Ransoc - płać, albo wszyscy zobaczą, co pobierasz

Ransoc to nowy typ ransomware – złośliwego oprogramowania, które ma na celu wyłudzić okup od użytkownika zainfekowanego komputera. Celem ransoc nie są jednak pliki zgromadzone na dysku, ale reputacja ofiary.

Domyślny opis zdjęcia na stronę główną
Źródło zdjęć: © Fotolia | Comugnero Silvana
Lop

Ransoc, działa inaczej niż większość programów typu ransomeware – zamiast skupiać się na wyszukiwaniu wrażliwych plików, przeczesuje dysk w poszukiwaniu niedozwolonych treści zgromadzonych na dysku ofiary. Kiedy już odnajdzie wstydliwe pliki, Ransoc żąda okupu za „przemilczenie” ich wykrycia. Jak na razie specjaliści z firmy Anzena oprogramowanie działające na systemie Windows. Na komputery trafiały głównie za pomocą zainfekowanych reklam na stronach z treściami dla dorosłych.

Ransoc - jak działa nowe zagrożenie?

Zaraz po udanej infekcji ransoc szuka treści, których przeglądanie lub nieuprawnione posiadanie będzie dla ofiary kłopotliwe. Na celowniku znalazły się pliki pobrane za pomocą klienta torrent oraz treści pornograficzne z udziałem osób nieletnich. Użytkownik ściągnął piracki program lub nowe odcinki popularnego serialu "Młody Papież"? Ransoc odnotuje naruszenie praw własności intelektualnej.

Ofiara przeglądała strony z szeroko rozumianą erotyką? Zagrożenie poszuka dowodu, że ofiara odwiedzała także miejsca mogące propagować pornografię dziecięcą. Równolegle Ransoc identyfikuje ofiarę m.in. skanując jej profile w portalach Facebook, LinkedIn oraz w usłudze Skype. Na bazie pozyskanych danych wirus komponuje profil "winnego" włącznie z jego zdjęciem i geolokalizacją określaną numerem IP. Następnie blokuje ekran poszkodowanego spersonalizowanym żądaniem okupu, które na tle analogicznych not innych zagrożeń jest majstersztykiem socjotechniki.

W razie zainfekowania Ransoc, użytkowik komputera widzi taki ekran
© www.proofpoint.com

- Obraz jest stylizowany na przedsądowe wezwanie do zapłaty. „Dokument” klasyfikuje obciążające treści wykryte na komputerze ofiary w kategoriach konkretnych przestępstw. Jeśli z torrentów pobraliśmy np. pliki mp3 zobaczymy groźbę grzywny w wysokości do 150 tys. dolarów. W przypadku podejrzenia o kontakt z pornografią dziecięcą grzywna wynosi już 200 tys. dolarów, a dodatkowo użytkownika czeka nawet 40 lat więzienia – ostrzega Piotr Surmacz z Anzena. - Aby uwiarygodnić winę zastraszanej ofiary Ransoc prezentuje wszystkie zebrane na jej temat dane grożąc ich upublicznieniem i skierowaniem sprawy na drogę prawną. Chyba, że poszkodowany opłaci wyświetlany właśnie mandat w wysokości kilkuset dolarów.

Kolejną różnicą między ransoc a innymi cyberszantażami jest to, że okup można zapłacić kartą kredytową. Jest to znacznie wygodniejsza niż przelewy Bitcoin, wymagające często prowadzenia ofiary krok po kroku przez kolejne etapy płatności. Transakcja kartą ma jednak - z punktu widzenia cyberprzestępców - zasadniczą wadę. Łatwo ją wyśledzić i namierzyć odbiorcę. Trudno zakładać, że twórcy wirusa o tym nie wiedzą, dlatego lepszym motywem skorzystania z tego rozwiązania wydaje się pewność, że posiadacz problematycznych treści nie poszuka pomocy w legalnych instytucjach.

Ransoc - jak się chronić?

Co ciekawe, żądanie okupu wyświetlane jest tylko wtedy, gdy Ransoc znajdzie na komputerze ofiary wspomniane dowody winy: pliki pobrane z torrentów lub dziecięcą pornografię. Analitykom firmy Proofpoint udało się uaktywnić okno roszczenia ręczną zmianą nazw plików na sugerujące niewłaściwe treści.

- _Oznacza to, że po pierwszym skanie zarażonego urządzenia ransoc najprawdopodobniej wchodzi w tryb czuwania do momentu, aż atrakcyjna dla niego treść znajdzie się na dysku ofiary - komentuje Krystian Smętek, inżynier systemowy rozwiązań ShadowProtect SPX - _Jedyną skuteczną formą ochrony przed wszelkiego rodzaju cyberszantażami pozostaje przywrócenie backupu naszych danych, jednak w przypadku wykrytej wczesnej wersji ransoc możliwe jest też inne wyjście.

Zagrożenie ransoc zaraz po udanym ataku co 100 milisekund sprawdza, czy użytkownik próbuje uruchomić funkcje Task Manager, RegEdit czy MSConfig. Jeśli wykryje pracę któregoś z tych narzędzi – automatycznie je zamyka, zanim jeszcze ofiara zdąży zneutralizować blokadę ekranu. Wystarczy jednak uruchomić komputer w trybie awaryjnym i usunąć z rejestru wpis uruchamiający plik zagrożenia przy każdym starcie systemu, a potem pomyśleć o solidnej ochronie swoich danych, bo twórcy Ransoc i ich naśladowcy na pewno wrócą. Mądrzejsi.

Źródło: Anzena

Wybrane dla Ciebie

Rosyjski-chiński czołg podstawowy. Modernizacja T-72, jakiej jeszcze nie było
Rosyjski-chiński czołg podstawowy. Modernizacja T-72, jakiej jeszcze nie było
"Bezprecedensowe" odkrycie. Badacze odnaleźli tajemnicze struktury
"Bezprecedensowe" odkrycie. Badacze odnaleźli tajemnicze struktury
Powstała wyjątkowa mapa. Pokazuje mózg ssaka
Powstała wyjątkowa mapa. Pokazuje mózg ssaka
Ukraińcy krótko o starych wozach z USA. Użyli tylko kilku słów
Ukraińcy krótko o starych wozach z USA. Użyli tylko kilku słów
Wojsko wyciąga sprzęt. Są już gotowi na ulewy
Wojsko wyciąga sprzęt. Są już gotowi na ulewy
Niż genueński, burze i ryzyko powodzi. POLRAD ostrzega przed zagrożeniami
Niż genueński, burze i ryzyko powodzi. POLRAD ostrzega przed zagrożeniami
Nowa wersja rosyjskiej broni terroru. Groźna nawet dzień po ataku
Nowa wersja rosyjskiej broni terroru. Groźna nawet dzień po ataku
Przyjrzeli się wojnie w Ukrainie. Rezygnują ze sprzętu z USA
Przyjrzeli się wojnie w Ukrainie. Rezygnują ze sprzętu z USA
Ostatnie połączenie Polaka z kosmosu. Odpowiadał na pytania dzieci
Ostatnie połączenie Polaka z kosmosu. Odpowiadał na pytania dzieci
Rosjanie poszli na całość. Padła "bardzo hojna oferta"
Rosjanie poszli na całość. Padła "bardzo hojna oferta"
Chińska innowacja. Silnik turboodrzutowy z drukarki 3D przeszedł testy
Chińska innowacja. Silnik turboodrzutowy z drukarki 3D przeszedł testy
Ukraina potrzebuje ich jak powietrza. Donald Trump zmienił zdanie
Ukraina potrzebuje ich jak powietrza. Donald Trump zmienił zdanie