O tom, jak mi všechno dokurvil virus

Už jsem tu dlouho neměl žádný text. Důvodem je, že se mi zavirovaly Wokna a všechno šlo do hajzlu.

Vlastně mě nejspíše dohnala karma, protože asi dva dny před tím jsme řešili internetové viry s Urzou a já jsem mu tvrdil, že dnes už viry nejsou tak běžné, jako v dobách, kdy jsme všichni používali Internet Explorer.

Všechno to začalo zhruba takhle – vlezl jsem do své složky s fotkama a všiml si, že se tam něco naprosto pokazilo. Místo fotek tam byly nějaké podivné soubory. Místo fotka1.jpg a fotka2.jpg bylo vše přejmenované na fotka1.jpg.xyzs a fotka2.jpg.evsd a tak dále.

Nejdříve jsem vůbec nechápal, co se vlastně děje, ale raději jsem aplikoval hard reset a nabootoval do safe mode. Po načtení winů tam na mě čekal malý textový soubor na ploše. V něm stálo, že mé soubory jsou zašifrované a dešifrovat je můžu jen pokud zaplatím výkupné.

A hle… párkrát jsem slyšel o počítačových virech ze skupiny ransomeware, které dovedou zašifrovat data a požadovat výkupné, ale bylo to pro mě něco jako kuriozita z televize a nečekal jsem, že se mě to může týkat. A hle… týkalo.

Onion link, který mi poskytli, vedl na web, kam můžete uploadnout .txt soubor, který obsahuje malý unikátní kód, díky kterému vás mohou identifikovat. Když ho načtete, dostanete možnost si rozšifrovat tři soubory, avšak jen obrázky a jen do velikosti 2 MB. To abyste věděli, že možnost dešifrování dat skutečně existuje. A až si to vyzkoušíte, vyzvou vás, abyste zaplatili 500 dollarů v Bitcoinech. Máte na to týden. Po týdnu se cena zdvojnásobí.

Inu, pozoruhodné.

Virus se jmenuje Maze Ransomware 2019 a využívá šifru jménem ChaCha.

Nejdříve jsem byl naštvaný, že jsem přišel o všechna data. Cca 1 TB dat. Nicméně po bližší analýze jsem zjistil, že jsem proces šifrování přerušil v půlce a měl jsem štěstí, protože to přežily moje fotky a hudba. Nepřežily to však moje videohry, ale to nevadí, neboť se dají snadno sehnat.

Nepřežily to také moje videa, které jsem různě natáčel na mobil, ale zachránila mě moje lenost. Mnohdy jsem byl velmi líný si tyhle soubory házet do PC přes drát, jelikož se mi nechtěl vytahovat ze skříně a zapojovat. Většinou jsem si ta videa prostě posílal do PC přes Telegram. A hle… všechny tyhle soubory v Telegramu zůstaly!

Plus další věci, které jsem měl zálohové všude možně. Ve výsledku tedy škody byly docela malé.

Uf! Takže poučení: když tohle začne, rychle aplikujte hard reset.

Mimochodem, některé antiviry neumí tuhle věc detekovat. Například Avast:

Pročetl jsem si několik analýz toho, jak se virus chová.

  1. Zašifruje všechna data za pomocí šifry jménem ChaCha.
  2. Vyblinká .txt soubor o tom, co se stalo do úplně každé složky v PC.
  3. Smaže všechny recovery points, abyste si nemohly obnovit systém.
  4. Vloží dva šmírovací soubory do Internet Exploreru a Firefoxu, pravděpodobně za účelem vytažení hesel popř. platebních údajů.
  5. Schová nějaký soubor do koše.
  6. Smaže shadow copies souborů, aby nešly obnovit.
  7. Změní některé registry tak, aby měl pod palcem master boot.

Skutečně tedy velice komplexní věcička.

Otázkou je, jak se dostal do PC? Inu, podle některých analýz se šíří buď přes bezpečnostní díry ve starších verzích Javy, Adobe FlashPlayeru, nebo Adobe Readeru. Naštěstí většina lidí si tyhle tři věci pravidelně updatuje, že ano? Nedávno jsem udělal malou anketu na Twitteru…

Oh! Wait!

Nutno podotknout, že virus se stále velice aktivně šíří. Poslední logy jsou staré cca 11 hodin.

Takže poučení? Aktualizujte si Adobe Reader, Javu a Flash Player.

A zálohujte! Zálohujte! Zálohujte!

Co říct na závěr? Je smutné, že tak úžasné technologie jako Bitcoin a šifry, jsou zneužívány tímto způsobem. Ale co se dá dělat? Internet je veliká divočina a člověk se musí umět sám ochránit. Nikdo to za něj neudělá (hlavně né stát, lol).

Možná si říkáte, co vlastně vede lidi k tomu vydělávat si takhle? Proč neinvestují svoje schopnosti prospěšnějším způsobem? Inu, podle jedné statistiky, co vypracoval Flash Point takoví hackeři vydělají cca 7500 dollarů, což je asi 200k KČ… za měsíc! A to už by jednoho donutilo odhodit své zábrany, co? Prolomit jejich šifry navíc trvá mnohdy řadu let… Výkupné jsem však nezaplatil, protože z principu jim nebudu financovat vývoj ještě lepších virů. To už radši obnovím vše ze záloh a fuck it.

2 Trackbacks and Pingbacks

Leave a Reply

Your email address will not be published. Required fields are marked *