ESET analyzoval škodlivý kód zameraný na slovenských používateľov a firmy, na ktorý ako prvá upozornila Finančná správa Slovenskej republiky.
Útočník ho šíri falošnými e-mailovými správami odosielanými z adresy zakaznicky-servis@financnasprava.digital, ktorá však nepatrí Finančnej správe. E-mail navedie obeť k stiahnutiu spustiteľného súboru s názvom „Elektronická komunikácia“ z falošného webu www.financnasprava.digital, ktorý taktiež nie je spravovaný Finančnou správou. Po úspešnom spustení sa obeti zašifruje väčšina obsahu infikovaného zariadenia, za odšifrovanie žiada útočník približne 900 eur. Ide teda o typ škodlivého kódu, ktorému sa hovorí ransomware. Z viacerých faktov vyplýva, že autor tohto podvodu sa vyzná v slovenských reáliách.
„Autor chcel zjavne zneužiť obdobie, v ktorom firmy i bežní ľudia začínajú podávať daňové priznania. Cez oficiálny web Finančnej správy totiž môžu podávať daňové priznanie, výkazy o DPH alebo kontrolné výkazy,“ vysvetľuje Robert Lipovský, bezpečnostný výskumník spoločnosti ESET načasovanie tohto útoku.
Škodlivý kód sa skladá z dvoch súborov. Jeho prvá časť začne postupne šifrovať všetky disky pripojené k infikovanému počítaču, čiže aj disky externé. Vyhýba sa však videám. „Je to zrejme kvôli tomu, že pri videách zvykne ísť o veľké súbory a ich šifrovanie by si vyžadovalo viac času,“ domnieva sa Lipovský. Systémový disk šifruje tak, aby nenarušil funkciu operačného systému.
Druhá časť škodlivého kódu sa objaví po úspešnom ukončení šifrovania. Obeti v češtine oznamuje, že obsah jej zariadenia je zašifrovaný a dostane sa k nemu po zaplatení výpalného v digitálnej mene 0,8 Bitcoinu, čo je aktuálne okolo 900 eur.
Zaujímavosťou je, že ako kontaktnú e-mailový adresu si útočník vybral vlastnou.hlavou@mailfence.com, čo je zrejme narážka na „hlas podobný Robertovi Ficovi“, ktorý na uniknutej nahrávke medializovanej v roku 2010 vysvetľuje, ako strane zabezpečil peniaze „vlastnou hlavou“.
Škodlivá stránka dnes predpoludním nefungovala, aktuálne obsahuje obrázok, v ktorom autor spomína, že „Za riadne odvedenie dane vám ďakujú: vlastnou hlavou, Kaliho nos, klinika Kostka, teta Anka, dlh VšZP, Váhostav, Vila Bonaparte, Slovenské predsedníctvo a iné. Prispejte aj tento rok, aby bolo z čoho kradnúť.“
„Paradoxné však je, že práve útočník sa snažil okradnúť svoje obete,“ dodáva Lipovský. Okrem mena Finančnej správy zneužíva tento škodlivý kód aj meno spoločnosti ESET, falošný web totiž obsahoval logo služby ESET Virus Radar. Táto služba však neposkytuje overenie obsahu webovej stránky.
ESET tento škodlivý kód deteguje pod menom MSIL/Filecoder.OwnHead.A. Spustí sa len na operačnom systéme, ktorý používa .NET framework minimálne vo verzii 4.0. V súčasnosti však ide už o rozšírený komponent operačného systému Windows. Zašifrovaným súborom pridáva koncovku .ENCR.
Pred ransomwarom sa dá účinne chrániť týmito opatreniami:
- Neotvárajte prílohy správ od neznámych adresátov prípadne také, ktoré ste vôbec nečakali.
- Varujte kolegov na oddeleniach, ktoré najčastejšie dostávajú e-mailové správy z externého prostredia – napríklad personálne a finančné. Firmy by mali zamestnancov o podobných hrozbách pravidelne školiť, práve cez nich totiž vystavujú svoje systémy nebezpečenstvu.
- Pravidelne zálohujte obsah svojho zariadenia. Aj v prípade úspešnej infekcie sa týmto spôsobom budete môcť dostať k svojim dátam. Externý disk alebo iné úložisko však nemôžu byť neustále pripojené k zariadeniu, inak bude jeho obsah tiež zašifrovaný. V prípade firiem a organizácii by malo byť testované, či a ako rýchlo sa vie firma k zálohe dostať.
- Pravidelne aktualizujte operačný systém a ostatné programy, ktoré na zariadení používate. Ak stále používate už nepodporovaný operačný systém Windows XP, seriózne zvážte prechod na novšiu verziu Windowsu.
- Bezpečnostný softvér používajte nie len s najnovšími aktualizáciami ale ideálne aj jeho najnovšiu verziu. Výrobcovia do novších verzií totiž pridávajú mnoho dodatočných bezpečnostných funkcií.