JS/Danger.ScriptAttachment (11,05 %)
2. VBA/TrojanDownloader.Agent.CHO (5,03 %)
3. JS/ProxyChanger (4,36 %)
4. JS/TrojanDownloader.Nemucod (4,12 %)
5. JS/Kryptik.RE (3,38 %)
6. VBA/TrojanDownloader.Agent.CIY (2,55 %)
7. VBA/TrojanDownloader.Agent.CIQ (2,04 %)
8. Java/Adwind (2,01 %)
9. JS/TrojanDownloader.Iframe (1,73 %)
10. PowerShell/TrojanDownloader.Agent.DV (1,58 %)
Zdroj: Eset

České uživatele stále častěji ohrožují škodící downloadery

3.2.2017 SecurityWorld Viry
I když dominance malwaru Danger skončila, nahradily jej další nebezpečené stahovače škodlivého kódu.

Naprostá převaha škodlivého kódu Danger nad všemi ostatními internetovými hrozbami v Česku prozatím pominula.

V lednu sice tento malware nadále představoval nejčetněji detekovanou hrozbu, nicméně jeho podíl klesl o více než 30 procentních bodů na 11,05 procenta. Naopak posilovaly jiné typy škodlivých kódů, jak vyplývá ze statistiky společnosti Eset.

„Pokles podílu downloaderu Danger je opravdu významný. V prosinci představoval téměř každou druhou zaznamenanou hrozbu, v lednu jen každou desátou. Zjistili jsme však významný nárůst výskytu různých typů malware rodiny TrojanDownloader,“ říká Miroslav Dvořák, technický ředitel Esetu.

Podle něj jde stejně jako v případě Dangeru o kód snažící do napadeného zařízení nahrát další škodlivé kódy.

Druhou nejčetnější lednovou hrozbou v Česku byl zástupce výše uvedené rodiny, konkrétně pak VBA/TrojanDownloader.Agent.CHO, který představoval 5,03 procenta zachycených případů.

Na třetí pozici se dostal malware Changer, který Eset detekuje jako JS/ProxyChanger. Tento škodlivý kód umožňuje přesměrovat legitimní požadavek na útočníkem nastrčenou stránku a získat tak například číslo kreditní karty oběti. Changer stál za 4,36 procenty případů zjištěných internetových útoků v Česku.

Top 10 hrozeb v České republice za leden 2017:

1. JS/Danger.ScriptAttachment (11,05 %)

2. VBA/TrojanDownloader.Agent.CHO (5,03 %)

3. JS/ProxyChanger (4,36 %)

4. JS/TrojanDownloader.Nemucod (4,12 %)

5. JS/Kryptik.RE (3,38 %)

6. VBA/TrojanDownloader.Agent.CIY (2,55 %)

7. VBA/TrojanDownloader.Agent.CIQ (2,04 %)

8. Java/Adwind (2,01 %)

9. JS/TrojanDownloader.Iframe (1,73 %)

10. PowerShell/TrojanDownloader.Agent.DV (1,58 %)

Zdroj: Eset, únor 2017

Nová centra v Česku i na Slovensku

Eset rovněž zahájil provoz nových center zaměřených na výzkum a vývoj -- tyto pobočky vznikají v Brně a slovenské Žilině.

„Centrum v Brně jsme vybrali kvůli geografické blízkosti k bratislavské centrále, tamnímu zázemí technologických univerzit a samozřejmě i IT talentům, kteří jsou v tomto regionu k dispozici,“ říká technologický ředitel společnosti Eset Juraj Malcho.

V případě západoslovenské Žiliny půjde o třetí pracoviště společnosti na Slovensku. Vedle centrály v Bratislavě už Eset má vývojové centrum v Košicích, které se zaměřuje především na antispamové technologie. Oproti tomu specialisté z pobočky v Žilině budou spolupracovat na vývoji firemních produktů Esetu.

Dávejte si pozor na falešné SMS od České pošty. Snaží se uživatelům vnutit malware
1.2.2017 Živě.cz Viry
Pokud v těchto dnech obdržíte podezřelou SMS od České pošty, rozhodně neklikejte na obsažené odkazy. Ty směřují na stažení nebezpečné aplikace pro Android, která se má tvářit jako oficiální aplikace České pošty pro sledování zásilky.

SMS dorazí v tomto formátu. Odkazy vedou na stažení podvodné aplikace (foto: @TerezaChlubna)

V textu zprávy najdete informaci o tom, že zásilka byla převezena na svozové depo z důvodu nezastihnutí adresáta. Vyzývá ke kontaktování pošty nebo stažení aplikace prostřednictvím odkazu.

Ten využívá doménu ceskaposta.online a vede na instalační balíček APK s názvem PostaOnlineTracking.apk. Pokud jej uživatel nainstaluje, najde sice na ploše ikonu pošty, nicméně s názvem Flash Player 10 Update. Jde tedy o variaci malwaru, který má s největší pravděpodobností odcizit platební údaje uživatele. Aplikace si zároveň vyžádá kompletní přístup k telefonu či tabletu s Androidem.

Aplikace s ikonou České pošty pod názvem Flash Player 10 Update by měla varovat i méně zkušené uživatele

Pokud jste aplikaci nainstalovali, minimálně ji ze zařízení odstraňte v nastavení. V případě, že jste zadali platební údaje do podezřelého formuláře, obraťte se na svoji banku.

Osiris nadělá v počítači pěknou neplechu. Zašifruje data a chce výkupné

31.1.2017 Novinky/Bezpečnost Viry
Na pozoru by se měli mít v poslední době majitelé počítačů, tabletů či chytrých telefonů před Osirisem. Řeč není o egyptském bohu mrtvých, nýbrž o novém vyděračném viru, před kterým varovali v pondělí výzkumníci z bezpečnostní společnosti Acronis.
Podle bezpečnostních expertů se Osiris šíří především prostřednictvím nevyžádaných e-mailů a infikovaných on-line inzerátů.

Napadnout přitom může nejen počítače s Windows, ale také stroje postavené na platformě MacOS a Android. Tedy i tablety a chytré telefony. „Kromě toho přímo napadá také zálohovací systémy jako například Volume Shadow Copy Service (VSS). To zabraňuje uživatelům spustit obnovu systému z dat uložených na napadaném stroji,“ konstatovali výzkumníci ze společnosti Acronis.

Jdou po výkupném
Samotný útok probíhá u Osirise úplně stejně jako u dalších vyděračských virů z rodiny ransomware. Nejprve zašifruje všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Ani po zaplacení výkupného se ale uživatelé ke svým datům nemusí dostat. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

O tom, jak nepříjemný může útok Osirise být, ví své například policie v texaském městě Crockrell Hill. Ta přišla o záznamy z posledních let poté, co jí tento nezvaný návštěvník zablokoval její počítač i záložní server.

Krade SMS zprávy a kontakty
Jak je z řádků výše patrné, vyděračné viry už dávno nepředstavují hrozbu pouze pro klasické počítače, ale například také pro chytré telefony a tablety. To platí například i o ransomwaru zvaném Charger, před kterým minulý týden varovali bezpečnostní analytici z antivirové společnosti Check Point. [celá zpráva]

Charger se soustředí výhradně na chytré telefony s operačním systémem Android. Útočníkům se jej dokonce podařilo propašovat i do oficiálního obchodu Google Play, a to jako součást aplikace EnergyRescue.

„Infikovaná aplikace krade kontakty a SMS zprávy z uživatelského zařízení a snaží se získat administrátorská oprávnění. Pokud je uživatel udělí, ransomware uzamkne zařízení a zobrazí zprávu požadující platbu,“ vysvětlil David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Útočníci se snažili zprávou uživatele jednoznačně vyděsit. „Budete nám muset zaplatit, jinak prodáme každých 30 minut na černém trhu část vašich osobních informací,“ stojí ve výzvě počítačových pirátů.

Obětí viru se stalo přes deset miliónů mobilů a tabletů. Teď útočí znovu

30.1.2017 Novinky/Bezpečnost Viry
Doslova jako lavina se šířil v minulém roce internetem škodlivý kód HummingBad, který se zaměřoval na chytré telefony a tablety s operačním systémem Android. Tomu se podařilo infikovat více než deset miliónů mobilních zařízení. Nyní jej počítačoví piráti v inovované verzi nasazují znovu.
HummingBad byl jednou z nejobávanějších mobilních hrozeb loňského roku. V chytrém telefonu nebo počítačovém tabletu totiž dokázal tento nezvaný návštěvník nadělat pěknou neplechu. Virus totiž dovoluje počítačovému pirátovi převzít nad napadeným strojem absolutní kontrolu.

Škodlivý kód měl navíc schopnost se v napadeném zařízení velmi dobře maskovat. Odhalit jej tak nebylo vůbec jednoduché. I to byl jeden z důvodů, proč se tak masově šířil.

Virus obsahovaly desítky aplikací
S novým rokem jej zkoušejí počítačoví piráti nasadit znovu, jak varovali výzkumníci z bezpečnostní společnosti Check Point. Právě oni totiž v oficiálním obchodě Google Play, z něhož se stahují aplikace pro operační systém Android, objevili více než dvě desítky infikovaných programů obsahující škodlivý kód.

„Aplikace infikované v rámci této kampaně byly staženy milióny nic netušících uživatelů. O aplikacích jsme informovali bezpečnostní tým Google a aplikace byly následně z Google Play staženy,“ upozornil David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Podle něj se nová varianta tohoto mobilního malwaru liší od původní verze. I proto dostala nové jméno – HummingWhale. „Využívá nové techniky, takže reklamní podvody jsou sofistikovanější než kdy dříve,“ podotkl Řeháček.

„HummingBad byl nejvýraznějším mobilním malwarem roku 2016. Obětí se stalo více než 10 miliónů uživatelů a škodlivý kód vydělával svým tvůrcům více než 300 000 dolarů (přes 7,5 miliónu korun) měsíčně, takže bylo jen otázkou času, kdy se objeví nějaká nová verze a najde si cestu na Google Play,“ doplnil bezpečnostní expert.

Antivirus by měl být samozřejmostí
Zajímavé je mimochodem také to, jak se nová verze škodlivého kódu zvaná HummingWhale na Google Play dostala. „Všechny nové podvodné aplikace byly publikovány pod falešnými jmény čínských vývojářů,“ vysvětlil Řeháček.

S ohledem na možná rizika by uživatelé neměli novou hrozbu rozhodně podceňovat. Jak bylo již zmiňováno několikrát – i na chytrém telefonu nebo počítačovém tabletu by měl být samozřejmostí antivirový program.

Dávejte si pozor na falešné SMS od České pošty. Snaží se uživatelům vnutit malware
27.1.2017 Živě.cz Viry
Pokud v těchto dnech obdržíte podezřelou SMS od České pošty, rozhodně neklikejte na obsažené odkazy. Ty směřují na stažení nebezpečné aplikace pro Android, která se má tvářit jako oficiální aplikace České pošty pro sledování zásilky.

SMS dorazí v tomto formátu. Odkazy vedou na stažení podvodné aplikace (foto: @TerezaChlubna)

V textu zprávy najdete informaci o tom, že zásilka byla převezena na svozové depo z důvodu nezastihnutí adresáta. Vyzývá ke kontaktování pošty nebo stažení aplikace prostřednictvím odkazu.

Ten využívá doménu ceskaposta.online a vede na instalační balíček APK s názvem PostaOnlineTracking.apk. Pokud jej uživatel nainstaluje, najde sice na ploše ikonu pošty, nicméně s názvem Flash Player 10 Update. Jde tedy o variaci malwaru, který má s největší pravděpodobností odcizit platební údaje uživatele. Aplikace si zároveň vyžádá kompletní přístup k telefonu či tabletu s Androidem.

Aplikace s ikonou České pošty pod názvem Flash Player 10 Update by měla varovat i méně zkušené uživatele

Pokud jste aplikaci nainstalovali, minimálně ji ze zařízení odstraňte v nastavení. V případě, že jste zadali platební údaje do podezřelého formuláře, obraťte se na svoji banku.

Ransomware je na vzestupu, vydírání si můžete objednat
27.1.2017 Root.cz Viry
Zašifrovat soubory a požadovat výkupné za dešifrování. To je ve zkratce princip ransomware. V minulém roce takto kyberzločinci „vydělali“ miliardu dolarů, mimo jiné díky rozmachu ransomware-as-a-service.
Ransomware je druh malwaru, který v posledních letechy rychle roste na popularitě. Jeho princip spočívá v tom, že uživateli zamezí v přístupu k jeho souborům Buď je to tak, že ransomware v systému postaví jednoduchou zeď, nebo tak, že rovnou zašifruje uživatelská data, takže k nim nelze přistupovat ani z jiného systému. Druhá varianta je vzhledem k dostupnosti šifrování častější a efektivnější.

Cílem je samozřejmě vylákat z oběti peníze. Žádné relevanatní statistiky sice nemáme, ale je pravděpodobné, že výnosnost ransomware oproti jiným typům malwaru bude podstatně vyšší. Zařazení počítače do botnetu útočníkovi přinese možná několik málo korun, ransomware v mnohých případech může vydělat i tisíce. Pokud uživatel nemá zálohy, tak jde o částku, kterou za obnovení dat mnohdy rád zaplatí.

Některé ransomware jsou navrženy velmi jednoduše, hlavně ze šifrovací stránky. Existují tak nástroje, které data dokážou rozšifrovat. Pokud je však šifrování implementováno správně a používají se silné šifrovací algoritmy, je skutečně nemožné se k datům bez šifrovacího klíče dostat. Ani nemluvě o tom, že některé ransomware ani s dešifrováním nepočítají a po zaplacení žádný klíč nedosanete.

Ransomware-as-a-service
Trendem posledních měsíců je ransomware-as-a-service (RaaS). V podstatě jde o to, že pokud se chcete stát internetovým kriminálníkem, můžete si od autorů malware koupit a často i personalizovat. Pokud byste čekali, že to bude stát tisíce dolarů, tak jste na omylu. Cena se typicky pohybuje v nižších stovkách dolarů. Autoři ransomware totiž nechtějí vydělávat na prodeji, ale na podílu ze zisku – zkrátka si určité procento ze získaných peněz (jak jinak než v bitcoinech) nechají. Jedinou starostí kupujícího je tak škodlivý software nějak rozšířit.

Dříve to bylo tak, že existovala možnost koupit si balíček kódu a na jeho základě ransomware postavit. Dnes už se ale dostáváme do bodu, kdy kupující nemusí umět téměř nic (doslova mu stačí proklikat se formulářem) a dostane personalizovaný ransomware za relativně nízkou cenu. Amatérskému kriminálníkovi tedy stačí vyrobit nějakou podvodnou stránku, ramsomware na ni umístit a poté jen sledovat, jak se mu na účtu objevují peníze nebohých obětí.

Přichází Satan – ransomware pro každého
Na novou úroveň celý byznys posouvá nedávno uvedený ransomware Satan. Zatímco většinu ransomware-as-a-service není až tak snadné najít, Satan se prezentuje naprosto otevřeně – i když samozřejmě v anonymizační síti Tor a na doméně .onion. Satan je průkopnický také v tom, že nevyžaduje ani žádný počáteční poplatek za zakoupení malware. Získat ho může zdarma každý, tvůrci vydělávají pouze na poplatcích, které jsou stanoveny na 30 % ze zaplaceného výkupného.

Po jednoduché registraci spočívající pouze v zadání přihlašovacího jména a hesla se kriminálník-začátečník dostane do administrátorského rozhraní pro svůj malware. Vytvoření vlastního ransomware je otázka chvíle. Stačí vyplnit výši výkupného a specifikovat systém, kterým se po uplynutí určitého období bude násobit. Docela vtipně potom působí poznámka nenahrávejte malware do VirusTotal nebo jiného on-line skeneru. Je vidět, že Satan skutečně cílí na v úvozovkách běžné uživatele. Součástí rozhraní je dokonce formulář, kde lze ransomware překládat do dalších jazyků.



Stejně tak Satan nezahrnuje klienta zbytečnými detaily. V ovládacím panelu lze sledovat v podstatě jen to, kolik systémů bylo infikovaných a za kolik z nich bylo zaplaceno výkupné. Výkupné přistává na bitcoinových adresách provozovatele, ale partner si ho může kdykoliv vybrat. Provozovatel dokonce slibuje, že svůj procentuální poplatek s rostoucím počtem zaplacení bude snižovat. Ve všech ohledech to zkrátka vypadá jako normální byznys. Až na to, že je samozřejmě velmi nelegální.

Ransomware je miliardový byznys
Jak ukazují různé statistiky, minulý rok byl pro ransomware opravdu úspěšný. Bezpečnostní společnost Trend Micro např. v roce 2015 identifikovala 29 rodin ransomware, minulý rok to bylo 145. A to jsou čísla pouze do září. Vyděrači jsou také mnohem troufalejší a dovolují si požadovat větší výkupné. Průměrný požadavek výkupného se zvýšil více než dvojnásobně na 679 dolarů z 294 dolarů na konci roku 2015, uvedla zase Orla Cox ze Symatecu. To však může být do určité míry dáno i volatilním kurzem Bitcoinu, ve kterém se výkupné vybírá.

V roce 2016 se škody způsobené ransomware odhadují na cca jednu miliardu dolarů, a to pokud počítáme pouze zaplacené výkupné. Škody samozřejmě budou ještě podstatně větší, vezmeme-li v potaz ztrátu dat. Nicméně takové škody se velmi obtížně vyčíslují. Pro srovnání, v roce 2015 se na výkupném vybraly jen nízké desítky miliónů dolarů. Podle Osterman Research se někdy obětí ransomware stala už polovina společností ve Spojených státech.

Nejúčinnější obranou je zdravý rozum
Jak se proti ransomware bránit? Žádná nová řešení neexistují, stále platí tradiční poučky: zálohovat a nestahovat a nespouštět software z podivných zdrojů, zvlášť s administrátorskými právy. Částečně pomůže detekce malware či škodlivých stránek v prohlížeči a také antivir, ale detekce nových rodin ransomware není okamžitá a antivirový software tedy určitě neposkytne stoprocentní ochranu.

Úplně imunní není ani Linux, pro který už se několik ransomware objevilo. Zřejmě prvním byl na podzim roku 2015 Linux.Encoder.1, který jsme na Rootu podrobně rozebrali. Důležité je si uvědomit, že ransomware málokdy zneužívá nějaké zranitelnosti systému a většinou spoléhá jen na to, že ho alespoň část uživatelů do systému dobrovolně pustí. A díky blbosti uživatelů a čím dál dostupnějším řešením RaaS se zdá, že ransomware bude bujet i nadále.

Co poradit, pokud už jsou data zablokována/zašifrována? Obecné doporučení samozřejmě zní vyděračům neplatit. Pro mnoho lidí jsou však data natolik důležitá, že se rozhodnou zaplatit i s vidinou nejistého výsledku. Nicméně po zašifrování ještě nemusí být všem dnům konec. Ideální je vypnout úložiště (vyndat ho z počítače) a vyčkávat, zda se časem neobjeví nějaký nástroj, který by data dokázal rozšifrovat. V několika málo případech se dokonce stalo, že autoři ramsomware z byznysu odešli a zveřejnili instrukce/klíče pro dešifrování.

Na Play Storu byla zázračná appka, která zvýší výdrž baterie. Nakonec se z ní vyklubal vyděračský ransomware
27.1.2017 Živě.cz Viry
Specialisté z Check Pointu zmapovali další zajímavý ransomare. Říkají mu Charger, cílil na telefony s Androidem a svůj skutečný účel skryl dostatečně kvalitně, aby pronikl i do oficiálního Play Storu, kde se vydával za aplikaci Energy Rescue, která zvýší výdrž telefonu na baterii.

Autoři malwaru si dali záležet, aby aplikace vypadala skutečně atraktivně, a tak se může pochlubit vkusnou ikonou i rozhraním, které na první pohled opravdu evokuje funkční program.

Mobilní ransomware pronikl na i Play Store

Jenže ouha, po spuštění se rozbalí samotný malware, který zašifruje data ve veřejné paměti (SD/sdílená paměť), SMS, kontakty, a pokud bude telefon rootnutý, požádá o administrátorská práva a případně zašifruje celý telefon.

