Специалисты компании Proofpoint обнаружили редкий на сегодня типа вымогателя: Ransoc не шифрует файлы своих жертв, а является обыкновенным локером для браузера. Вместо шифрования Ransoc использует тактику запугивания и социальную инженерию.

Малварь распространяется посредством вредоносной рекламы и атакует Internet Explorer для Windows и Safari для OS X. Подобно локерам, которые были популярны в 2012-2014 годах, Ransoc показывает своим жертвам не просто сообщение с требованием выкупа, но называет это «уведомлением о штрафе» и предлагает урегулировать вопрос во внесудебном порядке. Какой именно «вопрос» пользователю так щедро предлагают решить?

ransoc-5

Дело в том, что проникнув в систему, малварь проверяет профили пользователя в Skype, LinkedIn и  Facebook, а также ищет установленные торрент-клиенты и ассоциирующиеся с ними файлы. Если вредонос обнаруживает на зараженной машине признаки детской порнографии или нелегально загруженных из сети медиафайлов, он кастомизирует вымогательское сообщение, включая в него имена подозрительных файлов, а также реальные личные данные жертвы, взятые из социальных сетей и Skype, включая фото. Исследователи пишут, что в ходе тестов им удалось понять, что именно ищет малварь и, вручную изменяя названия файлов, добиться включения этих файлов в список «нелегальных».

ransoc-3
Поиск торрентов

Помимо огромного штрафа и тюремного заключения, Ransoc угрожает опубликовать весь собранный компромат в открытом доступе, а легитимные личные данные жертвы, которые приводятся в сообщении, только убеждают ее в серьезности происходящего. Исследователи пишут, что в коде Ransoc также была обнаружена функциональность, отвечающая за доступ к веб-камере, однако пока она малварью не используется.

Каждые 100мс локер проверяет, не запущены ли процессы regedit, msconfig или taskmgr. Если процесс обнаружен, он тут же завершается, что не дает пострадавшему пользователю обезвредить вредоноса. Специалисты Proofpoint отмечают, что от этой проблемы должна хорошо помогать перезагрузка системы в режиме Safe Mode.

ransoc-6
Форма оплаты «штрафа»

Необычным в Ransoc является и предлагаемый способ оплаты. Вместо уже привычных в таких случаях биткоинов, вымогатель предлагает жертве воспользоваться банковской картой. Очевидно, авторы Ransoc уверены, что их жертвы слишком дорожат своими секретами и им есть что скрывать, поэтому обращаться в правоохранительные органы они не станут. При этом пользователю обещают, что если он в течение 180 дней не будет совершать аналогичных «правонарушений», деньги ему вернут. Но, разумеется, это ложь.

Фото: Depositphotos

1 комментарий

  1. Jeffrey Davis

    17.11.2016 at 12:21

    А в случае отказа платить напишет: «Оставайтесь на месте — за Вами уже выехали.»

Оставить мнение

Check Also

Кардер Fly, приславший героин журналисту Брайану Кребсу, получил 41 месяц тюрьмы

Суд вынес приговор Сергею Вовненко, который в 2013 году прислал героин по почте известному…