Odolejte útokům vyděračů a ransomwaru

9.6.2016 | Jindřich Zechmeister

Podle posledních statistik se neuvěřitelným způsobem zvýšil počet e-mailů s ransomwarem. Ten vám po nakažení systému zašifruje data a za dešifrování chce autor poslat peníze. Díky tomuto principu "výpalného" je tento druh malware rentabilní a mezi útočníky oblíbený. Co dělat, aby se takové neštěstí nestalo i vám?

Co je to ransomware a proč vás má zajímat

Ransomware je druh malwaru (škodlivého kódu), který se snaží oběť vydírat. Doba "romantických" virových nákaz, které znamenaly při nejhorším zobrazení něčeho otravného a autor je dělal jako důkaz svých schopností, je už dávno pryč. Peníze jsou na prvním místě a to platí i pro nečestné vydělávání na internetu.

Neopatrnému uživateli ransomware zašifruje data či jiným způsobem zablokuje počítač a žádá po něm výkupné. Před rokem či dvěma v Česku řádil tzv. policejní virus, který omezil používání počítače a chtěl zaplatit imaginární pokutu policii za smyšlený přečin. Jednalo se o dobře přeloženou variantu zahraničních policejních virů a dost lidí vyděsil.

Policejní virus

Takto vypadá falešné upozornění u tzv. policejního viru. Zdroj: Novinky.cz

V každém případě je nutné brát ransomware vážně, protože je to skutečná hrozba. 800% nárust jeho výskytu v e-mailech jen potvrzuje, jak úspěšný "obchodní model" to je.

Jak nenaletět

Nákaza se nejčastěji šíří e-mailem a jeho přílohami. Jistě jste už slyšeli zlaté pravidlo říkající, že přílohy se nemají otevírat, pokud je nečekáte. To je pravda už více než 40 let (během kterých používáme e-mail) a nic se na tom nemění. Dnes už skoro každý uživatel internetu ví, že "zazipovaný" .exe soubor nemá spouštět, protože je to určitě virus. 

Útočníci se snaží obelstít vaši pozornost a proto se snaží, aby e-maily vypadaly důvěryhodně, nebo abyste přílohu otevřeli omylem. Z toho pohledu jsou nejvíce rafinované falešné faktury, upomínky a exekuční oznámení, které bývají na první pohled nerozeznatelné od mnoha jiných pravých. 

Systém Windows má bohužel nešťastnou vlastnost neukazovat přípony souborů, což je problém. Soubor může mít dvě přípony a v průzkumníku uvidíte jen tu první, nikoliv skutečnou. Pokud si to neuvědomíte, můžete se snadno zmýlit (na obrázku níže vidíte příklad aplikace EXE s ikonou wordového souboru).

Zapněte si proto v průzkumníkovi zobrazení přípony dle obrázku níže. Pak vás nebude mást ikonou souboru či aplikace.

V nedávné době proběhla vlna ransomwaru v podobě javascriptu (souboru s příponou JS, viz obrázek vpravo). Ikona javascriptu vypadá ve Windows "nevinně" a pokud je doplněna falešnou příponou TXT, snadno podlehnete dojmu, že se jedná o textový soubor.

Většinou se po otevření nakaženého souboru "nic nestane"; nenechte se tím zmýlit a uchlácholit. V přílohách zasílaných e-mailů je pouze "předvoj", který oběti do PC stáhne zbytek závadného programu a aktivuje ho.

Nespoléhejte na antivir

Spousta uživatelů internetu vám potvrdí, že "mají antivirus a nemusí se ničeho bát". Tento přístup má dvě trhliny. První z nich je kvalita antivirů a jejich schopnost detekce. Žádný antivir nefunguje absolutně a nezachytí 100 % nákazy. Oblíbené antiviry zdarma mohou v těchto schopnostech pokulhávat. Druhým problémem je fakt, že antivir se musí naučit nákazu "rozpoznávat" a pak ji může detekovat. Ano, existují různé chytré mechanismy snažící se inteligentně odhalit nežádoucí chování programu, ale základem antivirů je stále detekce podle vzorků a chování zadaných do programu autorem.

Když se na světě objeví nový druh malwaru, tak trvá určitou dobu, než se ho antiviry "naučí" rozpoznávat. To je mnohokrát dokázaný fakt a než se váš antivir zaktualizuje, může být pozdě.

Buďte podezřívaví, pak můžete být v bezpečí

Při práci s obdrženými přílohami buďte obezřetní. Když vám dorazí příloha a máte pochybnosti o jejím původu a obsahu, neotevírejte ji běžným způsobem (poklepáním).

Prvním krokem prověření přílohy je její antivirová kontrola. Na webu virustotal.com nechte soubor zkontrolovat a názor desítek antivirů vám naznačí, zdali se jedná o malware. Uvidíte-li ve výsledcích pozitivní detekci a některý z antivirů malware pozná, tak přílohu rovnou smažte. Může to být falešný poplach, ale za riziko nákazy to nestojí.

Výsledek kontroly virustotal

Výsledek kontroly na virustotal. Z 56 antivirů 37 tvrdí, že soubor je nakažený (níže je pak jejich seznam). Pro zvětšení klikněte.

Pokud detekce dopadne dobře (bez nalezení nákazy), stále nemusí být bezpečné soubor otevřít. Může to být způsobeno tím, že použité antiviry malware neumí detekovat. Doporučuji počkat den či dva a pak kontrolu vyzkoušet znovu.

Pokročilý uživatel si může soubor otevřít v editoru kódu (notepad, PSPad) a podívat se na obsah souboru. V žádném případě soubor nespouštějte poklepáním (viz odstavec výše o koncovce souboru). Vhodným prostředím pro zkoumání podezřelého souboru je operační systém jiný než Windows (například Ubuntu); můžete si ho ve Windows spustit virtuálně a bez přístupu k internetu a místní síti. V tomto sandboxu se můžete relativně bezpečně podívat na obsah souboru. Aplikace se nespustí a pokud je soubor "čistý", tak uvidíte jeho obsah. Kancelářské programy jsou samozřejmě součástí linuxových distribucí a nemusíte je ručně instalovat.

Přejeme při používání internetu hodně štěstí a aby se vám viry a malware vyhýbaly.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz