Специалисты компании Proofpoint обнаружили редкий на сегодня типа вымогателя: Ransoc не шифрует файлы своих жертв, а является обыкновенным локером для браузера. Вместо шифрования Ransoc использует тактику запугивания и социальную инженерию.
Малварь распространяется посредством вредоносной рекламы и атакует Internet Explorer для Windows и Safari для OS X. Подобно локерам, которые были популярны в 2012-2014 годах, Ransoc показывает своим жертвам не просто сообщение с требованием выкупа, но называет это «уведомлением о штрафе» и предлагает урегулировать вопрос во внесудебном порядке. Какой именно «вопрос» пользователю так щедро предлагают решить?
Дело в том, что проникнув в систему, малварь проверяет профили пользователя в Skype, LinkedIn и Facebook, а также ищет установленные торрент-клиенты и ассоциирующиеся с ними файлы. Если вредонос обнаруживает на зараженной машине признаки детской порнографии или нелегально загруженных из сети медиафайлов, он кастомизирует вымогательское сообщение, включая в него имена подозрительных файлов, а также реальные личные данные жертвы, взятые из социальных сетей и Skype, включая фото. Исследователи пишут, что в ходе тестов им удалось понять, что именно ищет малварь и, вручную изменяя названия файлов, добиться включения этих файлов в список «нелегальных».
Помимо огромного штрафа и тюремного заключения, Ransoc угрожает опубликовать весь собранный компромат в открытом доступе, а легитимные личные данные жертвы, которые приводятся в сообщении, только убеждают ее в серьезности происходящего. Исследователи пишут, что в коде Ransoc также была обнаружена функциональность, отвечающая за доступ к веб-камере, однако пока она малварью не используется.
Каждые 100мс локер проверяет, не запущены ли процессы regedit, msconfig или taskmgr. Если процесс обнаружен, он тут же завершается, что не дает пострадавшему пользователю обезвредить вредоноса. Специалисты Proofpoint отмечают, что от этой проблемы должна хорошо помогать перезагрузка системы в режиме Safe Mode.
Необычным в Ransoc является и предлагаемый способ оплаты. Вместо уже привычных в таких случаях биткоинов, вымогатель предлагает жертве воспользоваться банковской картой. Очевидно, авторы Ransoc уверены, что их жертвы слишком дорожат своими секретами и им есть что скрывать, поэтому обращаться в правоохранительные органы они не станут. При этом пользователю обещают, что если он в течение 180 дней не будет совершать аналогичных «правонарушений», деньги ему вернут. Но, разумеется, это ложь.
Фото: Depositphotos