Pro ty, co čekají až se jejich „rezervace Windows 10“ promění v nabídku aktualizace ve Windows Update, to může být docela lákavé – v mailu dostanou něco, co vypadá jako e-mail od Microsoftu informující o tom, že se dočkali. Pokud ovšem budou pokračovat podle pokynů v mailu, dostane se do jejich počítače zpravidla ransomware. Tedy virus, který nevydá obsah počítače, dokud nezaplatí výkupné.
E-maily navíc „vypadají“ dost podobně, jako aktuálně používaný vizuální styl Microsoftu. Jak ale uvádí Cisco v Your Files Are Encrypted with a “Windows 10 Upgrade” pozornější příjemce by si mohl všimnout chyb v textu. Pro případné uklidnění příjemců nechybí ani obligátní informace o tom, že e-mail byl zkontrolován antivirovým programem – což je něco, co stále některé antivirové programy dělají, ačkoliv už prakticky celé desetiletí víme, že to byl jeden z nejzásadnějších omylů a tvůrci virů šířených e-mailem toto rádi využívají.
Výsledkem e-mailu je stažení ZIPu, v němž se skrývá klasické EXE – nic nového, ale přesto jde o poměrně úspěšnou taktiku. Výsledkem spuštění je zobrazení opravdu kreativní barevné zprávy o tom, že soubory jsou šifrovány přes CTB-LOCKER doprovázené časovým limitem 96 hodin, po které všechny soubory budou zašifrovány nenávratně.
Na CTB-Lockeru v tomto případě je zajímavá řada věcí – používání RSA asymetrického šifrování, využití C2 (Command and Control, ovládací sítě) založeného na hacknutých webech s WordPressem a poměrně značný objem síťové komunikace. Samotná komunikace s řídícími servery probíhá přes port 21, tedy port vyhrazený pro FTP a velmi pravděpodobně tedy průchozí přes případný firewall.
ČLÁNKY DO MAILU