Ransom32: první multiplatformní ransomware využívající javascript

Ransom32: první multiplatformní ransomware využívající javascript

Všichni uživatelé pozor - internetem se šíří první multiplatformní ransomware, který Vám zašifruje Vaše data. Poprvé nejsou nebezpeči vystaveni pouze uživatelé Windows, ale i Linuxu a Macu.

Šíření

Ransom32 se šíří prostřednictvím nevyžádané emailové zprávy, která se snaží příjemce přesvědčit k otevření infikované přílohy. Tato zpráva obsahuje RAR archív, který využívá skriptovací jazyk WinRAR - ten nastaví automatické spuštění malwaru po startu počítače. Přes vlastního TOR klienta dojde ke spojení s „Command and control“ serverem.

Zašifrovaní dat

Posledním krokem je zašifrování dat na disku a zobrazení požadavku na "výkupné". Samotná šifra není triviálně prolomitelná. Jediná možnost prolomení je tzv. brutální silou, což je časově velmi náročné (a také finančně) - nezbývá tedy nic jiného, než částku zaplatit.

ransom32 message 730x456

Seznam souborů, které jsou zašifrovávány:

*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat

Program záměrně vynechává některé složky, aby Vám počítač nepřestal fungovat a Vás "donutil" k úhradě. Záměrně tedy vynechává složky, odpovídající:

  • :\windows\
  • :\winnt\
  • programdata\
  • boot\
  • temp\
  • tmp\
  • $recycle.bin\

Jak se bránit

Obrana před tímto malwarem spočívá v dodržení mnoha bezpečnostních pravidel. Níže uvádíme pouze několik hlavních bodů:

  • Aktualizovaný operační systém
    Aktualizace operačního systému opravuje známé bezpečnostní chyby, které by mohly být zneužity.
  • Aktualizovaný antivirový systém
    Kvalitní a aktualizovaný antivirový systém dokáže tyto infikované přílohy včas detekovat a ochránit Vás.
  • Pravidelné zálohování dat
    Obnovení dat ze zálohy je jednodušší a levnější, než platit odšifrování dat.
  • Bezpečnostní povědomí uživatele
    Uživatel by neměl otevírat podezřelé emaily a v žádném případě podezřelé přílohy.

Chcete poradit nebo pomoci

Ať už jste se stali obětí tohoto malwaru, nebo jen chcete poradit jak se lépe bránit, můžete se spojit s našimi odborníky. Ti Vám pomůžou s odvirováním počítače, poradí s výběrem antivirového programu, navrhnou a nastaví Vám bezpečné zálohování dat. Popřípadě se můžete přihlásit na školení "Bezpečnost na internetu".

 

Přihlášení na školení "Bezpečnost na internetu"

Sdílet článek:
Autor:
Václav Dobiáš

Vedoucí internetového oddělení

 dobias.vaclav@eabm.cz
 +420 777 027 504

Novinky eABM

Novinky nejen ze světa IT
František Fajna | 11. listopad 2024

Potřebujete notebook pro práci, školní počítač pro děti nebo zařízení pro celou rodinu? V naší nabídce naleznete široký výběr kvalitních produktů za skvělé ceny.

Václav Dobiáš | 30. říjen 2024

Jednou z našich klíčových služeb, kterou našim klientům poskytujeme, je monitoring a aktivní řešení vzniklých problémů. Dnes vám přinášíme ukázku z praxe, kdy se klienti o problému nejen nedozvěděli, ale ani je výpadek díky naší službě monitoringu nijak v provozu neomezil.

Václav Dobiáš | 22. říjen 2024

Pokud jste někdy používali Google Workspace, možná jste se setkali s možností zápisu e-mailu se znakem “+” v adrese, například dobias.vaclav+eabm@eabm.cz. Možná ale nevíte, že tato funkce je dostupná také v Microsoft 365.