Na SI-CERT smo v letu 2023 začeli z obveščanjem operaterjev elektronskih komunikacij o okuženih napravah naročnikov njihovih storitev. Podatke nam pošljejo partnerske organizacije, ki z različnimi metodami pridobijo podatke o okuženih sistemih in jih posredujejo nacionalnim odzivnim centrom po različnih državah. Podatke pošiljamo operaterjem enkrat tedensko, operaterje pa prosimo, da na podlagi prejetih podatkov identificirajo uporabnike okuženih sistemov in jih obvestijo o zlorabi.

Primer podatkov, ki jih posredujemo operaterjem (podatki so delno zakriti):

"cas_zaznave","izvorni_ip","ponorni_ip","ponorna_vrata","http_gostitelj","asn","tip_okuzbe"
"2023-12-07T23:45:04+00:00","95.176.xxx.xxx","195.201.xxx.xxx","80","ytxxx.com","5603","vipersoftx"
"2023-12-07T21:18:57+00:00","109.182.xxx.xxx","34.29.xxx.xxx","80","bdxxx.cc","5603","socks5systemz"
"2023-12-07T20:45:01+00:00","109.182.xxx.xxx","184.105.xxx.xxx","80","disordexxx.ru","5603","andromeda"
"2023-12-07T18:56:59+00:00","89.143.xxx.xxx","195.201.xxx.xxx","443","","5603","pseudo_manuscrypt"

Opis polj:

• cas_zaznave: točen čas povezave okuženega sistema na nadzorni strežnik. Podatek je v UTC časovnem pasu (za lokalni čas je potrebno pozimi prišteti eno uro, poleti pa dve)
• izvorni_ip: javni IP naslov okuženega sistema (v večini primerov gre za javni naslov, ki je bil dodeljen naročniku s strani operaterja v času zaznave okužbe)
• ponorni_ip: IP naslov strežnika, kamor se povezuje virus, in na katerem so bili zajeti podatki
• ponorna_vrata: TCP vrata ponornega strežnika
• http_gostitelj: domena, na katero se povezuje virus (ustreza ponornem IP naslovu). Če se virus povezuje neposredno na IP naslov, je ta podatek prazen
• asn: številka avtonomnega sistema operaterja elektronskih komunikacij
• tip_okuzbe: ime virusa oz. vrsta okužbe

Priporočeni ukrepi na strani operaterja

Operaterje prosimo, da iz poslanih podatkov identificirajo naročnike, pri katerih so zaznane okužbe. Glede na raven storitev, ki jih imajo naročniki na voljo, naj operaterji nudijo ustrezno pomoč pri odstranjevanju okužbe. Operaterji naj naročnikom posredujejo vse podatke o okužbi njihovih sistemov, ki jih dobijo s strani SI-CERT, saj naročniki potrebujejo te podatke za indentifikacijo okuženih sistemov.

Priporočeni ukrepi za naročnike

Naročnikom, ki prejmejo tako obvestilo svojega operaterja, svetujemo, da na podlagi podatkov o okužbi poskušajo identificirati okužen sistem ter odstranijo okužbo in izvedejo ukrepe za odpravo posledic okužbe.

1. identifikacija zlorabljene naprave

Prvi korak je identifikacija okužene naprave, saj je lahko za enim javnim IP naslovom na lokalnem omrežju večje število sistemov. Na SI-CERT žal nimamo podatkov, na katerem od sistemov znotraj omrežja je prišlo do okužbe, saj dobimo zgolj podatek o javnem IP naslovu. Tehnično naprednejši uporabniki lahko poskušate identificirati okužen sistem s pomočjo podatkov o ponornem IP naslovu/vratih in http gostitelju. To sta naslova, s katerim okužena naprava komunicira, z drugimi besedami: nadzorni strežnik za zlonamerno programsko opremo. S spremljanjem IP in/ali DNS prometa na vašem lokalnem omrežju lahko ugotovite, katera naprava komunicira s tem nadzornim strežnikom (opomba: tako spremljanje prometa običajno zahteva napredno tehnično znanje ter dodatno strojno in programsko opremo). V pomoč pri identifikaciji zlorabljene naprave so vam lahko informacije o posameznih vrstah virusov v spodnjem seznamu. V primeru, da v seznamu ni opisa za vašo vrsto virusa, lahko poiščete informacije na spletu.

