Bezpečnostná spoločnosť ESET analyzovala škodlivý kód zameraný na slovenských používateľov a firmy, na ktorý ako prvá upozornila Finančná správa Slovenskej republiky. Útočník ho šíri falošnými e-mailovými správami odosielanými z adresy zakaznicky-servis@financnasprava.digital, ktorá však nepatrí Finančnej správe. E-mail navedie obeť k stiahnutiu spustiteľného súboru s názvom „Elektronická komunikácia“ z falošného webu www.financnasprava.digital, ktorý taktiež nie je spravovaný Finančnou správou. Po úspešnom spustení sa obeti zašifruje väčšina obsahu infikovaného zariadenia, za odšifrovanie žiada útočník približne 900 eur. Ide teda o typ škodlivého kódu, ktorému sa hovorí ransomware. Z viacerých faktov vyplýva, že autor tohto podvodu sa vyzná v slovenských reáliách.
„Autor chcel zjavne zneužiť obdobie, v ktorom firmy i bežní ľudia začínajú podávať daňové priznania. Cez oficiálny web Finančnej správy totiž môžu podávať daňové priznanie, výkazy o DPH alebo kontrolné výkazy,“ vysvetľuje Robert Lipovský, bezpečnostný výskumník spoločnosti ESET načasovanie tohto útoku.
Skutočný web Finančnej správy a falošný web financnasprava.digital
Škodlivý kód sa skladá z dvoch súborov. Jeho prvá časť začne postupne šifrovať všetky disky pripojené k infikovanému počítaču, čiže aj disky externé. Vyhýba sa však videám. „Je to zrejme kvôli tomu, že pri videách zvykne ísť o veľké súbory a ich šifrovanie by si vyžadovalo viac času,“ domnieva sa Lipovský.
Systémový disk šifruje tak, aby nenarušil funkciu operačného systému. Druhá časť škodlivého kódu sa objaví po úspešnom ukončení šifrovania. Obeti v češtine oznamuje, že obsah jej zariadenia je zašifrovaný a dostane sa k nemu po zaplatení výpalného v digitálnej mene 0,8 Bitcoina, čo je aktuálne okolo 900 eur. „Dodatok "I nám jde o profesionální klientský servis a reputaci na trhu, proto se budeme snažit odemknout Vaše soubory co nejdříve" vyznieva provokatívne avšak len ukazuje, že z výroby a distribúcie škodlivého kódu sa stal ťažký biznis,“ vysvetľuje Lipovský. Zaujímavosťou je, že ako kontaktnú e-mailový adresu si útočník vybral vlastnou.hlavou@mailfence.com, čo je zrejme narážka na „hlas podobný Robertovi Ficovi“, ktorý na uniknutej nahrávke medializovanej v roku 2010 vysvetľuje, ako strane zabezpečil peniaze „vlastnou hlavou“. Škodlivá stránka dnes predpoludním nefungovala, aktuálne obsahuje obrázok, v ktorom autor spomína, že „Za riadne odvedenie dane vám ďakujú: vlastnou hlavou, Kaliho nos, klinika Kostka, teta Anka, dlh VšZP, Váhostav, Vila Bonaparte, Slovenské predsedníctvo a iné. Prispejte aj tento rok, aby bolo z čoho kradnúť.“
„Paradoxné však je, že práve útočník sa snažil okradnúť svoje obete,“ dodáva Lipovský. Okrem mena Finančnej správy zneužíva tento škodlivý kód aj meno spoločnosti ESET, falošný web totiž obsahoval logo služby ESET Virus Radar. Táto služba však neposkytuje overenie obsahu webovej stránky a takéto overenie ESET ani neponúka.
ESET tento škodlivý kód deteguje pod menom MSIL/Filecoder.OwnHead.A. Spustí sa len na operačnom systéme, ktorý používa .NET framework minimálne vo verzii 4.0. V súčasnosti však ide už o rozšírený komponent operačného systému Windows. Zašifrovaným súborom pridáva koncovku .ENCR.
Pred ransomwarom sa dá účinne chrániť týmito opatreniami:
- Neotvárajte prílohy správ od neznámych adresátov prípadne také, ktoré ste vôbec nečakali.
- Varujte kolegov na oddeleniach, ktoré najčastejšie dostávajú e-mailové správy z externého prostredia – napríklad personálne a finančné. Firmy by mali zamestnancov o podobných hrozbách pravidelne školiť, práve cez nich totiž vystavujú svoje systémy nebezpečenstvu.
- Pravidelne zálohujte obsah svojho zariadenia. Aj v prípade úspešnej infekcie sa týmto spôsobom budete môcť dostať k svojim dátam. Externý disk alebo iné úložisko však nemôžu byť neustále pripojené k zariadeniu, inak bude jeho obsah tiež zašifrovaný. V prípade firiem a organizácii by malo byť testované, či a ako rýchlo sa vie firma k zálohe dostať.
- Pravidelne aktualizujte operačný systém a ostatné programy, ktoré na zariadení používate. Ak stále používate už nepodporovaný operačný systém Windows XP, seriózne zvážte prechod na novšiu verziu Windowsu.
- Bezpečnostný softvér používajte nie len s najnovšími aktualizáciami ale ideálne aj jeho najnovšiu verziu. Výrobcovia do novších verzií totiž pridávajú mnoho dodatočných bezpečnostných funkcií. Ak používate bezpečnostný softvér od ESETu, majte zapnutý ESET LiveGrid. Ten totiž lepšie blokuje procesy ransomwaru. Na malware dokáže reagovať skôr, než najnovšia vírusová databáza.
O spoločnosti ESET
Spoločnosť ESET je svetovým výrobcom bezpečnostného softvéru pre firemnú klientelu a domácnosti. Je lídrom na trhu proaktívnej detekcie počítačových hrozieb. Vďaka technológii Live Grid® využíva ESET dáta od dobrovoľných používateľov z celého sveta, a tak okamžite reaguje na nové hrozby. ESET drží vďaka zisku stého ocenenia VB100 v decembri 2016 rekord v počte týchto ocenení, ktoré udeľuje britský Virus Bulletin, vysoko-rešpektovaná nezávislá testovacia organizácia. Týždenník Trend ocenil ESET štyrikrát titulom Firma roka.
ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; Jene, Mníchove, Nemecko; Bournemouthe, Veľká Británia; San Diegu, USA; Toronte, Kanada; Buenos Aires, Argentína; Sydney, Austrália a Singapure. Výskumné a vývojové centrá sú okrem Bratislavy, Košíc a Prahy, aj v San Diegu, poľskom Krakove, britskom Tauntone, kanadskom Montreale a rumunskom Jasy. ESET má zastúpenie vo viac ako 200 krajinách a územiach sveta.
