Płać, albo wszyscy zobaczą co pobierasz i pójdziesz siedzieć
#1
Ransoc to nowy typ ransomware, którego celem nie są pliki, ale reputacja poszkodowanego. Zagrożenie wyszukuje na zarażonym komputerze niedozwolone treści i oskarżając użytkownika o ich posiadanie żąda okupu w ramach "postępowania przedsądowego". Odmowa ma się dla ofiary zakończyć upublicznieniem jej wizerunku jako przestępcy (w skrajnych przypadkach nawet pedofila) i surowymi sankcjami prawnymi.

[Aby zobaczyć linki, zarejestruj się tutaj]

Firma ANZENA, dostawca rozwiązań do tworzenia backupu i szybkiego odzyskiwania dostępu do danych ostrzega przed nowym rodzajem ransomware. Inaczej niż większość wirusów wymuszających haracz za odszyfrowanie plików ofiary, zagrożenie Ransoc najpierw szuka niedozwolonych treści, a następnie żąda okupu za "przemilczenie" ich wykrycia na zarażonym komputerze. Na ten moment wirus atakuje wyłącznie użytkowników systemu Windows, a rozprowadzany jest głównie przez zainfekowane strony i reklamy z treściami dla dorosłych. Jak dokładnie działa?
 
Po udanej infekcji Ransoc szuka treści, których przeglądanie lub nieuprawnione posiadanie będzie dla ofiary co najmniej kłopotliwe. Na celowniku są pliki pobrane klientami torrent i treści pornograficzne z udziałem osób nieletnich. Użytkownik ściągnął piracki program lub nowe odcinki popularnego serialu "Młody Papież"? Ransoc odnotuje naruszenie praw własności intelektualnej. Przeglądał strony z szeroko rozumianą erotyką? Zagrożenie poszuka dowodu, że zaglądał także w miejsca mogące propagować pornografię dziecięcą. Równolegle Ransoc identyfikuje ofiarę m.in. skanując jej profile w portalach Facebook, LinkedIn oraz usłudze Skype (jeśli była zainstalowana). Na bazie pozyskanych danych wirus komponuje profil "winnego" włącznie z jego zdjęciem i geolokalizacją określaną numerem IP. Następnie blokuje ekran poszkodowanego spersonalizowanym żądaniem okupu, które na tle analogicznych not innych zagrożeń jest majstersztykiem socjotechniki.
 
Stylizowany na przedsądowe wezwanie do zapłaty dokument klasyfikuje obciążające treści wykryte na komputerze ofiary w kategoriach konkretnych przestępstw. Jeśli z torrentów pobraliśmy np. pliki mp3 zobaczymy groźbę grzywny w wysokości do 150 tys. dolarów. W przypadku podejrzenia o kontakt z pornografią dziecięcą grzywna wynosi już 200 tys., a dodatkowo użytkownika czeka nawet 40 lat więzienia - przestrzega ANZENA. By uwiarygodnić przewinę zastraszanej ofiary Ransoc prezentuje wszystkie zebrane na jej temat dane grożąc ich upublicznieniem i skierowaniem sprawy na drogę prawną...
 
... chyba, że poszkodowany opłaci wyświetlany właśnie mandat w wysokości kilkuset dolarów. Tu również Ransoc różni się od innych cyberszantaży oferując płatność kartą kredytową, co w świecie ransomware zdarza się niezwykle rzadko. To opcja znacznie wygodniejsza niż przelewy Bitcoin, wymagające często prowadzenia ofiary krok po kroku przez kolejne etapy płatności. Transakcja kartą ma jednak - z punktu widzenia cyberprzestępców - zasadniczą wadę: łatwo ją wyśledzić. Trudno zakładać, że twórcy wirusa o tym nie wiedzą, dlatego logiczniejszym motywem ich działania będzie zapewne niezachwiana pewność, że posiadacz problematycznych treści nie poszuka pomocy w legalnych instytucjach.

Co ciekawe, żądanie okupu wyświetlane jest tylko wtedy, gdy Ransoc znajdzie na komputerze ofiary wspomniane dowody winy: pliki pobrane z torrentów lub dziecięcą pornografię. Analitykom firmy Proofpoint udało się uaktywnić okno roszczenia ręczną zmianą nazw plików na sugerujące niewłaściwe treści.

- Oznacza to, że po pierwszym skanie zarażonego urządzenia Ransoc najprawdopodobniej wchodzi w tryb czuwania do momentu, aż atrakcyjna dla niego treść znajdzie się na dysku ofiary - komentuje Krystian Smętek, inżynier systemowy rozwiązań ShadowProtect SPX - Jedyną skuteczną formą ochrony przed wszelkiego rodzaju cyberszantażamj pozostaje przywrócenie backupu naszych danych, jednak w przypadku wykrytej - możliwe, że wczesnej - wersji Ransoc jest też inne wyjście.
 
Po udanym ataku wirus co 100 milisekund sprawdza, czy użytkownik próbuje uruchomić funkcje Task Manager, RegEdit czy MSConfig i zamyka je, nim ofiara zdąży zneutralizować blokadę ekranu z poziomu tych narzędzi. Wystarczy jednak uruchomić komputer w trybie awaryjnym i usunąć z rejestru wpis uruchamiający plik zagrożenia przy każdym starcie systemu... a potem pomyśleć o solidnej ochronie swoich danych - radzą eksperci firmy ANZENA. Bo twórcy Ransoc i ich naśladowcy na pewno wrócą. Mądrzejsi.

Źródło: Anzena
Odpowiedz
#2
czyli mamy zautomatyzowany szantaż obyczajowy Smile Po co komu powtarzane na tysiącach komputerów te samy pliki muzyczne czy jakieś inne multimedia...najlepiej dobrać się "indywidualnie", bo to boli najmocniej. Szkodniki weszły "stopień wyżej" w swoim wyrafinowaniu, tym razem nie w sposobie ataku, ale w doborze celu.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#3
No no, dla niektórych przypał na fejsie gorszy od sprawy sądowej Smile
Odpowiedz
#4
Haha mina matki jak tu pod nosem tato ma pornografie dziecięcą i weź tu sie wytłumacz że samo sie wgrało Grin
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości