Nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT je v zadnjem času zaznal več primerov napadov na slovenske internetne uporabnike. Gre za primere t. i. ribarjenja, katerih namen je kraja gesel za dostop do e-pošte.
Pri zaznanih več primerih napadov z ribarjenjem oziroma phishingom sta sporočilom skupna naslova "webmail update" ali "system admin" ter besedilo, ki je bilo strojno prevedeno v slovenščino. Pod pretvezo, da bodo imeli zaradi zapolnjenega poštnega predala blokiran dostop do elektronske pošte, skušajo uporabnike prepričati, da kliknejo na povezavo v sporočilu.
Povezava vodi na indeksno spletno stran znotraj ene od domen pod vrhnjo domeno .tk, .ml, .ga, .cf, ali .gq. V vseh primerih so bile domene registrirane pri registrarju Freenom, ki omogoča zastonjsko registracijo domen pod temi vrhnjimi domenami, pojasnjujejo v centru.
Spletna stran od uporabnika zahteva vpis uporabniškega imena, e-naslova in gesla za e-pošto. Na prvi pogled je videti, da je stran na predmetni domeni, dejansko pa gre za storitev preusmeritve domene na poljuben spletni naslov, ki jo ponudnik Freenom ponudi med registracijo domene. Sama spletna stran se dejansko nahaja pri ponudniku zastonjskih spletnih strani IM Creator.
Če uporabniki vpišejo svoje podatke, se napadalci prijavijo v njihovo spletno pošto in od tam širijo napad, tako da vsem kontaktom pošljejo lažno sporočilo. Ob tem v SI-CERT svetujejo uporabnikom, ki prejmejo to sporočilo, naj ga čim prej posredujejo na cert@cert.si.
Več okužb z izsiljevalskim virusom
SI-CERT je poleg tega prejel več prijav okužb z izsiljevalskim virusom, poimenovanim Crypt0L0cker. Sicer ne gre za novo vrsto virusa, se pa v zadnjem času najpogosteje pojavlja med izsiljevalskimi virusi.
V večini primerov se virus širi prek elektronskih sporočil v tujem jeziku, ki mu je priložena priponka zip. Ta vsebuje datoteko s končnico .html ali .js, ki vsebujejo močno zamaskirano kodo, ki se odkodira v več korakih. V končni fazi z nekega oddaljenega spletnega strežnika prenese in zažene izvršljivo datoteko – virus Crypt0L0cker.
Omenjeni virus zašifrira vse datoteke razen datotek z naslednjimi končnicami: avi, wav, mp3, gif, ico, png, bmp, txt, html, inf, manifest, chm, ini, tmp, log, url, lnk, cmd, bat, scr, msi, sys, dll, exe.
V vsaki mapi, kjer je zašifriral datoteke, odloži datoteki HOW_TO_RESTORE_FILES.txt in HOW_TO_RESTORE_FILES.html z navodili za restavriranje datotek. Zamenja tudi sliko namizja z navodili za namestitev brskalnika Tor, s katerim uporabnika preusmerijo na spletno stran v omrežju darkweb (domena s končnico .onion) z navodili za plačilo odkupnine.
Avtorji virusa za šifrirni ključ zahtevajo 499 dolarjev s plačilom v bitcoinih. Po 78 urah ceno povišajo na 999 dolarjev, po enem mesecu pa šifrirni ključ nepreklicno izbrišejo.
Uporabniki, ki jim je virus Crypt0L0cker zašifriral datoteke, se za pomoč glede možnosti restavriranja datotek lahko obrnejo na SI-CERT.
KOMENTARJI (8)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.