Płać, albo wszyscy zobaczą co pobierasz i pójdziesz siedzieć

Firma ANZENA, dostawca rozwiązań do tworzenia backupu i szybkiego odzyskiwania dostępu do danych, ostrzega przed nowym rodzajem ransomware. Inaczej niż większość wirusów wymuszających haracz za odszyfrowanie plików ofiary, zagrożenie Ransoc najpierw szuka niedozwolonych treści, a następnie żąda okupu za "przemilczenie" ich wykrycia na zarażonym komputerze. Na ten moment wirus atakuje wyłącznie użytkowników systemu Windows, a rozprowadzany jest głównie przez zainfekowane strony i reklamy z treściami dla dorosłych. Jak dokładnie działa?

Po udanej infekcji Ransoc szuka treści, których przeglądanie lub nieuprawnione posiadanie będzie dla ofiary co najmniej kłopotliwe. Na celowniku są pliki pobrane klientami torrent i treści pornograficzne z udziałem osób nieletnich. Użytkownik ściągnął piracki program lub nowe odcinki popularnego serialu "Młody Papież"? Ransoc odnotuje naruszenie praw własności intelektualnej. Przeglądał strony z szeroko rozumianą erotyką? Zagrożenie poszuka dowodu, że zaglądał także w miejsca mogące propagować pornografię dziecięcą. Równolegle Ransoc identyfikuje ofiarę m.in. skanując jej profile w portalach Facebook, LinkedIn oraz usłudze Skype (jeśli była zainstalowana). Na bazie pozyskanych danych wirus komponuje profil "winnego" włącznie z jego zdjęciem i geolokalizacją określaną numerem IP. Następnie blokuje ekran poszkodowanego spersonalizowanym żądaniem okupu, które na tle analogicznych not innych zagrożeń jest majstersztykiem socjotechniki. 

Stylizowany na przedsądowe wezwanie do zapłaty dokument klasyfikuje obciążające treści wykryte na komputerze ofiary w kategoriach konkretnych przestępstw. Jeśli z torrentów pobraliśmy np. pliki mp3 zobaczymy groźbę grzywny w wysokości do 150 tys. dolarów. W przypadku podejrzenia o kontakt z pornografią dziecięcą grzywna wynosi już 200 tys., a dodatkowo użytkownika czeka nawet 40 lat więzienia - przestrzega ANZENA. 

By uwiarygodnić przewinę zastraszanej ofiary Ransoc prezentuje wszystkie zebrane na jej temat dane grożąc ich upublicznieniem i skierowaniem sprawy na drogę prawną... chyba, że poszkodowany opłaci wyświetlany właśnie mandat w wysokości kilkuset dolarów. Tu również Ransoc różni się od innych cyberszantaży oferując płatność kartą kredytową, co w świecie ransomware zdarza się niezwykle rzadko. To opcja znacznie wygodniejsza niż przelewy Bitcoin, wymagające często prowadzenia ofiary krok po kroku przez kolejne etapy płatności. Transakcja kartą ma jednak - z punktu widzenia cyberprzestępców - zasadniczą wadę: łatwo ją wyśledzić. Trudno zakładać, że twórcy wirusa o tym nie wiedzą, dlatego logiczniejszym motywem ich działania będzie zapewne niezachwiana pewność, że posiadacz problematycznych treści nie poszuka pomocy w legalnych instytucjach. 

Co ciekawe, żądanie okupu wyświetlane jest tylko wtedy, gdy Ransoc znajdzie na komputerze ofiary wspomniane dowody winy: pliki pobrane z torrentów lub dziecięcą pornografię. Analitykom firmy Proofpoint udało się uaktywnić okno roszczenia ręczną zmianą nazw plików na sugerujące niewłaściwe treści. 

- Oznacza to, że po pierwszym skanie zarażonego urządzenia Ransoc najprawdopodobniej wchodzi w tryb czuwania do momentu, aż atrakcyjna dla niego treść znajdzie się na dysku ofiary - komentuje Krystian Smętek, inżynier systemowy rozwiązań ShadowProtect SPX. Jedyną skuteczną formą ochrony przed wszelkiego rodzaju cyberszantażamj pozostaje przywrócenie backupu naszych danych, jednak w przypadku wykrytej - możliwe, że wczesnej - wersji Ransoc jest też inne wyjście. 

Po udanym ataku wirus co 100 milisekund sprawdza, czy użytkownik próbuje uruchomić funkcje Task Manager, RegEdit czy MSConfig i zamyka je, nim ofiara zdąży zneutralizować blokadę ekranu z poziomu tych narzędzi. Wystarczy jednak uruchomić komputer w trybie awaryjnym i usunąć z rejestru wpis uruchamiający plik zagrożenia przy każdym starcie systemu... a potem pomyśleć o solidnej ochronie swoich danych - radzą eksperci firmy ANZENA. Bo twórcy Ransoc i ich naśladowcy na pewno wrócą. Mądrzejsi.

Zobacz także: