Toto je trochu podivný příběh. Žil, byl jeden zlý Hax0r, který připravil nový ransomware a pravděpodobně pomocí exploit kitů, ačkoliv se spekuluje i o kompromitovaných instalačních souborech Minecraftu, infikoval počítače nic netušících uživatelů. Ti o problémech svých počítačů neměli ani zdání a to až do půlnoci 25. května tohoto roku, kdy se ransomware, pojmenovaný svým tvůrcem Locker, jal šifrovat jejich důležité soubory s koncovkami .doc, .docx, .xlsx, .ppt, .wmdb, .ai, .jpg, .psd, .nef, .odf, .raw, .pem, .rtf, .raf, .dbf, .header, .wmdb, .odb, .dbf a řadou dalších. Pokud chtěl uživatel svá data zpět, musel zaplatit poplatek ve výši 0.1 bitcoinu. Pokud tak neučinil do 72 hodin, byl poplatek navýšen na 1bitcoin.
Není známo, kolik uživatelů poplatek zaplatilo. Nicméně údajný autor tohoto malware vydal 30. května na serveru pastebin omluvný text, ve kterém mimo jiné píše, že to vlastně nikdy udělat nechtěl. Kromě toho publikoval údajně kompletní databázi privátních klíčů používaných tímto ransomware. Navrch přidal slib, že uživatelům, kteří dosud samotný ransomware z počítače neodstranili, budou 2. června automaticky dešifrovány všechny zašifrované soubory. To se podle informací od samotných uživatelů také stalo. Po dešifrování se pak ještě objevil omluvný text a vzkaz „Be good to the world and don't forget to smile.“
Avšak ani uživatelé, kteří již infekci odstranili, nejsou ztraceni. Uživatel s přezdívkou Nathan vytvořil, s pomocí autorem zveřejněné databáze klíčů, nástroj pro opětovné dešifrování souborů.
Jedinou nezodpovězenou otázkou v tomto příběhu zůstává, proč se autor ransomware k tomuto kroku odhodlal. Spekulace se různí, někteří se domnívají, že už získal dost peněz, nebo že se tímto krokem chce vyhnout dopadení ze strany vyšetřovatelů či jiného zločineckého gangu. Dost možná si někdo pouze testoval, co dokáže. Každopádně je to dost neobvyklý příběh, pro mnoho uživatelů naštěstí s dobrým koncem.
Naše postřehy
Minulý týden přineslo několik serverů informaci o konferenci Hack In The Box v Amsterdamu, na níž byl prezentován údajný útok provedený pouze s pomocí obrázku. V prezentaci pojmenované „Stegosploit: Hacking With Pictures“ prezentoval její autor novou techniku, která údajně umožňuje skrýt „nebezpečný kód“ do obrázku a následně jej pomocí HTML5 elementu Canvas spustit. Jak nicméně upozornil Christian Bundy, vše je možná jinak. Při útoku byl spouštěn pouze javascript, což na celou věc vrhá úplně jiné světlo. Jak to celé je, to se nejspíš s jistotou dozvíme teprve, až bude zveřejněn proof-of-concept.
V USA došlo k úniku informací o čtyřech milionech federálních zaměstnanců. Na útok se přišlo již v dubnu, ale veřejnost o něm byla informována až v uplynulém týdnu. Zajímavé je, že USA celkem bez skrupulí označili za pravděpodobného původce incidentu Čínu, což by buď naznačovalo, že mají opravdu silné důkazy, nebo že kolem celé události a jejího vyšetřování panuje trochu chaos. Otázkou je, k čemu všemu bude možné data zneužít, zda například k vydírání státních zaměstnanců cizími mocnostmi, jak spekulují některá média, či třeba k spear phishingovým útokům.
V posledním díle postřehů jsme informovali o chybě v IOS, díky které bylo možné restartovat zařízení na dálku posláním určitých arabských znaků. Minulý týden bylo pro změnu v aplikaci Skype hitem zasílání zpráv obsahujících znaky „http://:“, které u příjemce způsobily nekonečnou smyčku pádů této aplikace. Nepomáhalo ani smazání historie zpráv, neboť Skype si zprávu po přihlášení znovu načetl ze serveru.
Nový podvod na Facebooku vyhrožuje vypnutím účtu kvůli údajné stížnosti na jeho zneužití. Ke zprávě je připojen odkaz na stránku, která má umožnit obnovení účtu. Tam je uživatel vyzván k zadání jména a hesla a následně je ještě přesměrován na stránku vyžadující jeho jméno, detaily platební karty a fakturační adresu. Nejedná se o jediný problém uživatelů Facebooku oznámený minulý týden. Aplikace „UnfriendAlert“, která má informovat uživatele, pokud si jej někdo odebere z přátel, odesílá podle analýzy společnosti Malwarebytes přihlašovací údaje k uživatelskému účtu na server yougotunfriended.com.
Společnost Facebook oznámila, že bude nově posílat citlivá data, jako jsou e-mail s odkazem na resetování hesla nebo jiné notifikace, šifrované pomocí PGP klíčů. Pokud si tedy toto šifrování nastavíte, nebude potenciální útočník schopen získat přístup do vašeho facebookového účtu ani v případě, že se mu podaří získat přístup do vaší e-mailové schránky.
Jednou těžko uvěřitelnou zprávou jsme dnes začali, tak proč se ve stejném duchu i nerozloučit. Věřte či ne, ale příští verze Windows PowerShell přinese do Windows klienta i server OpenSSH.
Ve zkratce
- Únos WhatsApp účtu jednoduchým trikem
- Jak předejít krádeži domény
- 1 ze 4 PC v UK je infikováno
- Evil Wi-Fi captive portál může ohrozit uživatele iOSu
- MicroSD karta má v sobě celý počítač
- Nová vlna Ransomware pro Android
- Android M umožní uživatelům lepší kontrolu soukromí
- 0-day zranitelnost Apple umožňuje rootkit injection
- Útočníci začali využívat zranitelnost aplikace MacKeeper
Pro pobavení
Tohle turné si nenechte ujít. VIP místa jsou k dispozici pouze pro administrátory.
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
