Ransomware byl kyberbezpečnostním tématem číslo 1 uplynulého roku a zdá se, že nejinak tomu bude i v roce 2017. Novou hrozbou je ransomware GoldenEye, nejnovější varianta ransomwaru Petya. Využívá řadu osvědčených postupů, ale nejvýraznější změnou oproti předchozím verzím je způsob šíření. (TZ)
Současná kampaň používá k distribuci ransomwaru GoldenEye žádosti o zaměstnání a škodlivý kód maskuje za e-mailovou přílohu. Zaměřuje se proto na oddělení lidských zdrojů, kde je rozkliknutí příloh v e-mailech od potenciálních uchazečů nutností.
E-mail obsahuje krátkou zprávu od údajného uchazeče o zaměstnání a obsahuje dvě přílohy.
První příloha je PDF obsahující průvodní dopis a tento soubor nemá žádný škodlivý obsah. Primárním účelem je uklidnit oběť a vyvolat falešný pocit bezpečí. Druhá příloha je excelový soubor s nebezpečnými makry. Obsahuje obraz květiny se slovem „Loading …“ a doprovodný text, který žádá oběť k povolení obsahu, což umožní spuštění makra.
Jakmile uživatel klikne na „povolit obsah“, spustí se kód uvnitř makra a začne proces zašifrování souborů a oběť k nim ztratí přístup. Jakmile jsou všechny soubory zašifrované, GoldenEye zobrazí žádost o výkupné.
Po zobrazení žádosti o výkupné vynutí GoldenEye restart počítače a začne šifrování disku. Tato akce znemožňuje přístup k jakémukoli souboru na pevném disku. Zatímco probíhá šifrování, oběť vidí obrazovku s kontrolou disku, jako to bylo i u předchozích Petya variant.
Můžeme očekávat, že podobné útoky se budou šířit i v dalších jazykových mutacích.
Ochranou jsou moderní preventivní technologie pro extrakci a emulaci hrozeb, jako je například Check Point SandBlast.
Více informací najdete na blogu společnosti Check Point:
http://blog.checkpoint.com/2017/01/03/looking-new-employee-beware-new-ransomware-campaign/