Ransoc - płać, albo wszyscy zobaczą, co pobierasz

Ransoc - płać, albo wszyscy zobaczą, co pobierasz18.11.2016 14:40
Źródło zdjęć: © Fotolia | Comugnero Silvana
Lop

Ransoc to nowy typ ransomware – złośliwego oprogramowania, które ma na celu wyłudzić okup od użytkownika zainfekowanego komputera. Celem ransoc nie są jednak pliki zgromadzone na dysku, ale reputacja ofiary.

Ransoc, działa inaczej niż większość programów typu ransomeware – zamiast skupiać się na wyszukiwaniu wrażliwych plików, przeczesuje dysk w poszukiwaniu niedozwolonych treści zgromadzonych na dysku ofiary. Kiedy już odnajdzie wstydliwe pliki, Ransoc żąda okupu za „przemilczenie” ich wykrycia. Jak na razie specjaliści z firmy Anzena oprogramowanie działające na systemie Windows. Na komputery trafiały głównie za pomocą zainfekowanych reklam na stronach z treściami dla dorosłych.

Ransoc - jak działa nowe zagrożenie?

Zaraz po udanej infekcji ransoc szuka treści, których przeglądanie lub nieuprawnione posiadanie będzie dla ofiary kłopotliwe. Na celowniku znalazły się pliki pobrane za pomocą klienta torrent oraz treści pornograficzne z udziałem osób nieletnich. Użytkownik ściągnął piracki program lub nowe odcinki popularnego serialu "Młody Papież"? Ransoc odnotuje naruszenie praw własności intelektualnej.

Ofiara przeglądała strony z szeroko rozumianą erotyką? Zagrożenie poszuka dowodu, że ofiara odwiedzała także miejsca mogące propagować pornografię dziecięcą. Równolegle Ransoc identyfikuje ofiarę m.in. skanując jej profile w portalach Facebook, LinkedIn oraz w usłudze Skype. Na bazie pozyskanych danych wirus komponuje profil "winnego" włącznie z jego zdjęciem i geolokalizacją określaną numerem IP. Następnie blokuje ekran poszkodowanego spersonalizowanym żądaniem okupu, które na tle analogicznych not innych zagrożeń jest majstersztykiem socjotechniki.

Źródło zdjęć: © www.proofpoint.com
Źródło zdjęć: © www.proofpoint.com

- Obraz jest stylizowany na przedsądowe wezwanie do zapłaty. „Dokument” klasyfikuje obciążające treści wykryte na komputerze ofiary w kategoriach konkretnych przestępstw. Jeśli z torrentów pobraliśmy np. pliki mp3 zobaczymy groźbę grzywny w wysokości do 150 tys. dolarów. W przypadku podejrzenia o kontakt z pornografią dziecięcą grzywna wynosi już 200 tys. dolarów, a dodatkowo użytkownika czeka nawet 40 lat więzienia – ostrzega Piotr Surmacz z Anzena. - Aby uwiarygodnić winę zastraszanej ofiary Ransoc prezentuje wszystkie zebrane na jej temat dane grożąc ich upublicznieniem i skierowaniem sprawy na drogę prawną. Chyba, że poszkodowany opłaci wyświetlany właśnie mandat w wysokości kilkuset dolarów.

Kolejną różnicą między ransoc a innymi cyberszantażami jest to, że okup można zapłacić kartą kredytową. Jest to znacznie wygodniejsza niż przelewy Bitcoin, wymagające często prowadzenia ofiary krok po kroku przez kolejne etapy płatności. Transakcja kartą ma jednak - z punktu widzenia cyberprzestępców - zasadniczą wadę. Łatwo ją wyśledzić i namierzyć odbiorcę. Trudno zakładać, że twórcy wirusa o tym nie wiedzą, dlatego lepszym motywem skorzystania z tego rozwiązania wydaje się pewność, że posiadacz problematycznych treści nie poszuka pomocy w legalnych instytucjach.

Ransoc - jak się chronić?

Co ciekawe, żądanie okupu wyświetlane jest tylko wtedy, gdy Ransoc znajdzie na komputerze ofiary wspomniane dowody winy: pliki pobrane z torrentów lub dziecięcą pornografię. Analitykom firmy Proofpoint udało się uaktywnić okno roszczenia ręczną zmianą nazw plików na sugerujące niewłaściwe treści.

- _Oznacza to, że po pierwszym skanie zarażonego urządzenia ransoc najprawdopodobniej wchodzi w tryb czuwania do momentu, aż atrakcyjna dla niego treść znajdzie się na dysku ofiary - komentuje Krystian Smętek, inżynier systemowy rozwiązań ShadowProtect SPX - _Jedyną skuteczną formą ochrony przed wszelkiego rodzaju cyberszantażami pozostaje przywrócenie backupu naszych danych, jednak w przypadku wykrytej wczesnej wersji ransoc możliwe jest też inne wyjście.

Zagrożenie ransoc zaraz po udanym ataku co 100 milisekund sprawdza, czy użytkownik próbuje uruchomić funkcje Task Manager, RegEdit czy MSConfig. Jeśli wykryje pracę któregoś z tych narzędzi – automatycznie je zamyka, zanim jeszcze ofiara zdąży zneutralizować blokadę ekranu. Wystarczy jednak uruchomić komputer w trybie awaryjnym i usunąć z rejestru wpis uruchamiający plik zagrożenia przy każdym starcie systemu, a potem pomyśleć o solidnej ochronie swoich danych, bo twórcy Ransoc i ich naśladowcy na pewno wrócą. Mądrzejsi.

Źródło: Anzena

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA