Archiv pro rubriku: Viry a hoaxy

novinky a aktuality ze světa virů a antivirů

Doporučení při otevírání zavirovaných emailových příloh

Už se vám určitě někdy stalo, že do emailové schránky vám dorazil email s podezřelou přílohou. Jak s takovou přílohou naložit a jak se zachovat se dočtete v tomto článku. Samozřejmě veškeré operace s případným infikovaným souborem je na vlastní nebezpečí.

1) Pozor na potenciálně nebezpečné přípony souborů

V žádném případě neotvírat a spouštět soubory končící příponou ade, adp, app, asd, asf, asx, bas, bat, bta, chm, cmd, com, cpl, crt, dll, exe, fxp, hlp, hta, hto, inf, ini, ins, isp, ,js, jse?, lib, lnk, mdb, mde, msc, msi, msp, mst, obj, ocx, ovl, pcd, pif, prg, reg, scr, sct, sh, shb, shs, sys, url, vb, vba, vbe, vbs, vcs, vxd, wmd, wms, wmz, wsc, wsf, wsh atd. Jedná se o soubory které jsou přímo nebo nepřímo spustitelné. Takové emaily rovnou mazat. Jedinou vyjímkou jsou situace, kdy soubor s potenciálně nebezpečnou příponou očekáváte.

Většina mailových poskytovatelů tyto soubory blokuje přímo na serveru. Proto je útočníci balí do archívů (zip, rar, 7z, atd.), aby tyto infikované přílohy prošly prvním, hrubým sítem na serveru.

2) Ověřit že otvírám soubor s relativně bezpečnou příponou

Viry a trojany často využívají fintu s dvojí příponou. Při výchozím nastavení OS Windows schovává známou příponu souboru. Díky tomu se infikovaný soubor zobrazuje jako by měl bezpečnou příponu. Například obrazek.jpg.exe se zobrazí jako obrazek.jpg. Proto je potřeba si dát pozor na tyto soubory s dvojitou příponou např. nazev-dokumentu.doc.exe nebo faktura.pdf.exe.

3) Použít rozum i u relativně bezpečných příloh

S rozmyslem otevírat přílohy s příponami typu , *.doc, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.html, *.htm, atd. které můžou obsahovat škodlivý ActiveX script nebo makro. Tady je potřeba použít zdravý rozum a rozumný odhad. Pokud si nejste jistí, jestli je příloha v pořádku je dobré použít službu www.virustotal.com. Služba www.virustotal.com oetestuje podezřelý soubor cca 55 antivirovými programy.

Soubor z přílohy uložíme na disk. Pokud je zabalený (*.zip, *.rar atd) tak ho napřed otestujeme v zabalené podobě. Projde-li zabalená příloha testem bez ztráty kytičky, tak ji rozbalíme a rozbalený soubor opět otestujeme. Na podezřelý/rozbalený soubor NEKLIKÁME ANI HO NESPOUŠTÍME.

Je-li podezřelý soubor dnes poprvé testovaný, doporučuji počkat minimálně do druhého dne s kontorlou a následným otevřením. Za 24 hodin by už měly antivirové programy rozpoznat nový virus.

4) Otestování souboru službou www.virustotal.com

Otevření stránky www.virustotal.com v prohlížeči

úvodní stránka virustotal.com

úvodní stránka virustotal.com

Kliknutím na „Choose File“ vybereme podezřelý soubor.

vybrání zavirovaného souboru

vybrání zavirovaného souboru

Kliknutím na „Scan It!“ spustíme testování souboru.

potvrzení skenování souboru antivirovým programem

potvrzení skenování souboru antivirovým programem

Pokud byl soubor testován, tak se zobrazí poslední výsledek testu s možností opětovného otestování souboru. Doporučuji provést opětovné otestování kliknutím na „Reanalyse“, protože při posledním testu nemusely všechny antivirové programy znát tento virus.

Zobrazení výledku z posledního testu

Zobrazení výledku z posledního testu

Výsledek testování souboru

Výledek testu službou virustotal.com

Výledek testu službou virustotal.com

5) Odeslání podezřelého souboru do antivirové laboratoře

AVAST https://www.avast.com/cs-cz/faq.php?article=AVKB258#idt_300
AVG https://secure.avg.com/submit-sample
ESET http://help.eset.com/efsw/6/en-US/index.html?idh_charon_file.htm
Kaspersky https://scan.kaspersky.com/ a pro URL https://virusdesk.kaspersky.com/
Norton https://submit.symantec.com/websubmit/retail.cgi

Kontaktní emaily pro vzorky virů NEOVĚŘENO:

 Ahnlab: v3sos[@]ahnlab.com
 ArcaBit: virus[@]arcabit.com
 Avast: virus[@]avast.com
 AVG: virus[@]avg.com
 AVIRA: virus[@]avira.com
 BitDefender: virus_submission[@]bitdefender.com
 CA: virus[@]ca.com
 Comodo: malwaresubmit[@]comodo.com
 Comodo: malwaresubmit[@]avlab.comodo.com
 Dr.Web: vms[@]drweb.com
 EmsiSoft: submit[@]emsisoft.com
 eSafe: esafe.virus[@]eAladdin.com
 ESET: samples[@]eset.com
 Ewido: submit[@]ewido.net
 Fortinet: submitvirus[@]fortinet.com
 F-Prot: viruslab[@]f-prot.com
 F-Secure: samples[@]f-secure.com
 Hauri: hauri98[@]hauri.co.kr
 Ikarus: analyse[@]ikarus.at
 Kaspersky: newvirus[@]kaspersky.com
 McAfee: vsample[@]avertlabs.com
 Microsoft: avsubmit[@]submit.microsoft.com
 Norman: analysis[@]norman.no
 Panda: virussamples[@]pandasoftware.com
 Panda: virussamples[@]pandasecurity.com
 PrevX: virus[@]prevxresearch.com
 QuickHeal: viruslab[@]quickheal.com
 Sophos: samples[@]sophos.com
 Sunbelt: malware-cruncher[@]sunbelt-software.com
 Symantec: avsubmit[@]symantec.com
 Tauscan: trojans[@]agnitum.com
 The Cleaner:trojans[@]moosoft.com
 TrendMicro: virus_doctor[@]trendmicro.com
 TrojanHunter: submit[@]misec.net
 Trojan Remover: submit[@]simplysup.com
 UNA: newvirus[@]unasoft.com.ua
 VBA32: newvirus[@]anti-virus.by
 Virus Chaser : inquiry[@]viruschaser.com.hk
 VirusBuster: virus[@]virusbuster.hu
 Windows Defender: windefend[@]submit.microsoft.com
 Microsoft Security Essentials: avsubmit[@]submit.microsoft.com

Webové adresy pro odeslání vzorku NEOVĚŘENO

 Avast: https://support.avast.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=199&nav=0,2
 AVG: http://samplesubmit.avg.com/us-en/sample-scanning
 Avira: http://analysis.avira.com/samples/
 Dr. Web: http://vms.drweb-av.de/sendvirus/
 F-Prot: http://www.f-prot.com/virusinfo/submission_form.html
 CA: http://www.ca.com/us/securityadvisor/submitmalware.aspx
 A-Squared: http://www.emsisoft.com/en/support/submit/
 Clam-AV: http://cgi.clamav.net/sendvirus.cgi
 eScan: http://support.mwti.net/support/index.php
 Norton: https://submit.symantec.com/websubmit/retail.cgi
 McAfee: http://vil.nai.com/vil/submit-sample.aspx
 Microsoft: https://www.microsoft.com/security/portal/Submission/Submit.aspx
 Nod32: http://samples.nod32.com.sg/
 QuickHeal: http://www.quickheal.co.in/submit_sample.asp
 Kaspersky: http://support.kaspersky.com/virlab/helpdesk.html
 Vipre: http://www.sunbeltsecurity.com/threat/
 Trend Micro: http://subwiz.trendmicro.com/SubWiz/Default.asp
 Comodo: http://www.comodo.com/home/internet-security/submit.php
 Comodo: http://camas.comodo.com/
 Digital Patrol: http://www.nictasoft.com/new-virus/
 Kingsoft: http://www.pc120.com/fileident/
 PC Tools: http://www.pctools.com/mrc/submit/
 Rising: http://mailcenter.rising.com.cn/filecheck_en/
 Bitdefender: http://www.malwarecity.com/site/Main/uploadMalware
 RemoveIt pro: http://www.incodesolutions.com/reportvirus.php
 Sophos: https://secure.sophos.com/support/samples
 Iobit: http://db.iobit.com/deal/sdsubmit/index.php
 The Hacker: http://www.hacksoft.com.pe/upload/ubr_file_upload.php
 nProtect: http://global.nprotect.com/security/virus_report.php
 Malwarebytes: http://forums.malwarebytes.org/index.php?showforum=44
 Maxsecureantivirus: http://www.maxsecureantivirus.com/submitThreat.htm
 Nano Antivirus: http://www.nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=53&lang=en
 Webroot: http://support.webroot.com/cgi-bin/webroot.cfg/php/enduser/ask.php
 Lavasoft: http://www.lavasoft.com/support/securitycenter/file_upload.php
 Superantispyware: http://www.fileresearchcenter.com/submitfile.html
 Norman: http://www.norman.com/support/sendmalware/en-us
 AhnLab: http://global.ahnlab.com/en/site/support/virusreport/virusReport.do

 

Share

Vir Cryptlocker, makler199011@gmail.com a decryptfiles.com

POUŽITÍ NÁVODŮ A ODKAZŮ NA VLASTNÍ NEBEZPEČÍ, DOPORUČUJEME PRACOVAT VE VIRTUÁLNÍM PROSTŘEDÍ

Aktualizace 20.5. 2016

Byl zveřejněn master klíč pro šifrování souborů virem ransomware Teslacrypt. Díky tomu jsou dostupné decodery:

http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

http://www.welivesecurity.com/2016/05/18/eset-releases-decryptor-recent-variants-teslacrypt-ransomware/

Aktualizace 13.4. 2016

Další verze šifrovacího viru s názvem Petya. Tentokrát nešifruje soubory, ale zakóduje celou tabulku MFT. Zašifrované data lze bezpaltně obnovit pokud zadáte 512 byte ze sektoru 55 a 8 byte ze sektoru 54 do formuláře na stránce https://petya-pay-no-ransom-mirror1.herokuapp.com/

Více informací na:
http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
http://www.viry.cz/petya-virus-nesifruje-jen-dokumenty-sifruje-rovnou-cely-disk/

Aktualizace 4.4. 2016

Firma Bitdefender zveřejnila nástroj pro prevenci před nakažením nejznámějšími variantami šifrovacích virů jako jsou  Locky, CTB-Locker a TeslaCrypt. Více informací najdete na stránce výrobce https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released/

Odkaz na návod, který u některých starších virů typu Ransomware může pomoct s dešifrováním souborů http://malwarefixes.com/remove-locky-ransomware-and-decrypt-files/

Aktualizace 25.2. 2016

Nová verze cryptovacího viru. Tentokrát přepíše obvyklé soubory na příponu MP3. Více informací zatím nemáme.

Vir Locky aneb další vir z rodiny filecoder. Více informací o něm se dočtete na adrese http://www.viry.cz/supervirus-locky-co-zase-tak-super-neni/

Na soubory zakódované staršími verzemi Cryptolockeru můžete vyzkoušet decryptovací program od firmy Kaspersky, který je ke stažení na adrese https://noransom.kaspersky.com/.

Aktualizace 13.10. 2015

Vyšla další varianta vymahačského softwaru. Tentokrát se cena vyšplhala na cca 4000 Euro. Komunikace probíhá na kontaktních schránkách sos@decryptfiles.com, zuza@protonmail.com a BitMessage BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn, což schránky s vysokou anonimitou. Pro představu o anonymitě služby protonmail najdete na adrese:
http://www.spajk.cz/protonmail-bezpecny-a-sifrovany-email/#more-181

Pokud se někomu podařilo odhalit, jakým způsobem se podařilo útočníkovi napadnout počítač a spustit na něm šifrování, prosím o podělení se s touto informací přes kontaktní formulář. Případně se v anketě podělte, jaký jste měli nainstalovaný antivirový program.

Jaký antivirový program jste měli nainstalovaný při napadení cryptolockrem?

View Results

Nahrávání ... Nahrávání ...

Pokud máte ve Windows zaplé Shadow kopie a zároveň je vir nesmazal, tak pro obnovu dat můžete použít stejně jako u předchozích verzí program:
http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe

Více informací najdete na adrese:
www.comment-supprimer.com/sosdecryptfiles-com/

Původní článek

Koncem srpna se rozšířila nová varianta šifrovacího viru Cryptlocker z rodiny Ransomware. Vir opět zašifruje data, ale tentokrát cílí i na velké soubory. Takže v ohrožení jsou například databázové soubory atd. Případná částečná obnova databázových souborů není možná, protože se šifruje celý soubor.

Další velkou změnou, oproti minulé verzi, je komunikace pomocí emailu. To budí zdání menší profesionality a větší obavy jestli po zaplacení bude obnova dat možná.

Soubory jsou zašifrovány do podoby <puvodni-nazev>.<puvodni-pripona>!__________MAKLER199011@GMAIL.COM___.crypt

Útočník požaduje odměnu 3000 dolarů a to platbou přes Western Union, nebo bitcoinech. V reálném případě, byl požadavek upřesněn na 15,4btc což v daný den odpovídalo zhruba 3500 dolarům. V dalším případě se postižený zhruba 14 dní snažil vyjednávat. Útočník byl neoblomný a pouze stroze komunikoval s reakcí maximálně jednou denně. Z útočníka nebylo možné vytáhnout cenu v bitcoinech, pouze uvedl adresu peněženky. Proto se postižený chopil iniciativy a poslal dle aktuálního kurzu 3000 dolarů převedené na bitcoiny na bitcoinovou peněženku útočníka.

Po zaplacení útočník okamžitě začal aktivně komunikovat a následně poslal odkaz na stažení programu Decryptor.exe. Antivirové programy jej detekují jako vir. Před stažením programu je nutné vypnout antivirový program. V programu decryptor.exe nalistujete zašifrovaný soubor. Tím se vygeneruje Encoded key, který zašlete útočníkovi. Ten Vám následně sdělí Decoded key. Který vložíte do programu a stisknete tlačítko Decode All. V obou případech došlo k bezproblémové obnově dat.

Na závěr malé upozornění. Díky tomu, že celková částka platby při směně na bitcoiny přesahuje cenu 1000 euro, vyžadují převodní firmy ověření totožnosti. Takže po zarezervování platby dojde email k výzvě o zaslání naskenovaného dokladu totožnosti. Pravděpodobně by šlo toto omezení obejít odesláním více plateb pod hranicí 1000 euro. Poplatek za převod na bitcoiny je zhruba 5% z měněné částky.

Aby jste si tímto zážitkem nemuseli projít zálohujte, ZÁLOHUJTE A ZASE ZÁLOHUJTE ideálně na offline uložiště.

decoder

U některých méně propracovaných virů lze data obnovit pokud máte k dispozici soubor, který provedl zašifrování dat. Proto daný soubor nikdy nemažte, ale bezpečně uschovejte.

