eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternet › Uwaga na nowy ransomware! Chce zszargać ci reputację

Uwaga na nowy ransomware! Chce zszargać ci reputację

2016-11-22 13:36

Uwaga na nowy ransomware! Chce zszargać ci reputację

Ransomware ©  tonsnoei - Fotolia

No i doczekaliśmy się. Nie dość, że wysyp szkodliwego ransomware nazywany jest już epidemią, to jeszcze pojawił się jego nowy, dość wyrafinowany rodzaj. Tym razem cyberprzestępcy biorą na celownik nie pliki, a reputację ofiary. Zagrożenie poszukuje na jej komputerze niedozwolonych treści, a następnie żąda okupu za "milczenie". Zaatakowany straszony jest, że odmowa zapłacenia pieniędzy skończy się dla niego upublicznieniem wizerunku jako przestępcy i dotkliwymi sankcjami prawnymi.

Przeczytaj także: Dzieje cyberprzestępczości: era nowoczesnego ransomware’u

O pojawieniu się nowego rodzaju zagrożenia poinformowała ANZENA, firma trudniąca się dostarczaniem rozwiązań do backupu i odzyskiwania dostępu do danych. Ransoc - inaczej niż standardowy ransomware - nie blokuje dostępu do danych, ale wyszukuje na komputerze ofiary niedozwolone treści, a następnie żąda pieniędzy za "przemilczenie" ich obecności i nieinformowaniu o niczym opinii publicznej oraz organów ścigania.

Obecnie wirus dotyka wyłącznie użytkowników Windowsa, a rozprzestrzenia się poprzez zainfekowane strony i reklamy z treściami przeznaczonymi dla dorosłych. Na czym dokładnie polega uprawiany przez niego proceder?

Ransoc najpierw infekuje komputer swojej ofiary, a następnie przegląda zawartość jej komputera w poszukiwaniu kompromitujących treści. Szczególnie interesują go pobrane torrenty i pornografia z udziałem nieletnich.

Jak to wygląda w praktyce? Przypuśćmy, że użytkownik ściągnął nowe odcinki popularnego serialu. Ransoc odnotowuje wówczas naruszenie własności intelektualnej. W przypadku znalezienia dowodów na przeglądanie treści erotycznych zagrożenie poszuka świadectw na zaglądanie w miejsca z pornografią dziecięcą. Na tym jednak nie koniec.

Równolegle Ransoc identyfikuje ofiarę m.in. skanując jej profile w portalach Facebook, LinkedIn oraz usłudze Skype (jeśli była zainstalowana). Na bazie pozyskanych danych wirus komponuje profil "winnego" włącznie z jego zdjęciem i geolokalizacją określaną numerem IP. Następnie blokuje ekran poszkodowanego spersonalizowanym żądaniem okupu, które na tle analogicznych not innych zagrożeń jest majstersztykiem socjotechniki.

fot. tonsnoei - Fotolia

Ransomware

Nowy rodzaj ransomware poluje nie na pliki, ale na reputację użytkownika.


Stylizowany na przedsądowe wezwanie do zapłaty dokument klasyfikuje obciążające treści wykryte na komputerze ofiary w kategoriach konkretnych przestępstw. Jeśli z torrentów pobraliśmy np. pliki mp3 zobaczymy groźbę grzywny w wysokości do 150 tys. dolarów. W przypadku podejrzenia o kontakt z pornografią dziecięcą grzywna wynosi już 200 tys., a dodatkowo użytkownika czeka nawet 40 lat więzienia - przestrzega ANZENA. By uwiarygodnić winę zastraszanej ofiary Ransoc prezentuje wszystkie zebrane na jej temat dane grożąc ich upublicznieniem i skierowaniem sprawy na drogę prawną...

... chyba, że poszkodowany opłaci wyświetlany właśnie mandat w wysokości kilkuset dolarów. Tu również Ransoc różni się od innych cyberszantaży oferując płatność kartą kredytową, co w świecie ransomware zdarza się niezwykle rzadko. To opcja znacznie wygodniejsza niż przelewy Bitcoin, wymagające często prowadzenia ofiary krok po kroku przez kolejne etapy płatności. Transakcja kartą ma jednak - z punktu widzenia cyberprzestępców - zasadniczą wadę: łatwo ją wyśledzić. Trudno zakładać, że twórcy wirusa o tym nie wiedzą, dlatego logiczniejszym motywem ich działania będzie zapewne niezachwiana pewność, że posiadacz problematycznych treści nie poszuka pomocy w legalnych instytucjach.

Co ciekawe, żądanie okupu wyświetlane jest tylko wtedy, gdy Ransoc znajdzie na komputerze ofiary wspomniane dowody winy: pliki pobrane z torrentów lub dziecięcą pornografię. Analitykom firmy Proofpoint udało się uaktywnić okno roszczenia ręczną zmianą nazw plików na sugerujące niewłaściwe treści.
- Oznacza to, że po pierwszym skanie zarażonego urządzenia Ransoc najprawdopodobniej wchodzi w tryb czuwania do momentu, aż atrakcyjna dla niego treść znajdzie się na dysku ofiary - komentuje Krystian Smętek, inżynier systemowy rozwiązań ShadowProtect SPX - Jedyną skuteczną formą ochrony przed wszelkiego rodzaju cyberszantażamj pozostaje przywrócenie backupu naszych danych, jednak w przypadku wykrytej - możliwe, że wczesnej - wersji Ransoc jest też inne wyjście.

Po udanym ataku wirus co 100 milisekund sprawdza, czy użytkownik próbuje uruchomić funkcje Task Manager, RegEdit czy MSConfig i zamyka je, nim ofiara zdąży zneutralizować blokadę ekranu z poziomu tych narzędzi. Wystarczy jednak uruchomić komputer w trybie awaryjnym i usunąć z rejestru wpis uruchamiający plik zagrożenia przy każdym starcie systemu... a potem pomyśleć o solidnej ochronie swoich danych - radzą eksperci firmy ANZENA. Bo twórcy Ransoc i ich naśladowcy na pewno wrócą. Mądrzejsi.

oprac. : eGospodarka.pl eGospodarka.pl

Więcej na ten temat: ransomware, Ransoc, wirusy, wirusy komputerowe

Przeczytaj także

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: