Ransomware vydělává útočníkům těžké peníze a tak tohle odvětví opravdu žije. Následuje přehled zajímavých novinek za pár posledních dnů.
Zbytky havěti v android aplikacích
Cílem útoku ransomwaru se patrně stal i jeden z autorů mobilních aplikací pro Android. Tak lze vysvětlit, proč se v jeho instalačních balících APK nacházel i soubor readme.hta. Tento soubor se samotnou aplikací nijak nesouvisel a patrně ani autor aplikace netušil, že je takový soubor v balíku obsažen. Soubor readme.hta je totiž pozůstatek ransomware z rodiny Cerber, který zřejmě v minulosti „řádil“ i na počítači autora a obsahuje přitom instrukce pro zaplacení „výpalného“. Ten se tak do finálních aplikací dostal patrně omylem. A jak už zaznělo v jednom českém filmu, naštěstí to na funkci nemá vliv 🙂 Více na twitter kanálu ESET.
Konec ransomware .dharma
Pokud někdo čelil útoku havěti, který zanechal paseku v dokumentech a obrázcích a přitom k nim přidal příponu .dharma (patří do rodiny Crysis), pak se na tyto oběti patrně usmálo štěstí. Útočníci totiž na diskuzním fóru BleepingComputer.com uveřejnili „master“ klíče, které umožňují uživatelská data odšifrovat bez nutnosti zaplacení výkupného. Postupně tak vznikl dekryptor od společnosti Kaspersky, ESET, avast!, … Něco takového se nestalo poprvé a pokud se nedej bože stanete obětí podobného útoku ransomware, přičemž soubory není možné v tu chvíli dešifrovat, určitě je nemažte. Nelze vyloučit, že za pár měsíců dojde k něčemu podobnému. Tedy do momentu, kdy si už útočníci nahrabou dostatek peněz a „krám zavřou“ + klíče možná zveřejní a nebo je někdo dopadne a klíče zveřejní.
Útočník na .CZ doméně
Jakub Kroustek se pak na twitteru ptá, zda ještě někdo stíhá počítat nové kousky ransomware v roce 2017. Mě zaujal hned obrázek pod, kde lze útočníka kontaktovat na české e-mailové adrese worldcza@email.cz. Náhodná volba služby a nebo jde o dílo z České republiky?
Falešné weby úřadu vlády a finanční správy
Co ale určitě cílilo na české a slovenské uživatele je iniciativa útočníků, kteří si zaregistrovali domény uradvlady.eu a financnasprava.digital a touto cestou distribuovali ransomware. Pokud bych měl hledat něco na odlehčení, tak možná větu v instrukcích pro odšifrování: „I nam jde o profesionalni klientsky servis a reputaci na trhu, proto se budeme snazit odemknout Vase soubory co nejdrive.“ a trochu nižší cenu výkupného, odrážející finanční situaci v ČR: 0,8 BTC. Bohužel kurz bitcoinu roste, takže i tak je to téměř 30 tisíc Kč.
Šifrovat a mazat lze i databáze
Ransomware nemusí řádit jen na koncových stanicích uživatelů. Může útočit i přes internet, například na otevřené MySQL databázové servery a výkupné požadovat za obnovu databází do původního stavu. Problémem je, že pokud je takový útok úspěšný, útočníci mají k dispozici často dostatečnou konektivitu, aby celou databázi odcizili. Takže při zaplacení výkupného je zde jistá šance, že se k původní databázi sice dostanete, ale jaký dopad bude mít fakt, že ji celou mají k dispozici i útočníci?! Více zde.
Napsat komentář