Firma ANZENA, dostawca rozwiązań do tworzenia backupu i szybkiego odzyskiwania dostępu do danych ostrzega przed nowym rodzajem ransomware — Ransoc, którego celem nie są pliki, ale reputacja poszkodowanego. Zagrożenie wyszukuje na zarażonym komputerze niedozwolone treści i oskarżając użytkownika o ich posiadanie żąda okupu w ramach „postępowania przedsądowego”. Odmowa ma się dla ofiary zakończyć upublicznieniem jej wizerunku jako przestępcy (w skrajnych przypadkach nawet pedofila) i surowymi sankcjami prawnymi.
Ransoc to nowy typ ransomware, które najpierw szuka niedozwolonych treści, a następnie żąda okupu za „przemilczenie” ich wykrycia na zarażonym komputerze. Na ten moment wirus atakuje wyłącznie użytkowników systemu Windows, a rozprowadzany jest głównie przez zainfekowane strony i reklamy z treściami dla dorosłych.
Jak dokładnie działa?
Po udanej infekcji Ransoc szuka treści, których przeglądanie lub nieuprawnione posiadanie będzie dla ofiary co najmniej kłopotliwe. Na celowniku są pliki pobrane klientami torrent i treści pornograficzne z udziałem osób nieletnich.
Użytkownik ściągnął piracki program lub nowe odcinki popularnego serialu „Młody Papież”?
Ransoc odnotuje naruszenie praw własności intelektualnej.
Przeglądał strony z szeroko rozumianą erotyką?
Zagrożenie poszuka dowodu, że zaglądał także w miejsca mogące propagować pornografię dziecięcą.
Równolegle Ransoc identyfikuje ofiarę m.in. skanując jej profile w portalach Facebook, LinkedIn oraz usłudze Skype (jeśli była zainstalowana). Na bazie pozyskanych danych wirus komponuje profil „winnego” włącznie z jego zdjęciem i geolokalizacją określaną numerem IP. Następnie blokuje ekran poszkodowanego spersonalizowanym żądaniem okupu, które na tle analogicznych not innych zagrożeń jest majstersztykiem socjotechniki.
Stylizowany na przedsądowe wezwanie do zapłaty dokument klasyfikuje obciążające treści wykryte na komputerze ofiary w kategoriach konkretnych przestępstw. Jeśli z torrentów pobraliśmy np. pliki mp3 zobaczymy groźbę grzywny w wysokości do 150 tys. dolarów. W przypadku podejrzenia o kontakt z pornografią dziecięcą grzywna wynosi już 200 tys., a dodatkowo użytkownika czeka nawet 40 lat więzienia. By uwiarygodnić winę zastraszanej ofiary Ransoc prezentuje wszystkie zebrane na jej temat dane grożąc ich upublicznieniem i skierowaniem sprawy na drogę prawną…
Tu również Ransoc różni się od innych cyberszantaży oferując płatność kartą kredytową, co w świecie ransomware zdarza się niezwykle rzadko. To opcja znacznie wygodniejsza niż przelewy Bitcoin, wymagające często prowadzenia ofiary krok po kroku przez kolejne etapy płatności. Transakcja kartą ma jednak (z punktu widzenia cyberprzestępców) zasadniczą wadę: łatwo ją wyśledzić. Trudno zakładać, że twórcy wirusa o tym nie wiedzą, dlatego logiczniejszym motywem ich działania będzie zapewne niezachwiana pewność, że posiadacz problematycznych treści nie poszuka pomocy w legalnych instytucjach.
Po udanym ataku wirus co 100 milisekund sprawdza, czy użytkownik próbuje uruchomić funkcje Task Manager, RegEdit czy MSConfig i zamyka je, nim ofiara zdąży zneutralizować blokadę ekranu z poziomu tych narzędzi. Wystarczy jednak uruchomić komputer w trybie awaryjnym i usunąć z rejestru wpis uruchamiający plik zagrożenia przy każdym starcie systemu… a potem pomyśleć o solidnej ochronie swoich danych… Bo twórcy Ransoc i ich naśladowcy na pewno wrócą. Mądrzejsi.
Czy ten artykuł był pomocny?
Oceniono: 0 razy