Znanost in tehnologija

Novi izsiljevalski virusi: ne odpirajte nenavadnih priponk, tudi če poznate pošiljatelja

Ljubljana, 18. 02. 2016 17.14 |

PREDVIDEN ČAS BRANJA: 3 min

Za pošiljanje elektronske pošte, okužene z izsiljevalskim virusom, napadalci potvorijo elektronski naslov pošiljatelja in okuženo datoteko razpošljejo na dejanske naslove v imeniku. Tako mislite, da vam je pošto poslal prijatelj, a iz čudnega elektronskega naslova. Virus ob odprtju priponke zašifrira vse datoteke, nato pa se izbriše in zahteva tudi 500 evrov odkupnine.

Pred časom smo opozarjali na izsiljevalski virus TeslaCrypt 2.0, ki uporabniku zašifrira datoteke, zdaj pa na nacionalnem centru za odzivanje na omrežne incidente SI-CERT opozarjajo na nova tovrstna virusa.

SI-CERT je namreč v začetku leta prejel vrsto prijav uporabnikov, ki se nanašajo na izsiljevalska virusa TeslaCrypt 3.0 in Locky. Širita se najpogosteje preko elektronske pošte, prvi v ZIP priponkah, drugi pa v obliki lažnih računov. Računi so ponavadi v obliki Word in Excel datotek, ki vsebujejo nevarne programe, ki na vaš računalnik namestijo virus.

Mnogo ljudi v odprtje tovrstnih datotek zavede naslov pošiljatelja, saj vsebuje ime njihovega prijatelja. Zato na SI-CERT opozarjajo, da bodite še posebej pozorni na elektronsko pošto pošiljateljev, ki jih sicer poznate, a vam pišejo iz čudnega elektronskega naslova.

V teh zadnjih valih razpošiljanj okuženih datotek napadalci namreč uporabljajo novo metodo: potvorijo elektronski naslov pošiljatelja in okuženo datoteko razpošljejo na dejanske naslove v imeniku. Tako zgleda, kot da ste pošto prejeli od znanca, zelo verjetno je med prejemniki istega sporočila celo več naslovov ljudi, ki jih poznate. Ker sporočila tako delujejo bolj prepričljivo, tudi dosežejo večji namen.

Virus Locky se širi preko lažnih računov, ki so ponavadi v obliki Word in Excel datotek.
Virus Locky se širi preko lažnih računov, ki so ponavadi v obliki Word in Excel datotek. FOTO: SI-CERT

Kako delujejo izsiljevalski virusi?

Če odprete priponko z virusom, ta zašifrira vse dokumente, slike in druge datoteke, ki jih imate na svojem računalniku, zatem pa se izbriše. Za njim v mapah, kjer ste prej hranili dokumente, ostane samo navodilo, kako plačate odkupnino v višini približno 250-500 evrov. Zašifrira pa vam tudi datoteke na vseh dostopnih omrežnih diskih.
Napadalci zahtevajo, da plačilo izvedete v valuti bitcoin, ki je zaradi svoje kriptirane narave najbolj priljubljeno plačilno sredstvo pošiljateljev izsiljevalskega virusa.

Po informacijah, ki jih imajo na SI-CERT, kriminalci po plačilu odkupnine res pošljejo ustrezni ključ, vendar pa poudarjajo, da vam tega ne more nihče zagotoviti in torej ukrepate na lastno pest in po lastni presoji.

Kaj lahko storite, če ste odprli okuženo priponko?

Če ste se že okužili in so datoteke zašifrirane, potem jih lahko obnovite iz varnostne kopije, če jo seveda imate, sicer vam žal ostane le plačilo odkupnine, pravijo na SI-CERT.

V prihodnje naredite kopijo vaših datotek, ki jih ne bi želeli izgubiti. Samo kopiranje na omrežni pogon ni dovolj, lahko pa naredite kopijo na zunanji disk, ki ga nato odklopite. Če imate datoteke v oblačni storitvi, kot sta recimo Dropbox ali Google Drive, lahko povrnete posamične datoteke v prejšnje stanje (običajno za obdobje zadnjih 30 dni).

''Uporabniki naj bodo previdni pri odpiranju datotek, za katere ne vedo, zakaj so jih prejeli in so nenavadno sestavljene; sicer poznan pošiljatelj jim piše iz čudnega naslova, obvestilo o neplačanem računu so prejeli kljub temu, da niso ničesar naročili," poudarjajo na SI-CERT.

UI Vsebina ustvarjena brez generativne umetne inteligence.

KOMENTARJI (13)

Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.

