Útočník ho šíri slovenských používateľom a firmám falošnými mailovými správami z adresy zakaznicky-servis@financnasprava.digital, ktorá však nepatrí Finančnej správe.
Obeť navádza stiahnuť súbor „Elektronická komunikácia“ z falošného webu www.financnasprava.digital.
Po úspešnom spustení sa obeti zašifruje väčšina obsahu infikovaného zariadenia
a za jeho odšifrovanie žiada útočník približne 900 eur. Ide teda o typ
škodlivého kódu, ktorému sa hovorí ransomware. Z viacerých faktov vyplýva, že
autor tohto podvodu sa vyzná v slovenských reáliách, keďže cez oficiálny web financnej spravy sa môžu podávať daňové priznania online.
ESET tento
škodlivý kód deteguje pod menom MSIL/Filecoder.OwnHead.A. Spustí sa len na
operačnom systéme, ktorý používa .NET framework minimálne vo verzii 4.0 (dnes rozšírený
komponent Windows). Zašifrovaným súborom pridáva koncovku .ENCR. Skladá sa z dvoch súborov. Jeho prvá časť
začne postupne šifrovať všetky disky pripojené k infikovanému počítaču, aj externé,
ale vyhýba sa videám. Systémový disk šifruje tak, aby nenarušil funkciu
operačného systému. Druhá časť škodlivého kódu sa objaví po úspešnom ukončení
šifrovania. V češtine oznamuje, že obsah zariadenia je zašifrovaný a dostane sa
k nemu po zaplatení výpalného v digitálnej mene 0,8 Bitcoina, čo je aktuálne
okolo 900 eur.
Okrem mena
Finančnej správy zneužíva tento škodlivý kód aj meno spoločnosti ESET, falošný
web totiž obsahoval logo služby ESET Virus Radar. Táto služba však neposkytuje
overenie obsahu webovej stránky.