Poté se už Charger chová jako každý jiný ransomware a po oběti bude požadovat výkupné ve výši 0,2 BTC (asi 4,5 tis. CZK). Zajímavá je nicméně i výhružka, podle které útočník v případě nezaplacení prodá zašifrovaná data na černém trhu.

Ještě zajímavější než samotná funkce ransomwaru je ale v tomto případě rozbor, jak je možné, že virus neodhalila předběžná automatická kontrola Googlu a malware se dostal do Play Storu. Google před publikací každý programu automaticky spustí ve virtuálním prostředí a audituje jeho chování.

Autoři mobilního malwaru se tomu ale začínají přizpůsobovat a kód svých aplikací upravují tak, aby se pokusily detekovat běh v emulovaném prostředí. V takovém případě se pak záškodnická část kódu neaktivuje.

Úryvek kódu, který nespustí záškodnickou aktivitu, pokud je lokalizace telefonu nastavení na ruštinu, ukrajinštinu a běloruštinu (RU, UA a BY)

Tento malware šel ve své vlastní ochraně ještě mnohem dál a třeba textové řetězce, ve kterých byly uložené sdělení o tom, že byl telefon zašifrován a oběť má zaplatit výkupné, dodatečně šifruje převedením do pole bajtů. Automat Googlu tedy nemůže provést analýzu vložených textů. Do třetice útočníci do samotných instrukcí malwaru vnášejí určitou formu soli (šumu), která má znepříjemnit analýzu jejich posloupnosti. Malwarové instrukce tedy střídají všemožné další nesmyslné instrukce, které mají odvádět pozornost případného auditu a skrýt skutečný význam programu.

Virus mají na svědomí nejspíše programátoři z východní Evropy, ransomware totiž neútočí na mobilech s ruskou, ukrajinskou nebo běloruskou lokalizací. Důvodem nejspíše není to, že by se snad jednalo o patrioty, ale chrání se tím před případnou trestně-právní zodpovědností. V zemi jejich původu se jednoduše řečeno nejedná o malware, protože nijak neútočí.

Zákeřný virus krade kontakty a SMS zprávy. A pak chce výkupné

26.1.2017 Novinky/Bezpečnost Viry
Bezpečnostní analytici antivirové společnosti Check Point objevili novou hrozbu zvanou Charger. Tento nezvaný návštěvník útočí výhradně na chytré telefony, ze kterých následně krade uložené kontakty a SMS zprávy. Pak útočníci požadují po uživateli výkupné.
Charger se soustředí výhradně na chytré telefony s operačním systémem Android. Útočníkům se jej dokonce podařilo propašovat i do oficiálního obchodu Google Play, a to jako součást aplikace EnergyRescue.

„Infikovaná aplikace krade kontakty a SMS zprávy z uživatelského zařízení a snaží se získat administrátorská oprávnění. Pokud je uživatel udělí, ransomware uzamkne zařízení a zobrazí zprávu požadující platbu,“ vysvětlil David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Zaplaťte, vyzývají kyberzločinci
Útočníci se snažili zprávou uživatele jednoznačně vyděsit. „Budete nám muset zaplatit, jinak prodáme každých 30 minut na černém trhu část vašich osobních informací,“ stojí ve výzvě počítačových pirátů.

„Dáváme vám 100% záruku, že všechny soubory budou obnovené, jakmile obdržíme platbu. Odemkneme mobilní zařízení a smažeme všechna vaše data z našeho serveru! Vypnout telefon nepomůže, všechna vaše data jsou již uložena na našich serverech! Můžeme je prodat na spamování, podvody, bankovní zločiny a podobně. Shromažďujeme a stahujeme všechna vaše osobní data. Veškeré informace o vašich sociálních sítích, bankovních účtech, kreditních kartách. Shromažďujeme veškerá data o vašich přátelích a rodině,” vyhrožují dále kyberzločinci.

Výkupné chtějí zaplatit ve virtuální měně bitcoin, kterou prakticky není možné vystopovat. Konkrétně požadovali 0,2 bitcoinu, tedy v přepočtu více než 4,5 tisíce korun. I přes prohlášení počítačových pirátů ale samozřejmě uživatelé nemají žádnou jistotu, že se ke svým datům po zaplacení výkupného dostanou.

Zajímavá je i analýza tohoto škodlivého kódu. „Podobně jako u jiných malwarů z minulosti, také Charger kontroluje lokální nastavení a nespustí škodlivé aktivity, pokud je přístroj lokalizován na Ukrajině, v Rusku nebo Bělorusku. Pravděpodobně aby se vývojáři vyhnuli stíhání ve svých vlastních zemích nebo vydání mezi zeměmi,“ konstatoval Řeháček.

Riziko nepředstavuje pouze aplikace EnergyRescue. Škodlivý kód Charger se totiž může objevit klidně i v nějakém dalším programu, do kterého jej kyberzločinci implementují.

Android pod palbou kyberzločinců
Na Android se počítačoví piráti zaměřují stále častěji. Loni se například objevila podvodná aplikace vydávající se za aktualizaci klienta sociální sítě Facebook. Ta cílila opět na Android. [celá zpráva]

Před tímto nezvaným návštěvníkem v chytrých telefonech varovali zástupci Air Banky: „Pokusy útočníků nás nepřestávají překvapovat. Nově to zkoušejí tak, že vám s pomocí viru zablokují mobilní aplikaci pro přístup na Facebook a nabídnou vám instalaci nové.“

„Pokud se vám něco takového stane, rozhodně nic neinstalujte. Jinak by útočníci mohli získat přístup k vašim ověřovacím SMS, které vám chodí pro potvrzování plateb. Místo toho raději rovnou celý telefon resetujte do továrního nastavení,“ stojí v doporučení banky.

Vhodné je tak používat i na chytrém telefonu nějaký antivirový program.

Škodlivé viry trápily na konci roku statisíce lidí. Šly hlavně po penězích

24.1.2017 Novinky/Bezpečnost Viry
Škodlivým virům se na konci loňského roku opravdu dařilo, počet úspěšných útoků totiž stoupl meziročně o více než 22 procent. Kyberzločinci šířili především nezvané návštěvníky, kteří jsou schopni ukrást z účtu peníze nebo snadno zneužitelná data, jako jsou například čísla platebních karet.
Viry, které se snaží ukrást peníze, bylo podle statistik antivirové společnosti Kaspersky Lab napadeno ve čtvrtém kvartálu na 319 000 uživatelů z různých koutů světa. Markantní nárůst útoků byl zaznamenán především během dnů Black Friday a Cyber Monday, ale také ve vánočním období.

„Vánoční období je vrcholem celého roku nejen pro obchodníky očekávající vysokou poptávku a pro nakupující, kteří vyhledávají lákavé nabídky. Ale také pro kyberzločince, kteří nezahálejí a vynalézají nové možnosti, jak se dostat k penězům lidí, kteří v tuto dobu utrácejí více než jindy,“ podotkl Oleg Kupreev, bezpečnostní expert v Kaspersky Lab.

Počet útoků roste
Analýza antivirové společnosti pojednává o tom, jak se měnily snahy počítačových pirátů v posledních třech letech.

„Počet útoků na koncové uživatele detekovaných našimi bezpečnostními řešeními se během posledního loňského čtvrtletí oproti stejnému datovému rozhraní roku 2015 zvýšil o 22,49 %,“ konstatoval Kupreev.

„Oproti poklesu z roku 2014 se tak zdá, že kyberzločinci opět investují do vývoje malwaru schopného ukrást finanční data, jakými jsou informace o platebních kartách či údaje k online bankovnictví,“ doplnil bezpečnostní expert.

Útoky finančního malwaru jsou opět na vzestupu.
Oleg Kupreev, bezpečnostní expert v Kaspersky Lab
Dynamika útoků jasně naznačuje, že v podzimním období byl pro počítačové piráty nejatraktivnějším dnem Cyber Monday. Počet napadených uživatelů byl nadprůměrný prakticky během celého listopadu, nicméně 28. listopadu – v den označovaný za Cyber Monday – bylo napadeno dvakrát více uživatelů než předešlý den.

Kontrolovat výpisy z účtů
Chování kyberzločinců během vánočních svátků a Black Friday bylo trochu jiné. „Vrchol útoků nastal den nebo dva před daným svátkem. Odlišná strategie útoků může spočívat v rozdílné povaze těchto svátků. Oproti Black Friday a Vánocům jde v případě Cyber Monday výhradně o on-line prodeje, v nichž podvodníci vidí velkou příležitost, a proto své útoky cílí přímo na tento konkrétní den,“ uvedl Kupreev.

„Útoky finančního malwaru jsou opět na vzestupu. V návaznosti na útoky posledních tří měsíců bychom zákazníkům, kteří v této době použili své platební karty, doporučovali, aby v následujících měsících pravidelně kontrolovali své výpisy. Kyberzločinci totiž obvykle nezačnou vybírat peníze prostřednictvím ukradených dat hned po útoku. Většinou vyčkají několik týdnů či dokonce měsíců, během nichž se na samotnou finanční krádež připravují,“ uzavřel bezpečnostní expert.

Do nitra zákeřného ransomwaru. Takto vypadá útok na počítače personalistek
11.1.2017 Živě.cz Viry
Jmenuje se Rolf a chce práci
Jeho životopis je ale trošku jiný
Rolf je totiž ransomware

Pozor na Rolfa. Rolf Drescher hledá práci, a tak na kdejaké HR oddělení míří e-maily s životopisem v PDF a XLS. PDF je snad v pořádku, ale co ten Excel? A tak jej ze zvědavosti leckterá lovkyně mozků otevře, načež vyskočí žádost o spuštění makra. Zvědavost převáží bezpečnostní pud sebezáchovy a…

A nic, namísto bohatého výčtu Rolfových pracovních zkušeností se totiž počítač z ničeho nic restartuje a spustí se program CHKDSK, který záhy začne kontrolovat pevný disk.

Zákeřný Rolf hledá práci

Leckdo by v tom okamžiku zaklel a jen odfrkl, že zase spadly Windows, vše se má ale trošku jinak. Rolf Drescher neexistuje a jeho podivný životopis v XLS nebyl ničím jiným než čerstvou modifikací viru Petya/GoldenEye, který se internetem šíří poslední rok.

Jmenuji se Rolf a jsem virus zabalený v příloze

Chování jeho poslední verze zmapovali specialisté z Check Pointu a loni pak až na samou dřen assembleru analyzovali v MalwareLabs. Pojďme se tedy podívat, jak takový útok, nákaza a nakonec i naprostá zkáza vlastně vypadá, Petya aka GoldenEye aka nešťastný Rolf Drescher je totiž tím nejzákeřnějším malwarem pod Sluncem – vyděračským ransomwarem.

Co je to ransomware?

„Ransomware je druh malware, která zabraňuje přístupu k počítači, který je infikován. Tento program zpravidla vyžaduje zaplacení výkupného (anglicky ransom) za zpřístupnění počítače. Některé formy ransomware šifrují soubory na pevném disku (kryptovirální vydírání), jiné jen zamknou systém a výhrůžnou zprávou se snaží donutit uživatele k zaplacení.“ – Česká Wikipedie
Zuzaně z HR došel e-mail

Mějme tedy jednu specialitku na HR, která zrovna hledá čerstvé síly. Říkejme ji třeba Zuzka. Zuzaně mohl virus dorazit nejrůznějšími kanály, ve všech případech se ale jednalo o žádost o práci. Zatímco loni se tak Drescherův životopis šířil především jako falešný samorozbalovací balíček ZIP (EXE) uložený na Dropboxu, nyní to je zmíněné makro pro Excel.

Letos je to Excel, loni se životopis šířil jako EXE program

Zuzka právě pro svého zaměstnavatele hledá nové inženýry, a tak mávne rukou nad podivnou distribucí a makro v Excelu přes varování spustí. V tom okamžiku se ale rozbalí malware, nahraje se do paměti a začne šifrovat dostupné soubory v uživatelské složce, kterým zamění příponu. Nakonec vytvoří soubor YOUR_FILES_ARE_ENCRYPTED.TXT s instrukcemi.

Ransomware přepíše úvodní část disku

Kdyby Zuzka v tuto chvíli počítač rychle vypnula, ještě by mohla ledacos zachránit. Jenže Zuzka je zmatená, a tak dá podivnému programu ještě pár chvil. Ten toho využije, vytvoří kopii úvodní oblasti pevného disku, kde je uložený zavaděč operačního systému, a přepíše jej vlastním maličkým programem.

Přepsání zavaděče bude mít za následek okamžité zhroucení systému, možná vyskočí BSOD, ale počítač se v každém případě restartuje.

V tuto chvíli má naše HR specialistka Zuzka poslední šanci, jak zachránit alespoň operační systém. O uživatelská data už nejspíše přišla. Nesmí počítač znovu spustit! Kdyby Zuzka okamžitě zaběhla do oddělení IT, které všechno ví, poněvadž bedlivě čte Živě.cz, technici by vytáhli disk a provedli zálohu zbývajících nepoškozených dat, protože samotné diskové oddíly ještě existují.

Jelikož však ajťáci předchozího dne do pozdních nočních hodin probírali U tří opic problematiku podnikové síťové infrastruktury, stejně jako autor tohoto článku dnes nedorazili na pracoviště před desátou dopolední, a tak má Zuzka smůlu a nechala vše dál běžet.

Falešný CHKDSK ve skutečnosti šifruje

Počítač se restartoval, ovšem Windows už nenaběhly. Namísto toho se zobrazil onen CHKDSK a začal kontrolovat disky. Samozřejmě byl falešný a měl jen ukonejšit Zuzku, že je zatím stále vše v režii Microsoftu, a jen co program vše spočítá, prostě naběhne přihlašovací obrazovka.

Falešný CHKDSK, který ve skutečnosti šifruje většinu disku

Chyba! Falešný CHKDSK nekontroluje disk, ale právě pomocí techniky Salsa20 šifruje téměř celý disk.

A neměla by si s tímto útokem poradit funkce Secure Boot a UEFI? Na první pohled ano, ale je to složitější – viz třeba tato diskuze na blogu Naked Security.
Falešný CHKDSK zvesela šifruje a šifruje, načež je dílo definitivně dokonáno, disk zašifrovaný a na displeji se už jen zobrazí žlutá pirátská lebka (proto GoldenEye) a posléze sdělení, že se Zuzana stala obětí ransomware a co má dělat.

Jakmile malware zašifruje disk, spustí uvítací program s lebkou (aktuální verze a červená z loňského roku) – toto všechno uložil na úvodní část disku ještě na Windows

Zuzko, chci bitcoin!

Autor nabádá Zuzku, aby si stáhnula Tor Browser a navštívila některou ze skrytých webových stránek na torovém alternativním webu, třeba: http://petya5koahtsf7sv.onion.

Zde se posléze dozví, že má zaplatit poplatek ve výši 1,3-1,39 BTC. Dolary se samozřejmě neplatí, záškodníci všeho druhu preferují těžko identifikovatelné bitcoinové transakce. Přesná částka kampaň od kampaně trošku osciluje a zdá se, že záškodníci reagují na aktuální kurz bitcoinu k americkému dolaru, pokaždé se totiž jedná zhruba o tisíc dolarů, což asi bude jejich cíl. Tisíc dolarů za každý úspěšný útok!

Dobrý den, jste obětí ransomwaru. Děkujeme, že využíváte našich služeb a teď nám prosím zaplaťte asi 1 000 dolarů. Máte na to pár dnů, pak už se s vámi nebudeme bavit.

Nyní má Zuzka na výběr. Buď zaplatit odmítne a smíří se s tím, že jen co se technici vyspí z kocoviny, prostě ji přeinstalují celý operační systém, anebo skutečně zaplatí. V takovém případě později obdrží dešifrovací klíč, který zadá do formuláře po startu počítače. Malware v tom případě nejprve ze zálohy obnoví onu přepsanou úvodní část disku se zavaděčem a posléze i zbytek souborů na celém disku.

A opravdu mi dorazí klíč?

Leckdo si jistě položí otázku, jestli budou záškodníci vůbec komunikovat, ale je to v jejich zájmu. Pokud by totiž po zaplacení výkupného nepředali oběti klíč, brzy by se to rozkřiklo a peníze by jim už příště nikdo neposlal.

„Copyright © 2016 Janus Cybercrime Solutions ™“ píše se v patičce na torové stránce ransomwaru Petya. Nu, ochrannou známku nemají, ale smysl pro humor a copyright asi ano...

Na stranu druhou, internetem se mohou šířit i různé starší a již neaktivní ransomwarové kampaně, kdy viry samotné sice pochopitelně stále fungují, ale záškodníci už žádné dešifrovací klíče dávno neposílají. Díky analýze ransomwaru i policejním zátahům se však specialistům čas od času podaří šifru rozlousknout a antivirové firmy poté nabízejí nejrůznější nástroje, které se pokusí data obnovit.

Zuzka se naštvala a o vše přišla

No dobrá, toto je ale čerstvá kampaň, a tak věřme, že vše funguje. Přesto to stále může skončit naprostou katastrofou. Jakmile si Zuzka přečte, že má poslat jakýsi bitcoin a kolik že to po přepočtu činí korun, naštve se a do formuláře na žlutočerné obrazovce napíše nějaké velmi vulgární a před desátou hodinou večerní zcela nepublikovatelné slovíčko.

Poté klepne na Enter a…

A je konec, v ten okamžik totiž ransomware Petya/GoldenEye v prvním kroku provede onu obnovu zavaděče, ale samotná data na disku dešifruje špatným klíčem. Jeden nesmysl tedy převede na druhý a už není cesty zpět, protože z hlavičky disku mezitím zmizel i onen úvodní záškodnický program, který se spouštěl po startu.

Ransomware z rodiny Petya ve skutečnosti nešifruje každý bajt na disku. Při forenzní analýze se ukázalo, že i poté zůstávají tu a tam původní data včetně textových řetězců. Integrita diskového oddílu je ale pryč a snadná obnova bez znalosti klíče nemožná.

Co tedy na závěr poradit imaginární Zuzaně? Jistě, na podnikovém počítači to bude slušet některému z antivirovému programu, provařené viry Petya by dnes totiž měly znát opravdu všechny. Ovšem jak už tomu bývá, nejlepším antivirem je nakonec především starý dobrý selský rozum a bystrý úsudek.

Nelze totiž než doufat, že by opravdu nikoho, ani naši imaginární Zuzanu, nikdy v životě nenapadlo spouštět pochybné makro v už od pohledu pochybném tabulkovém dokumentu.

A tak přejme všem HR oddělením, ať se nenechají nachytat ani v novém roce a v nové kampani.

Vyděrači útočí na MongoDB, počet napadených serverů přesáhl 32 000

11.1.2017 Root.cz Viry
Internetem se šíří nová vlna vydírání spojená s užíváním databáze MongoDB. Jsou napadeny desítky tisíc instalací a další se objevují. Útočníků je pravděpodobně více a za obnovení databáze požadují platbu v bitcoinech.
Tisíce uživatelů databáze MongoDB se v posledních několika dnech dostalo do nepříjemné situace. Neznámý útočník napadl jejich systém, vymazal veškerá data a nahradil je jedinou tabulkou, ve které informuje o své činnosti a za obnovení dat a záplatování chyby požaduje platbu v bitcoinech.

Případů navíc velmi rychle přibývá, zatímco před týdnem byly napadeny dva tisíce instalací MongoDB, v pondělí se hovořilo o deseti tisících a během jednoho dne došlo k nárůstu na 27 000. Zdá se, že se tento druh vydírání stal doslova přes noc velmi populárním. Současný stav věci jasně ukazuje na fakt, že nejde zdaleka jen o jednoho útočníka, ale mnozí se nechali inspirovat původní myšlenkou a začali podnikat na vlastní pěst.

Různí útočníci, stejný cíl
Původní útočník používal přezdívku Harak1r1 a za obnovení databáze požadoval 0,2 bitcoiny (BTC), tedy asi 5000 Kč. Jeho kontaktní e-mail ale přestal existovat a oběti se tak nemají kam obrátit, i kdyby chtěly výkupné zaplatit. Zato začaly vznikat další přezdívky jako Kraken0, mongo3l1t3 a 0wn3d, za kterými zřejmě stojí jiní útočníci. Princip jejich činnosti je sice podobný, ale nechovají se úplně stejně a například požadují různě vysoké výkupné – od 0,1 BTC (2500 Kč) až po 1 BTC (25 000 Kč).