Komentator2016
21. 02. 2016 18.32
+0
Enemu od milijon ljudi se lahko to samo zgodi.
AllSeeingEyeEU
21. 02. 2016 13.36
+5
Kot računalniški tehnik vam povem, da je ta virus še kako prisoten tudi v Sloveniji. V tem mesecu smo zabeležili okužbo vseh datotek že pri kar nekaj strankah. Zadeva ni nova, saj se je pojavljala že v preteklosti, je pa posodobljena in težje zašifrirana kot v preteklih znanih primerih. Uporabnikom dejansko razširi okužbo na vse njihove datoteke, tako da tisti, ki nimajo predhodno narejenega dvojnika svojih podatkov, na kakšnem drugem disku, so prepuščeni nemilosti okužbi. Delovanje računalnika je močno upočasnjeno oz. praktično nemogoče, noben antivirusni sistem pa ne pomaga, po že razviti okužbi. Tisti, ki pa ste pokasirali okužbo pa svetujem, da NE plačujete za "dešifriranje in reštev teh podatkov", ker boste na koncu še vedno ostali brez vseh podatkov in niti nobeden vam ne garantira, da boste po plačilu dobili "ključ" za dešifriranje". Raje odnesite računalnik v kakšen dober računalniški servis, kjer so z zadevo že seznanjeni in kjer vam bodo za manjše zneske lahko pomagali. V prihodnje si priskrbite močan in redno posodobljen pritivirusni sistem, saj je vedno lažje preprečiti, kot pa zdraviti.
Eitipatapa
21. 02. 2016 15.25
+4
Res je, ta vikend imam na popravilu dva računalnika, oba okužena s TeslaCrypt 3.0. Na enem je šifriranih kar 272 tisoč datotek tipa jpg, mp3, pdf, docx, xlsx ipd. in škoda bo nepopravljiva, saj uporabnik ni nikoli delal kakršnih koli varnostnih kopij. Na drugem računalniku je šifriranih okrog 17 tisoč datotek. Največja zanimivost je ta, da npr. znotraj krovne mape niso poškodovane vse datoteke ampak nekako naključno. Pa vse datoteke imajo končnico .mp3. Na računalniku jih boste najlažje odkrili, če iščete npr. z Everything pod nizom *.*.mp3 ali pa samo v program vnesete ime sporočilne datoteke o okužbi *.txt in vam bo pokazal v katerih vse mapah je to obvestilo. Trenutno se popravljati ne da ničesar. Stranki je še najboljše predlagati nakup novega diska, tega pa pustiti takšnega kot je nekje na strani, ko bo znan postopek dešifracije, da se poskusijo rešiti podatki.
Eitipatapa
21. 02. 2016 19.11
Se popravljam, niz iskanja *.???.mp3 je bolj točen in prej verjeten, da vmes ne bo prištel kakšnega pravega in nepoškodovanega mp3-ja.
nikhrast
18. 02. 2016 19.47
-4
Če je gor virus, pa tako ne moreš odpreti, mislim da imamo vsi gor Norton ali Kaspersky, pa SuperAntiSpyware, pa Malwarebytes, pa CCleaner, zadnji trije so tako zastonj.
mastablasta
18. 02. 2016 20.59
+1
te word in excel smo opazili v službi. antivirus jih ni zaznal. je pa res da nisem odpiral, samo mislim da jih ne vidi, ker so kot normalni makri. verjetno da bi jih pri kakih rigoroznih nastavitva. je pa res da je treba makre omogočit. sporočilo pa res izgleda kot da je nek kupec poslal terjatev. za tiste, ki ne poznajo zadeve se lahko zgodi da pogledajo pač ker jih zanima komu zdaj dolgujejo oz bi iz nalsovnika fakture hoteli vedeti za koga v firmi je. edino kar jih izdaja je čuden email naslov.
nikhrast
20. 02. 2016 16.17
-4
Že leta imam Yahoo e-mail, sumljiva pošta gre v Spam, če je pa virus gor pa tako ne moreš odpreti.
aghr
18. 02. 2016 19.42
+3
Enkrat mi je na mailu pisalo od neke čudne osebe, da se nahaja v begunskem centru v Senegalu, naj povem svoje hobije, všečke, še svoje fotografije je mi je poslala. Takšne vsebine je treba zbrisati, ista oseba je pod različnimi imeni pošiljala podobne maile raznim osebam, tisti, ki je sprejel, mu je ponujala 7 milijonov dolarjev od njenega pokojnega bogatega očeta iz Sirije. Kdor temu nasede, samo izgubi. Tole pošiljajo kriminalci, naj bi nigerijske banke pošiljale takšne maile. Ta primer je dobil prav strokovni izraz internetna prevara 419 (419 internet scam). Temu ne nasedati, posledice so sama izguba, tako denarja kot tudi časa. Zraven je prisotno tudi izsiljevanje, pogojevanje, naj se da po tisoče dolarjev za "nagrado".
RožleXXpato
18. 02. 2016 18.02
+4
Čakte malo...tale virus je pa že kar lep čas aktiven in ni nov...*******info.zip......razpakerana vsebina pa je...info.js (js-java script)
proofreader
18. 02. 2016 18.42
-3
Preberi članek. Piše da pride kot Word ali Excel dokument.
RožleXXpato
18. 02. 2016 19.15
+6
Pust ti njih.....jest sm ti pa še dodal...a ni lepo..?!
Shark51
18. 02. 2016 17.42
+35
MENE PA DRŽAVA SLOVENIJA VSAK DAN IZSILJUJE
razocarani
19. 02. 2016 11.16
+4
ze na tesce in nato pred vsakom obrokom ,,pa se za lahko noc ,da te mora tlaci