"Policejní virus" v novém kabátě? Ano, a protivnější a nebezpečnější než dříve...

7.10.2013

"Policejní virus" v novém kabátě? Ano, a protivnější a nebezpečnější než dříve.

O "policejním viru" už toho bylo napsáno mnoho. Protože se ale jedná o velice úspěšnou potvoru, vznikají nové, daleko protivnější a hlavně nebezpečnější varianty. Tentokráte se budeme bavit o potvoře, která v počítači zašifruje dokumenty, obrázky a další soubory.

Setkat se můžete s několika variantami téhle potvory, a v každém případě to bude setkání pro vás velice nemilé. V závislosti na variantě, kterou jste si do počítače natáhli, budete stát před nepříjemným rozhodnutím. Jaké teď máte možnosti? Stručně řečeno můžete:

1. vyděračům zaplatit a doufat, že se ke svým datům dostanete
2. zkusit "to nějak obejít" a doufat, že se vám podaří virus obalamutit
3. zkusit se na vše prostě a jednoduše vykašlat, a svoje dokumenty oželet
4. zkusit svoje soubory obnovit ze zálohy - samozřejmě pokud nějakou zálohu máte!!

Jak lze zříti, žádná z variant není zrovna ideální, protože s sebou nese určitá rizika a finanční náklady. Rozhodnutí, co udělat či neudělat, by mělo být v prvé řadě ovlivněno zjištěním, jakou variantu šifrovací potvory v kompu máte.

Varianta 1 - zaplatit

První variantou, asi tou nejhorší, je útočníkovi poslat jeden či dva zašifrované soubory mejlem a počkat, až vám pošle další pokyny. Dalším pokynem v tomto případě bude číslo účtu a částka, kterou je potřeba zaplatit. Po provedení platby pak budete čekat, až vám útočník pošle dešifrovací nástroje.

Ve většině případů se útočníci spoléhají na to, že uživatel bude svoje soubory chtít ihned. Pokud si ale dokážete nějakou chvíli počkat, v některých případech nabízí útočník možnost poslat vzorek zašifrovaných souborů a pak počkat (údajně měsíc) na zaslání dešifrovacích nástrojů zdarma.

Co na to AntiviroveCentrum.cz?
Víme o případech, kdy tento postup zabral a uživatel po zaplacení skutečně dostal pokyny k dešifrování a svoje soubory "úspěšně" dešifroval.

 

Varianta 2 - "zkusit to nějak obejít"

Pokud bude potvora založená na variantě "Harasom", pak existuje dobrá šance na odšifrování souborů pomocí nástroje Emsisoft Harasom Decrypter. Harasom Decrypter, a i ostatní dešifrovací nástroje obecně, lze použít v případě, že jsou soubory zašifrovány pomocí pevného šifrovacího klíče. V některých případech jsou dokonce soubory zašifrovány jen naoko a potvora z nich vyrobí obyčejný archiv (soubory *.rar nebo *.zip), které ale budou chráněny heslem. Pak se lze pokus heslo zjistit pomocí jiného nástroje Emsisoft sloužícího pro zjištění hesla archivních souborů.

Mnohem horší je situace, kdy potvora používá pro šifrování "plovoucí klíč", který navíc po úspěšném zašifrování souborů zahodí (před smazáním ale odešle klíč útočníkovi, snad pro případ, kdyby uživatel zaplatil a útočník by v dobrém rozmaru chtěl oběti odeslat dešifrovací nástroj), a tím pádem nelze obecné dešifrátory použít. Koplikací také je, že se potvora většinou po dokončení svých rejdů deaktivuje a smaže sama sebe - v počítači tedy nezbude žádná stopa a nelze nijak zjistit, jaká varianta v počítači řádila.

Pak lze teoreticky využít faktu, že potvora po zašifrování soubory smaže a lze tedy použít některý z nástrojů pro obnovení smazaných souborů. Bohužel ale díky tomu, že existuje mnoho variant potvory, nelze všeobecně říct "běž tam a udělej to a to a problém bude vyřešen". Pokud chcete zkusit obnovit soubory přes nějaký ten "odsmazávací nástroj", pak v prvé řadě omezte na minimum svoje šmejdění a řádění na disku, protože každou diskovou operací se snižuje pravděpodobnost úspěšné obnovy smazaných souborů.

Co na to AntiviroveCentrum.cz?
Tento postup skutečně může zabrat a lze obnovit velkou část zašifrovaných dokumentů. Nevýhodou je časová náročnost, ne 100% spolehlivost obnovení smazaných souborů a hlavně zmatek v názvech - obnovené soubory se budou jmenovat jinak, než originály.

Varianta 3 - svoje dokumenty oželet

Naprosto nejjednodušší a nejelegantnější řešení pro velkou část uživatelů. Oželit fotky a videa z dovolených, oslav narozenin dětiček a podobných událostí. Jasně, hardoce jedinci takto postupovat budou a jednoduše reinstalují Windowsy a nějaké zašifrované soubory prostě a jednoduše neřeší.

Co na to AntiviroveCentrum.cz?
Pro hardcore uživatele, kteří na nějaké dokumenty nehledí, je to nejrozumnější řešení...

 

Varianta 4 - zkusit svoje soubory obnovit ze zálohy

Pokud patříte mezi uživatele vzorňáky, pak je obnovení ze zálohy tím nejlepším řešením. Je zde ale jedno ALE - před obnovením ze zálohy je určitě vhodné se ujistit, že potvora již v počítači nečíhá a nespoléhat se na to, že se "akční virus" již sám deaktivoval. Pro kontrolu počítače můžete použít kombinaci z osvědčených nástrojů ComboFix, MBAM a SpyBoot.

Pokud naberete jakous takous jistotu, že je váš počítač čistý, můžete přistoupit k obnově souborů ze zálohy. Zde nebudeme rozepisovat detailní postup obnovení, protože záleží na každém uživateli, jaký způsob zálohování zvolí. V některých případech může stačit klasické windowsí obnovení systému, v jiných případech je potřeba použít některou z metod obnovení podle použitého programu či online prostředku.

Co na to AntiviroveCentrum.cz?
Nejlepší variantou na každý průser je být na průser nachystán!! Každý uživatel si musí uvědomit, že za svoje data zodpovídá pouze on a že zálohování dat by mělo být tak automatické, jako ranní očista chrupu!!

 

Další informace

Jak se potvora do počítače dostane?

V závislosti na variantě se nejčastěji jedná o jednoduché sociální inženýrství, kdy útočník spoléhá na to, že uživatelé jsou nepozorní, nečtou pořádně mejly a klikají bez rozmyslu na kdejakou kravinu, která jim přijde emailem či chatem na Fejsbůku nebo jiné sociální síti. Existují sice případy, kdy se některá z obyčejných nešifrovacích variant dá schytat z kompromitovaných webových stránek bez interakce s uživatelem, nicméně tyto situace jsou velice ojedinělé. Nejčastějším viníkem opravdu je sám nepozorný uživatel.

Jak se mohu před podobnými potvorami chránit?

Jak již bylo v textu řečeno, nejčastěji se útočník spoléhá na nepozornost a neznalost uživatele, který je ochoten "si kliknout". Proto opakovaně nabádáme uživatele, aby online svět začali konečně považovat za velice nebezpečné prostředí, kde na ně doslova za každým rohem číhá nějaký šmejd, který je chce obrat o peníze, citlivé soukromé informace a podobně. Každý uživatel si musí rozmyslet, co na sebe je ochoten prozradit a podle toho se zachovat.

Nezáleží mi na ničem? OK, pak jdu a klikám jak smyslů zbavený a dříve či později se mi povede něco chytit a zbořit si počítač.

Záleží mi na mých datech a citlivých informacích? OK, pak jsem stále ve střehu a dodržuji alespoň již stokrát omílané desatero bezpečnosti na internetu. Za nejdůležitější lze považovat:

• nevěříš nikomu, nedůvěra JE na místě...
• neklikneš si za každou cenu...
• počítač musí být zabezpečen nejen kvalitním antivirem, ale je potřeba také aktualizovat Windowsy a aplikace třetích stran (Adobe, Java..)...

Co mám dělat, když si nevím rady a mám podezření, že už mám potvoru v počítači?

Paradoxně asi nejrozumnější je nedělat nic a svěřit se do péče specialistů. Pokud ve svém okolí nemáte nikoho, kdo by vám poradil, zkuste napsat email na podpora@amenit.cz, nebo zavolat na číslo 556 706 203. Určitě vám budeme schopni alespoň rámcově poradit, jak postupovat...