Novice / 18. februarja 2016

Pozor, virusi v nenavadnih priponkah!

Na nacionalnem centru za odzivanje na omrežne incidente SI-CERT v začetku leta 2016 prejemajo vrsto prijav uporabnikov, ki se nanašajo na izsiljevalska virusa TeslaCrypt 3.0 in Locky. Širita se najpogosteje preko elektronske pošte, prvi v ZIP priponkah, drugi pa v obliki lažnih računov, Word in Excel datotek, ki pa vsebujejo nevarne makro programe, ki na računalnik namestijo virus.

Uporabniki naj bodo še posebej pozorni na elektronsko pošto pošiljateljev, ki jih sicer poznajo, a jim pišejo iz čudnega elektronskega naslova. Napadalci v zadnjih valih razpošiljanj okuženih datotek uporabljajo novo metodo: potvorijo elektronski naslov pošiljatelja in okuženo datoteko razpošljejo na dejanske naslove v imeniku. Tako zgleda, kot da ste pošto prejeli od znanca, zelo verjetno je med prejemniki istega sporočila celo več naslovov ljudi, ki jih poznate. Ker sporočila tako delujejo bolj prepričljivo, tudi dosežejo večji namen. Ravno ‘verodostojnost’ sporočil je kriva za to, da si številni kar sami naklikajo izsiljevalski virus!

Kako delujejo izsiljevalski virusi?

Če odprete priponko z virusom, ta zašifrira vse dokumente, slike in druge datoteke, se zatem izbriše iz računalnika, za njim po datotečnih mapah ostane samo navodilo, kako plačate odkupnino v višini približno 250-500€. Zašifriral vam bo tudi datoteke na vseh dostopnih omrežnih diskih!

Plačilo boste morali izvesti v valuti bitcoin, ki je zaradi svoje kriptirane narave najbolj priljubljeno plačilno sredstvo pošiljateljev izsiljevalskega virusa.

Po informacijah, ki jih imajo na SI-CERT, kriminalci po plačilu odkupnine res pošljejo ustrezni ključ, vendar pa poudarjajo, da vam tega ne more nihče zagotoviti in torej ukrepate na lastno pest in po lastni presoji.

Rešitev za žrtve virusa

Če ste se že okužili in so datoteke zašifrirane, potem jih lahko obnovite iz varnostne kopije, če jo seveda imate, sicer vam žal ostane le plačilo odkupnine.
V prihodnje naredite kopijo vaših datotek, ki jih ne bi želeli izgubiti. Samo kopiranje na omrežni pogon ni dovolj, lahko pa naredite kopijo na zunanji disk, ki ga nato odklopite. Če imate datoteke v oblačni storitvi, kot sta recimo Dropbox ali Google Drive, lahko povrnete posamične datoteke v prejšnje stanje (običajno za obdobje zadnjih 30 dni).

Na SI-CERT poudarjajo: ”Uporabniki naj bodo previdni pri odpiranju datotek, za katere ne vedo, zakaj so jih prejeli in so nenavadno sestavljene; sicer poznan pošiljatelj jim piše iz čudnega naslova, obvestilo o neplačanem računu so prejeli kljub temu, da niso ničesar naročili. Če niso prepričani, nas lahko vprašajo za nasvet na cert@cert.si ali info@varninainternetu.si. ”

Za več napotkov, kako ravnati v primeru virusov TeslaCrypt 3.0 in Locky, se obrnite na portal Varni na internetu.

Primer okuženega elektronskega sporočila:

Ne smete zaupati niti pošti, ki zgleda, kot da ste jo prejeli od znanca. Na srečo lahko škodljiva sporočila prepoznate – preverite na sliki. V tem primeru se v priponki skriva TeslaCrypt 3.0.

Prikazani so sumljivi znaki, ki kažejo na zlorabo - zip priponka, datum in čas v ameriški obliki, med prejemniki je več vaših znancev itd. — Primer zlonamernega sporočila.

Neplačan račun je v resnici virus!

Eden izmed virusov se širi pod pretvezo neplačanega računa. Če odprete Word datoteko in omogočite Macro, se bo na vaš računalnik prenesel izsiljevalski virus Locky.

Izsiljevalsko sporočilo, ki se prikaže na vašem zaslonu po zašifriranju vseh datotek.

Ko se virus naloži na računalnik, se pojavi takšno obvestilo z navodilom, kako plačate odkupnino.