Vírusový radar: Ransomvér sa prezliekol za daňových úradníkov

O ransomvéri tu vo Vírusovom radare píšeme často. Táto kybernetická hrozba za minulý rok napáchala podľa FBI škody za miliardu dolárov, a to len na zaplatenom výkupnom. Pre mnohých však bol tento typ malvéru len vzdialenou hrozbou, ktorá sa Slovákov zatiaľ veľmi netýka. Nie je to tak a nedávny prípad to opäť len potvrdil.

Práve v čase, keď väčšina ľudí rieši a vypĺňa svoje daňové priznanie, totiž útočníci vytvorili falošný web Finančnej správy Slovenskej republiky, cez ktorý sa snažili nakaziť svoje obete výpalníckym škodlivým kódom. Na tento jav upozornila sama organizácia, za ktorú sa hackeri vydávali.

Link na túto stránku šírili útočníci falošnými e-mailovými správami z adresy zakaznicky-servis@financnasprava.digital, ktorá však nepatrila štátnej inštitúcii. Správa naviedla obeť na stiahnutie spustiteľného súboru s názvom Elektronická komunikácia z falošného webu www.financnasprava.digital, ktorý takisto nie je spravovaný Finančnou správou.

Po úspešnom spustení malvér zašifroval obeti väčšinu obsahu na zariadení a za odšifrovanie žiadal 0,8 bitcoinu, čo je pri jeho súčasnej hodnote približne 900 eur. Z viacerých detailov pritom vyplýva, že autor podvodu sa veľmi dobre orientuje v slovenských reáliách.

Ako kontaktnú e-mailový adresu si totiž útočník vybral vlastnou.hlavou@mailfence.com, čo je zrejme narážka na „hlas podobný Robertovi Ficovi“. Ten na uniknutej nahrávke medializovanej v roku 2010 vysvetľuje, ako strane zabezpečil peniaze „vlastnou hlavou“.

Škodlivá stránka niekoľko hodín po upozornení Finančnej správy prestala fungovať, obsahovala však ďalší obrázok, v ktorom autor uvádza: „Za riadne odvedenie dane vám ďakujú: vlastnou hlavou, Kaliho nos, klinika Kostka, teta Anka, dlh VšZP, Váhostav, Vila Bonaparte, Slovenské predsedníctvo a iné. Prispejte aj tento rok, aby bolo z čoho kradnúť.“ Paradoxné je, že útočník sám robil to, na čo upozorňuje návštevníkov webu, teda okrádal svoje obete.

Okrem mena Finančnej správy zneužíva tento škodlivý kód aj meno spoločnosti ESET, pretože falošný web obsahoval logo služby ESET Virus Radar. Táto služba však neposkytuje overenie obsahu webovej stránky a takéto overenie ESET ani neponúka.

ESET tento škodlivý kód deteguje pod menom MSIL/Filecoder.OwnHead.A. Spustí sa len na operačnom systéme, ktorý používa .NET framework minimálne vo verzii 4.0. V súčasnosti však ide už o rozšírený komponent operačného systému Windows. Zašifrovaným súborom pridáva koncovku .ENCR.

Pripomeňme si na záver opatrenia, ktoré vás môžu pred ransomvérom účinne ochrániť.

Aktualizujte si operačný systém a všetky aplikácie či programy, ktoré používate. Nainštalujte si najnovšiu verziu spoľahlivého bezpečnostného softvéru s aktualizovanou vírusovou databázou. Pravidelne si zálohujte obsah svojho zariadenia, aby ste ho vedeli ľahko obnoviť aj v prípade, že sa v budúcnosti stanete obeťou podobného útoku. Vhodný na tento účel je externý disk alebo iné úložisko, ktoré nie je neustále pripojené do siete.

Firmy by okrem toho mali takisto školiť svojich zamestnancov, aby dokázali rozoznať podozrivé a nebezpečné e-maily, vydávajúce sa za životopis alebo faktúru, ktoré môžu šíriť ransomvér. IT oddelenie by malo aj testovať zálohy, aby boli v prípade útoku naozaj funkčné a užitočné.