Na problém upozorňují oficiální stránky MongoDB a zabývají se jím také dva významní bezpečnostní experti: Victor Gevers a Niall Merrigan, kteří společně monitorují situaci a průběžně aktualizují tabulku s informacemi o útočnících a obětech. V době psaní článků bylo obětí více než 32 000.

Follow
Niall Merrigan @nmerrigan
First time #mongodb ransomed db name passes out system db name in the stats. Estimated 32K servers now.. Data point @shodanhq 20H00 pic.twitter.com/LhtoqXrn8t
8:49 PM - 10 Jan 2017
61 61 Retweets 37 37 likes
Průběh je vždy velmi podobný: útočník si pomocí služby Shodan vyhlédne výchozí instalaci MongoDB s otevřeným portem 27017 a bez přístupového hesla. Poté databázi smaže a nahradí ji vlastním obsahem. Součástí je i vyděračský text, například následujícího znění:

Your database has been pwned because it is publically accessible at port 27017 with no authentication (wtf were you thinking?). Your data has been dumped (with data types preserved), and is easily restoreable. To get your data back, email the supplied email after sending 0.15BTC to the supplied Bitcoin wallet, do this quickly as after 72 hours your data will be erased (if an email is not sent by then). We will get back to you within 2 days. All of your data will be restored to you upon payment via a email response.
Útočníci slibují, že pokud oběť zareaguje rychle a pošle požadovaný obnos (v tomto konkrétním případě asi 3700 Kč), budou data obnovena. Podle uvedených bitcoinových peněženek někteří uživatelé skutečně zaplatili, odborníci však varují, že neexistuje záruka, že vyděrači data skutečně mají a jsou ochotni je poskytnout. Pokud už se oběti rozhodnou zaplatit, měly by požadovat důkaz o kopii databáze.

Victor Gevers tvrdí, že se mu ozvalo několik podvedených uživatelů, kteří zaplatili a data zpět nedostali. Dostávám negativní reakce od lidí, kteří zaplatili skupině Kraken a nedostali žádnou odpověď. Včera si na to stěžovalo 12 obětí, píše Gevers.

Slušný byznys
Podle peněženky skupiny Kraken zaplatilo 90 obětí z 16 000. Jde sice jen o nepatrnou část obětí, ale přesto jde o velmi výnosný byznys. Za pět dní si útočníci přišli na 9,4 BTC, tedy v přepočtu více než 200 tisíc korun. Navíc to vypadá, že si někdo na útocích na MongoDB založil živnost, protože část skupin realizuje útok přes stejnou IP adresu: 46.166.173.106. Gevers se proto domnívá, že jde o nějaký druh služby automatizující tento druh útoku. V každém případě je útok plně automatizovaný.

Někteří současný stav označují za „apokalypsu MongoDB“, ale ve skutečnosti jde jen o další zneužití otevřeného přístupu. Proti podobné administrátorské chybě není odolný žádný software. Zároveň by toho ale hodně mohli udělat sami vývojáři, kteří by mohli ve výchozí instalaci vynutit volbu silného administrátorského hesla a neotevírat přístup do internetu.

Ransomware KillDisk útočí na linuxové stroje, naštěstí jej lze eliminovat

10.1.2017  SecurityWorld Viry
Útočníci spojovaní se skupinou BlackEnergy pomocí ransomwaru KillDisk požadují vysoké výkupné, napadená data však nelze s jejich pomocí odšifrovat. Analytici naštěstí nalezli slabinu použitého šifrování, která umožňuje obnovu napadených dat.

Novou variantu malwaru KillDisk, která šifruje obsah napadených zařízení s operačním systémem Linux, objevili analytici Esetu.

I přes to, že tento škodlivý kód neumožňuje obnovu zašifrovaných souborů, tedy nedokáže uložit a kamkoli zaslat dešifrovací klíče, tvůrci KillDisk požadují za odblokování počítačů mimořádně vysokou sumu 250 tisíc dolarů (bezmála 6,5 milionu korun) v internetové měně Bitcoin.

„KillDisk je příkladem toho, proč by se nemělo v podobných případech platit výkupné. Při vyjednávání se zločinci nemáte žádnou záruku, že dostanete vaše data zpět. V tomto případě tvůrci ransomware KillDisk neměli vůbec v úmyslu dostát svým slibům. V jejich škodlivém kódu chybí jakýkoli nástroj pro odšifrování napadených dat,“ říká Miroslav Dvořák, technický ředitel Esetu.

KillDisk je destruktivní malware, který proslul jako součást úspěšného útoku, který v prosinci 2015 provedla skupina BlackEnergy na ukrajinskou energetickou soustavu.

Výzkumníci navíc nedávno odhalili plánované kybernetické útoky, které měly cílit na celou řadu finančních institucí na Ukrajině. Útočné kampaně prostřednictvím ransomware KillDisk pokračovaly i poté, pouze se zaměřily na nové cíle v oblasti námořní dopravy.

Sady útočných nástrojů mezitím prošly dalším vývojem a poslední varianty KillDisk slouží jako ransomware pro šifrování souborů. Nejprve cílily na zařízení s operačním systémem Windows, později se však zaměřily na Linux – a to nejen na počítače s tímto otevřeným operačním systémem, ale také na servery, čímž výrazně navyšují potenciální škody.

Zatímco u verze pro Linux dokázali výzkumníci Esetu podle svých slov přijít na řešení, jak zašifrovaná data zachránit, u napadených zařízení s operačním systémem Windows se jim to zatím nepodařilo.

Vyděračské viry útočí nebývalou silou. Obrana není snadná

10.1.2017 Novinky/Bezpečnost Viry
Bezpečnostní experti bijí na poplach, vyděračských virů v novém roce rapidně přibývá. Škodlivé kódy označované souhrnným názvem ransomware dokážou zašifrovat data na pevném disku a za jejich opětovné zpřístupnění poté požadují útočníci nemalé výkupné.
Hned v prvním týdnu nového roku se začal internetem lavinově šířit úplně nový vyděračský virus. „Ransomware byl kyberbezpečnostním tématem číslo jedna uplynulého roku a zdá se, že nejinak tomu bude i v roce 2017. Novou hrozbou je ransomware GoldenEye, nejnovější varianta ransomwaru Petya,“ varoval David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Petya dělala bezpečnostních expertům vrásky na čele už v první polovině loňského roku, protože pracovala daleko rychleji než podobné vyděračské viry. Ty potřebují na zakódování všech uložených dat poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dřív, než v počítači nadělají nějakou větší neplechu.

Petya však nešifrovala všechna data, ale pouze tzv. MBR. Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.

Na zašifrování MBR přitom Petya potřebovala pouze pár sekund, proto antiviry prakticky neměly šanci škodlivý kód zachytit.

Na Petyu již experti vyzráli
Zatímco na Petyu již bezpečnostní experti vyzráli, v případě hrozby zvané GoldenEye zatím dešifrovací klíč chybí. Většina bezpečnostních programů je tak proti nové hrozbě bezbranná. Účinné jsou teoreticky jen aplikace, které dovedou sledovat všechny podezřelé činnosti v počítači v reálném čase.

Jakmile jsou všechny soubory zašifrované, GoldenEye zobrazí žádost o výkupné
David Řeháček, bezpečnostní odborník
GoldenEye pracuje v počítači velmi podobně jako Petya, kromě dešifrovacího klíče se liší také způsob, jakým se šíří. „Současná kampaň používá k distribuci žádosti o zaměstnání a škodlivý kód maskuje za e-mailovou přílohu. Zaměřuje se proto na oddělení lidských zdrojů, kde je rozkliknutí příloh v e-mailech od potenciálních uchazečů nutností,“ podotkl Řeháček.

Nevyžádaná zpráva obsahuje krátkou zprávu od údajného uchazeče o zaměstnání a navíc ještě dvě přílohy. „První příloha je PDF obsahující průvodní dopis a tento soubor nemá žádný škodlivý obsah. Primárním účelem je uklidnit oběť a vyvolat falešný pocit bezpečí. Druhá příloha je excelový soubor s nebezpečnými makry. Obsahuje obraz květiny se slovem "Loading ..." a doprovodný text, který žádá oběť k povolení obsahu, což umožní spuštění makra,“ vysvětlil technické pozadí útoku bezpečnostní expert.

Výkupné neplatit
Problém nastává ve chvíli, kdy uživatel klikne na volbu "povolit obsah". „Spustí se kód uvnitř makra a začne proces zašifrování souborů a oběť k nim ztratí přístup. Jakmile jsou všechny soubory zašifrované, GoldenEye zobrazí žádost o výkupné,“ uvedl Řeháček.

Výkupné by ale lidé rozhodně platit neměli. Protože ani po odeslání peněz útočníkům se zpravidla ke svým datům nedostanou. Kyberzločinci jednoduše shrábnou peníze a už se neozvou.

Místo placení výkupného je nutné virus z počítače odinstalovat. Problém ale představují zašifrovaná data, ke kterým se většinou uživatelé už nedostanou.

Vyděračské viry mohou napadnout klidně i televizor. Uživatelé ale bezbranní nejsou

2.1.2017 Novinky/Bezpečnost Viry
První vyděračský virus pro chytré televizory se objevil už v polovině loňského roku. Přesto tito nezvaní návštěvníci stále nepřestávají strašit, zabezpečení TV totiž řeší málokdo. Při sledování filmu tak škodlivý kód může klidně uzamknout celý televizor.
Uzamčení televizoru na vlastní kůži zažil na konci loňského roku Američan Darren Cauthon.

„Sledovali jsme film a v tom se přes celou obrazovku zobrazilo varování, že TV je uzamčena. Podvodníci se vydávali za FBI,“ prohlásil Cauthon.

Vyděračské viry označované souhrnným názvem ransomware totiž dokážou terorizovat uživatele chytrých televizorů postavených na operačním systému Android TV úplně stejně jako majitele smartphonů a klasických PC.

View image on Twitter
Follow
Darren Cauthon @darrencauthon
Family member's tv is bricked by Android malware. #lg wont disclose factory reset. Avoid these "smart tvs" like the plague.
7:59 PM - 25 Dec 2016
3,428 3,428 Retweets 2,819 2,819 likes
Takto vypadal televizor uzamčený ransomwarem
Útok tedy probíhá prakticky na chlup stejně. Virus se nejdříve uhnízdí v televizoru a pak jej zcela uzamkne. Uživatel tak s přístrojem nemůže vůbec nic dělat, maximálně jej zapnout či vypnout. Na obrazovce se neustále zobrazuje výzva k zaplacení výkupného.

To v případě Cauthona činilo 500 dolarů, tedy v přepočtu bezmála 13 000 Kč. Počítačoví piráti se jej snažili přesvědčit, že výkupné je ve skutečnosti pokuta, která byla vyměřena za nedovolené nakládání s autorsky chráněnými díly.

Kolik televizorů se vyděračskému viru podařilo za poslední půlrok výše popsaným způsobem napadnout, zatím není jasné. Jisté není ani to, zda se ransomware pro chytré televizory objevil také v Česku.

Chytrá elektronika může být zranitelná
Celá kauza nicméně jasně ukazuje, jak zranitelná mohou být zařízení připojená k internetu. Většina počítačů je totiž proti vyděračským virům chráněna pomocí antivirových programů, u televizorů ale zabezpečení řeší jen málokdo.

Výrobci přitom antiviry pro chytré televizory nabízejí již několik let. Většina uživatelů si patrně ale ani neuvědomuje, že i tato zařízení mohou být napadena.

A jak skončil příběh Cauthona? Tomu se nakonec podařilo s pomocí zákaznické linky ransomwarem napadený televizor resetovat do výchozího nastavení, čímž se nezvaného návštěvníka zbavil. Zároveň ale přišel o uložená nastavení i soubory.

V americké firmě našli program ruských hackerů

1.1.2017 Novinky/Bezpečnost Viry
V počítači dodavatele elektrické energie v americkém státě Vermont se našel typ škodlivého programu (malware), který podle americké vlády používá Rusko při hackerských útocích. Informoval o tom v sobotu list The Washington Post (WP), podle kterého se program našel v přístroji, který nebyl připojen k síti a nebyl použit k narušení provozu.
„Okamžitě jsme zahájili kroky, abychom notebook izolovali, a o nálezu jsme informovali federální úřady,“ uvedl zástupce dodavatelské společnosti Burlington Electric Departement z Vermontu. Škodlivý program se nalezl pouze v jediném přístroji.

Podle zdroje agentury Reuters z amerických tajných služeb nešlo o zásadní narušení bezpečnosti, které by způsobilo nějaké škody, a do počítače se mohl malware dostat i po návštěvě některé internetové stránky. Zařízení tak nemuselo být přímým terčem hackerského útoku.

„Bereme to ale vážně,“ dodal zdroj s tím, že energetická síť je vysoce propojená a zranitelná.

Rusko útoky odmítá
Vláda prezidenta Baracka Obamy viní Rusko z hackerských útoků na americké instituce i na soukromé osoby. Jejich cílem mělo podle ní být mimo jiné ovlivnění nedávných prezidentských voleb ve prospěch republikánského kandidáta Donalda Trumpa.

Ve čtvrtek Spojené státy vypověděly 35 ruských diplomatů a uzavřely dvě ruská pracoviště na svém území. Prezident Obama navíc vyhlásil sankce mimo jiné vůči ruské civilní tajné službě FSB a vojenské rozvědce GRU.

Rusko odmítá, že by na USA prostřednictvím hackerů útočilo. Prezident Vladimir Putin se rozhodl, že zatím v reakci na americké sankce nikoho ze země nevyhostí.

Budoucí prezident USA Donald Trump odmítá, že by na jeho vítězství ve volbách mělo Rusko nějaký podíl.

Sankce vyhlášené Obamovou administrativou nepřímo kritizoval, když po jejich ohlášení vyzval, aby se USA věnovaly „větším a lepším věcem”. Příští týden se nicméně chce setkat se zástupci amerických tajných služeb, aby získal o údajných hackerských útocích Ruska na USA bližší informace.

Ransomware, zločinecký trend roku 2017; důležitá je prevence

31.12.2016 SecurityWorld Viry
Pátého února odstartovaly problémy s přístupem k síti v Hollywoodském presbyteriánském lékařském centru v Los Angeles; během příštích dní zaměstnanci zjistili, že se stali obětí ransomware útoku, který zašifroval mnoho dokumentů v několika počítačích.

Během dalších dnů musel personál této nemocnice zapisovat a zaznamenávat informace a události pomocí tužky a papíru, přičemž vedení nemocnice se rozhodlo útočníkům vyplatit 17 000 dolarů – ekvivalent 40 bitcoinů, které internetoví vyděrači požadovali. Pro nemocnici to byla nejrychlejší cesta k obnovení svých souborů a systému.

Tím započala dlouhá série ransomware útoků nejen v USA na podniky, nemocnice, veřejné služby, dopravní podniky, a dokonce i policejní stanice. Vlna vydírání tvrdě dopadla obzvláště na zdravotnické organizace ve Spojených státech.

Jde o důkaz nového, velice nebezpečného trendu: ransomware, tedy malware, který nutí uživatele zaplatit peníze pro přístup do systému nebo ke svým souborům, není novinkou. Avšak zatímco dříve cílil na koncové uživatele, běžného spotřebitele, nyní se přeorientoval na podniky, často velké a bohaté, nebo takové, které bez svých informačních systémů nemohou normálně fungovat – jako nemocnice, které navíc mnohdy trpí na nedostatečné zabezpečení.

Během posledních dvou let se zaměření ransomwaru dramaticky změnilo, říká Ed Cabrera, ředitel kybernetické bezpečnosti v antivirové firmě Trend Micro.

Ještě v roce 2014 zahrnovalo používání ransomware útoků z 80 % tradiční metody, např. zablokování plochy počítače s tím, že uživatel musí pro její odemknutí zaplatit poplatek. V roce 2015 však již podle statistik 80 % útoků naopak zahrnovalo pokročilý krypto-ransomware, tedy nakažené programy, které šifrují soubory v počítači.

„Další evolucí ransomwaru je přesun od spotřebitelů k podnikům,“ popisuje Cabrera. „Mnoho nových typů krypto-ransomwaru v roce 2016 cílilo na podniky, a to v dříve nevídaném rozsahu.“

Nejde o tak úplně neočekávanou proměnu – podniková data jsou ostatně významně cennější než osobní soubory a společnosti si mohou dovolit zaplatit vyšší „výkupné“ než běžní uživatelé. Jejich zabezpečení se navíc silně liší – záleží na lokaci, velikosti i průmyslovém odvětví podniku.

„Začali jsme si všímat, že se ransomware soustředí spíše na malé a střední podniky, protože je pravděpodobnější, že zaplatí vyšší cenu za odblokování systému než průměrný uživatel,“ říká Liviu Arsene, analytik e-hrozeb pro antivirovou firmu Bitdefender.

Nedávný průzkum IBM, kterého se zúčastnilo 600 majitelů podniků, zjistil, že polovina z nich zažila ransomware útok a až 70 % z nich zaplatilo požadovanou částku, aby získali zpět svá data.

E-maily distribuující ransomware činily až 40 % všech e-mailových spamů za rok 2016 a zločinci z tohoto typu malwaru za letošek vydělali již téměř miliardu dolarů, píše IBM X-Force.

Nejčastějším cílem ransomware útoků jsou oddělení lidských zdrojů a finance: malware lze jednoduše skrýt jako výpis nebo resumé. Pokud je obětí kupříkladu nemocnice, dopad je obrovský i na veřejnost, takže se společnosti snaží problém vyřešit co nejrychleji – vzrůstá tak šance, že útočníkům raději zaplatí.

U ransomwaru je prevence zcela klíčová, neboť poté, co se v systému vyskytne, téměř neexistuje možnost jak se jej zbavit mimo zaplacení útočníkovi – a ani to negarantuje zpětné získání svých dat nebo přístupu.

Metody útoku

Ransomware je nejtradičněji rozesílán formou e-mailu, existují však i jiné, inovativnější metody.

Druhá nejčastějši technika je tzv. exploit kit. Jde o webové nástroje, které zneužijí zranitelnosti v prohlížečích nebo plug-inech typu Flash Player, Adobe Reader, Java či Silverlight. Takovým útokům lze hůře přecházet.

Firmy se navíc neobávají jen o své pracovní stanice, útočníci stále častěji míří také na serverový software, aby pronikli do podnikové sítě.

„Předpokládáme, že se zvyšujícím se počtem ‚podnikového ransomwaru‘ uvidíme více technik na zneužití zranitelností a získání přístupu do interní sítě,“ říká Barry Shteiman, ředitel výzkumu hrozeb v Exabeam, bezpečnostní firmy, která k detekci ransomwaru využívá strojového učení. „V podstatě každý server má zranitelnosti, které mohou vést k phishingovým útokům nebo injektování kódu – to může napomoci rozšíření ransomwaru.“

Další oblíbenou metodou distribuce ransomwaru je ukradení přihlašovacích údajů pro vzdálenou administraci, např. oblíbený Teamviewer.

Co se týče e-mailů, ransomware se skrývá ve spustitelných .exe souborech, schovaných v zipech a rarech, dále v makrech Wordových dokumentů a také v Javascriptových přílohách.

Co dělat, když ransomware zasáhne?

Nejdůležitější je co nejrychleji oddělit infikovaný systém od zbytku sítě, aby se nerozšířil. Doporučuje se rovněž pokud možno vypnout nenakažené počítače, než se situace vyřeší. Ihned na to by firmy měly kontaktovat bezpečnostní agentury nebo policii.

Dalším krokem by mělo být zálohování zašifrovaných dat a vyčištění hodnot a souborů v registrech, které si ransomware vytvořil, aby se nenačetl znovu při opětovném spuštění počítače. Dobré je rovněž změnit přístupová hesla k síťovým službám – útočníci totiž již mohou mít původní hesla ve svých rukách.

Pak přichází to nejtěžší rozhodnutí: zaplatit kriminálníkům nebo ne? Bezpečnostní odborníci a agentury ve valné většině nedoporučují výkupné platit, neboť to zločince utvrdí v jejich činnosti a navíc neexistuje garance, že dešifrovací klíč uživateli či podniku zašlou.

Dle zpráv bezpečnostní firmy Kaspersky Lab, slavné i pro svůj pokročilý antivirus, jedna z pěti společností nikdy svá data nedostane zpět – a to mluvíme o těch, které výkupné zaplatí. Někdy však organizace nemá na výběr, pokud nebyla na ransomware připravena – zaplatit zkrátka musí.

Dále jde rovněž o zhodnocení nákladů. Pokud má podnik větší ztráty z nedostupnosti dat nebo je dokonce dražší jejich samotné obnovení, pak mu nezbývá než zaplatit. Je to však až ta úplně poslední možnost, kdy všechny ostatní varianty jsou již vyčerpány, vysvětluje Shteiman.

Budoucnost ransomwaru je bohužel růžová

Podnikové sítě nejsou konečným cílem ransomwaru. Je možné, že zamíří výš: na industrální sítě, říká Guy Caspi, generální ředitel firmy zaměřené na kybernetické zabezpečení Deep Instinct. „V březnu byla pod útokem třetí největší elektrická a vodní technická infrastruktura v Michiganu – Lansing Board of Water & Light. Stala se první elektrickou veřejnou službou, kterou zasáhl ransomware.“

Podle Caspiho budou dalším krokem v evoluci ransomwaru programy, které po vytvoření kopie dat původní data smažou, místo, aby je zašifrovaly.

Arsene z firmy Bitdefender se odlišně domnívá, že s rozvojem internetu věcí budou právě tato zařízení dalším logickým cílem.

„Scénář, ve kterém vydírání probíhá pomocí chytrého zařízení není až tak nerealistický, i vzhledem k předpokládanému masivnímu nárůstů takových zařízení v několika příštích letech,“ myslí si. „Pokud útočníci shodí podnikovou síť senzorů, mohlo by to být opravdu problematické.“

Prevence infekce ransomwarem

Cvičební programy pro zaměstnance, celkové zvýšení povědomí o ransomwaru; jak rozpoznat phishing a infikované přílohy.
Silný antispamový filtr a implementace technologií typu Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) a DomainKeys Identified Mail (DKIM).
Nastavení síťového zabezpečení a firewallu k blokaci známých škodlivých IP adres včetně Toru; mnoho ransomware serverů hostuje právě Tor.
Aktualizovaný software na pracovních stanicích, počítačích a serverech; je dobré mít i systém na správu aktualizací.
Dobrý antivirový program, který dokáže dlouhodobě dobře detekovat ransomware; dobré je rovněž pravidelné proskenování systému.
Co nejméně možností a privilegií pro lokální účty. Pokud uživatelé nepotřebují možnost zapisovat v síti, nedávejte jim ji.
Zrušení možnosti spouštět makra v kancelářském balíčku Office. Co nejvíce omezit spouštění skriptů typu JavaScript, Powershell a VBScript ve Windows.
Deaktivace plug-inů v prohlížeči, které nejsou nutně potřeba. Hodí se také využít EMET toolkit Microsoftu.
Zamezit programům možnost používat dočasné složky a jiná běžná umístění, které využívá malware.
Spouštět potenciálně riskantní soubory ve virtualizovaném prostředí; zauvažovat nad možnosti whitelistingu.
Pravidelně data zálohovat, ověřovat integritu zálohy a fyzické separování nejdůležitějších síťových segmentů.
Vytvořit několik záloh offline i online, například také v cloudu. Počítače by neměly být permanentně připojeny k místu zálohy.

Vyděračské viry cílí na zdravotnická zařízení. Počet útoků se za tři roky ztrojnásobil

30.12.2016 Novinky/Bezpečnost Viry
Vlna kybernetických útoků na zdravotnická zařízení ve Spojených státech nebere konce. Letos se počet případů meziročně zvýšil o 63 procent, za poslední tři roky se dokonce ztrojnásobil. Dorazí tento nechvalně proslulý trend i k nám?
Zdravotnická zařízení jsou vítaným cílem tvůrců ransomwaru, vyděračských virů, které zašifrují citlivá data a za jejich odblokování žádají tučné výkupné. Obvykle se jedná o částky v několika bitcoinech, což je internetová měna, která odpovídá přibližně 20 tisícům korun. Podle americké společnosti TrapX Labs jenom v letošním roce proběhlo 93 útoků ransomwaru na zdravotnická zařízení v USA. Sofistikované kybernetické útoky stojí i za třetinou případů úniků dat od amerických zdravotních pojišťoven.

Pro srovnání: v roce 2015 byli kyberzločinci odpovědní za pětinu úniků dat zdravotních pojišťoven, v roce 2014 pak ani ne za desetinu. Nárůst počtu kybernetických útoků tak představuje závažnou hrozbu pro ochranu osobních dat pacientů, zdravotnických zařízení a v konečném důsledku vedou útoky k přímému fyzickému ohrožení samotných pacientů. K vůbec největšímu úniku dat ve zdravotnictví došlo letos v červenci v zařízení Banner Health v Phoenixu, kde se útočníci dostali ke 3,62 miliónu záznamů o pacientech.

Hackeři získali kompletní data o pacientech
Zločinci získali informace nejen ze zdravotní dokumentace, ale dokonce i o zákaznících obchodů s občerstvením. U pacientů se jim podařilo prolomit data, jako jsou jejich bydliště, datum narození, jména ošetřujících lékařů, termíny služeb, klinické informace, informace o zdravotním pojištění či čísla sociálního zabezpečení. Hackeři se dostali do kompletní sítě Banner Health, včetně platebních terminálů obchodů s občerstvením či elektronického systému, přes který komunikují lékaři a ukládají si do něj data o pacientech.

Obdobně rozsáhlý útok letos zažilo zdravotnické zařízení Newkirk Products, v němž bylo ohroženo bezmála 3,5 miliónu zdravotních záznamů. Nájezdu hackerů se nevyhnulo ani onkologické centrum 21st Century Oncology, z něhož v březnu letošního roku unikly údaje o více než dvou miliónech bývalých i současných pacientů.

V srpnu oznámili zástupci Valley Anesthesiology Consultants, že v období od 30. března do 13. června došlo k neoprávněnému průniku k 882 590 zdravotnickým záznamům. Peachtreeská ortopedická klinika v Atlantě letos v listopadu upozornila 531 tisíc pacientů, že jejich osobní data mohla být zneužita kvůli rozsáhlému kybernetickému útoku.

Expert: Nemocnice jsou lehce vydíratelné
„Zdravotnická zařízení jsou vítaným terčem útočníků, protože data, s nimiž operují, jsou velmi citlivá. Žádné zdravotnické zařízení nechce riskovat ohrožení svých pacientů a spolu s tím ztrátu důvěry. Pokud útočníci naleznou mezeru v zabezpečení, rádi ji tímto způsobem využijí, protože u organizací tohoto typu je větší pravděpodobnost, že útočníkům za odšifrování svých dat zaplatí,“ říká Miroslav Dvořák, technický ředitel antivirové společnosti ESET.

„Účinným preventivním nástrojem proti útokům tohoto typu je funkční IT bezpečnostní strategie, která kromě jiného umožňuje rychlou obnovu zašifrovaných dat ze zálohy,“ dodává Dvořák.

Zaplacením výkupného oběť automaticky nezískává jistotu, že její data budou obnovena
Miroslav Dvořák, technický ředitel antivirové společnosti ESET
Několik britských nemocnic muselo kvůli útokům ransomwaru letos v říjnu odříci plánované operace a další chirurgické zákroky, protože nechtěly riskovat komplikace s dostupností zdravotních záznamů pacientů. Zdravotní instituce jsou ochotny v takových případech raději zaplatit výkupné a zajistit si tak odšifrování dat. To však není nijak garantované.

„Zaplacením výkupného oběť automaticky nezískává jistotu, že její data budou obnovena,“ varuje Miroslav Dvořák. Zdravotnická zařízení by tedy měla pamatovat na zálohování dat a neměla by se spoléhat na to, že útočníci dodrží slovo a po zaplacení výkupného dokumenty odšifrují.

Zálohovací systémy by však neměly být trvale připojeny k počítačové síti, protože jinak hrozí, že jejich obsah bude při útoku rovněž zašifrován. Zároveň je vhodné používat prověřené bezpečnostní nástroje, z nichž mnohé již nabízejí i ochranu před ransomwarem.

Hackeři nabídli obětem ransomwaru vánoční slevu: za odšifrování si řekli polovinu

30.12.2016 Novinky/Bezpečnost Viry
Kyberzločinci si obvykle účtovali za odblokování počítače napadeného ransomwarem CryptXXX částku 1,2 bitcoinu (27 tisíc korun), během vánočních svátků zlevnili na 0,5 bitcoinu (11 tisíc korun).
Nezvyklou oslavu vánočních svátků zvolili tvůrci vyděračského viru CryptXXX. Svým obětem, jimž zašifrovali soubory v počítači, účtovali výkupné o víc než polovinu nižší než obvykle. Zatímco dříve žádali za odšifrování dokumentů částku 1,2 bitcoinu, což v přepočtu představovalo 27 tisíc korun, o vánočních svátcích slevili na 0,5 bitcoinu (11 tisíc korun). Sleva se obětem objevila ve chvíli, kdy klikli na jeden z odkazů na platební brány útočníků, informoval web Infosecurity-magazine.com.

Ransomware v současnosti patří pro uživatele mezi nejvýznamnější hrozby
Miroslav Dvořák, technický ředitel antivirové společnosti ESET
CryptXXX patří mezi jednu z mála rodin ransomwaru, u nichž se bezpečnostním expertům podařilo získat dekódovací klíče a vyvinout Decryptor. Od letošního května tak je možné zašifrované soubory odblokovat, aniž by majitelé napadených počítačů museli platit výkupné. Týká se to však pouze verzí CryptXXX, které byly v oběhu do května. Novější typy tohoto ransomwaru nelze pomocí tohoto nástroje deaktivovat, což se týká i speciální, „vánoční“ sady se slevou na výkupném.

„Ransomware v současnosti patří pro uživatele mezi nejvýznamnější hrozby. Pro útočníky se naopak jedná o pravděpodobně nejvýdělečnější typ kybernetického útoku,“ konstatuje Miroslav Dvořák, technický ředitel antivirové společnosti ESET. Firma proto vyvinula novou ochrannou vrstvu k již existujícím technologiím zabezpečení uživatelů a přidala ji zdarma ke všem svým produktům pro domácnosti a zařízení s operačním systémem Windows.

„Ochrana proti ransomwaru umožňuje pokročilé sledování a vyhodnocování všech spuštěných aplikací pomocí behaviorální analýzy. Aktivně blokuje známé typy chování, které se nápadně podobají činnosti ransomwaru. Kromě toho také může blokovat úpravy stávajících souborů, tj. jejich šifrování,“ vysvětluje Dvořák. Funkce je aktivní již ve výchozím nastavení a nevyžaduje žádnou zvláštní pozornost ani aktivitu uživatele, dokud nedojde k detekci podezřelé aktivity. V takovém případě je uživatel vyzván ke schválení nebo k jejímu zablokování.

Ransomware představuje specifickou rodinu malwaru, která se zaměřuje na soubory uživatelů. Nejčastějším typem je tzv. filecoder, který šifruje data a požaduje výkupné za jejich následné odšifrování. Ransomware se šíří především pomocí škodlivých příloh e-mailů či exploit kitů pro webový prohlížeč.

KillDisk: Atomová bomba mezi viry. Buď vám smaže PC, nebo bude chtít výkupné přes 5 milionů
30.12.2016 Živě.cz Viry
Smrtící malware KillDisk, jehož autoři se baví tím, že program po infekci na počítači spáchá hotové peklo, jej nově vybavili ještě ransomwarem. Ale takovým, který zruinuje i ty nejbohatší.

Nicméně pěkně popořadě. Původní KillDisk po napadení zničil systémové soubory, pohrál si s příponami souborů a něco smazal. Po příštím spuštění počítače pak už pochopitelně systém nenastartoval a nezbývalo, než jej znovu nainstalovat, anebo obnovit ze zálohy.

Podle Bleeping Computer se ale nyní nebezpečný zabiják dat na počítači proměnil v ransomware. To znamená, že data na PC nesmaže, ale velmi silně zašifruje a oběť klíč nedostane, dokud nezaplatí výkupné skrze anonymní bitcoin.

Zaplaťte nám 222 BTC, nebo se už ke svým souborům na PC nedostanete

Jenže to má háček. Zatímco u běžných ransomwarů útočníci požadují výkupné okolo 1 BTC (cca 900 USD), což podle aktuálního kurzu odpovídá asi 23 tisícům korun, KillDisk si účtuje 222 BTC!

222 BTC odpovídá asi 208 tisícům USD, což po přepočtu činí více než 5 milionů korun. K zaplacení takové částky bez špetky jistoty, že útočník opravdu pošle dešifrovací klíč, se tedy odváží asi jen málokdo.

Chtěli slevu a šeredně se napálili. Podvodníkům naservírovali karty na zlatém podnosu

20.12.2016 Novinky/Bezpečnost Viry
Využít aktuálního shonu se snaží kybernetičtí piráti pouhých pár dní před Vánoci. Jak varovali bezpečnostní experti antivirové společnosti Eset, podvodníci se na síti vydávají za prodejce známých módních značek a z důvěřivců lákají informace o jejich platebních kartách. Snaha ušetřit při nákupu vánočních dárků se tak může krutě vymstít.
Slevové akce se objevují na různých sociálních sítích a klidně i legitimních webech. Doposud piráti lákali například na nákup kabelek Michael Kors, bot Ugg či sandálů Birkenstock s výraznými slevami.

Žádná ze jmenovaných společností ale samozřejmě nemá s falešnými weby nic společného. „Tyto podvodné stránky se šíří e-mailem nebo přes legitimní účty na Facebooku, které útočníci hacknuli buď pomocí technik sociálního inženýrství, nebo pomocí škodlivého kódu,“ uvedl Ondrej Kubovič, specialista na digitální bezpečnost ve společnosti Eset.

Zboží za nereálně nízké ceny
„Bez souhlasu skutečného majitele účtu na Facebooku sdílejí na jeho profilu fotografie propagující toto falešné zboží za nereálně nízké ceny,“ doplnil Kubovič.

Podle něj falešné obchody nepoužívají šifrovanou komunikaci. Počítačoví piráti se kvůli tomu dokážou snadno dostat například k číslu platební karty, ověřovacímu bezpečnostnímu kódu a zároveň i k osobním údajům uživatele.

„Předvánoční období představuje pro podvodníky skvělou příležitost. Jejich falešné stránky si totiž lidé ve shonu při hledání vánočních dárků velmi lehce spletou s legitimními weby. Na stránkách by si proto měli všímat jakýchkoli podezřelých znaků. Těmi jsou například extrémně nízké ceny, vysoké slevy, překlepy, gramatické chyby či absence certifikátu SSL,“ uzavřel bezpečnostní expert.

Není to poprvé
Falešné obchody, které byly pro vylákání informací o platebních kartách doposud využity, naleznete v tabulce níže. Není nicméně vyloučeno, že se kyberzločinci nebudou snažit uživatele napálit i s nějakými úplně jinými smyšlenými e-shopy.

Podobné triky počítačových pirátů nejsou nijak výjimečné. V minulém týdnu se zase tuzemské uživatele snažili napálit slevovými akcemi velkých obchodních řetězců. [celá zpráva]

Podvodné e-shopy zachycené bezpečnostními experty
Uggclassicstyle.com
Ugg-sk.com
Uggs.cz
Bk-sale.com
Uggaustraliabox.com
Michaelkorsbuy.com
Shoesfootus.com
Zdroj: Eset

Nenechte se vydírat. Nový nástroj zatočí s téměř každým ransomwarem
20.12.2016 cnews.cz Viry
Bezpečnostní experti ze společnosti Cybereason vytvořili nový nástroj RansomFree. Už název prozrazuje to hlavní – bojuje s ransomwarem. To je specifický druh malwaru, který se usadí na počítači a zablokuje část jeho funkcí nebo přístup k souborům, přičemž odblokování podmiňuje zaplacením.
Cybereason slibuje lepší ochranu, než jakou poskytují běžné antiviry. Ty většinou pouze porovnávají otisk škodlivého kódu s vlastní databází malwaru. Jenže denně vzniká nová havěť nebo existují takové typy malwaru, které pravidelně mění podobu (tedy i digitální otisk) a jsou těžko stopovatelné.

RansomFree používá behaviorální ochranu. Neporovnává škodlivý kód s databází, ale vytvoří na počítači tzv. honeypot, do kterého se chytí i nový, dosud nepopsaný, ransomware. Nástroj vytvoří náhodně vygenerované soubory a složky na disku a sleduje jejich chování. Pojmenovává je tak, aby v seznamu byly vždy nahoře.

Ochrana sleduje, které aplikace se snaží se soubory pracovat, měnit je nebo dokonce šifrovat (to dělá většina ransomwaru). Protože jsou náhodné soubory první na ráně, RansomFree po detekci zablokuje záškodnický proces v provádění další činnosti. Při podezření pochopitelně upozorní uživatele.

RansomFree generuje náhodné soubory jako vábničku pro ransomware

Nástroj si poradí také s ransomwarem, který nešifruje soubory na disku, ale využívá děr ve Flashi, prohlížečích apod., aby získal hlubší přístup do systému a zablokoval jeho části.

Cybereason sledoval chování tisíců různých ransomwarů, které ale vycházejí ze základů několika desítek různých kódů (Locky, Cryptowall, TeslaCrypt, Jigsaw, Cerber apod.). Žádná ochrana není dokonalá, ale RansomFree slibuje 99% účinnost. Ideálně by měl fungovat i s dobrou antivirovou ochranou. Na pozadí spolkne asi 50 MB RAM a nijak nezatěžuje procesor.

RansomFree zachytil hrozbu

RansomFree je (a bude) zdarma. Zatím podporuje jen Windows 7, 8, 10, 2008 R2 a 2012 R2, ale v budoucnu se možná dostane i na jiné systémy. Stáhnout si jej můžete z této stránky.

Je třeba mít na paměti dvě věci. RansomFree i další podobné nástroje slouží k prevenci. Napadený počítač nevyléčí. Pokud už ransomware zašifroval soubory, je pozdě. Vůbec nejlepší ochranou je navštěvovat jen ověřené weby a nestahovat neověřené soubory z webu ani e-mailových příloh.

Nebezpečný virus vydávají za reklamu. Ochromí celou počítačovou síť

20.12.2016 Novinky/Bezpečnost Viry
Národní bezpečnostní tým CSIRT.CZ varoval před nebezpečným virem, který se v posledních dnech šíří internetem doslova jako lavina. Škodlivý kód zvaný DNSChanger napadá výhradně routery – brány do světa internetu, prostřednictvím kterých se pak počítačoví piráti dostanou do celé počítačové sítě.
Hrozba je závažná především tím, že se lidé mohou nakazit na legitimních webech, nebo dokonce i sociálních sítích. „Útočník nejdříve ukryje škodlivý kód do obrázku, který umístí jako reklamu na populární servery,“ podotkl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

„Kód v obrázku následně přesměruje oběti na server útočníka, kde je připraven samotný exploit kit DNSChanger. Ten se pak postará o napadení špatně zabezpečeného routeru, na kterém nastaví DNS servery útočníka,“ konstatoval Bašta.

Tím má kyberzločinec celou síť pod kontrolou. „Útočníkovi to umožňuje ovládnout síťový provoz na všech zařízeních za tímto routerem, bez ohledu na používaný operační systém,“ podotkl bezpečnostní expert.

DNSChanger může výše popsaným způsobem napadnout více než 150 různých typů routerů. Jde například o modely D-Link DSL-2740R, NetGear WNDR3400v3, Netgear R6200, COMTREND ADSL Router CT-5367 C01_R12 či Pirelli ADSL2/2+ Wireless Router P.DGA4001N.

Zablokují či přesměrují připojení
Že je router zavirovaný, mohou uživatelé poznat například podle toho, že jim přestane z připojených počítačů zcela fungovat internetové připojení, případně se při snaze o připojení na nějakou webovou stránku zobrazí úplně jiný web.

Přesně to se stalo už v minulosti kvůli zranitelnosti známé jako „rom-0“. Místo serverů, jako jsou například Seznam.cz nebo Google.com, se poškozeným zobrazila hláška o nutnosti instalace Flash playeru. Místo té se ale do PC stáhnul další virus. Útočníci tak rázem měli přístup nejen k routeru, ale i k připojenému počítači.

Na brány do světa internetu se zaměřují kyberzločinci stále častěji. Využívají toho, že zabezpečení těchto internetových zařízení uživatelé především v domácnostech velmi podceňují, někdy to ale platí i o firmách. Březnová studie Cisco Annual Security Report totiž ukázala, že devět z deseti internetových zařízení má slabá místa.

Uživatelé nejsou úplně bezbranní
Hlavní problém je podle bezpečnostních expertů v tom, že routery není možné chránit antivirovými programy, jako je tomu u počítačů. I tak ale nejsou uživatelé úplně bezbranní.

„Hlavní způsob, jak této hrozbě předejít, představuje upgrade firmwaru routeru na aktuální verzi a nepoužívat mnohdy triviální přednastavené přihlašovací jméno a heslo. Rovněž je vhodné zvážit přihlašování k routeru pouze z vnitřní sítě, a nikoliv z internetu,“ uvedl již dříve Pavel Matějíček, manažer technické podpory společnosti Eset.

Do konfigurace routerů by se nicméně neměli pouštět méně zkušení uživatelé. Mohou totiž nevhodným nastavením způsobit více škody než užitku. Paradoxně tak mohou klidně otevřít zadní vrátka pro útočníky.

Ransomware útočí každých 10 sekund. Obrana není snadná

17.12.2016 Novinky/Bezpečnost Viry
Útoky vyděračských virů jsou stále častější. Tito nezvaní návštěvníci, často označováni souhrnným názvem ransomware, se snažili dostat do počítačů v domácnostech každých 10 sekund. V porovnání se situací z první poloviny roku tak jde o dvojnásobný nárůst. Vyplývá to z analýzy antivirové společnosti Kaspersky Lab.
Vyděračské viry samozřejmě útočí také na podniky. U nich k útokům dochází každých 40 sekund, ještě zkraje letošního roku byl přitom tento interval dvě minuty.

V posledních 12 měsících přitom přibylo více než šest desítek ransomwarových rodin. Hrozba vyděračských virů je tak v poslední době daleko větší, než by se mohlo na první pohled zdát. Bezpečností experti společnosti Kaspersky Lab proto varují, že škodlivé kódy požadující výkupné jsou jednou z největších hrozeb současnosti.

Na chlup stejné útoky
Útoky vyděračských virů probíhají prakticky vždy na chlup stejně. Nejprve zašifrují záškodníci všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.

Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Poškození nejčastěji pocházejí z Japonska, Chorvatska a Jižní Koreje.
Počet obětí vyděračských virů vzrostl ve třetím kvartálu 2,6krát. To jinými slovy znamená, že za zmiňované tři měsíce se obětí stalo více než 821 tisíc lidí z různých koutů světa.

Poškození nejčastěji pocházejí z Japonska (4,83 %), Chorvatska (3,71 %), Jižní Koreje (3,36 %), Tuniska (3,22 %) a Bulharska (3,2 %). V předchozím kvartále bylo na prvním místě také Japonsko, ale druhé, třetí a čtvrté místo bylo obsazeno Itálií, Džibutskem a Lucemburskem.

Jaké množství z poškozených uživatelů představují Češi, analýza neuvádí.

Nejčastěji se šíří CTB-Locker
Nejvíce počítačoví piráti šíří vyděračský virus zvaný CTB-Locker, který je zodpovědný za téměř třetinu všech uskutečněných útoků (28,34 %). Ten zašifruje data uložená na pevném disku a za jejich odemčení požaduje výkupné v bitcoinech, v přepočtu jde o téměř 50 tisíc korun.

Sluší se připomenout, že výkupné by ale lidé neměli platit, protože nemají žádné záruky, že data budou skutečně zpřístupněna. Z podobných případů, které se objevovaly v minulosti, dokonce vyplývá, že nedochází k odšifrování dat prakticky nikdy. Jediným řešením je počítač odvirovat, což však nemusí být jednoduché.

To platí i pro další dva vyděračské viry, které se umístily v čele žebříčku. Druhý ve třetím čtvrtletí skončil škodlivý kód Locky (9,6 %) a třetí CryptXXX (8,95 %).

Pozor na divné reklamy. Mohou během několika sekund zavirovat i váš Wi-Fi router
15.12.2016 Živě.cz Viry

Máte antivirus na Windows?
Nestahujete divná APK pro Android?
Fajn, ale co váš router? Je stejně dobře zabezpečený?

Netgear se musel v posledních dnech vypořádat se zranitelností několika svých populárních Wi-Fi routerů a rychle vydal alespoň betaverzi firmwarů pro postižené modely.
Routery Netgear obsahují kritickou chybu. Stáhněte si aktualizaci firmwaru
Bezpečnostní kauza připomněla dvě věci:

Útočníci se stále více zajímají o domácí routery, které jsou neustále připojené k internetu a uživatelé jim nevěnují takovou pozornost jako svému počítači a mobilu. Jsou tedy ideálním cílem.

Firmware routerů by se měl proto pokud možno aktualizovat průběžně a automaticky stejně jak to dnes dělají desktopové operační systémy. Hromada domácností přitom používá routery, které vyžadují ruční instalaci firmwaru, a tak jsou často nehorázně děravé.
Útoky na domácí Wi-Fi routery jsou z těchto důvodů poměrně oblíbené a záškodníci si svůj cíl mnohdy pečlivě vybírají. Nezajímají je spravované podnikové Wi-Fi sítě, ale přesně ta drobná wifinka u pana Nováka, který nejspíše nemá ani páru o tom, co že to ten firmware vlastně je.

Krásným příkladem je tento pečlivě zdokumentovaný útok, který dlouhé týdny studovali specialisté ze společnosti Proofpoint. Pojďme se tedy podívat do hlav záškodníků, kteří jej naplánovali krok za krokem.

Jak může vypadat útok na domácí Wi-Fi

Oběť bychom mohli nakazit třeba pomocí takzvaného malvertisingu, při kterém se snaží záškodník na svůj cíl zaútočit skrze podvodnou reklamu. V tomto případě však neútočí na váš mobil, laptop nebo třeba webový prohlížeč, ale právě na váš domácí router, přes který vše protéká, a tak je jeho ovládnutí mnohem lákavější a perspektivnější.

Jak tedy taková nákaza routeru propukne? Na začátku může být zdánlivě nevinný reklamní banner a to nikoliv na pochybné stránce s warezem nebo třeba pornografií, ale na vcelku běžném webu. Záškodník si totiž zakoupí jako každý jiný standardní reklamní prostor.

Vše začne zjištěním lokální IP adresy oběti

Součástí reklamního banneru je nicméně i docela drobný javascriptový kód, který pomocí technologie WebRTC a STUN získá vaši lokální IP adresu. Jak je to možné, je nad rámec tohoto článku, nicméně takové zjištění lokální IP adresy pomocí prostého Javascriptu si můžete vyzkoušet třeba na této stránce.

Je to domácí Wi-Fi? Tak to pokračujeme!

Pokud skript zjistí, že se jedná o typickou adresu malé domácí Wi-Fi sítě, třeba 192.168.1.154, zpozorní. V opačném případě jej přestaneme zajímat a prostě nám naservíruje nějakou relativně standardní reklamu, aniž by vzbudil podezření.

Když by však můj počítač měl onu pro něj lákavou IP adresu, bude se o mě skript dále zajímat a stáhne již záškodnický PNG obrázek. Na první pohled to bude reklama jako každá jiná, ale uvnitř souboru je v oblasti, kde jsou popisné informace, EXIF aj. uložený také HTML kód, který Javascript vyseparuje a zpracuje.

Vypadá to jako běžný reklamní obrázek, v jeho nitru je však v sekci metadat uložený HTML kód, který otevře neviditelný IFRAME a načte v něm další web

Jedná se o neviditelný IFRAME, ve kterém se ze serveru záškodníka načte další javascriptový kód, který opět stáhne drobný obrázek, v jehož útrobách je tentokrát uložený dešifrovací AES klíč. Skript jej opět vyseparuje a použije pro dešifrování dalších dat, která stáhne ze serveru záškodníka.

Tento kód stáhne další obrázek, ve kterém je schovaný dešifrovací AES klíč, který pomocí knihovny CryptoJS použije k dešifrování následných dat

166 Wi-Fi routerů

Jedná se především o databází 166 fingerprintů nejrůznějších modelů domácích routerů. Fingerprintem je v tomto případě nějaký jednoznačný identifikátor daného modelu – třeba drobný kus kódu jeho webové administrace, která je v tomto rozsahu dostupná zpravidla na adrese 192.168.1.1.

Jakmile si útočný skript stáhne a dešifruje fingerprinty, pokusí se spojit s webovou administrací routeru a zkouší jeden za druhým. Pokud by měl router XYZ ve své administraci třeba atypický obrázek netgear1234.gif o velikosti 154×23 pixelů, mohla by přesně tato informace sloužit jako jeho fingerprint.

Databáze fingerprintů 166 routerů

Dejme tomu, že má oběť opravdu špatný den a záškodníkův skript, který stále běží v neviditelném IFRAMU na stránce s jeho reklamou, opravdu identifikuje model routeru ve své databázi. V tom případě útok pokročí do další fáze a skript konečně stáhne malware, který zneužije některé ze zranitelností daného modelu, který, jak už víme, nemá poměrně často aktualizovaný firmware se záplatami.

A teď už jen naservírovat malware

Takový malware může být sám o sobě docela jednoduchý. Může se jednat podobně jako v případě Netgearu o vstup do jeho nitra prostým zadáním speciální URL adresy, která se správnými parametry otevře některé klíčové TCP porty zvenčí a umožní tak záškodníkovi vstup třeba skrze protokol telnetu.

Příklad HTTP POST příkazu na zranitelný router, který obsahuje příkaz ve formátu SOAP pro zpřístupnění vnitřního portu 23 (telnet) na vnějším portu 8780

V tomto konkrétním případě, který zdokumentoval Proofpoint, se útočníci soustředili především na nastavení vlastního DNS serveru na routeru, čehož zneužívají pro zobrazování vlastních bannerů skrze cizí reklamní systémy.

Dejme tomu, že na webu bude reklamní systém, který načítá bannery z adresy http://nejlepsireklamnisystem.cz. Záškodnický DNS server pak tuto doménu nepřeloží na správnou IP adresu, ale na tu svoji, která oběti naservíruje úplně jinou reklamu, anebo do každé stránky vloží Javascript, který se bude pokoušet otevírat nepopulární pop-upy.

Záškodnický DNS server přesměroval doménu na jinou IP adresu a server, který do kýžené stránky vložil kód, který po jakémkoliv kliku na stránce otevře popup

Hotový zlatý důl

A to je celé. Útočník zkompromitoval router oběti jednoduše proto, aby se vám v prohlížeči zobrazovaly jeho reklamy a on na tom všem vydělal. Pokud nebude jeho zásah do kódu, který k vám skrze hrdlo routeru putuje z internetu, příliš agresivní, možná si toho nebohý surfař ani nevšimne a bude jen nadávat na některý ze zcela běžných webů, že na něm opět přibyla hromada bannerů, ačkoliv realita může být trošku jiná.

Ovládnutí domácího Wi-Fi routeru tedy může být hotový zlatý důl, a jelikož je to brána mezi domácí a internetovou sítí, jeho napadením útočník získává kontrolu nad celým tokem dat, aniž by musel tradičními viry infikovat všechny počítače v síti.

Je ironií doby, že zatímco své počítače chráníme antiviry a tvůrci operačních systémů chrlí jednu záplatu za druhou, leckterá domácnost s podobně chráněnými desktopy, laptopy a mobily je k internetu připojená skrze často letitou krabičku, jejíž vlastní operační systém od výroby nikdo neaktualizoval.

Ostatně tuto praxi potvrzuje i můj projekt Wifileaks, pomocí kterého jsme s několika tisíci dobrovolníků zaměřili od roku 2012 bezmála 400 tisíc Wi-Fi sítí se zabezpečením WEP. To je přitom již velmi zastaralé a prolomitelné během několika málo minut. Lze tedy předpokládat, že se jedná právě o staré síťové krabičky – Wi-Fi routery a AP hotspoty, které dodnes slouží a nikomu to nepřipadne zvláštní, přestože již dávno patří do koše.

Nejobávanější viry, které se šíří i na českém internetu

15.12.2016 Novinky/Bezpečnost Viry
Patří mezi největší hrozby. Zároveň se počítačovým pirátům jimi daří pravidelně infikovat velké množství počítačů po celém světě. Na jaké škodlivé kódy by si měli dávat tuzemští uživatelé největší pozor.
Žebříček nezvaných návštěvníků, které obtěžují uživatele v Česku a na Slovensku nejčastěji, sestavila bezpečnostní společnost Check Point.

Conficker
Conficker byl nejrozšířenější hrozbou prakticky po celý rok 2009, pak se po něm slehla na několik měsíců zem. V letošním roce jej ale počítačoví piráti začali opět hojně využívat, díky čemuž se z něj stala nejrozšířenější hrozba, a to v tuzemsku i zahraničí.

Conficker využívá zranitelnost operačního systému Windows. Pro tu už dávno existuje bezpečnostní záplata, ale jak je ze statistik zřejmé, s její instalací si velká část uživatelů hlavu neláme. Na konci dubna se dokonce ukázalo, že se tento nebezpečný červ uhnízdil v počítačích v bavorské jaderné elektrárně Gundremmingen.

Autoři Confickera vybudovali po celém světě velkou síť infikovaných PC, využitelných na libovolnou úlohu, poněvadž počítače mohou díky viru ovládat na dálku. Na jeho řízení použili autoři červa inovativní způsob. Každý den se vygenerují nové náhodné domény, kam se vir hlásí a žádá instrukce.

Cryptowall
Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil již v roce 2014.

HackerDefender
HackerDefender je primárně určen pro operační systémy Windows 2000 a XP. Útočit nicméně může také na novějších platformách od Microsoftu. Jde o nezvaného návštěvníka, který upravuje různé funkce v operačním systému, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat. S jeho pomocí mohou útočníci maskovat další škodlivé kódy

Locky
Locky patří aktuálně k nejrozšířenějším vyděračským virům na světě. Kybernetičtí zločinci jej navíc transformovali do nové formy, ta je přitom přinejmenším stejně nebezpečná jako samotný Locky. Nová hrozba je stejně jako předchůdce šířena nejčastěji e-mailovými zprávami s přiloženým infikovaným excelovým dokumentem.

„Locky byl v minulých dnech objeven v nové formě. Nová varianta dostala jméno Osiris podle koncovek zašifrovaných souborů,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Samotný útok tedy probíhá úplně stejně, jako tomu bylo dříve u Lockyho. Sluší se připomenout, že tento vyděračský virus počítačoví piráti začali v minulých týdnech šířit nejen prostřednictvím e-mailů, ale také skrze falešné fotky na sociálních sítích.

Ani u jednoho ze zmiňovaných vyděračských virů se po úspěšném útoku lidé ke svým datům již nedostanou.

Zeus
Zeus je široce rozšířený trojan zaměřený na Windows a nejčastěji je používá ke krádežím bankovních přihlašovacích údajů. Je-li stroj infikován, malware posílá informace, například přihlašovací údaje k účtu. Trojan je také používán k distribuci vyděračských virů.

Zeus byl poprvé identifikován v červenci 2007, kdy byl použit ke krádeži informací z United States Department of Transportation. V průběhu několika dalších let malware infikoval stovky tisíc strojů a stal se jedním z největších světových botnetů. Malware byl distribuován především prostřednictvím e-mailů.

Tinba
Na pozoru by se měli mít uživatelé také před škodlivým kódem zvaným Tinba. Tento bankovní trojský kůň se zaměřuje především na evropské zákazníky bank. Krade přihlašovací údaje oběti – jakmile se uživatel pokusí připojit ke svému účtu na jedné z internetových stránek vytipované banky. Následně zobrazí falešné webové stránky na obrazovce zprávu, která uživatele žádá, aby vyplnil své osobní údaje.

Tinba je známý od roku 2012 a cíle jsou většinou v Evropě, zejména v Polsku a Itálii. Nicméně stroje infikované Tinbou byly detekovány po celém světě.

Cryptoload
Cryptoload je obecný název pro skripty vytvořené ke stahování malwaru (především vyděračských virů) a obvykle jsou poslané jako archívy v příloze spamových kampaní. Skripty byly použity ke stažení například ransomwarů Cryptowall, TeslaCrypt a Locky.

CTB-Locker
Jedním z dalších zástupců vyděračských virů, před kterým by se měli mít uživatelé na pozoru, je CTB-Locker. Ten se zaměřuje na platformu Windows. Zašifruje všechna uživatelská data a za dešifrování požaduje platbu.

Malware se obvykle šíří jako spam s nebezpečnou přílohou ZIP nebo CAB. Malware je s největší pravděpodobností vyvíjen a distribuován ruskými kyberzločinci a je prodáván většinou také ruským subjektům. Jako označení se používají i další názvy, například Critroni nebo Onion.

RookieUA
RookieUA je určen ke krádežím informací. Získává informace o uživatelských účtech, jako jsou přihlašovací jména a hesla, a odesílá je na vzdálený server.

Radost byla předčasná, vyděračský virus CrySis je opět na scéně

13.12.2016 Novinky/Bezpečnost Viry
Na konci listopadu se bezpečnostní experti antivirové společnosti Kaspersky Lab pochlubili, že vyzráli na vyděračský virus zvaný CrySis. Radost však byla tak trochu předčasná, neboť počítačoví piráti tento škodlivý kód začali během pár týdnů distribuovat v upravené verzi. A na tu jsou zatím všechna bezpečnostní řešení krátká.

CrySis využívali kyberzločinci k uzamykání cizích počítačů několik posledních měsíců. Na konci listopadu však výzkumníci získali dešifrovací klíče, s jejichž pomocí byli schopni zamčená data opět zpřístupnit.

Tento záškodník z rodiny ransomware – jak jsou souhrnně označovány vyděračské viry – se však zakrátko objevil v nové verzi. Ta je prakticky na chlup stejná jako ta předchozí, ale využívá jiný šifrovací algoritmus.

To jinými slovy znamená, že po infiltraci viru CrySis už nemohou lidé bezplatně svá data pomocí nástroje společnosti Kaspersky Lab zpřístupnit. Respektive odšifrovat je možné data pouze na takových počítačích, které byly napadeny ještě starší verzí tohoto ransomwaru.

Scénář útoku jako přes kopírák
Útok nové verze škodlivého kódu CrySis probíhá podle stejného scénáře jako u dalších vyděračských virů. Nejprve tedy tento záškodník zašifruje všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení výkupného. Ani pak se nicméně uživatelé ke svým datům nemusejí dostat.

Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Stovky různých verzí
Sluší se nicméně podotknout, že škodlivé kódy z rodiny ransomware představují pro uživatele stále velké riziko. Různě upravených verzí totiž existují podle nejstřízlivějších odhadů desítky, spíše však stovky. A kyberzločinci se je snaží nasazovat při drtivé většině útoků.

V září například velkou hrozbu představoval vyděračský virus DetoxCrypto, který nebylo na první pohled snadné rozeznat. Maskoval se totiž za antivirové řešení od společnosti Malwarebytes. Uživatelé si tak často mysleli, že instalují program na ochranu svého počítače, ve skutečnosti na pevný disk vypustili nezvaného návštěvníka.

Vyděračský ransomware letos vydělá svým tvůrcům miliardu dolarů, odhaduje FBI

13.12.2016 Novinky/Bezpečnost Viry
Nejzákeřnější způsob kybernetického útoku šifruje soubory v napadeném zařízení a poté požaduje po oběti zaplacení výkupného. Ne vždy to ale vede k odšifrování dat, varuje americká FBI.
Škodlivé kampaně takzvaného ransomwaru letos nebývale nabývají na intenzitě. Útočníci se nezaměřují pouze na jednotlivé uživatele internetu, ale stále více i na firmy a veřejné instituce. Ve Spojených státech jsou velmi oblíbeným terčem zdravotnická zařízení, která se neobejdou bez dat o pacientech.

