Uwaga na nowy ransomware! Chce zszargać ci reputację
2016-11-22 13:36
Ransomware © tonsnoei - Fotolia
Przeczytaj także: Dzieje cyberprzestępczości: era nowoczesnego ransomware’u
O pojawieniu się nowego rodzaju zagrożenia poinformowała ANZENA, firma trudniąca się dostarczaniem rozwiązań do backupu i odzyskiwania dostępu do danych. Ransoc - inaczej niż standardowy ransomware - nie blokuje dostępu do danych, ale wyszukuje na komputerze ofiary niedozwolone treści, a następnie żąda pieniędzy za "przemilczenie" ich obecności i nieinformowaniu o niczym opinii publicznej oraz organów ścigania.Obecnie wirus dotyka wyłącznie użytkowników Windowsa, a rozprzestrzenia się poprzez zainfekowane strony i reklamy z treściami przeznaczonymi dla dorosłych. Na czym dokładnie polega uprawiany przez niego proceder?
Ransoc najpierw infekuje komputer swojej ofiary, a następnie przegląda zawartość jej komputera w poszukiwaniu kompromitujących treści. Szczególnie interesują go pobrane torrenty i pornografia z udziałem nieletnich.
Jak to wygląda w praktyce? Przypuśćmy, że użytkownik ściągnął nowe odcinki popularnego serialu. Ransoc odnotowuje wówczas naruszenie własności intelektualnej. W przypadku znalezienia dowodów na przeglądanie treści erotycznych zagrożenie poszuka świadectw na zaglądanie w miejsca z pornografią dziecięcą. Na tym jednak nie koniec.
Równolegle Ransoc identyfikuje ofiarę m.in. skanując jej profile w portalach Facebook, LinkedIn oraz usłudze Skype (jeśli była zainstalowana). Na bazie pozyskanych danych wirus komponuje profil "winnego" włącznie z jego zdjęciem i geolokalizacją określaną numerem IP. Następnie blokuje ekran poszkodowanego spersonalizowanym żądaniem okupu, które na tle analogicznych not innych zagrożeń jest majstersztykiem socjotechniki.
fot. tonsnoei - Fotolia
Ransomware
Stylizowany na przedsądowe wezwanie do zapłaty dokument klasyfikuje obciążające treści wykryte na komputerze ofiary w kategoriach konkretnych przestępstw. Jeśli z torrentów pobraliśmy np. pliki mp3 zobaczymy groźbę grzywny w wysokości do 150 tys. dolarów. W przypadku podejrzenia o kontakt z pornografią dziecięcą grzywna wynosi już 200 tys., a dodatkowo użytkownika czeka nawet 40 lat więzienia - przestrzega ANZENA. By uwiarygodnić winę zastraszanej ofiary Ransoc prezentuje wszystkie zebrane na jej temat dane grożąc ich upublicznieniem i skierowaniem sprawy na drogę prawną...
Czytaj także:
- http://www.egospodarka.pl/128170,Szkodliwe-oprogramowanie-Dziekuje-pobieram,1,12,1.html
- Empatyczne ataki ransomware
... chyba, że poszkodowany opłaci wyświetlany właśnie mandat w wysokości kilkuset dolarów. Tu również Ransoc różni się od innych cyberszantaży oferując płatność kartą kredytową, co w świecie ransomware zdarza się niezwykle rzadko. To opcja znacznie wygodniejsza niż przelewy Bitcoin, wymagające często prowadzenia ofiary krok po kroku przez kolejne etapy płatności. Transakcja kartą ma jednak - z punktu widzenia cyberprzestępców - zasadniczą wadę: łatwo ją wyśledzić. Trudno zakładać, że twórcy wirusa o tym nie wiedzą, dlatego logiczniejszym motywem ich działania będzie zapewne niezachwiana pewność, że posiadacz problematycznych treści nie poszuka pomocy w legalnych instytucjach.
Co ciekawe, żądanie okupu wyświetlane jest tylko wtedy, gdy Ransoc znajdzie na komputerze ofiary wspomniane dowody winy: pliki pobrane z torrentów lub dziecięcą pornografię. Analitykom firmy Proofpoint udało się uaktywnić okno roszczenia ręczną zmianą nazw plików na sugerujące niewłaściwe treści.
- Oznacza to, że po pierwszym skanie zarażonego urządzenia Ransoc najprawdopodobniej wchodzi w tryb czuwania do momentu, aż atrakcyjna dla niego treść znajdzie się na dysku ofiary - komentuje Krystian Smętek, inżynier systemowy rozwiązań ShadowProtect SPX - Jedyną skuteczną formą ochrony przed wszelkiego rodzaju cyberszantażamj pozostaje przywrócenie backupu naszych danych, jednak w przypadku wykrytej - możliwe, że wczesnej - wersji Ransoc jest też inne wyjście.
Po udanym ataku wirus co 100 milisekund sprawdza, czy użytkownik próbuje uruchomić funkcje Task Manager, RegEdit czy MSConfig i zamyka je, nim ofiara zdąży zneutralizować blokadę ekranu z poziomu tych narzędzi. Wystarczy jednak uruchomić komputer w trybie awaryjnym i usunąć z rejestru wpis uruchamiający plik zagrożenia przy każdym starcie systemu... a potem pomyśleć o solidnej ochronie swoich danych - radzą eksperci firmy ANZENA. Bo twórcy Ransoc i ich naśladowcy na pewno wrócą. Mądrzejsi.
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)