Dešifrovací nástroj pro ransomware Teslacrypt umožňuje obětem obnovit jejich soubory
Bezpečnostní experti společnosti ESET uvolnili dešifrovací nástroj pro ransomware Teslacrypt. To bylo umožněno ukončením "projektu" a bezplatným uvolněním hlavního klíče potřebného pro dešifrování.
Zdroj: https://www.csirt.cz/news/security/
Co to vlastně Ransomware je:
Wikipediia: "Ransomware je druh malware, který zabraňuje přístupu k počítači, který je infikován. Tento program zpravidla vyžaduje zaplacení výkupného (anglicky ransom) za zpřístupnění počítače. Některé formy ransomware šifrují soubory na pevném disku (cryptovirální vydírání), jiné jen zamknou systém a výhrůžnou zprávou se snaží donutit uživatele k zaplacení."
Obvykle jej uživatel "obdrží" emailem (zpravidla v angličtině), jako přílohu (soubor, nearchivovaný, něco např.: "J __- somenumbers-invoice.doc").
Soubor DOC obsahuje makro (trojan downloader), který je základním nositelem viru. Vstoupí do systému např. přes stažený soubor nebo přes mezeru v zabezpečení. Virus pracuje na pozadí, zatíží systém a začne šifrovat data na disku pomocí náhodného symetrického klíče a fixního veřejného klíče. Využívá pravděpodobně procesu "explorer.exe" a šifruje libovolné soubory nalezené v jakékoliv složce s uživatelským přístupem (lokálně ale i na síti, sdílené a mapované jednotky). Prozatím se nezdá, že by se šířil v rámci LAN (takže, držme si palce).
Prioritně napadá běžné kancelářské soubory (DOC, DOCX, XLS, XLSX), po kterých se soustřeďuje na PDF soubory a tak dále.
Napadené soubory byly odstraněny pomocí jednoduchého Microsoft Security Essentials skenování, ale počáteční trojan prošel. Je znepokojující, že dne 16.02.2016 v 15:00 CET pouze 5 z 54 antivirových programů rozpoznalo trojan v souboru přílohy pošty. V 20:00 CET hodin, se počet zvýšil na 10 z 54.
Uživatel nemá jinou možnost, než obnovit soubory z poslední zálohy, pokud ji má. Pokud zálohu nemáte, tak se obáváme, že vaše soubory jsou ztraceny.
Po dokončení procesu infekce se uživatelské pozadí plochy změní na jpg, který obsahuje informace a varování o tom, že soubory byly zašifrovány a v případě nezaplacení určité částky do konkrétního data nebude možné soubory již obnovit a samozřejmě také instrukce pro úhradu. Bohužel pouze autor malware má privátní klíč, kterým lze data vrátit do původního stavu, tedy rozšifrovat.
Proces šifrování je velmi rychlí, trvá cca hodinu. Soubory jsou zašifrovány a originály odstraněny.
V jednotlivých napadených složkách najdete soubory s názvem s náhodným řetězec písmen a číslic a stejného rozšíření, AUHN7HK8HKJ00UKJ0.locky a TXT soubor s pokyny k platbě.
A jak je možné se chránit?
Prvořadě v žádném případě neotvírat přílohy o kterých si nejste jisti co vlastně obsahují, či se Vám zdají už sami o sobě podezřelé.
Dále můžete nastavit zakázat makra v kancelářských aplikacích, což umožní otevření souborů v chráněném zobrazení jako výchozí pro všechny soubory (nejsme si ale zcela jisti zda to funguje, prozatím nebylo testováno). Přílohy nejsou omezeny na soubory DOC, mnozí dostali i soubory XLS.
Pozor, infikovaný soubor projde přes e-mailové servery bez problémů. V našem případě na Office365, i když si myslíme, že mají nějaký vlastní antivirový software pro skenování.
Zdroj: https://www.csirt.cz/news/security/ také uvádí:
Ransomware se do organizací dostává přes RDP servery
Ransomware se velmi často dostává do organizací prostřednictvím RDP serverů, Dle Wountera Jansena z FOX-IT je k získání přístupu k RDP serveru používán útok hrubou silou. Po získání potřebného přístupu může útočník v síti a na serveru provádět všechny akce, které má daný účet povoleny. Doporučení, jak se tomuto útoku vyhnout, jsou naštěstí poměrně snadná. Pokud z nějakého důvodu nelze omezit vzdálený přístup k serveru, pak je nutné využívat dostatečně silná hesla, dvoufaktorovou autentizaci a vzdálený přístup šifrovat.
