5. Škodlivé soubory

Možná vás překvapí, že nebezpečný může být i soubor Word nebo Excel. Zde zjistíte, jak je útočníci umí zneužívat.

Stalo se?

Radkovi je 44 let a pracuje jako účetní blíže neurčeného finančního úřadu. Zpracovává desítky podkladů, které mu přichází e-mailem. Nejčastěji v podobě tabulek v Excelu. Když otevřel jednu z tabulek, objevila se výzva, aby povolil tzv. makra. U výzvy bylo uvedeno, že makra zajistí správné fungování vzorců. Protože Radek zná Excel dobře, hláška ho nepřekvapila a makra povolil. Následně se mu zpomalil počítač. Ale protože byl počítač starší, nepřikládal tomu váhu. Rozhodl se, že když technika stávkuje, odejde dřív a práci dodělá ráno. Ráno se však nespustily účetní systémy, se kterými běžně pracuje. Po příchodu kolegů zjistil, že v tom není sám. Při odstraňování problému se zjistilo, že za vším stálo povolené makro.

Škodlivé soubory

Škodlivé soubory odeslané v příloze e-mailu jsou oblíbeným trikem útočníků. Protože uživatelé zpracovávají přílohy jako na běžícím pásu, útočníkům se leckdy poštěstí, že někdo jejich škodlivý soubor stáhne a otevře. Nejhorší bývají tzv. spustitelné soubory. Snad nejznámější spustitelný soubor mívá příponu .exe. Nutno zmínit, že spustitelné soubory nejsou samy o sobě špatné. Slouží třeba pro instalaci programů do počítače. Útočníci je ale umí zneužívat. Připraví spustitelný soubor, uživatel ho otevře a tím nainstaluje škodlivý program do svého zařízení. V zaměstnání bývá zvykem, že běžní uživatelé tyto soubory spouštět nemohou, nemají k tomu oprávnění. V ideálním případě by se k nám takový soubor neměl přes filtry vůbec dostat. Občas ale i takový soubor pronikne.

Maskování škodlivých souborů

Aby útočníci zvýšili pravděpodobnost, že uživatel škodlivý soubor otevře a spustí, maskují ho. Může být ukryt třeba v archivu, který umí zabalit více souborů do jednoho. Archivy mívají nejčastěji přípony .rar nebo .zip, například faktura.zip. Znovu platí, že archivy nejsou samy o sobě špatné, ale jako uživatelé bychom k nim měli přistupovat s rozvahou. Může se tam ukrývat černý Petr, třeba faktura.exe. A nemusí to být na první pohled patrné. Přípony se totiž dají také různě schovávat. To znamená, že vidíme soubor obrazek.jpg, ale ve skutečnosti je to skodlivysoubor.exe.

null
Ilustrační obrázek ukazuje škodlivý spustitelný soubor, který se maskuje příponou obrázku. (1. část).
Zdroj: support.zcu.cz/index.php/Skrývání_přípon_v_systémech_Windows

null
Ilustrační obrázek, který ukazuje škodlivý spustitelný soubor, který se maskuje příponou obrázku. (2. část).
Zdroj: support.zcu.cz/index.php/Skrývání_přípon_v_systémech_Windows

Makra

Uživatelé bývají překvapeni, že nebezpečné mohou být i soubory z balíčku Microsoft Office jako zmíněný Excel, Word nebo PowerPoint. Podle dostupných dat z České republiky tyto soubory umí napáchat paseku. Především v případě, kdy jako uživatelé povolíme spuštění tzv. makra. Makra jsou pokročilé sady pravidel, které si můžeme vytvořit, aby za nás vykonávaly opakující se úkony. Opět platí, že sama o sobě nejsou špatná. A opět také platí, že je útočnici umí zneužít. Mohou makru říct: „Stáhni z tohoto odkazu tento škodlivý soubor, počkej v úkrytu na tohle, a pak vykonej tohle.“ I proto se Microsoft rozhodl, že makra v základním nastavení vypne a uživatel je musí sám povolit. Pokud dobře neznáte historii souboru, který vyžaduje povolení makra, nepovolujte ho. Na obrázcích níže si všimněte, že soubory s makrem mají příponu .docm, bez makra .docx, podobně tu funguje i u Excelu nebo PowerPointu. „M“ jako „makro“.

null
Ilustrační obrázek lišty chráněného zobrazení.
Zdroj: servis.eset.cz/knowledgebase/article/View/596/0/jak-zabranit-spoustni-maker-v-dokumentech-stazenych-z-internetu

null
Ilustrační obrázek lišty, která umožňuje povolení a spuštění makra.
Zdroj: servis.eset.cz/knowledgebase/article/View/596/0/jak-zabranit-spoustni-maker-v-dokumentech-stazenych-z-internetu

Ransomware

Škodlivé soubory mohou nést a spouštět škodlivé programy. Ransomware je škodlivý program, který zašifruje data, soubory, nebo celé systémy, aby k nim uživatelé ani administrátoři neměli přístup. Poté vyžaduje výkupné za dešifrování. O výkupné si ransomware zpravidla řekne v momentě, kdy už nic nefunguje. Pokud se jedná o firmu nebo nemocnici, dostane se pod obrovský tlak. Představte si, že nefunguje ani rentgen, jde o lidské životy a zaplacení výkupného se jeví jako nejrychlejší řešení. Obecně se ale doporučuje výkupné neplatit. Jak se k běžnému uživateli takový škodlivý program dostane? Třeba jako soubor v příloze e-mailu nebo na „flešce“. Pokud takový soubor naneštěstí otevřeme a podaří se nám ransomware rozpoznat, jediná použitelná rada je okamžitě celé zařízení vypnout nebo ho vypojit přímo ze zásuvky.

Proč se doporučuje výkupné neplatit?

Dříve útočníci zvyšovali motivaci k zaplacení výkupného příslibem, že po zaplacení vše dešifrují. Byla to „etiketa“ útočníků, kteří po zaplacení výkupného často poskytli dešifrovací klíče. Dělali to mj. právě proto, aby se vědělo, že platit výkupné má smysl. Jenže této „etikety“ se nedrží všichni útočníci, takže se obecně začalo doporučovat výkupné neplatit, ale požádat o pomoc renomované odborníky a zaplatit raději jim. Proto nastoupilo víceúrovňové vydírání, třeba výhružkami zveřejnění všech dat. Například zdravotních dokumentací. Na černém trhu dokonce existují i služby „RaaS“, Ransomware as a Service, které si je možné koupit za pár desítek dolarů. Využívá se to například pro konkurenční boj.

Existují nějaká preventivní opatření před ransomwarem?

Bezpečnostní komunita se shoduje, že účinnou prevencí před ransomwarem je pravidelné, nejlépe zautomatizované, zálohování. Pokud máme důležité soubory uložené ještě mimo zařízení, abychom je v případě potřeby mohli obnovit, máme eso v rukávu. Nezapomeňte však zálohy čas od času vyzkoušet, aby se v případě potřeby nezjistilo, že jsou nefunkční.

null
Ilustrační obrázek ukazuje, jak vypadá obrazovka ransomware, která žádá o výkupné.
Zdroj: bankinfosecurity.com/blogs/avaddon-ransomware-operation-call-quits-releases-keys-p-3057

Tahák do kapsy

1. Škodlivé soubory	2. Maskování souborů	3. Škodlivá makra	4. Ransomware
Škodlivé soubory typicky spouští škodlivé programy, které dokážou poškodit naše zařízení nebo systém. Útočníci je rádi šíří v příloze e-mailu nebo pomocí internetových úložišť.	Aby útočníci uživatele zmátli, škodlivé soubory maskují. Třeba jako fakturu nebo jiný důležitý dokument, jako jako jeden z mnoha souborů v archivu typu .rar nebo .zip, případně kamuflují přípony souborů.	Pro uživatele bývá překvapení, že škodlivý soubor může být také soubor Excel, Word či PowerPoint. Útočníci v nich umí připravit škodlivá makra, sadu pokročilých pravidel, která útok dokážou zahájit.	Obávaný škodlivý program, který uživatele může zaskočit třeba právě kvůli makru, je ransomware. Dokáže zašifrovat soubory nebo celé systémy, které se pak jen obtížně obnovují.

Virtuální prohlídka

Soubor cookie	Životnost	Popis
cookielawinfo-checkbox-advertisement	1 year	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se marketingových cookies.
cookielawinfo-checkbox-analytics	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se statistických cookies.
cookielawinfo-checkbox-functional	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se funkčních cookies.
cookielawinfo-checkbox-necessary	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se nezbytných cookies.
mdocs-f23d4887cc59eaf5d74998a5389151af	session	No description
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
qtrans_front_language	1 year	This cookie is set by qTranslate WordPress plugin. The cookie is used to manage the preferred language of the visitor.
viewed_cookie_policy	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie slouží k ukládání informace o tom, zda uživatel souhlasil s používáním souborů cookie. Neukládá žádná osobní data.

Soubor cookie	Životnost	Popis
_dc_gtm_UA-120672567-6	1 minute	No description
_dc_gtm_UA-120672567-7	1 minute	No description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_1HP1PTTJR4	2 years	This cookie is installed by Google Analytics.
_gat_UA-120672567-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
sid	1 month	The sid cookie contains digitally signed and encrypted records of a user’s Google account ID and most recent sign-in time.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Soubor cookie	Životnost	Popis
_fbp	3 months	Tento soubor cookie je nastaven prostřednictvím nástroje Facebook Pixel. Může sloužit k zobrazení naší reklamy prostřednictvím sociálních sítí Facebook a Instagram společnosti Meta.
fr	3 months	Tento soubor cookie umožňuje zobrazovat uživatelům relevantní reklamy na základě jejich aktivit na webech využívajících Facebook Pixel společnosti Meta.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Univerzita Tomáše Bati ve Zlíně