Na nacionalnem centru za odzivanje na omrežne incidente SI-CERT prejemajo vrsto prijav zaradi izsiljevalskih virusov TeslaCrypt 3.0 in Locky. Najpogosteje se širita po elektronske pošte, prvi v ZIP priponkah, drugi v obliki lažnih računov, Word in Excel datotek, ki vsebujejo nevarne makro programe za namestitev virusa na računalnik.

Uporabniki naj bodo še posebej pozorni na elektronsko pošto pošiljateljev, ki jih sicer poznajo, a jim pišejo s čudnega naslova. Napadalci v zadnjih valih razpošiljanj okuženih datotek uporabljajo novo metodo: potvorijo elektronski naslov pošiljatelja in okuženo datoteko razpošljejo na dejanske naslove v imeniku. Tako je videti, kot da ste pošto prejeli od znanca, zelo je verjetno med prejemniki istega sporočila celo več naslovov ljudi, ki jih poznate. Ker sporočila tako delujejo bolj prepričljivo, tudi dosežejo večji namen. Ravno ‘verodostojnost’ sporočil je kriva, da si številni kar sami naklikajo izsiljevalski virus.

Virus ob odprtju priponke zašifrira vse dokumente, slike in druge datoteke - tudi na vseh dostopnih omrežnih diskih - nato pa se izbriše z računalnika. Za njim po datotečnih mapah ostane samo navodilo, kako plačate odkupnino v višini približno 250, 500 evrov. Plačilo boste morali izvesti v valuti bitcoin, ki je zaradi svoje kriptirane narave najbolj priljubljeno plačilno sredstvo pošiljateljev izsiljevalskega virusa. Po informacijah SI-CERT kriminalci po plačilu odkupnine res pošljejo ustrezni ključ, vendar vam tega ne more nihče zagotoviti. Torej ukrepate na lastno pest in po lastni presoji.

V Amisu opozarjajo, da so ogroženi predvsem uporabniki, ki imajo opravka z računi, pogodbami, dobavo blaga, saj so zadeve sporočil na primer "Copy of invoice" (kopija računa) oziroma "Rechnung" (račun), "contract questions" (vprašanja glede pogodbe), "Payment" (plačilo), "tracking documents" (dokumenti za sledenje pošiljke). "Besedilo v sporočilih prejemnika napeljuje, naj odpre pripeto datoteko, saj naj se v njej nahajal neplačan račun, pogodba ki jo je potrebno pregledati, račun za opravljene storitve ali poskeniran dokument."

Če prejemnik dokument odpre v Wordu ali Excelu, se prikaže nečitljiva vsebina in obvestilo, da je za branje besedila potrebno omogočiti izvajanje makro ukazov. Če uporabnik to omogoči, se z različnih spletnih naslovov prenesejo programi, ki zaklenejo dostop do datotek na disku in zahtevajo plačilo odkupnine. Uporabnikom elektronske pošte te dni svetujejo še posebno previdnost. "Naj ne odpirajo dokumentov, ki jih prejmejo po elektronski pošti, če jih ne pričakujejo. Še posebej pa naj ne omogočajo izvajanja makrojev."

Rešitev za žrtve virusa:

1. Če ste se že okužili in so datoteke zašifrirane, potem jih lahko obnovite iz varnostne kopije, če jo seveda imate. Sicer vam žal ostane le plačilo odkupnine.
2. V prihodnje naredite kopijo vaših datotek, ki jih ne bi želeli izgubiti. Samo kopiranje na omrežni pogon ni dovolj, lahko pa naredite kopijo na zunanji disk, ki ga nato odklopite. Če imate datoteke v oblačni storitvi, kot sta recimo Dropbox ali Google Drive, lahko povrnete posamične datoteke v prejšnje stanje, običajno za obdobje zadnjih 30 dni.

Primera okuženih elektronskih sporočil:

Ne smete zaupati niti pošti, ki zgleda, kot da ste jo prejeli od znanca. Na srečo lahko škodljiva sporočila prepoznate. V tem primeru se v priponki skriva TeslaCrypt 3.0.

Neplačan račun je v resnici virus!

Eden izmed virusov se širi pod pretvezo neplačanega računa. Če odprete Word datoteko in omogočite Macro, se bo na vaš računalnik prenesel izsiljevalski virus Locky. Ko se naloži na računalnik, se pojavi takšno obvestilo z navodilom, kako plačate odkupnino.