Ranscam nie dba o to, ile razy zapłacisz okup

Po zainfekowaniu komputera programem typu ransomware naturalnym etapem jest zastanawianie się, czy warto jest zapłacić okup, aby odzyskać swoje elektroniczne życie. Kaspersky Lab nie zaleca ulegania tej pokusie i przekazywania

Po zainfekowaniu komputera programem typu ransomware naturalnym etapem jest zastanawianie się, czy warto jest zapłacić okup, aby odzyskać swoje elektroniczne życie. Kaspersky Lab nie zaleca ulegania tej pokusie i przekazywania pieniędzy w takich sytuacjach, a w przypadku ransomware o nazwie Ranscam nie ma to sensu w ogóle: szkodnik i tak usuwa pliki.

Blackhole-Featured

W serwisie Threatpost pojawiła się informacja o nowym szkodliwym programie, w której podkreślono, że w przeciwieństwie do ostatniego ransomware, które działało w sposób dosyć zorganizowany, Ranscam wydaje się być leniwy lub nieszczególnie kompetentny. Taki młot pośród skalpeli.

Niestety ten młot – jak to młot – ma całkiem sporą siłę rażenia, a dokładniej niszczenia. O ile celem wyszukanych programów ransomware jest wyłudzenie od ofiar pieniędzy, a następnie (z założenia) przywrócenie plików lub systemu plików, które zostały zaszyfrowane w drodze ataku, o tyle Ranscam jest zwykłym oszustwem.

Jak działa Ranscam?

Po przedostaniu się w ten czy inny sposób jakiegoś szkodliwego programu do systemu użytkownik widzi informację z żądaniem okupu. Tutaj na pierwszy rzut oka scenariusz wygląda podobnie, ale jest jedna pozornie nieistotna różnica. Zamiast przekierowywać użytkowników do lokalizacji zewnętrznej, w której płatność ma zostać weryfikowana, na komunikacie znajduje się przycisk: „I made payment, please verify” (Zapłaciłem okup, zweryfikuj).

RansomNote

W rzeczywistości różnica jest duża. Gdy użytkownik kliknie przycisk, pojawia się komunikat z informacją, że płatność nie została zweryfikowana oraz że za każdym razem, gdy przycisk zostanie użyty bez zapłacenia przestępcom, zostanie usunięty jeden plik. Prawdopodobnie takie działanie ma na celu wywołanie zdenerwowania u użytkowników i nakłonienie ich do płacenia kilka razy.

Tymczasem jest to zwykły blef — i to jest ta dobra informacja dla ofiar. Ransomware twierdzi, że przeniósł pliki użytkownika do „ukrytej, zaszyfrowanej partycji”, choć tak naprawdę usunął je jeszcze zanim wyświetlił komunikat. A więc nie można ich w żaden sposób odzyskać.

Jak wyjaśnili badacze z Cisco Talos Security Intelligence and Research Group, niszczenie plików sugeruje, że przestępcy mogą nie znać zasad związanych blokowaniem plików czy blokowaniem z użyciem szyfrowania.

W tej chwili Ranscam nie jest skojarzony z żadnym innym większym atakiem, można więc go uznać jako przypomnienie, że zapłacenie okupu nie jest równoznaczne z odzyskaniem plików (nie wspominając o tym, że płacenie utwierdza przestępców, że używanie takich programów to świetny sposób na zarabianie).

Plików usuniętych przez Ranscam nie można w żaden sposób przywrócić, a jedynym sposobem na zabezpieczenie się jest działanie proaktywne. Oto prosty plan:

  1. Nie otwieraj załączników i nie klikaj podejrzanych odnośników. Nie wiadomo, jak rozprzestrzenia się Ranscam, ale prawdopodobnie wykorzystuje załączniki do wiadomości e-mail i szkodliwe lub zhakowane strony. Zatem jeśli nie jesteś na 100% pewny, nie klikaj.
  2. Regularnie twórz kopie zapasowe swoich danych i przechowuj je na pamięci zewnętrznej. Jeśli jakiś ransomware zaszyfruje lub usunie Twoje pliki, użyjesz ich kopii.
  3. Używaj dobrego antywirusa. Kaspersky Internet Security wykrywa Ranscam jako Trojan-Ransom.MSIL.Agent i zapobiega wprowadzaniu zmian przez takie programy.
Porady