Zákeřná Karmen: Tento ransomware by dokázala ovládat i vaše babička

  • Jak složité je spustit ransomwarovou kampaň?
  • Karmen spíše než malware připomíná CRM systém
  • Ve webovém rozhraní se vyzná každý

Nejzákeřnějším typem virů je bez diskuze ransomware. Na rozdíl od obvyklého malwaru, který bude skrze váš počítač rozesílat spamy nebo se třeba pokoušet těžit bitcoiny, ale je v jeho zájmu, abyste jej vůbec neobjevili, ransomwaru si všimnete okamžitě. V tu chvíli je však už zpravidla pozdě.

Ransomware totiž šifruje data oběti a poté vyžaduje výkupné. Jedinou spolehlivou obranou je tedy záloha všech osobních dokumentů a citlivých dat.

Zlaté oko

Na začátku roku jsme se na jeden takový ransomware podívali pod drobnohledem. Jednalo se o jednu z mnoha variant viru Petya, který zašifroval celý systémový oddíl počítače, takže po restartu se již nenahrály Windows, ale maličký program uložený na začátku pevného disku, který jen oznámil, že jste obětí útoku, a pokud nezaplatíte výkupné okolo 1,3 BTC (aktuálně 42 tis. Kč), naprosto o vše přijdete.

Klepněte pro větší obrázek
Dobrý den, zašifrovali jsme Vám počítač. Pošlete nám bitcoin a užijte si zbytek dne

Zimní ransomware Petya/GoldenEye se vydával za falešný životopis jistého Rolfa Dreschera, který se šířil jako XLS příloha e-mailu, cílil tedy na nepozorné personalisty, kteří v naději nového špičkového zaměstnance mohli zapomenout na základní bezpečnostní poučky.

Jmenuji se Karmen, zašifruji vám soubory a vy mi zaplatíte

Uběhlo pár měsíců a tentokrát se se zajímavým úlovkem pochlubili zase specialisté z Recorded Future. Zmapovali totiž novou modifikaci ransomwaru, který si říká Karmen a nejspíše se inspiroval ve studijním open-source „ransomawaru“ Hidden Tear, jehož kód najdete na GitHubu.

Klepněte pro větší obrázek
Na undergroundových tržištích se objevil nový ransomware Karmen

Karmen není zdánlivě tak nebezpečný jako Petya, šifruje totiž pouze uživatelské soubory, ke kterým má práva. V podstatě jej tedy musíte sami spustit a ke všemu k běhu vyžaduje nainstalovaný .NET Framework.

Jenže to vlastně stačí. Ransomware nepotřebuje šifrovat systémové soubory. Proč by to dělal? Vždyť ty nemají žádnou cenu. Jeho cílem je vaše unikátní složka v C:\Users, na které se po spuštění okamžitě vyřádí a dle rychlosti disku a velikosti dat zničí soubor po souboru dostatečně silnou šifrou AES-256.

Video: Takhle útočí ransomware

Oběť to záhy pozná, soubory totiž budou mít novou příponu GRT a také ikonu. Co se stane, ilustruje video níže, které vytvořili přímo autoři viru. Nejprve tedy uvidíte několik oken Průzkumníku a v něm běžné soubory, které autor videa otevře, aby bylo zřejmé, že jsou zcela v pořádku.

Poté autor videa spustí samotný virus a ten okamžitě začne soubory šifrovat. Na obrazovce se zároveň zobrazí zpráva o útoku a varování, aby se oběť o nic nepokoušela, protože by mohla o data nenávratně přijít. Obsah souborů při další zkoušce už samozřejmě neodpovídá těm původním.

Samotný ransomware se zároveň snaží detekovat, jestli neběží v sandboxu (třeba na virtuálním počítači antivirové firmy). V takovém případě okamžitě smaže program pro dešifrování, aby analytik nemohl snadno zjistit, jak v nitru funguje.

Karmen by ovládla i vaše babička

Na Karmen je ale nejzajímavější něco úplně jiného. Nikoliv virus samotný, ale ekosystém okolo. Správa ransomwarové kampaně je totiž zjevně naprosto jednoduchá. Zdaleka nejtěžším kouskem je tedy v tomto případě dostat se vůbec do některého s ruských undergroundových fór a Karmen si koupit.

Klepněte pro větší obrázek
Správa ransomwarové kampaně Karmen. V dashboardu vidím počet nakažených klientů, počet těch, kteří už zaplatili a celkovou částku. (Zdroj: Recorded Future)

Pokud se to útočníkovi podaří a samotný virus dopraví k oběti (třeba opět skrze poštovní přílohu), stačí spustit webové rozhraní Karmen, které funguje jako jakési CRM. Toto ale nevyvinul SAP a jemu podobní, ale zjevně pár znuděných ruských studentů, kteří si chtějí vydělat na vodku a chléb.

Klient tedy bude moci v prohlížeči sledovat, jak mu naskakují noví a noví zákazníci a jestli už zaplatili správní poplatek v bitcoinech, který jim může dynamicky nastavovat. Po úspěšné platbě se pak automaticky aktivuje příkaz k dešifrování. Tedy pokud mezi tím ransomwarová kampaň neskončila. Platba útočníkovi je tedy vždy ošemetná. Virus se sice může dál samovolně šířit, ale spojení na vzdálený server, kde to vše někdo ovládá, už dávno nemusí existovat. A hlavně, uskutečněná platba pouze a jen motivuje další případné ransomwarové útočníky.

Klepněte pro větší obrázek
Seznam jednotlivých nakažených klientů a jejich aktuální stav (Zdroj: Recorded Future)

A co tedy dělat, aby se Karmen neobjevila i u vás na počítači? Polovinou úspěchu je racionální chování na internetu a tou druhou pak řádně zabezpečený počítač. A jak radí specialisté z Recorded Future, pokud narazíte na soubory níže, raději je hned smažte (a ne, opravdu je neposílejte svým nadřízeným).

  • joise.exe (MD5 checksum: 9c8fc334a1dc660609f30c077431b547)
  • n_karmen.exe (MD5 checksum: 56b66af869248749b2f445be8f9f4a9d)
  • build.exe (MD5 checksum: 521983cb92cc0b424e58aff11ae9380b)

Témata článku: Software, Web, Bezpečnost, Malware, Šifrování, Rusko, Ransomware, Petya, Viry, Dok, Hidden, GitHub, Výkupné, Webové rozhraní, Vodka, AES, Babička, Rolf, Nový ransomware, Future, Oběť, Složka, Zákeřný ransomware, Nejzákeřnější malware

25 komentářů

Nejnovější komentáře

  • dolph1888 24. 4. 2017 16:43:19
    Proti něčemu podobnému znám 100% ochranu, kterou využívám již mnoho let....
  • Vítězslav Novotný 24. 4. 2017 11:25:13
    Sám jsem se s pár napadenímy počítači už setkal. Problém je že některé...
  • Nedos. 24. 4. 2017 8:17:04
    A co na to antiviry? Kolik uz jsem videl napadenych pocitacu a antivirus,...
Určitě si přečtěte

Země se jenom o vlásek vyhnula věčnému zmrznutí

Země se jenom o vlásek vyhnula věčnému zmrznutí

** Země po většinu doby své existence zmrzlá rozhodně nebyla ** Podle nového výzkumu tomu však unikla jen o vlásek ** Kdyby totiž byla jenom o 15 procent dále od Slunce, tak by prý kompletně celá zamrzla

20.  9.  2017 | Stanislav Mihulka | 9

Hacknutý CCleaner je mnohem zákeřnější, než se zdálo. Update na novou verzi nestačí, proveďte obnovu systému

Hacknutý CCleaner je mnohem zákeřnější, než se zdálo. Update na novou verzi nestačí, proveďte obnovu systému

** Chyba v CCleaneru je závažnější, než se zdálo ** Update na novou verzi nemusí stačit ** Přinášíme detaily

21.  9.  2017 | Stanislav Janů | 61

Americká armáda si pořizuje nové švédské pancéřovky Carl Gustav

Americká armáda si pořizuje nové švédské pancéřovky Carl Gustav

** Pancéřovky Carl Gustav jsou přenosné bezzákluzové protipancéřové zbraně ráže 84 mm se sofistikovanou optikou ** Jejich první verze byla vyrobena již v roce 1946 ** Mj. si je oblíbili i v americké armadě

21.  9.  2017 | Stanislav Mihulka

CCleaner obsahuje softwarovou havěť! Tvůrcům se do kódu dostali hackeři

CCleaner obsahuje softwarovou havěť! Tvůrcům se do kódu dostali hackeři

** Masově oblíbený program pro softwarovou očistu Windows ovládli hackeři ** Narušení se podařilo zavčas odhalit, unikla jen data o počítačích uživatelů ** Je paradoxní, že CCleaner byl slabě zabezpečen, když jej letos koupil Avast

18.  9.  2017 | David Polesný | 46

CCleaner: Ještě větší průšvih, než jsme si mysleli

CCleaner: Ještě větší průšvih, než jsme si mysleli

** Nejprve to vypadalo jako vážný, ale jen izolovaný problém ** Pak se to nafouklo do obřích rozměrů ** CCLeaner má problém a Avast ostudu

23.  9.  2017 | Jakub Čížek | 24


Aktuální číslo časopisu Computer

Vyplatí se ještě těžit kryptoměny?

Velký test studentských notebooků

Test pěti levných soundbarů

Nejlepší chytré hodinky