Ransomware naplaćuje kaznu u ime evropskih policija

Opisi virusa, 20.12.2011, 10:09 AM

Programi koje nazivamo ransomware su zlonamerni programi koji, pošto dospeju u računar, pretvaraju kompjuter u svojevrsnog taoca za čije oslobođenje odnosno deblokadu zahtevaju od korisnika da plati određenu sumu novca kao otkup. Pošto uđu u računar koristeći neku ranjivost u programima ili kao email atačment oni isključuju neki esencijalni sistemski servis, zaključavaju ekran odmah pošto se sistem pokrene ili vrše enkripciju podataka koji potom postaju nedostupni korisniku.

Šta god da je rezultat aktivnosti ransomware-a, od korisnika se zahteva otkup bilo da to znači unos određenog koda za koji korisnik plaća napadaču ili kupovinom alata za dešifrovanje ili uklanjanje ransomware-a.

Autori ransomware programa računaju na neiskusnije korisnike i s obzirom da ovakvi programi cirkulišu internetom godinama unazad kao i da se pojavljuju novi, očigledno je da ta taktika još uvek daje rezultate.

Najnoviji primer da autori takvih programa ne posustaju je ransomware sa kojim se trenutno susreću internet korisnici nekih evropskih država. Reč je o malware-u koji koristi lokalno prilagođene taktike društvenog inženjeringa kako bi naveo korisnika da ga preuzme a potom, pošto dospe u računar, zahteva otkup za deblokadu računara.

Ovaj malware-a se širi putem drive-by download napada kada korisnik dospe na veb stranicu koja hostuje exploit alat, i potom biva preuzet i automatski pokrenut na pogođenom računaru. Malware potom prikazuje poruku upozorenja koja navodno dolazi od policije zemlje u kojoj živi i kojom se korisnik obveštava da je na računaru pronađena dečija pornografija i da računar neće raditi sve dok ne plati kaznu. Tako će nemački korisnik videti poruku koju potpisuje nemačka federalna policija, građaninu Švajcarske namenjena je poruka švajcarskog ministarstva pravde i policije, korisniku iz Velike Britanije poruku upozorenja šalje britanska Metropoliten policija, kao i španska i holandska policija za korisnike iz Španije, odnosno Holandije.

Bez obzira o kjoj je zemlji reč poruka je uvek ista: “Pažnja! Otkrivena je nezakonita aktivnost. Operativni sistem je zaključan zbog kršenja zakona (ovde sledi ime države). Vaša IP adresa je... (prikazuje se korisnikova IP adresa koju malware dobija preko geolokacijskog servisa)."

Malware zatim nastavlja da optužuje korisnika za brojne nezakonite aktivnosti i traži od njega da plati kaznu preko servisa Paysafecard ili Ukash i to u roku od 24 sata ukoliko želi da sadržaj diska ne bude obrisan.

I cene su izgleda prilagođene kupovnoj moći korisnika, te se od nemačkih korisnika traži da plate 50-250 evra, 100 evra od korisnika iz Španije i Holandije, 75 funti je cena otkupa za britanske korisnike i 100 švajcarskih franaka za građane Švajcarske. Iz Majkrosofta, čiji su istraživači i otkrili ovaj ransomware, kažu da veb stranice koje hostuju malware veoma dobro prepoznaju iz koje zemlje dolazi korisnik tako da u većini slučajeva korisnici dobijaju adekvatnu lokalizovanu verziju ovog zlonamernog programa.

Iz Majkrosofta su upozorili korisnike da ukoliko plate traženi iznos time njihov problem neće biti rešen. Kada korisnik plati navodnu kaznu i dobije kod za deblokadu računara, kod će biti odbačen a računar i dalje ostaje zaključan.