2. odstranitev okužbe

Po identifikaciji okuženega sistema je potrebno odstraniti okužbo. Priporočene ukrepe za nekatere od najpogostejših vrst virusov najdete v spodnjem seznamu. Sicer pa je najbolj varen način odstranitve okužbe ponastavitev naprave na tovarniške nastavitve. S tako ponastavitvijo se namreč odstrani tudi vsa škodljiva programska oprema. Ker ponastavitev lahko izbriše vse uporabniške datoteke in nastavitve, predlagamo, da predhodno naredite varnostno kopijo datotek in nastavitev. Po tovarniški ponastavitvi namestite tudi vse popravke za operacijski sistem naprave. Navodila za ponastavitev naprave poiščite na spletu ali pri proizvajalcu naprave. Okužbo na Windows sistemu lahko poskusite odstraniti tudi s posodobljenim protivirusnim programom, vendar pa ta ukrep ne zagotavlja odstranitev vse morebitne škodljive programske opreme.

3. dodatni priporočeni ukrepi

V primeru okužbe Windows sistema je potrebno zamenjati tudi vsa gesla, ki so bila v času okužbe shranjena ali uporabljena na sistemu: gesla, shranjena v brskalnikih, v programih za email ter hipno sporočanje, gesla, ki so bila vpisana preko tipkovnice ipd. Priporočamo tudi ponastavitev vseh ostalih avtentikatorjev in zasebnih ključev: kripto denarnice, digitalni certifikati, VPN poverilnice, SSH ključi, GPG ključi,…

Nekateri vzorci starejših družin virusov so lahko zaradi onemogočene infrastrukture tudi delno ali povsem nefunkcionalni. Ne glede na stanje zaznane okužbe na SI-CERT vedno priporočamo upoštevanje navedenih varnostnih ukrepov. Identificirane zlonamerne datoteke lahko pred odstranitvijo posredujete v analizo na SI-CERT.

SI-CERT žal ne more nuditi tehnične pomoči uporabnikom pri identifikaciji okuženega sistema in odstranjevanju okužbe. Če sami niste dovolj tehnično podkovani, lahko pomoč poiščete pri ustrezno usposobljeni osebi, obrnete se lahko tudi na  računalniški servis (običajno gre za komercialno storitev, ki jo morate plačati).

Opisi in priporočeni ukrepi za najpogostejše vrste virusov

Oznaka okužbe: android.badbox, android.badbox2, android.vo1d ali android.vo1d2
Opis: Android.Badbox in Android.Vo1d sta družini zlonamerne programske opreme, značilni za Android TV predvajalnike, najpogosteje modele nižjega cenovnega razreda nepreverjenih proizvajalcev brez posodobljenega operacijskega sistema. Gre za ločene zunanje prevajalnike z neuradnim operacijskim sistemom, ki temelji na AOSP (Android Open Source Project), in niso povezani s certificiranimi produkti, kot so Android TV, Google TV, Chromecast ali Nvidia Shield. Okužba napravo vključi v enega največjih botnet omrežij na svetu, napadalcem pa omogoča zlorabo naročnikovega javnega IP naslova za izvajanje nadaljnjih kibernetskih napadov in finančnih prevar. Okužba se običajno zasidra v sistemske mape in pridobi korenski (root) dostop, zaradi česar ponastavitev na tovarniške nastavitve najpogosteje ni zadosten ukrep.
Priporočeni ukrepi: Odklop naprave iz omrežja in ponovna namestitev originalne programske opreme proizvajalca (firmware). Če to ni možno, odsvetujemo nadaljnjo uporabo naprave. Svetujemo tudi menjavo gesel vseh uporabniških računov, ki so bili vpisani na okuženem predvajalniku.
V primerih, ko uporabniki niso nameščali lastne programske opreme (firmware) ali dodatnih aplikacij z nepreverjenih virov, obstaja možnost, da je okužba prisotna že v prednameščeni programski opremi ob nakupu naprave. V teh primerih odsvetujemo njeno nadaljnjo uporabo. Preventivno svetujemo nakup naprav preverjenih proizvajalcev, ki zagotavljajo varnostne posodobitve in so certificirani za uporabo storitve Google Play Protect. Uporabnikom dodatno odsvetujemo nameščanje neuradne programske opreme (firmware) in nameščanje aplikacij iz nepreverjenih virov.
Dodatne informacije: https://www.bleepingcomputer.com/news/security/android-tv-box-on-amazon-came-pre-installed-with-malware in https://blog.xlab.qianxin.com/long-live-the-vo1d_botnet

Oznaka okužbe: socks5systems
Opis: Socks5Systemz je zlonamerna programska oprema, ki okužen Windows sistem vključi v svoje botnet omrežje. Okužen računalnik se brez vednosti uporabnika uporablja kot posredniški strežnik (proxy) za napade na druge sisteme in tako sodeluje v kriminalnih aktivnostih . Okužba je običajno posledica predhodne okužbe z drugim zlonamernim programom.
Priporočeni ukrepi: Odstranitev zlonamerne programske opreme s posodobljeno različico antivirusnega programa ali ponastavitev okuženega Windows sistema na tovarniške nastavitve.
Dodatne informacije: https://www.bitsight.com/blog/unveiling-socks5systemz-rise-new-proxy-service-privateloader-and-amadey

Oznaka okužbe: avalanche-andromeda
Opis: Andromeda je modularni virus, ki okužen Windows sistem vključi v svoje botnet omrežje, znotraj katerega na zahtevo sodeluje pri nadaljnjih kriminalnih aktivnostih. Virus na okužen sistem prenese dodatno zlonamerno programsko opremo, najpogosteje kodo za prestrezanje vnosov s tipkovnice (keylogging) ali nepooblaščen oddaljen dostop (RAT). Pogosto se uporablja za krajo uporabniških gesel in prenos dodatne zlonamerne programske opreme. V preteklosti se je virus širil predvsem preko zlonamernih USB ključkov, okuženih spletnih strani in e-poštnih sporočil.
Priporočeni ukrepi: Menjava vseh gesel uporabniških računov, ki so bila shranjena oz. so se uporabljala na okuženem sistemu, ter ponastavitev operacijskega sistema Windows na tovarniške nastavitve
Dodatne informacije: https://blogs.blackberry.com/en/2020/05/threat-spotlight-andromeda

Oznaka okužbe: downadup
Opis: Downadup (tudi Conficker) je Windows črv iz leta 2008, iz časov operacijskih sistemov Windows XP in Windows Server 2008. Okužba napadalcem odpre stranska vrata in sistem hkrati vključi v svoje botnet omrežje. V večini primerov črv živi na starejših sistemih, kot posledica okužbe v preteklosti. Črv se po neustrezno zaščitenih omrežjih širi samodejno bodisi z izkoriščanjem ranljivosti operacijskega sistema bodisi s širjenjem v pomanjkljivo zaščitene omrežne mape. 
Priporočeni ukrepi: Odstranitev okužbe s posodobljenim antivirusom ali ponastavitev okuženega sistema na tovarniške nastavitve. Po odstranitvi svetujemo posodobitev operacijskega sistema z zadnjimi varnostnimi popravki. V primerih, kjer to ni možno, svetujemo izolacijo okuženega sistema znotraj notranjega omrežja. 
Dodatne informacije: https://github.com/itaymigdal/malware-analysis-writeups/blob/main/Conficker/Conficker.md

Oznaka okužbe: anatsa
Opis: Anatsa je zlonamerna mobilna aplikacija, namenjena pridobivanju uporabniških podatkov za izvedbo kraje finančnih sredstev iz aplikacij mobilnih bank in kriptodenarnic. Najpogostejši potek okužbe predstavlja prenos zlonamerne aplikacije splošnih orodij (File Explorer, PDF Reader, QR Code Scanner) iz trgovine Google Play, ki ji žrtve odobrijo pravice storitev dostopnosti (ang. Accessibility Services). Žrtve ob okužbi najpogosteje opažajo, da aplikacija uporabniku preprečuje odprtje nastavitev in izbris, ter onemogoča izkop in ponastavitev naprave.
Priporočeni ukrepi: Začasen preklic dostopa do aplikacij mobilnih bank in kriptodenarnic, izbris zlonamerne aplikacije v varnem načinu ali ponastavitev naprave na tovarniške nastavitve. Izklop naprave je pri tem lahko otežen, zato priporočamo upoštevanje korakov na spodnji povezavi.
Dodatne informacije: https://cert.si/si-cert-2024-03/ https://www.cert.si/si-cert-tz015/

Oznaka okužbe: vipersoftx
Opis: Vipersoftx je trojanski konj, namenjen prestrezanju uporabniških podatkov in zagotavljanju nepooblaščenega oddaljenega dostopa do okuženega Windows sistema za izvedbo kraje kriptovalut. Po okužbi sistema pridobi podatke kriptodenarnic, shranjena gesla iz brskalnikov in upravljalnikov gesel, poverilnice za VPN dostop, zajema uporabniške vnose s tipkovnice in posnetke zaslona ter na zahtevo prenese dodatno škodljivo kodo ali sodeluje v drugem napadu. Okužba nastopa predvsem pri prenosu nelegalne programske opreme s spleta (t.i. cracki).
Priporočeni ukrepi: Menjava vseh gesel uporabniških računov, ki so bili shranjeni ali so se uporabljali na okuženem sistemu, ponastavitev operacijskega sistema na tovarniške nastavitve.
Dodatne informacije: https://www.trendmicro.com/en_us/research/23/d/vipersoftx-updates-encryption-steals-data.html

