Ilustrační obrázek: AVAST/ČTK
V České republice právě probíhá masivní emailová kampaň, jejímž cílem je podvodný zisk finančních prostředků. Mnoho našich uživatelů dostalo emailovou zprávu, která vypadá zhruba takto:
Podle zpráv, které jsme měli možnost analyzovat, byly tyto emaily odeslány přes zahraniční servery (Rusko, Itálie). Odesílatel v nich oznamuje příjemci, že na základě uzavřené smlouvy mezi oběma stranami eviduje pohledávku a požaduje její uhrazení do určitého data a v případě neuhrazení hrozí právním postihem.
Výše částek se dle našich informací pohybuje mezi 6 až 10 tisíci Kč. Jméno a emailová adresa odesílatele se mění, stejně jako kontaktní telefon. Emailové adresy jsou podvržené, stejně jako telefonní čísla, která jsou smyšlená, ale kvůli platnému formátu je možné, že se dovoláte nic netušícímu člověku.
Zpráva obsahuje spustitelný soubor zabalený v archivu ZIP, který po spuštění zobrazí fiktivní smouvu a stáhne další soubor obsahující druhotnou infekci. Stažený soubor nahrává škodlivý kód do aplikace winver, která je standardní součástí Windows a která následně napadá i explorer.exe. Své binární soubory uchovává ve složce %APPLICATION_DATA%\brothel\ a přidává i odkaz do registrů, který provede spuštění aplikace vždy při startu systému HKCU\Software\Microsoft\Windows\CurrentVersion\Run\brothel. Infekce cílí na 3 majoritní internetové prohlížeče (Internet Explorer, Chrome a Firefox), ze kterých pak získává zneužitelné informace.
V případě, že jste infikovanou přílohu spustili, následující kroky Vám pomohou infekci odstranit:
- Nastartujte PC v nouzovém režimu
- Smažte složku brothel, která se nachází ve ve Windows XP zde: C:\Documents and Setting\<uzivatelske jmeno>\Application Data\brothela ve Windows Vista a novějších zde: C:\Users\<uzivatelske jmeno>\AppData\Roaming\brothel
- Smažte registrový klíč HKCU\Software\Microsoft\Windows\CurrentVersion\Run\brothel
- Restartujte PC
O této hrozbě včera informovalo několik online médií (např. Lupa.cz, Roumen.cz). Přestože se vyskytovaly informace, že AVAST tuto hrozbu nedetekuje, naši uživatelé byli chráněni díky proaktivnímu nástroji DeepScreen, který analyzuje chování podezřelých souborů za běhu. Protože DeepScreen funguje až v okamžiku spuštění souboru, jeho výsledky se bohužel nezobrazují na serverech, které skenují soubory pomocí všech dostupných antivirových programů (např. virustotal.com)
V průběhu dne jsme na základě telemetrických dat vytvořili několik automatických detekcí (v cloudu, tak mimo něj), které nakažené soubory odhalí i v případě, že nejsou spuštěny. Následovalo detailní prozkoumání všech infikovaných souborů našimi analytiky, kteří vytvořili cílené detekce a navíc ze souborů získlali a zablokovali internetové adresy, ze kterých je stahována druhotná infekce. Naši uživatelé jsou tedy v bezpečí.
Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky a probíhající soutěže, sledujte nás také na Facebooku, Twitteru, Google+, Instagramu a Pinterestu. Podnikatelé – podívejte se na naše firemní produkty.