Wyobraź sobie, że na Twoim komputerze nagle wyświetlana jest wiadomość: „Tu FBI. Na tym urządzeniu wykryto nielegalną zawartość. Zostaniesz zaaresztowany na 20 lat i ukarany grzywną w wysokości 200 000 dolarów, chyba że zapłacisz 100 dolarów w bitcoinach”.
„Ha! Nie tak szybko, ransomware! Nie dostaniesz ani grosza — użyję specjalnego narzędzia i usunę cię zaraz z mojego komputera” — myślisz z dumą.
Takie blokery były znacznie rozpowszechnione w latach 2012-2014, ale dziś przeniosły się głównie na smartfony, a przez to trudniej je zwalczać. Jeśli zaś chodzi o komputery, berło dzierży tu kryptoransomware.
Blokery nie porzuciły komputerów całkowicie, lecz ewoluowały i używają najskuteczniejszych metod przekonywania. Interesującym przykładem takiej ewolucji jest wykryty niedawno program blokujący Ransoc.
Największą różnicą pomiędzy programem blokującym Ransoc a zwykłymi blokerami jest to, że wykazuje on znacznie większą zdolność przekonywania użytkowników do zapłacenia. Ransomware blokuje dostęp do komputera i wyświetla na ekranie osobiste dane ofiary – w tym zdjęcia z sieci społecznościowych. Ponadto żądania tego szkodliwego programu wyglądają dosyć racjonalnie. Jak to możliwe?
Gdy Ransoc infekuje komputer ofiary (zazwyczaj dostaje się tam przez strony dla dorosłych), wyszukuje na dysku twardym aspekty powiązane z nielegalną zawartością: pornografię dziecięcą, piracką muzykę czy filmy. Co więcej, Ransoc sprawdza profile ofiary w aplikacjach Skype, Facebook i Linkedin. Trojan używa tych informacji do spersonalizowania wydźwięku szantażu.
W wyniku tego ofiary otrzymują przerażające informacje, które wyglądają nadzwyczaj przekonująco: są dane osobiste, jest także lista nielegalnych działań. Ransoc grozi upublicznieniem swoich odkryć, także w sieciach społecznościowych. Jeśli trojan nic nie znajdzie, nie szantażuje ofiary. Według wielu osób jest on sprawiedliwy — odbierany jest jak coś na kształt straży obywatelskiej.
Ponadto co 100 milisekund Ransoc sprawdza, czy użytkownik uruchamia narzędzia regedit, msconfig lub taskmgr i zamyka ich procesy, aby ofiary nie mogły usunąć go z systemu.
Kolejną ciekawostką związaną z zagrożeniem Ransoc jest to, że przestępcy chcą otrzymać okup za pośrednictwem przelewu bankowego. Z jednej strony to dobrze, bo łatwiej jest zdemaskować oszustów. Jednak z drugiej strony przestępcy udają przedstawicieli FBI, więc zapłata przy użyciu przelewu bankowego wygląda znacznie bardziej przekonująco niż z wykorzystaniem bitcoinów.
Można powiedzieć, że Ransoc to rodzaj blokera 2.0, który jest ulepszoną i zaktualizowaną wersją szkodliwego programu popularnego trzy lata temu.
Blokery można skutecznie powstrzymać na dwa sposoby.
- Zachowaj spokój i nie wierz w żadne triki socjotechniczne. Autorem takich komunikatów nie są organy ścigania bez względu na to, jak one wyglądają: to cyberprzestępcy zwiększyli stopień zaawansowania swojego szkodliwego programu.
- Zainstaluj na swoim urządzeniu solidny program zabezpieczający. Kaspersky Internet Security wykrywa program Ransoc i nie pozwala mu na gromadzenie danych ani na próbę szantażu. A gdy urządzenie w jakiś sposób zostanie zainfekowane tym trojanem, nasz program umożliwia także usunięcie go.
Jeśli chcesz dowiedzieć się więcej na temat rodzajów programów żądających okupu oraz tego, jak się im nie dać, przeczytaj ten post.