Hned v prvním týdnu nového roku se začal internetem lavinově šířit úplně nový vyděračský virus. „Ransomware byl kyberbezpečnostním tématem číslo jedna uplynulého roku a zdá se, že nejinak tomu bude i v roce 2017. Novou hrozbou je ransomware GoldenEye, nejnovější varianta ransomwaru Petya,“ varoval David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Petya dělala bezpečnostních expertům vrásky na čele už v první polovině loňského roku, protože pracovala daleko rychleji než podobné vyděračské viry. Ty potřebují na zakódování všech uložených dat poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dřív, než v počítači nadělají nějakou větší neplechu.

Petya však nešifrovala všechna data, ale pouze tzv. MBR. Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.

Na zašifrování MBR přitom Petya potřebovala pouze pár sekund, proto antiviry prakticky neměly šanci škodlivý kód zachytit, jak Novinky.cz informovaly již dříve. [celá zpráva]

Na Petyu již experti vyzráli 

Zatímco na Petyu již bezpečnostní experti vyzráli, v případě hrozby zvané GoldenEye zatím dešifrovací klíč chybí. Většina bezpečnostních programů je tak proti nové hrozbě bezbranná. Účinné jsou teoreticky jen aplikace, které dovedou sledovat všechny podezřelé činnosti v počítači v reálném čase.

Jakmile jsou všechny soubory zašifrované, GoldenEye zobrazí žádost o výkupnéDavid Řeháček, bezpečnostní odborník

GoldenEye pracuje v počítači velmi podobně jako Petya, kromě dešifrovacího klíče se liší také způsob, jakým se šíří. „Současná kampaň používá k distribuci žádosti o zaměstnání a škodlivý kód maskuje za e-mailovou přílohu. Zaměřuje se proto na oddělení lidských zdrojů, kde je rozkliknutí příloh v e-mailech od potenciálních uchazečů nutností,“ podotkl Řeháček.

Nevyžádaná zpráva obsahuje krátkou zprávu od údajného uchazeče o zaměstnání a navíc ještě dvě přílohy. „První příloha je PDF obsahující průvodní dopis a tento soubor nemá žádný škodlivý obsah. Primárním účelem je uklidnit oběť a vyvolat falešný pocit bezpečí. Druhá příloha je excelový soubor s nebezpečnými makry. Obsahuje obraz květiny se slovem "Loading ..." a doprovodný text, který žádá oběť k povolení obsahu, což umožní spuštění makra,“ vysvětlil technické pozadí útoku bezpečnostní expert.

Výkupné neplatit

Problém nastává ve chvíli, kdy uživatel klikne na volbu "povolit obsah". „Spustí se kód uvnitř makra a začne proces zašifrování souborů a oběť k nim ztratí přístup. Jakmile jsou všechny soubory zašifrované, GoldenEye zobrazí žádost o výkupné,“ uvedl Řeháček.

Výkupné by ale lidé rozhodně platit neměli. Protože ani po odeslání peněz útočníkům se zpravidla ke svým datům nedostanou. Kyberzločinci jednoduše shrábnou peníze a už se neozvou.

Místo placení výkupného je nutné virus z počítače odinstalovat. Problém ale představují zašifrovaná data, ke kterým se většinou uživatelé už nedostanou.