Hollywoodská Presbyteriánská nemocnice takto musela nedávno zaplatit 17 tisíc dolarů (přibližně 420 tisíc korun) ve virtuální měně BitCoin, jinak by přišla o veškerou zdravotnickou dokumentaci. Americký federální úřad pro vyšetřování (FBI) odhaduje, že tvůrci ransomwaru si takto letos celkově přijdou až na miliardu dolarů (25 miliard korun).

„Poté, co si zločinci ověřili ziskovost ransomwarových kampaní u individuálních uživatelů internetu, stále častěji pronikají do firemního segmentu a hledají v něm co nejzranitelnější oběti,“ říká Miroslav Dvořák, technický ředitel antivirové společnosti ESET.

Zaplacení výkupného přitom nemusí vést k odšifrování napadených počítačů. Někteří útočníci poté opakovaně požadují další částky. Americká FBI proto obětem těchto škodlivých kampaní radí výkupné neplatit. „Existuje sice vysoká pravděpodobnost, že takto o data definitivně přijdou, ale pokud je mají správně zálohovaná, škoda by zase nemusela být tak drastická,“ říká Dvořák.

Pozor na škodlivé přílohy e-mailu
Důležité je, aby externí disky, na které firma nebo jednotlivec zálohuje data, nebyly trvale připojeny k počítačové síti. V takovém případě by totiž ransomware zašifroval i zálohy. Někdy však mají napadené společnosti více štěstí než rozumu.

Pokud hackerské skupiny, které využívají k trestné činnosti ransomware, ukončí svoji činnost nebo přestanou využívat některé druhy ransomwaru, poměrně často zveřejní na některém z veřejných internetových fór přístupové klíče, které umožní zašifrované počítače a soubory odblokovat. Tak se to stalo například v případu ransomware Crysis letos v listopadu nebo nechvalně proslulého TeslaCrypt koncem letošního května.

V obou případech připravila společnost ESET jednoduchý nástroj pro dešifrování dat napadených ransomwarem, který bylo možné zdarma stáhnout z jejích internetových stránek. „Ransomware stále zůstává významnou hrozbou na internetu, na kterou nejlépe platí prevence. Kromě pravidelné aktualizace operačního systému a instalovaného softwaru a kvalitního bezpečnostního řešení doporučujeme také pravidelné zálohovat všechna důležitá a cenná data na zabezpečená off-line úložiště,“ zdůrazňuje Miroslav Dvořák.

Uživatelé by měli věnovat zvýšenou pozornost při otevírání nevyžádaných e-mailových zpráv či příloh, kterými se ransomware nejčastěji šíří.

Nejrozšířenějším škodlivým kódem v Česku je virus Danger

12.12.2016 Novinky/Bezpečnost Viry
Již několik měsíců za sebou je nejrozšířenějším virem v Česku Danger. Jinak tomu nebylo ani v listopadu, kdy měl tento škodlivý kód na svědomí každý druhý útok v tuzemských počítačových sítích. Vyplývá to ze statistik antivirové společnosti Eset.
Danger – plným jménem JS/Danger.ScriptAttachment – je jednou z nejrozšířenějších hrozeb prakticky po celý letošní rok. Zarážející je především jeho dramatický nárůst v posledních měsících. Aktuálně je totiž zodpovědný za 54,91 % útoků. Ještě v říjnu to přitom bylo o dvacet procentních bodů méně.

„Nárůst počtu případů JS/Danger.ScriptAttachment je opravdu mimořádný. Tento malware je zákeřný v tom, že nemusí být nebezpečný sám o sobě, ale do napadeného zařízení stahuje další škodlivé kódy,“ uvedl Miroslav Dvořák, technický ředitel společnosti Eset.

Vyděračské viry na scéně
Nejčastěji touto cestou kyberzločinci šíří vyděračské viry z rodiny ransomware. Tyto škodlivé kódy začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.

Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

Všechny další hrozby, kterým patřily přední příčky žebříčku nejrozšířenějších virových hrozeb, mají přitom ve srovnání s Dangerem naprosto zanedbatelný podíl. Na druhé příčce se umístil trojský kůň FakejQuerys s podílem 2,56 procenta detekcí.

Šíří se před nevyžádané e-maily
Třetí příčka pak patří viru Nemucod, který byl přitom ještě v říjnu na druhém místě. Tehdy stál za každou osmou detekcí (podíl 12,32 procenta), v listopadu jeho podíl klesl o 10 procentních bodů na 2,04 procenta.

Nemucod se stejně jako Danger nejčastěji šíří prostřednictvím nevyžádaných e-mailů. Také s pomocí tohoto viru mohou počítačoví piráti do napadeného stroje stahovat další škodlivé kódy.

Seznam deseti nejrozšířenějších hrozeb za měsíc listopad naleznete v tabulce níže:

Deset nejrozšířenějších počítačových hrozeb – listopad 2016
1. JS/Danger.ScriptAttachment (54,91 %)
2. JS/TrojanDownloader.FakejQuery (2,56%)
3. Java/Adwind (2,28 %)
4. JS/TrojanDownloader.Nemucod (2,04 %)
5. JS/Kryptik.RE (1,76 %)
6. JS/ProxyChanger (1,38 %)
7. Win32/Exploit.CVE-2014-1761 (1,33 %)
8. Win32/Injector.DHND (1,04 %)
9. JS/TrojanDownloader.Iframe (0,88 %)
10. PDF/Fraud (0,88 %)

Test charakteru: Nový ransomware vám dá na výběr. Buď zaplatíte, nebo musíte nakazit další nešťastníky
12.12.2016 Živě.cz Viry
Představte si tu situaci. Nechtělo se vám platit za vypůjčení filmu skrze některou z webových služeb, a tak jste si stáhli jeden z mnoha klonů pirátského Popcorn Time. Jenže ouha, namísto katalogu posledních trháků se zobrazila hláška, která vás vyzvala k zaplacení 1 BTC, jinak byste přišli o všechna osobní data na počítači. Právě jste totiž nainstalovali jeden z mnoha ransomwarů.

Zobrazit obrázek na TwitteruZobrazit obrázek na TwitteruZobrazit obrázek na TwitteruZobrazit obrázek na Twitteru
Sledovat
MalwareHunterTeam @malwrhunterteam
Next ransomware on the table: Popcorn Time.
Not yet finished.
4th screenshot, "Why we do that?" part. Okay...@BleepinComputer @demonslay335
21:23, 7. pro. 2016
77 77 retweetů 50 50lajků
Tento se však podle skupiny MalwareHunterTeam přeci jen poněkud liší, svým obětem totiž dává ještě jednu možnost, jak se vyhnout platbě a získat dešifrovací klíč. V zoufalství se mohou pokusit nakazit alespoň dvě další osoby pomocí osobního URL. Pokud tyto dvě osoby pak skutečně zaplatí, získáte i svůj dešifrovací klíč. Jedná se tedy o zvrácenou formu provizního (affiliate) systému přeneseného do světa malwaru.

Pokud nechcete platit 1 BTC, máte ještě jednu možnost, jak získat dešifrovací klíč – nakazit další. Viz označený odstavec.

Autoři ransomwaru se dokonce snaží obhájit, proč vlastně škodí. Údajně se jedná o chudé studenty z válkou postižené Sýrie a tímto způsobem si chtějí vydělat v nelehké době na živobytí.

Přílohy v e-mailu – momentálně dominantní bezpečnostní hrozba v Česku

9.12.2016 SecurityWorld Viry
Podíl škodlivého kódu Danger v tuzemsku stoupl oproti říjnu takřka o dvacet procentních bodů – nově tak stojí za každou druhou kybernetickou hrozbou.

Více než polovinu všech počítačových hrozeb v České republice v listopadu představoval podle zjištění Esetu škodlivý kód Danger, který se šíří prostřednictvím příloh e-mailů.

Danger je nejčetnější kybernetickou hrozbou v tuzemsku po většinu letošního roku, v listopadu však dosáhl jeho podíl na celkových IT hrozbách výjimečné hodnoty 54,91 procenta. To je takřka o 20 procentních bodů více než v říjnu.

„Nárůst počtu případů JS/Danger.ScriptAttachment je opravdu mimořádný. Tento malware je zákeřný v tom, že nemusí být nebezpečný sám o sobě, ale do napadeného zařízení stahuje další škodlivé kódy včetně ransomwaru, který dokáže zašifrovat data a požadují po uživateli výkupné,“ říká Miroslav Dvořák, technický ředitel Esetu.

Všechny další hrozby zaznamenané v listopadu vykázaly ve srovnání s Danger zanedbatelných podílů – druhý nejčetnější malware, trojan FakejQuery, představoval jen 2,56 procenta detekcí.

Výrazný pokles četnosti v listopadu zaznamenal downloader Nemucod. Zatímco v říjnu stál za každou osmou detekcí (podíl 12,32 procenta), v listopadu jeho podíl klesl o 10 procentních bodů na 2,04 procenta. Aktuálně jde o čtvrtou nejčetnější kybernetickou hrozbu v Česku po malware Danger, FakejQuery a Java/Adwind.

Top 10 hrozeb v České republice za listopad 2016

1. JS/Danger.ScriptAttachment (54,91 %)

2. JS/TrojanDownloader.FakejQuery (2,56%)

3. Java/Adwind (2,28 %)

4. JS/TrojanDownloader.Nemucod (2,04 %)

5. JS/Kryptik.RE (1,76 %)

6. JS/ProxyChanger (1,38 %)

7. Win32/Exploit.CVE-2014-1761 (1,33 %)

8. Win32/Injector.DHND (1,04 %)

9. JS/TrojanDownloader.Iframe (0,88 %)

10. PDF/Fraud (0,88 %)

Nebezpečný Locky se transformoval. Nový virus připraví uživatele o data

8.12.2016 Novinky/Bezpečnost Viry
Locky patří aktuálně k nejrozšířenějším vyděračským virům na světě. Kybernetičtí zločinci jej navíc transformovali do nové formy, ta je přitom přinejmenším stejně nebezpečná jako samotný Locky. Upozornil na to Národní bezpečnostní tým CSIRT.CZ.

K uzamčeným datům se bez hesla uživatelé nedostanou.
Jak útočí vyděračské viry

Na napadeném stroji dokážou vyděračské viry udělat pěkný nepořádek. Nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
Dnes 16:01
„Locky, byl v minulých dnech objeven v nové formě. Nová varianta dostala jméno Osiris podle koncovek zašifrovaných souborů,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Oba škodlivé kódy mají přitom stejný rodokmen – patří do skupiny vyděračských virů, které se souhrnně označují jako ransomware.

Nová hrozba je stejně jako předchůdce šířena nejčastěji e-mailovými zprávami s přiloženým infikovaným Excel dokumentem.

„Po spuštění souboru je uživatel vyzván k povolení maker. Spuštěné makro pak následně spustí systémový proces Rundll32.exe s načtenou infikovanou dll knihovnou obsahující Osiris. Při nákaze dochází k zašifrování dokumentů, fotek a dalších obvyklých typů uživatelských dat,“ vysvětlil technickou stránku věci Bašta.

Dešifrovací algoritmus není znám
Samotný útok tedy probíhá úplně stejně, jako tomu bylo dříve u Lockyho. Sluší se připomenout, že tento vyděračský virus počítačoví piráti začali v minulých týdnech šířit nejen prostřednictvím e-mailů, ale také skrze falešné fotky na sociálních sítích.

Ani u jednoho ze zmiňovaných vyděračských virů se po úspěšném útoku lidé ke svým datům již nedostanou. „K odstranění nákazy již existují doporučené postupy, ale dešifrovací algoritmus zaručující obnovu dat zatím není znám,“ uzavřel Bašta.

Stegano děsí bezpečnostní experty. Zákeřný záškodník číhá v reklamách

8.12.2016 Novinky/Bezpečnost Viry
Před zákeřným záškodníkem zvaným Stegano varovali bezpečnostní experti společnosti Eset. Tento škodlivý kód číhá v reklamních bannerech na internetových stránkách, uživatel si tedy nezvaného návštěvníka pustí do svého stroje už jen tím, že daný web navštíví.
„Stegano je zákeřný v tom, že k nákaze počítače může postačit, aby uživatel navštívil webovou stránku, kde se vyskytuje škodlivá reklama. Nemusí dojít k žádné interakci, kliknutí na banner nebo k aktivnímu stahování obsahu,“ prohlásil Miroslav Dvořák, technický ředitel společnosti Eset.

Podle něj se přitom podobné bannery obsahující nezvaného návštěvníka neobjevovaly pouze na malých webech, ale i na velkých renomovaných serverech. Údajně šlo i o známé zpravodajské stránky. O jaké konkrétní weby šlo, však bezpečnostní experti neprozradili.

Detekční systémy zmiňované antivirové společnosti nicméně odhalily, že škodlivý virus se podle nejstřízlivějších odhadů zobrazil více než miliónu uživatelů.

Chyba Internet Exploreru
Stegano využívá k infiltraci do počítače zranitelnost webového prohlížeče Internet Explorer a zároveň i trhliny, kterou obsahuje oblíbený Flash Player od společnosti Adobe. Tento přehrávač videí na internetu používají po celém světě desítky miliónů lidí.

Nový záškodník jim pak dovoluje do napadeného stroje stahovat další škodlivé kódy. „Jsou mezi nimi bankovní trojany, tzv. backdoory nebo spyware,“ varoval Dvořák.

Kyberzločinci tak mohou na napadený stroj snadno nasadit špionážní software, případně celou sestavu ovládat na dálku.

Důležité jsou aktualizace
„Útočníkům se podařilo obejít opatření, která mají odhalit a blokovat škodlivý obsah v online reklamních systémech, čímž ohrozili milióny čtenářů populárních zpravodajských webů. Škodlivé verze reklamy se navíc zobrazují pouze určité skupině uživatelů se zranitelnou konfigurací systému,“ doplnil Dvořák.

Z řádků výše je patrné, že virus Stegano představoval – a v podstatě stále ještě představuje – hrozbu pouze pro uživatele, kteří nemají staženy nejnovější verze Internet Exploreru a Flash Playeru. Tvůrci obou programů totiž již dříve zmiňované chyby opravili.

Infikované hlasovací přístroje? Rusko se podle expertů snažilo ovlivnit americké volby

1.12.2016 Novinky/Bezpečnost Viry
Ruská vláda během kampaně před americkými prezidentskými volbami nejen prováděla hackerské útoky, po kterých zveřejňovala citlivé dokumenty s cílem zamíchat s jejich výsledkem, ale využívala také sociální média jako zbraň k ovlivnění pohledu na hlasování. Podle agentury Bloomberg to tvrdí americká společnost FireEye, která se zaměřuje na kybernetickou bezpečnost. Ruští představitelé zásah do amerických voleb opakovaně odmítají.
Analytici FireEye prověřili tisícovky dokumentů, internetových příspěvků a odkazů a dospěli k závěru, že materiál ukradený z amerických sítí ruskými tajnými službami byl na internetu masivně propagován. Využívány k tomu byly i falešné webové účty či odkazování na smyšlené a zavádějící informace. Vše prý navíc neslo podobné stopy dřívějších kybernetických aktivit Ruska proti Gruzii, Ukrajině či Estonsku.

„Vzestup Ruska jako kybernetické mocnosti se dostal na úplně jinou úroveň, než tomu bylo kdy dříve," řekl šéf firmy David DeWalt. „Zažili jsme něco, co je podle mě v dějinách americké demokracie, pokud jde o kampaň Ruska, možná tou největší historickou událostí," dodal. Operaci Moskvy označil za zcela novou a agresivní eskalaci situace v kybernetickém prostředí.

Těsnost listopadových voleb, ve kterých zvítězil republikán Donald Trump, upřela pozornost na šíření falešných zpráv a přiměla kandidátku Strany zelených Jill Steinovou požádat o přepočet hlasů v klíčových státech, kde prohrála demokratka Hillary Clintonová. Trump na takový krok reagoval twitterovým prohlášením, že pro demokratku hlasovaly nelegálně milióny lidí. Žádné důkazy pro své tvrzení ale neposkytl.

Infikované hlasovací přístroje?
Počítačový odborník pracující pro Steinovou Alex Halderman se domnívá, že hackeři mohli ve státě Pensylvánie infikovat hlasovací přístroje škodlivým softwarem. Ten mohl být navržen tak, aby po celé týdny zůstal nečinný, aktivoval se až 8. listopadu v den voleb a poté se bez zanechání stop sám vymazal.
FireEye však Haldermanovu obavu nesdílí.

Podle společnosti se nenašel žádný důkaz, který by ukázal na proniknutí do hlasovacích systémů. Tento názor zastávají i představitelé amerických bezpečnostních úřadů. „Nezjistili jsme nic, co bych charakterizoval jako významné," prohlásil ministr vnitřní bezpečnosti Jeh Johnson. „Tu a tam byly menší incidenty, které se dají očekávat, ale nic vážného," dodal.

Vláda Spojených států před volbami otevřeně obvinila Rusko, že jeho hackeři napadli servery Demokratické strany a že se snaží volby ovlivnit. Moskva se proti nařčením ohradila a vměšování odmítl i ruský prezident Vladimir Putin.

Nebezpečný virus napadl milión zařízení. Každý den infikuje tisíce dalších

30.11.2016 Novinky/Bezpečnost Viry
Na masivní narušení bezpečnosti uživatelů, kteří používají přístroje s operačním systémem Android, upozornili ve středu bezpečnostní experti ze společnosti Check Point. Více než milión napadených strojů má na svědomí nezvaný návštěvník zvaný Goolian. Prostřednictvím něj navíc kyberzločinci každý den infikují tisíce dalších přístrojů.
Goolian se šíří internetem bez nadsázky jako lavina. Jde o velmi nebezpečný virus, protože díky němu mohou kyberzločinci rootovat zařízení s Androidem. To jinými slovy znamená, že chytré telefony a tablety mohou ovládat na dálku úplně stejně, jako kdyby je měli zrovna v ruce.

Na napadeném zařízení pak tento zákeřný virus krade e-mailové adresy a uložené ověřovací tokeny. S těmito informacemi mohou útočníci získat přístup k citlivým uživatelským datům z různých služeb Googlu – z Gmailu, Fotek Google, Dokumentů Google, Google Play i z G Suite.

Cílí na mobilní zařízení
Přesně takovýmto způsobem se podařilo útočníkům získat důvěrné informace o statisících účtů. „Tato krádež informací o více než miliónu účtů Google nemá obdoby a je to další etapa kybernetických útoků,“ řekl Daniel Šafář, zástupce společnosti Check Point pro Českou republiku.

Ten zároveň upozornil, že nově objevená virová kampaň, ve které hraje Goolian hlavní roli, jasně ukazuje trendy mezi počítačovými piráty. „Vidíme posun ve strategii hackerů, kteří nyní cílí na mobilní zařízení a snaží se z nich dostat citlivé informace,“ prohlásil Šafář.

Podle něj jsou kyberzločinci v šíření tohoto nezvaného návštěvníka navíc velmi úspěšní. Každý den totiž tento malware infikuje na 13 000 zařízení. Cílí přitom na Android ve verzích 4 a 5, které jsou aktuálně nejrozšířenější.

Inkasují peníze z nainstalovaných aplikací
„Jakmile útočníci získají kontrolu nad zařízením, generují tržby podvodným instalováním aplikací z Google Play a hodnotí je jménem obětí. Každý den Gooligan instaluje na kompromitovaných zařízeních minimálně 30 000 aplikací, což je více než 2 milióny aplikací od začátku kampaně,“ konstatoval Šafář.

Bezpečnostní experti Check Pointu již na novou malwarovou kampaň upozornili bezpečnostní tým společnosti Google. Ten již dotčené uživatele kontaktoval a upozornil je na to, že mohl být jejich účet kompromitován.

Zároveň pracovníci Googlu odstranili aplikace spojené s touto virovou nákazou z oficiálního obchodu Google Play. I prostřednictvím něj se totiž mohli uživatelé nakazit.