Oznaka okužbe: locky
Opis: Locky je šifrirni izsiljevalski virus, ki v zameno za odšifriranje datotek zahteva odkupnino. Virus se lahko širi v priponkah zlonamernih sporočil, ali pa napadalci sami izvršijo virus preko predhodnega vdora v sistem. Trenutno ne poznamo možnosti brezplačnega odšifriranja datotek.
Priporočeni ukrepi: Ponastavitev Windows sistema na tovarniške nastavitve in obnovitev datotek iz varnostnih kopij.
Dodatne informacije: https://blogs.blackberry.com/en/2017/11/threat-spotlight-locky-ransomware

Oznaka okužbe: qsnatch
Opis: Qsnatch je zlonamerna programska oprema, namenjena kraji osebnih podatkov z NAS strežnikov proizvajalca QNAP. Iz okuženega strežnika pridobi uporabniške podatke, kot so gesla in konfiguracijske datoteke za večfaktorsko preverjanje in jih posreduje na kontrolni strežnik. Hkrati napadalcem omogoča modularen prenos dodatne zlonamerne programske opreme. Za svojo zaščito poskrbi z izklopom prenosa posodobitev in onemogočanjem storitve QNAP MalwareRemover.
Priporočeni ukrepi: Menjava gesla za dostop do QNAP NAS strežnika, odstranitev zlonamerne programske opreme s storitvijo, kot je QNAP MalwareRemover ali ponastavitev na tovarniške nastavitve, posodobitev programske opreme naprave in ustrezna zamejitev njene javne dostopnosti 
Dodatne informacije: https://www.kyberturvallisuuskeskus.fi/en/news/qsnatch-malware-designed-qnap-nas-devices

Oznaka okužbe: moobot
Opis: Moobot je botnet omrežje neustrezno zaščitenih ali ranljivih IoT naprav. Najpogosteje gre za zlorabljene javno izpostavljene usmerjevalnike in spletne kamere s privzetimi gesli ali znanimi ranljivostmi.
Okužba napadalcem omogoča spremljanje in preusmerjanje omrežnega prometa, gostovanje zlonamerne vsebine na okuženi napravi in njeno sodelovanje v napadih porazdeljenega onemogočanja storitev (DDoS) na tuje sisteme.
Priporočeni ukrepi: Ponastavitev okužene naprave na tovarniške nastavitve, posodobitev programske opreme, menjava privzeto nastavljenih uporabniških imen in gesel in omejitev njene javne dostopnosti (Telnet, SSH, spletni vmesnik)
Dodatne informacije: https://blog.netlab.360.com/ddos-botnet-moobot-en/

Oznaka okužbe: sality
Opis: Sality je polimorfni virus iz leta 2003, ki okuži neustrezno zaščitene Windows sisteme. Virus se je v preteklosti širil prek odstranljivih medijev in omrežnih map in je danes, navkljub omejenemu širjenju, še vedno prisoten na številnih nevzdrževanih sistemih. Virus okuži izvršljive datoteke in vanje vstavi svojo zlonamerno kodo, s čimer napadalcem omogoča oddaljen dostop do sistema, prenos dodatne zlonamerne programske opreme in vključitev sistema v botnet omrežje. Okužba je pogosto povezana z nestabilnim delovanjem sistema in izgubo ali nepooblaščenim dostopom do zasebnih ali internih podatkov.
Priporočeni ukrepi: Odstranitev zlonamernega programa s posodobljeno različico antivirusnega programa. Po odstranitvi svetujemo posodobitev operacijskega sistema z zadnjimi varnostnimi popravki. V primerih, kjer to ni možno, svetujemo izolacijo okuženega sistema znotraj notranjega omrežja.
Dodatne informacije: https://www.pcrisk.com/removal-guides/13321-sality-trojan-virus

Oznaka okužbe: necurs
Opis: Necurs je korenski komplet (rootkit), ki okužen Windows sistem poveže v svoje botnet omrežje. Napadalci lahko preko tega omrežja na okužen sistem distribuirajo dodatno zlonamerno programsko opremo, najpogosteje izsiljevalske viruse (ransomware) in bančne trojanske konje za krajo finančnih sredstev. Okužen sistem napadalcem prav tako služi za izvajanje nadaljnjih kriminalnih dejanj, kot so pošiljanje zlonamernih sporočil z žrtvinega računa in sodelovanje v napadih porazdeljenega onemogočanja storitev (DDoS). 
Priporočeni ukrepi: Menjava vseh gesel uporabniških računov, do katerih je dostopal okužen sistem in odstranitev zlonamernega vzorca s posodobljeno različico antivirusnega programa ali ponastavitev operacijskega sistema na tovarniške nastavitve
Dodatne informacije: https://cert.pl/en/posts/2016/09/necurs-hybrid-spam-botnet/