Ransoc - płać, albo wszyscy zobaczą, co pobierasz

Ransoc, działa inaczej niż większość programów typu ransomeware – zamiast skupiać się na wyszukiwaniu wrażliwych plików, przeczesuje dysk w poszukiwaniu niedozwolonych treści zgromadzonych na dysku ofiary. Kiedy już odnajdzie wstydliwe pliki, Ransoc żąda okupu za „przemilczenie” ich wykrycia. Jak na razie specjaliści z firmy Anzena oprogramowanie działające na systemie Windows. Na komputery trafiały głównie za pomocą zainfekowanych reklam na stronach z treściami dla dorosłych.

Zaraz po udanej infekcji ransoc szuka treści, których przeglądanie lub nieuprawnione posiadanie będzie dla ofiary kłopotliwe. Na celowniku znalazły się pliki pobrane za pomocą klienta torrent oraz treści pornograficzne z udziałem osób nieletnich. Użytkownik ściągnął piracki program lub nowe odcinki popularnego serialu "Młody Papież"? Ransoc odnotuje naruszenie praw własności intelektualnej.

Ofiara przeglądała strony z szeroko rozumianą erotyką? Zagrożenie poszuka dowodu, że ofiara odwiedzała także miejsca mogące propagować pornografię dziecięcą. Równolegle Ransoc identyfikuje ofiarę m.in. skanując jej profile w portalach Facebook, LinkedIn oraz w usłudze Skype. Na bazie pozyskanych danych wirus komponuje profil "winnego" włącznie z jego zdjęciem i geolokalizacją określaną numerem IP. Następnie blokuje ekran poszkodowanego spersonalizowanym żądaniem okupu, które na tle analogicznych not innych zagrożeń jest majstersztykiem socjotechniki.

- Obraz jest stylizowany na przedsądowe wezwanie do zapłaty. „Dokument” klasyfikuje obciążające treści wykryte na komputerze ofiary w kategoriach konkretnych przestępstw. Jeśli z torrentów pobraliśmy np. pliki mp3 zobaczymy groźbę grzywny w wysokości do 150 tys. dolarów. W przypadku podejrzenia o kontakt z pornografią dziecięcą grzywna wynosi już 200 tys. dolarów, a dodatkowo użytkownika czeka nawet 40 lat więzienia – ostrzega Piotr Surmacz z Anzena. - Aby uwiarygodnić winę zastraszanej ofiary Ransoc prezentuje wszystkie zebrane na jej temat dane grożąc ich upublicznieniem i skierowaniem sprawy na drogę prawną. Chyba, że poszkodowany opłaci wyświetlany właśnie mandat w wysokości kilkuset dolarów.

Kolejną różnicą między ransoc a innymi cyberszantażami jest to, że okup można zapłacić kartą kredytową. Jest to znacznie wygodniejsza niż przelewy Bitcoin, wymagające często prowadzenia ofiary krok po kroku przez kolejne etapy płatności. Transakcja kartą ma jednak - z punktu widzenia cyberprzestępców - zasadniczą wadę. Łatwo ją wyśledzić i namierzyć odbiorcę. Trudno zakładać, że twórcy wirusa o tym nie wiedzą, dlatego lepszym motywem skorzystania z tego rozwiązania wydaje się pewność, że posiadacz problematycznych treści nie poszuka pomocy w legalnych instytucjach.

Co ciekawe, żądanie okupu wyświetlane jest tylko wtedy, gdy Ransoc znajdzie na komputerze ofiary wspomniane dowody winy: pliki pobrane z torrentów lub dziecięcą pornografię. Analitykom firmy Proofpoint udało się uaktywnić okno roszczenia ręczną zmianą nazw plików na sugerujące niewłaściwe treści.

- _Oznacza to, że po pierwszym skanie zarażonego urządzenia ransoc najprawdopodobniej wchodzi w tryb czuwania do momentu, aż atrakcyjna dla niego treść znajdzie się na dysku ofiary - komentuje Krystian Smętek, inżynier systemowy rozwiązań ShadowProtect SPX - _Jedyną skuteczną formą ochrony przed wszelkiego rodzaju cyberszantażami pozostaje przywrócenie backupu naszych danych, jednak w przypadku wykrytej wczesnej wersji ransoc możliwe jest też inne wyjście.

Zagrożenie ransoc zaraz po udanym ataku co 100 milisekund sprawdza, czy użytkownik próbuje uruchomić funkcje Task Manager, RegEdit czy MSConfig. Jeśli wykryje pracę któregoś z tych narzędzi – automatycznie je zamyka, zanim jeszcze ofiara zdąży zneutralizować blokadę ekranu. Wystarczy jednak uruchomić komputer w trybie awaryjnym i usunąć z rejestru wpis uruchamiający plik zagrożenia przy każdym starcie systemu, a potem pomyśleć o solidnej ochronie swoich danych, bo twórcy Ransoc i ich naśladowcy na pewno wrócą. Mądrzejsi.

Źródło: Anzena