Další vyděračský virus podlehl bezpečnostním expertům. Zpřístupnit data je možné zdarma

28.11.2016 Novinky/Bezpečnost Viry
Bezpečnostním expertům se podařilo vyzrát na další vyděračský virus za posledních několik týdnů. Prakticky žádnou hrozbu díky tomu aktuálně už nepředstavuje záškodník zvaný TeleCrypt. Upozornil na to Národní bezpečnostní tým CSIRT.CZ.
„Bylo prolomeno šifrování použité v ransomwaru TeleCrypt, který pro komunikaci se svým řídícím serverem využívá službu Telegram,“ konstatoval Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

Ten zároveň poradil, jak mohou lidé poznat, že jejich stroj infikoval právě tento vyděračský virus. „Tento ransomware lze obvykle rozeznat dle přípony zašifrovaných souborů změněné na .Xcri. Nicméně se již objevily varianty, které změnu přípony neprovedou,“ podotkl Bašta.

Vyzrát na ransomware TeleCrypt se podařilo expertům z bezpečnostní společnosti Malwarebytes Labs. Ti zároveň zpřístupnili nástroj, pomocí kterého je možné zašifrovaná data odemknout i bez placení výkupného. Stahovat jej je možné zdarma zde, k dispozici je však pouze v angličtině.

Podlehly i další viry
V poslední době jde už o několikátý úspěch ochránců kybernetické bezpečnosti. Minulý týden například výzkumníci Kaspersky Lab vytvořili nástroj, prostřednictvím kterého mohou lidé zpřístupnit data zašifrovaná vyděračským virem CrySis.

Způsob útoku nezvaných návštěvníků TeleCrypt i Crysis je úplně stejný. Nejprve záškodník zašifruje všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení výkupného. Ani pak se nicméně uživatelé ke svým datům nemusejí dostat.

Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné. V případě vyděračských virů TeslaCrypt, TeleCrypt, Crysis či například Polyglot to však již neplatí.

ImageGate: nová metoda šíření malwaru prostřednictvím obrázků

26.11.2016 SecurityWorld Viry
Check Point Software Technologies identifikoval nový vektor útoků pojmenovaný ImageGate, který vloží malware do obrázků a grafických souborů. Navíc výzkumníci odhalili způsob, jak hackeři šíří škodlivý kód pomocí těchto obrázků na sociálních sítích, jako jsou Facebook a LinkedIn.

Podle výzkumu útočníci vytvořili novou techniku, jak vložit škodlivý kód do obrazového souboru a úspěšně jej nahrát na webové stránky sociálních sítí. Útočníci zneužívají nesprávné konfigurace v infrastruktuře sociálních médií, aby přinutili oběti ke stažení obrazového souboru. A jakmile koncový uživatel klikne na stažený soubor, tak dojde k infikování zařízení.

Celý bezpečnostní průmysl v posledních čtyřech dnech pozorně sleduje masivní šíření ransomwaru Locky prostřednictvím sociálních sítí a zejména prostřednictvím facebookové kampaně. Check Point věří, že nová technika ImageGate odhaluje, jak byla tato kampaň vůbec možná, což byla doposud nezodpovězená otázka.

Výzkumníci společnosti Check Point odhalili útok, který ovlivňuje hlavní internetové stránky a sociální sítě po celém světě, včetně Facebooku a LinkedInu. Check Point o útoku informoval Facebook a LinkedIn na začátku září.

Jakmile v případě ransomwaru Locky uživatel stáhne a otevře škodlivý soubor, všechny soubory na jeho osobním zařízení se automaticky zašifrují a přístup k nim lze znovu získat pouze zaplacením výkupného. Podle odhadů je útočná kampaň stále v plném proudu a každý den přibývají nové a nové oběti.

„Stále více lidí tráví čas na sociálních sítích, proto se hackeři pokouší najít cestu právě do těchto platforem,“ říká Oded Vanunu, vedoucí výzkumu produktových zranitelností, Check Point. „Kyberzločinci si dobře uvědomují, že tyto stránky jsou obvykle povolené, takže se snaží najít nové techniky, jak využít sociální média pro škodlivé aktivity. Výzkumníci společnosti Check Point se snaží zjistit, kde útočníci udeří příště, aby ochránili uživatele před nejpokročilejšími hrozbami.“

Jak se chránit:

Check Point doporučuje následující preventivní opatření:

Pokud jste klikli na obrázek a váš prohlížeč začal stahovat soubor, neotvírejte jej. Jakékoliv webové stránky sociálních sítí by měly zobrazit obrázek bez stažení jakéhokoli souboru.
Neotvírejte žádný obrázkový soubor s neobvyklou příponou (jako jsou SVG, JS nebo HTA).

Nebezpečný virus se maskuje za fotku na Facebooku. Šíří se i v Česku

22.11.2016 Novinky/Bezpečnost Viry
Na pozoru by se měli mít čeští a slovenští uživatelé sociální sítě Facebook. Prostřednictvím ní, respektive skrze chatovací aplikaci Messenger, se začal šířit nebezpečný virus. Jde o nechvalně známého záškodníka Lockyho, který patří do kategorie tzv. vyděračských virů. Před hrozbou varovala antivirová společnost Eset.
Nezvaný návštěvník se maskuje za fotografii. „Ve skutečnosti jde o vektorový grafický soubor, který uživatele po otevření v prohlížeči Google Chrome přesměruje na stránku připomínající YouTube,“ varoval Pavel Matějíček, manažer technické podpory společnosti Eset.

„Na ní ho vyzve, aby si kvůli přehrání videa nainstaloval rozšíření pro tento prohlížeč. Do jeho zařízení se následně nainstaluje škodlivý kód Nemucod, jehož dalším úkolem je stáhnout do infikovaného počítače ransomware Locky,” konstatoval Matějíček.

Patří mezi nejrozšířenější hrozby
Lockyho nasazují počítačoví piráti do oběhu stále častěji. V září se dokonce dostal podle bezpečnostní společnosti Check Point jako první vyděračský virus do Top 3 nejrozšířenějších malwarových rodin, byl zodpovědný za šest procent všech detekovaných útoků po celém světě. [celá zpráva]

V případě Lockyho kyberzločinci infikují systém e-mailem s wordovou přílohou, která obsahuje škodlivé makro. Jakmile uživatel soubor otevře, makro spustí skript, který stáhne spustitelný škodlivý soubor, nainstaluje se na počítač oběti a vyhledává soubory, které šifruje. Uživatel potom ani neví, že útok začal právě kliknutím na e-mailovou přílohu.

Kyberzločinci se pak zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.

Výkupné neplatit
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Z řádků výše je patrné, proč je Locky tak nechvalně proslulý. „Jeho oběťmi nejsou jen běžní uživatelé, ale i firmy,“ konstatoval Matějíček.

Ten zároveň poukázal na to, že se proti tomuto záškodníkovi snaží bojovat i samotný Google, za jehož produkty se vyděračský virus vydává patrně nejčastěji. „Aktuálně společnost Google zablokovala všechna škodlivá rozšíření, která pro svoje šíření tato kampaň využívala. Je však možné, že útočníci brzy vytvoří nové varianty, kterými dokáží tento nebo jiný škodlivý kód šířit i přes sociální sítě,“ doplnil Matějíček.

CrySis už nestraší. Bezpečnostní experti vyzráli na další vyděračský virus

21.11.2016 Novinky/Bezpečnost Viry
S dalším vyděračským virem zatočili bezpečnostní experti ze společnosti Kaspersky Lab. Tentokrát se jim podařilo vyzrát na škodlivý kód zvaný CrySis, který dokázal napadené stroje uzamknout a za odemčení požadoval výkupné. Upozornil na to server Security Affairs.
Výzkumníci využili toho, že se na webu objevily dešifrovací klíče ke zmiňovanému záškodníkovi z rodiny ransomware – tak jsou souhrnně označovány všechny vyděračské viry.

Implementovali je proto do nástroje zvaného Rakhni decryptor, prostřednictvím kterého nyní mohou lidé uzamčené počítače odemknout a zablokovaná data opět zpřístupnit. Nástroj je možné stahovat zdarma na stránkách tvůrců, k dispozici je však pouze v anglické mutaci.

Scénář útoku jako přes kopírák
Útok nezvaného návštěvníka CrySis probíhá podle stejného scénáře jako u dalších vyděračských virů. Nejprve tedy tento záškodník zašifruje všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení výkupného. Ani pak se nicméně uživatelé ke svým datům nemusejí dostat.

Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné. V případě CrySisu to však již neplatí. Podobně bezpečnostní experti již dříve vyzráli na škodlivý kód zvaný Polyglot.

Ve hře jsou miliardy
Sluší se nicméně podotknout, že škodlivé kódy z rodiny ransomware představují pro uživatele stále velké riziko. Různě upravených verzí totiž existují podle nejstřízlivějších odhadů desítky, spíše však stovky. A kyberzločinci se je snaží nasazovat při drtivé většině útoků.

Tak velké popularitě se vyděračské viry těší především proto, že jsou pro piráty velmi výhodným byznysem. Podle odhadů amerického Federálního úřadu pro vyšetřování (FBI) jeden konkrétní škodlivý virus vydělal počítačovým pirátům miliardy.

Počítačoví piráti si měli přijít na velké peníze díky škodlivému kódu zvanému TeslaCrypt. Jen za první čtvrtletí letošního roku jim tento nezvaný návštěvník vydělal podle odhadů FBI více než 200 miliónů dolarů, tedy v přepočtu bezmála pět miliard korun.

Ransomware nepřestává strašit, počet obětí vyděračských virů roste

8.11.2016 Novinky/Bezpečnost Viry
Vyděračské viry pojmenované souhrnným označením ransomware představují pro uživatele stále větší riziko. Ve třetím čtvrtletí letošního roku se počet obětí těchto škodlivých kódů dokonce výrazně zvýšil. Vyplývá to z analýzy antivirové společnosti Kaspersky Lab.
Jak probíhá útok vyděračského viru?

Útoky vyděračských virů probíhají prakticky vždy na chlup stejně. Nejprve zašifrují záškodníci všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
Počet obětí vyděračských virů vzrostl ve třetím kvartálu 2,6krát. To jinými slovy znamená, že za zmiňované tři měsíce se obětí stalo více než 821 tisíc lidí z různých koutů světa.

Poškození nejčastěji pocházejí z Japonska (4,83 %), Chorvatska (3,71 %), Jižní Koreje (3,36 %) Tuniska (3,22 %) a Bulharska (3,2 %). V předchozím kvartále bylo na prvním místě také Japonsko, ale druhé, třetí a čtvrté místo bylo obsazeno Itálií, Džibutskem a Lucemburskem.

Jaké množství z poškozených uživatelů představují Češi, analýza neuvádí.

Nejčastěji se šíří CTB-Locker
Nejvíce počítačoví piráti šíří vyděračský virus zvaný CTB-Locker, který je zodpovědný za téměř třetinu všech uskutečněných útoků (28,34 %). Ten zašifruje data uložená na pevném disku a za jejich odemčení požaduje výkupné v bitcoinech, v přepočtu jde o téměř 50 tisíc korun.

Sluší se připomenout, že výkupné by ale lidé neměli platit, protože nemají žádné záruky, že data budou skutečně zpřístupněna. Z podobných případů, které se objevovaly v minulosti, dokonce vyplývá, že nedochází k odšifrování dat prakticky nikdy. Jediným řešením je počítač odvirovat.

To platí i pro další dva vyděračské viry, které se umístily v čele žebříčku. Druhý ve třetím čtvrtletí skončil škodlivý kód Locky (9,6 %) a třetí CryptXXX (8,95 %).

Vyděračských virů jsou desetitisíce
Vyděračských virů je ale samozřejmě daleko více. „Krypto ransomware zůstává i nadále jednou z největších hrozeb jak pro koncové uživatele, tak i firmy. Současný skokový nárůst v počtu napadených uživatelů může být způsoben tím, že jsme oproti předchozímu čtvrtletí zaznamenali třiapůlkrát více modifikací ransomwaru – celkem více než 32 000 různých forem,“ podotkl Fedor Sinitsyn, expert na ransomware ve společnosti Kaspersky Lab.

„Důvodem tak vysokého počtu mohou být také značné investice do bezpečnostních řešení, která firmám umožňují co nejrychleji detekovat nové případy ransomwaru. Zločincům tak nezbývá než vytvářet stále nové modifikace svých malwarů,“ doplnil Sinitsyn.

Největší kybernetické hrozby v Česku

7.11.2016 Novinky/Bezpečnost Viry
Danger, Nemucod či Fraud. To jsou jména tří počítačových virů, před kterými by se měli mít tuzemští uživatelé na pozoru. Během uplynulého měsíce šlo totiž v Česku o nejhojněji se vyskytující nákazy vůbec. Vyplývá to z pravidelné měsíční statistiky nejrozšířenějších hrozeb, kterou pravidelně sestavuje antivirová společnost Eset.
Stejně jako v září byl i v říjnu nejčastěji skloňovanou hrozbou škodlivý kód Danger, který se šíří nejčastěji prostřednictvím nevyžádaných e-mailů. V uplynulém měsíci měl podle Esetu na svědomí každý třetí útok.

Danger přitom představuje pro počítačové piráty poměrně účinnou zbraň. Tohoto nezvaného návštěvníka využívají k tomu, aby potají otevřeli zadní vrátka do cizího operačního systému. Prostřednictvím nich pak mohou propašovat do napadeného stroje další škodlivé kódy.

Nejčastěji pak šíří vyděračské viry označované souhrnným názvem ransomware. Útoky těchto záškodníků mají prakticky vždy stejný scénář. Nejprve začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane. Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou.

Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

Stejná taktika, jiný virus
Na prakticky stejném principu funguje také škodlivý kód Nemucod, který v říjnu obsadil s podílem 12,32 % druhou příčku v českých virových statistikách. Kyberzločinci jej tedy mohou využít k otevření zadních vrátek do systému a zároveň také k šíření dalších škodlivých kódů.

Třetí příčku v seznamu deseti nejčastěji odhalených nebezpečných kódů v říjnu zaujal trojský kůň PDF/Fraud. „Záměrem tvůrců je prostřednictvím tohoto malwaru přesvědčit uživatele, aby vyplnil a odeslal svoje citlivé osobní údaje,“ popsal Miroslav Dvořák, technický ředitel společnosti Eset.

K získání citlivých informací počítačoví piráti využívají celou řadu různých triků, uživatele například lákají na výhry v různých smyšlených soutěžích. I díky tomu se podařilo zmiňovanému škodlivému kódu získat ve statistikách téměř pětiprocentní podíl.

Deset nejrozšířenějších virových hrozeb v ČR – říjen 2016
1. JS/Danger.ScriptAttachment (35,02 %)
2. JS/TrojanDownloader.Nemucod (12,32 %)
3. PDF/Fraud (4,99 %)
4. Java/Adwind (3,58 %)
5. JS/TrojanDownloader.FakejQuery (3,03%)
6. DOC/Fraud (2,86 %)
7. JS/Kryptik.RE (1,95 %)
8. VBA/TrojanDownloader.Agent.BUX (1,54 %)
9. PowerShell/TrojanDownloader.Agent.Q (1,46 %)
10. JS/ProxyChanger (1,31 %)
Zdroj: Eset

Které kybernetické hrozby jsou momentálně největší?

2.11.2016 SecurityWorld Viry
Trojský kůň Fraud dokáže změnit systémové soubory a nastavení v napadeném zařízení, varují experti před stále se stupňující hrozbou v tuzemsku.

Nejrozšířenější počítačovou hrozbou současnosti v České republice je škodlivý kód Danger, který se šíří prostřednictvím příloh e-mailů. Vyplývá to z pravidelné měsíční statistiky bezpečnostní společnosti Eset za měsíc říjen.

Danger se drží v čele internetových hrozeb po většinu letošního roku, jeho podíl na detekovaných hrozbách ale začal klesat. V říjnu představoval zhruba třetinu detekcí malware (konkrétně 35,02 procenta), což je o 12 procentních bodů méně než v září. „Rozhodně se nedá říci, že by nebezpečí JS/Danger.ScriptAttachment polevovalo. Nadále zůstává s velkým náskokem největší hrozbou. Do napadeného zařízení dokáže stáhnout další škodlivé kódy, což z něj činí ještě zákeřnějšího nepřítele,“ říká Miroslav Dvořák, technický ředitel Esetu.

Na podobném principu pracuje i další downloader Nemucod, který byl v říjnu druhou nejčastěji zaznamenanou internetovou hrozbou. I jeho podíl ale oproti září viditelně klesl, a to o devět procentních bodů na hodnotu 12,32 procenta.

Třetí příčku v seznamu deseti nejčastěji odhalených nebezpečných kódů v říjnu zaujal trojský kůň PDF/Fraud. „Záměrem tvůrců je prostřednictvím tohoto malware přesvědčit uživatele, aby vyplnil a odeslal svoje citlivé osobní údaje,“ popisuje Dvořák. PDF/Fraud podle něj v říjnu představoval téměř pět procent všech zjištěných hrozeb na českém internetu.

Top 10 hrozeb v České republice za říjen 2016:

1. JS/Danger.ScriptAttachment (35,02 %)

2. JS/TrojanDownloader.Nemucod (12,32 %)

3. PDF/Fraud (4,99 %)

4. Java/Adwind (3,58 %)

5. JS/TrojanDownloader.FakejQuery (3,03%)

6. DOC/Fraud (2,86 %)

7. JS/Kryptik.RE (1,95 %)

8. VBA/TrojanDownloader.Agent.BUX (1,54 %)

9. PowerShell/TrojanDownloader.Agent.Q (1,46 %)

10. JS/ProxyChanger (1,31 %)

Vyděračské viry na vzestupu, patří mezi nejrozšířenější hrozby na světě

26.10.2016 Novinky/Bezpečnost Viry
Škodlivé kódy z rodiny ransomware, jak jsou označovány vyděračské viry, se vůbec poprvé dostaly na přední příčky žebříčku nejrozšířenějších počítačových hrozeb. To jinými slovy znamená, že kyberzločincům se daří tyto nezvané návštěvníky propašovávat do cizích PC stále častěji. Vyplývá to z analýzy antivirové společnosti Check Point.
Nejrozšířenějším virem vůbec byl v září Conficker, jak Novinky informovaly již dříve. [celá zpráva]

Druhá příčka pak patří škodlivému kódu Satily a třetí právě vyděračskému viru. „Vůbec poprvé se v rámci výzkumu dostal ransomware do Top 3 nejrozšířenějších malwarových rodin. Ransomware Locky byl zodpovědný v průběhu září za 6 procent všech detekovaných útoků po celém světě,“ prohlásil David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Celkově útoky ransomwaru za září stouply o 13 procent. Právě Locky dělá bezpečnostním expertům velké vrásky na čele. Používá totiž poměrně sofistikované šifrování. Jde o obdobu toho, jaké používají finanční instituce při zabezpečení plateb po internetu.

Výkupné neplatit
V případě Lockyho kyberzločinci infikují systém e-mailem s wordovou přílohou, která obsahuje škodlivé makro. Jakmile uživatel soubor otevře, makro spustí skript, který stáhne spustitelný škodlivý soubor, nainstaluje se na počítač oběti a vyhledává soubory, které šifruje. Uživatel potom ani neví, že útok začal právě kliknutím na e-mailovou přílohu.

Kyberzločinci se pak zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.

Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Ostražití by před vyděračskými viry neměli být pouze majitelé klasických počítačů. Loni v červnu bezpečnostní experti odhalili nezvaného návštěvníka, který požadoval výkupné i na mobilním telefonu.

Česko je v hledáčku pirátů stále častěji
Společně se statistikami nejrozšířenějších virových hrozeb zveřejnila společnost Check Point také žebříček zemí, které jsou nejčastěji terčem kyberútoků.

A pro tuzemské uživatele tato data nevyznívají ani trochu pozitivně. „Česká republika se v září umístila na 72. pozici, což je vzestup o 16 míst a posun mezi méně bezpečné země. O 16 míst se posunulo mezi méně bezpečné země i Slovensko, které je nyní na 61. pozici,“ konstatoval Řeháček.

„Naopak nejvýrazněji se mezi bezpečnější země posunul Kazachstán, který klesl o 47 míst na 55. pozici. Největší posun mezi nebezpečnější země zaznamenalo Portoriko, které se posunulo o 55 míst na 47. pozici. Na prvním místě se v Indexu hrozeb umístila Botswana, která poskočila o 19 míst,“ uzavřel.

Zákeřný červ děsí bezpečnostní experty i po letech

21.10.2016 Novinky/Bezpečnost Viry
První verze zákeřného červa Confickera začala internetem kolovat už v roce 2008. Přestože zabezpečení počítačových systémů od té doby prošlo značným vylepšením, nové verze této hrozby stále nepřestávají strašit. Aktuálně dokonce tento nebezpečný malware kraluje statistikám nejrozšířenějších virových hrozeb.
Ve zmiňovaném roce 2008 byl Conficker několik dlouhých měsíců nejrozšířenější hrozbou vůbec, platilo to prakticky i celý rok 2009. V uplynulých letech však o sobě tento nezvaný návštěvník nedával vůbec vědět.

Zlom nastal až v letošním roce, kdy jej kyberzločinci začali hojně využívat. V tuzemsku i v zahraničí tak podle analýzy antivirové společnosti Check Point představoval tento červ nejrozšířenější hrozbu vůbec.

„Conficker byl v září celkově zodpovědný za 14 procent všech detekovaných útoků,” upozornil David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Napadl i počítače v elektrárně
Conficker využívá zranitelnost operačního systému Windows. Pro tu už dávno existuje bezpečnostní záplata, ale jak je ze statistik zřejmé, s její instalací si velká část uživatelů hlavu neláme. Na konci dubna se dokonce ukázalo, že se tento nebezpečný červ uhnízdil v počítačích v bavorské jaderné elektrárně Gundremmingen. [celá zpráva]

Autoři Confickera vybudovali po celém světě velkou síť infikovaných PC, využitelných na libovolnou úlohu, poněvadž počítače mohou díky viru ovládat na dálku. Na jeho řízení použili autoři červa inovativní způsob. Každý den se vygenerují nové náhodné domény, kam se vir hlásí a žádá instrukce.

Tím prakticky bezpečnostním expertům znemožňují, aby mohli Confickera zcela vyřadit z provozu.

Důležité jsou aktualizace
Většina antivirových programů by si nicméně i s tou nejnovější verzí měla poradit. Pokud ne, mohou pomoci s jeho vystopováním nejrůznější on-line antivirové skenery. Ty jsou zpravidla k dispozici zadarmo.

Jak zajistit, aby se červ do počítače vůbec nedostal? Bezpečnostní experti důrazně doporučují nainstalovat do počítače všechny přístupné bezpečnostní aktualizace, které jsou dostupné přes systém automatických aktualizací nebo přes stránku Windows Update.

Dejte si pozor na Hicurdismos, malware, který se tváří jako Microsoft Security Essentials
25.10.2016 Živě.cz Viry
Microsoft na svém blogu upozorňuje uživatele na hrozbu, která má název Hicurdismos. Jde o škodlivý software, který je zabalený do falešného instalačního souboru bezpečnostního balíku Microsoft Security Essentials.

Vlevo instalační soubor Microsoftu, vpravo ten s malwarem

Pokud si uživatel malware stáhne a nainstaluje, začne mu zobrazovat modrou obrazovku smrti – samozřejmě také falešnou. Na té však nenajde informace o tom, že má počítač restartovat a další běžný postup, ale telefonní číslo technické podpory pro vyřešení problému. Pokud na něj neznalý uživatel opravdu zavolá, automat jej donutí ke stažení dalšího malwaru nebo rovnou bude žádat o platbu.

Obrazovka se tváří jako běžná BSoD, na konci však najdete telefonní číslo technické podpory. Ta bude žádat platbu nebo stažení dalšího malwaru

Problém se bude týkat především uživatelů ve Spojených státech či Kanadě, ty tuzemské by mělo odradit především zahraniční telefonní číslo. Pravdou však je, že balík Microsoft Security Essential není třeba ve Windows 8.1 a Windows 10 stahovat, neboť obsahuje totožný bezpečnostní software v podobě Windows Defender.

Zákeřný virus se snaží získat fotografii uživatele a informace o platební kartě

18.10.2016 Novinky/Bezpečnost Viry
Na pozoru by se měli mít uživatelé před nově objeveným škodlivým kódem, který jim může udělat čáru přes rozpočet. A to doslova – prostřednictvím nezvaného návštěvníka se totiž kyberzločinci snaží z důvěřivců vylákat citlivé údaje. Před hrozbou varovali bezpečnostní experti antivirové společnosti Kaspersky Lab.
Virus Acecard se šíří především přes sociální sítě a e-maily, ještě přesněji prostřednictvím odkazů na podvodné webové stránky obsahující nějaké zajímavé video. Na nich je uživatel vyzván k tomu, aby nainstaloval aktualizaci Adobe Flash Playeru, tedy pluginu, který je potřebný právě k přehrávání videí.

Místo updatu si však důvěřivci do svého počítače stáhnou právě nezvaného návštěvníka. Sluší se podotknout, že nově objevený nezvaný návštěvník v současnosti útočí výhradně na smartphony s operačním systémem Android.

Virus v mobilu číhá
Na nich pak virus vyčkává na svou příležitost. Aktivuje se až ve chvíli, kdy chce uživatel spustit nějakou aplikaci, která dokáže pracovat s kreditní kartou. Jde tedy o nejrůznější programy internetového bankovnictví a internetových obchodů.

Po jejich spuštění se na dotykovém displeji zobrazí informace o tom, že je nutné zadat informace o platební kartě, a to včetně ověřovacích údajů. Důvěřivci se přitom mohou mylně domnívat, že data zadávají skutečně do dobře známé aplikace, ve skutečnosti je ale podvodníkům naservírují jako na zlatém podnosu.

„Okno s žádostí o vyplnění citlivých údajů se zobrazuje přes legitimní aplikace. Méně pozorní uživatelé tak nemají moc velkou šanci zjistit, že jde o podvod,“ varoval bezpečnostní expert společnosti McAfee Bruce Snell.

Pouze s informacemi o kartě se přitom útočníci nespokojí. „Po opsání číselných kombinací z karty žádají kyberzločinci o další doplňující informace. Chtějí jméno, adresu, datum narození, a dokonce i aktuální fotku s občanským průkazem,“ doplnil Snell.

Vybílí účet, založí půjčku
Všechna tato data mohou počítačoví piráti zneužít nejen k vybílení cizího účtu, ale například i k založení půjčky na majitele účtu apod. Hrozbu tedy není vhodné podceňovat, protože kyberzločinci mohou uživatele připravit klidně i o peníze, které na účtu nemají.

Řada bank samozřejmě v dnešní době používá různé systémy ověření, které mají podobnému zneužití zamezit. Například platby kartou je nutné potvrzovat ještě SMS zprávou. Vzhledem k tomu, že se útočníci dostanou do chytrého telefonu, nebude jim činit žádný problém i potvrzovací zprávy odchytávat.

Virus Acecard se doposud šířil především na asijských počítačových sítích. Není nicméně vyloučeno, že jej kyberzločinci nasadí také v Evropě, či dokonce v České republice.

Malware pro Macy může získat přístup k webkameře i mikrofonu. Obranou je drobná utilita i černá páska
12.10.2016 Živě Viry
Na konferenci Virus Bulletin v Denveru prezentoval specialista na bezpečnost a bývalý zaměstnanec NSA Patrick Wardle zranitelnost systému macOS, která umožňuje potenciálním útočníkům získat přístup k datům z webkamery a mikrofonu Macbooku.

Na úrovni firmwaru je provoz kamery signalizován rozsvícením zelené LED diody a její případné odstavení by tedy bylo velmi složité, případně nemožné. Útočníci se však mohou zaměřit na okamžiky, kdy je webkamera a mikrofon využíván při hovoru na Skypu nebo Facetimu. Uživatel nedostane žádnou informaci o tom, že webkameru využívá kromě komunikátoru ještě další software.

Případný malware, který by měl za úkol získání záznamu, by tedy k zachycení využil stream určený pro legitimní komunikátory a následně jej odesílal na servery útočníka. Wardle proto připravil v rámci své prezentace jednoduchou utilitu, která sleduje aplikace s přístupem k datům z webkamery a případné neautorizované pokusy o získání záznamu blokuje a oznamuje systémovou notifikací.

Aplikace OverSight monitoruje aplikace, které mají přístup k záznamovým zařízením a případně upozorňuje na nové přístupy

Ještě o něco účinnější metodou potom bude způsob, který zvolil Mark Zuckerberg, tedy černou izolační pásku. Toto opatření neobejde sebelepší hacker.

Malware Danger ovládl Česko, stojí za polovinou veškeré nákazy

7.10.2016 SecurityWorld Viry
Danger se stal virovou hrozbou číslo jedna v Česku, významně ale posiluje i Nemucod, který umožňuje útočníkovi vzdáleně ovládat napadené zařízení.

Téměř polovinu všech detekcí škodlivých kódů v České republice, jež v září zaznamenal Eset, tvořil malware Danger. Podíl nebezpečného kódu, který se šíří prostřednictvím příloh e-mailových zpráv, oproti srpnu vzrostl na víc než 47 procent.

Na předních místech v přehledu virových hrozeb se tento downloader drží již několik měsíců a počet napadení tímto kódem neustále roste.

„JS/Danger.ScriptAttachment je klasický downloader, který do napadeného zařízení stahuje další škodlivé kódy, velmi často ransomware, jež zařízení zašifrují a poté po obětech požadují výkupné,“ konstatuje Miroslav Dvořák, technický ředitel Esetu.

Obdobně se chová i Nemucod, druhý nejčastěji šířený malware v Česku. Analytici v září zaznamenali významný nárůst výskytu tohoto škodlivého kódu. Oproti srpnu se zvýšil jeho podíl na detekovaných hrozbách čtyřnásobně – ze srpnových 5,4 procenta na zářijových více než 20 procent.

Podíl malwaru Nemucod na škodlivých kampaních v Česku se dosud pohyboval okolo pěti procent, jeho nárůst na zářijových 21,32 procenta kopíruje celosvětový trend. „Malware Nemucod byl během letošního roku použit při několika kampaních a koncem března dosáhl 24procentního podílu v celosvětové detekci škodlivých kódů,“ dodává Dvořák.

Trojici nejčetnějších kybernetických hrozeb v září pak uzavírá Java/Adwind, který funguje rovněž jako backdoor a útočníci jej používají pro napadání bankovních účtů. Oproti srpnu, kdy v Česku představoval rovněž třetí největší potenciální riziko, jeho podíl vzrostl téměř o půl procentního bodu na 4,25 procenta.

Top 10 hrozeb v České republice, září 2016:

JS/Danger.ScriptAttachment (47,28 %)
JS/TrojanDownloader.Nemucod (21,32 %)
Java/Adwind (4,25 %)
VBA/TrojanDownloader.Agent.BRV (2,06 %)
VBA/TrojanDownloader.Agent.BSV (1,46 %)
JS/ProxyChanger (1,3 %)
SWF/Exploit.ExKit (1,15 %)
JS/Kryptik.RE (1,06 %)
VBA/TrojanDownloader.Agent.BTR (0,79 %)
MSIL/Kryptik.GZH (0,71 %)

Zdroj: Eset, říjen 2016

Kdo zastaví malware?

9.10.2016 SecurityWorld Viry
V posledních měsících roste problém s malwarem, který se vydává za reklamu – výzvou pro bezpečnostní firmy se stává to, jak odlišit podvodníky od legitimních společností.

S tím, jak mezi kyberzločinci roste oblíbenost šíření malwaru pomocí on-line inzerce, musí reklamní průmysl přehodnotit způsoby zpracování on-line inzerce.

Jen v srpnu letošního roku odhalili výzkumníci antivirové společnosti Malwarebytes několik kampaní vytvořených k šíření malwaru (tzv. malvertising) včetně velké kampaně, která vložila škodlivé reklamy do reklamní sítě používané společností Yahoo a jejími tematickými weby, jako jsou Zprávy, Finance a Hry.

Stejný zločinec napálil také reklamní síť, kterou používá eBay. A podobné kampaně postihly také návštěvníky seznamky PlentyOfFish a webu s mediálním obsahem, který slouží australskému telekomunikačnímu operátorovi, a stejná reklamní síť zobrazila škodlivé reklamy rovněž v síti MSN, uvedl Malwarebytes.

Malvertisingová kampaň, která podvedla návštěvníky webu Yahoo.com, byla dílem ruského útočníka jménem Fessleak, uvedl Patrick Belcher, ředitel bezpečnostních analýz ve společnosti Invincea.

Fessleak koupil videoreklamy přes reklamní síť, aby tak mohl zaútočit na návštěvníky webu Yahoo, a vytvořit tak z napadených počítačů síť botů generujících podvodná kliknutí a instalovat vyděračský software (ransomware).

Ukazuje se, že Fessleak vždy používá ve svých kampaních zranitelnosti nultého dne technologie Flash, což mu usnadňuje zaměřit se na velký počet obětí, které nemají šanci tyto chyby opravit.

Informace o exploitech nultého dne od Hacking Teamu (dodavatele sledovacího softwaru pro vládní účely), které se dostaly na veřejnost, byly pro Fessleaka doslova „zlatý důl“, popisuje Belcher. Přestože Adobe zranitelnosti opravilo, uživatelé, kteří opravy neinstalovali, jsou dosud vůči útoku zranitelní.

Fungování malvertisingu

Malvertisingová kampaň má v podstatě dvě části: samotnou reklamu, která obvykle přesměruje oběti na jiný web, a webové stránky útoku, jež obvykle hostí sadu exploitu, jako jsou například Angler nebo Nuclear.

Sada exploitů obsahuje několik různých metod útoku a hledá neopravený software a další zranitelnosti, aby tak mohla do počítačů uživatelů nainstalovat škodlivý software – například malware generující falešná kliknutí, botnety, ransomware a bankovní trojské koně.

V současné době jsou oblíbené sady exploitů zneužívající zranitelnosti nultého dne technologie Flash, popisuje Belcher.

V případě australského operátora Telstra byla návštěvníkům zobrazená škodlivá reklama vytvářející dojem, že je na prodej automobil Lamborghini Gallardo, ale zkrácená adresa URL (přes zkracovač odkazů Google) poslala uživatele na web se sadou exploitů Nuclear, který instaloval bankovního trojského koně, uvádí Jerome Segura, výzkumník společnosti Malwarebytes.

Zločinec se přitom nezaměřuje při vkládání škodlivé reklamy do reklamní sítě na konkrétní web nebo skupinu uživatelů, ale na kategorii webů nebo profil typické oběti. Síť sama potom rozhoduje, kdy a na jakém webu se taková reklama zobrazí v závislosti na kategoriích určených inzerentem.

Fessleak se například zaměřuje na komerční weby, ale dalším oblíbeným cílem je kategorie širokopásmového přístupu, která zahrnuje weby vlastněné poskytovateli přístupu k internetu a telekomunikačními operátory, jako je například Telstra, vysvětluje Belcher.

Malvertisingové kampaně v minulém roce vzrostly o 325 procent, uvádí zpráva společnosti Cyphort Labs. Podobná zpráva od Risk IQ zjistila nárůst malvertisingu o 260 procent v prvním pololetí roku 2015 ve srovnání se stejným obdobím v roce 2014.

A firma Invincea považuje malvertising za jednu z největších hrozeb pro zabezpečení koncových bodů – způsobená škoda v prvním pololetí roku 2015 se odhaduje na 525 milionů dolarů. Tato zjištění vedla Belchera k tomu, že označil letošní červen za „vůbec nejhorší měsíc malvertisingu“.

Podvádění reklamní sítě

Chce-li zločinec zahájit kampaň, musí nejprve podvést reklamní síť, aby akceptovala jeho inzerci. Mnoho těchto sítí usnadňuje zahájení inzerce pomocí otevřeného registračního formuláře a poměrně nízkého poplatku.

Když útočník používá ukradenou kreditní kartu či peníze získané dalšími on-line podvody, není poplatek například 400 dolarů vážnou překážkou vstupu, připomíná Belcher.

Tento jednoduchý přístup je důvodem, proč se některé z menších reklamních sítí v poslední době spojily, aby stanovily osvědčené postupy, jako jsou například zákaz otevřené registrace a zavedení vyšších vstupních poplatků, popisuje. Požadavek důkladné kontroly původu a poplatek pět tisíc dolarů měsíčně obvykle podvodníky zastaví.

„Útočníci využívající malvertising jsou notoricky lakomí,“ tvrdí Belcher. Snaží se maximalizovat své zisky a nechtějí měsíčně platit vysoké poplatky.

Dalším způsobem, jak útočníci podvádějí reklamní sítě, aby byli považováni za legitimní inzerenty, je korektní chování na začátku. Jakmile reklamní síť schválí reklamu, může inzerent zaměnit reklamu za škodlivou, která přesměrovává na útočný web, aniž to síť zaznamená.

Je to ještě snadnější, když je inzerentovi dovolené hostit reklamu na jeho vlastních serverech namísto serverů příslušné reklamní sítě. To umožňuje útočníkům používajícím malvertising sledovat příchozí IP adresy, tak aby zobrazoval korektní reklamu pro skenery reklamních sítí a škodlivou reklamu všem ostatním.

Přestože některé z větších reklamních sítí požadují, aby byla všechna inzerce umístěná na jejich serverech, ne vždy to tak je. Reklamním sítím se totiž nemusí chtít platit náklady za servírování všech reklam nebo si inzerenti mohou přát mít reklamy u sebe kvůli lepšímu sběru metrik.

Pokud jsou všechny inzeráty hostované v síti, je těžší reklamu zaměnit, ale inzertní průmysl jako celek zatím tuto praxi nezavedl.

Tento obor uznává, že je malvertising problémem, a snaží se stanovit osvědčené postupy, prohlašuje Belcher. Nemusí to být nutně technologický problém, protože zločinci dokážou podvést skenery a další použité mechanismy.

Je třeba použít osvědčené postupy a nové procesy, které zajistí, že se do sítí dostanou jen legitimní inzerenti, vysvětluje Belcher.

Skutečnost, že exploity od Hacking Teamu byly součástí sad použitých v nedávném řádění malvertisingových útoků, nebyla pro výzkumníky překvapující, protože tvůrci útočných sad pravidelně své nástroje aktualizují, aby obsahovaly zranitelnosti nultého dne v technologii Flash.

Sady Angler a Nuclear, obě použité v nedávných malvertisingových kampaních, patří mezi několik sad exploitů oblíbených mezi současnými kyberzločinci. Angler patří mezi nástroje s nejrychlejší implementací nově odhalených zranitelností nultého dne a byl prvním, který implementoval zranitelnosti nultého dne uniklé od Hacking Teamu.

Díky sadám exploitů již zločinci nemusejí mít vysokou úroveň schopností, aby zahájili kampaň s důmyslnými nástroji, vysvětluje George Kurtz ze společnosti Crowdstrike. „Na trhu si můžete koupit to, co potřebujete,“ prohlašuje Kurtz.

Formování obrany

Malvertising zneužívá běžné chování webu, kdy uživatelé přicházejí na weby a s obsahem, o který mají zájem, se jim zobrazují také reklamy. Proto je těžké tento vektor útoku blokovat. Podniky a uživatelé by měli udržovat operační systém a nainstalovaný software v aktuálním stavu pomocí nejnovějších oprav, aby sady exploitů neměly ve zranitelnostech snadný cíl...

V srpnu se roztrhl pytel s ransomwarem

1.10.2016 SecurityWorld Viry
Check Point Software Technologies zveřejnil nejnovější Index hrozeb, podle kterého došlo v srpnu k nárůstu variant ransomwaru a počtu malwarových útoků na podnikové sítě.

Zároveň byl zveřejněn i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v srpnu umístila na 88. pozici, což je pokles o 12 míst a posun mezi bezpečnější země. Slovensko se umístilo stejně jako v červenci na 77. pozici. Například Litva se naopak posunula mezi nebezpečnější země z 81. na 39. pozici. Na prvním místě se v Indexu hrozeb umístila druhý měsíc za sebou Paraguay.

Během srpna rostl počet aktivních ransomwarových rodin o 12 procent a počet detekovaných pokusů o ransomwarové útoky se zvýšil dokonce o 30 procent. Dvě třetiny všech zachycených ransomwarových rodin se během srpna posunuly žebříčkem hrozeb, většina z nich nejméně o 100 pozic. Podle Check Pointu je nárůst ransomwaru příznakem relativně snadného masového nasazení jakmile je nějaká varianta vytvořena, a důvodem nárůstu je také počet organizací, které za uvolnění důležitých dat radši zaplatí výkupné.