Více informací:
http://www.servis-zlin.eu/clanky/jak-zalozit-bitconovou-penezenku-a-prevest-na-ni-penize/
http://www.servis-zlin.eu/clanky/cryptolocker-sifrovaci-vir-ktery-znepristupni-data-aneb-sledovani-zasilky-ceske-posty/
http://www.lupa.cz/clanky/bitcoin-regulace/

Netestované odkazy na tipy jak obnovit zašifrované soubory POUŽITÍ NA VLASTNÍ NEBEZPEČÍ
http://crypto.stackexchange.com/questions/27536/is-it-possible-to-get-an-rsa-encryption-key-by-comparing-the-unencrypted-and-enc
http://sensorstechforum.com/restore-files-encrypted-via-rsa-encryption-remove-cryptowall-and-other-ransomware-manually/
http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information
https://raymii.org/s/tutorials/Encrypt_and_decrypt_files_to_public_keys_via_the_OpenSSL_Command_Line.html
http://www.czeskis.com/random/openssl-encrypt-file.html
http://www.symantec.com/connect/forums/there-fixtool-recover-files-encrypted-ransomware
http://www.malwareremovalguides.info/decrypt-files-with-decrypt_mblblock-exe-decrypt-protect/
http://nabzsoftware.com/types-of-threats/cryptolocker

Netestované odkazy jak zabránit spuštění infikovaného exe souboru a prevence POUŽITÍ NA VLASTNÍ NEBEZPEČÍ
http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#prevent
https://www.foolishit.com/
http://www.eset.com/cz/o-nas/pro-novinare/tiskove-zpravy/article/doporuceni-k-ochrane-pred-malware/
http://www.optimalizovane-it.cz/ostatni-zabezpeceni/cryptolocker-jak-predejit-utoku-pomoci-technologii-v-operacnim-systemu.html

Odkazy na stránky o šifrování
https://www.algoritmy.net/article/4033/RSA
https://cs.wikipedia.org/wiki/RSA
https://mks.mff.cuni.cz/library/RSAjRk/RSAjRk.pdf
http://www.kryptografie.wz.cz/data/RSA.htm
http://reboot.cz/howto/hacking/jak-funguje-rsa/articles.html?id=281
https://edux.fit.cvut.cz/oppa/BI-BEZ/prednasky/bez8.pdf
http://www.osel.cz/1813-ifrovaci-algoritmus-rsa-prolomen.html

Share

Zneužití fakturační adresy registrátora domén FORPSI

Dnes do emailových schránek majitelů domén ve správě registrátora FORPSI dorazily podvodné emaily s prefakturou pro prodloužení domény na další rok. Ve fakturačních údajích je uveden jiný/falešný 1287700016/3030 bankovní účet než vlastní firma FORPSI.

Po oznámení problému FORPSI rozeslalo prohlášení svým subregistrátorům tohoto znění:

Vážení subregistrátoři,

dnes byly rozeslány podvodné výzvy k zaplacení domén, které nebyly vystaveny naší společností. Na výzvách je uvedeno cizí číslo účtu vedeného v Airbank. TYTO VÝZVY PROSÍM NEPLAŤTE A INFORMUJTE, PROSÍM V TOMTO SMYSLU I KONCOVÉ ZÁKAZNÍKY.

Číslu účtu naší společnosti je 830 809 001/5500, účet je vedený u Raiffaisenbank. Proforma faktura s jakýmkoliv jiným číslem účtu je podvod.

Zatím jsme zjistili, že výzvy se týkají pouze .cz domén a byly rozeslány majitelům, nikoliv fakturačním kontaktům uvedeným v kontaktních údajích domén.

Zjišťujeme, podrobnosti ohledně nastalé situace a budeme Vás informovat.

S pozdravem
Marie Petrášková
Vedoucí správy domén
FORPSI

2014forpsi-podvrzena-faktura

Share