Ransomware zwiększa wiarygodność dzięki czytaniu przeglądarek ofiar

Autorzy ransomware o tematyce policyjnej zaczęli używać historii przeglądania z zainfekowanych komputerów, aby ich oszustwa były bardziej wiarygodne, według niezależnego badacza szkodliwego oprogramowania.

Ransomware to klasa złośliwych aplikacji zaprojektowanych do wyłudzania pieniędzy od użytkowników poprzez wyłączenie ważnych funkcji systemu lub szyfrowanie ich osobistych plików. Szczególna odmiana tego typu zagrożeń wyświetla wiadomości podszywające się pod powiadomienia od organów ścigania.

Język komunikatów i nazw agencji używanych w nich zmienia się w zależności od lokalizacji ofiar, ale w prawie wszystkich przypadkach ofiarami są powiedział, że ich komputery zostały zablokowane, ponieważ uzyskiwały dostęp lub pobierały nielegalne treści. Aby odzyskać dostęp do swoich komputerów, użytkownicy proszeni są o zapłacenie grzywny.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Nowy wariant oprogramowania ransomware, który wykorzystuje tę sztuczkę, został zauważony w weekend przez: niezależny analityk malware znany pod nazwą Kafeine. Ta wersja jest wyróżniona, ponieważ wykorzystuje informacje zebrane z historii przeglądarki ofiary, aby uczynić wiadomość o oszustwie bardziej wiarygodną, ​​powiedział Kafeine w piątek na blogu.

Kovter wyświetla fałszywe ostrzeżenie rzekomo od Departamentu Sprawiedliwości Stanów Zjednoczonych Amerykański Departament Bezpieczeństwa Wewnętrznego i FBI, który twierdzi, że komputer ofiary był używany do pobierania i rozpowszechniania nielegalnych treści. W komunikacie znajduje się również adres IP komputera, jego nazwa hosta i strona internetowa, z której rzekomo pobrano nielegalny materiał.

Szkodliwe oprogramowanie sprawdza, czy którekolwiek z witryn już obecnych w historii przeglądarki komputera znajduje się na zdalnej liście witryny pornograficzne, których treść niekoniecznie jest niezgodna z prawem, a jeśli są zgodne, wyświetla je w wiadomości. Korzystając z tej techniki i nazywając stronę, którą ofiara faktycznie odwiedzała jako źródło rzekomej nielegalnej treści, autorzy programów ransomware próbują zwiększyć wiarygodność swojej wiadomości.

Jeśli nie znaleziono dopasowania przy sprawdzaniu historii przeglądarki przeciwko zdalna lista, złośliwe oprogramowanie po prostu użyje losowej strony porno w wiadomości, powiedział Kafeine.

Nowa taktyka zwiększa zagrożenie

Autorzy ransomware o tematyce policyjnej nieustannie próbują poprawić swój wskaźnik sukcesu, a to tylko najnowsze w długiej serii sztuczek, które dodali. Niektóre warianty wykorzystują kamerę internetową komputera, jeśli jest obecna, aby zrobić zdjęcie użytkownika i zamieścić je w wiadomości, aby sprawiać wrażenie, że władze rejestrują użytkownika. Inny wariant zapewnia ofiarom 48-godzinny termin na zapłacenie wymyślonej kary, zanim ich komputer zostanie ponownie sformatowany, a dane zostaną zniszczone.

Średnia liczba codziennych prób infekcji ransomware o tematyce policyjnej podwoiła się w pierwszych miesiącach 2013, według Siergieja Golovanova, eksperta w zakresie złośliwego oprogramowania w globalnym zespole ds. Badań i analiz w firmie antywirusowej Kaspersky Lab. Dystrybucja tego zagrożenia w lutym i marcu była najwyższa w historii, powiedział w poniedziałek za pośrednictwem poczty elektronicznej.

Według Golovanova najważniejszą rzeczą dla ofiar ransomware nie jest płacenie cyberprzestępcom żadnych pieniędzy. "To, co musisz zrobić, to przejść do innego komputera i zacząć szukać rozwiązania, które zawsze będziesz mógł znaleźć w Internecie" - powiedział. "Wszystkie firmy antywirusowe zamieszczają bezpłatne instrukcje i narzędzia, które pomagają użytkownikom odblokować ich komputery."

"W najgorszym przypadku, jeśli masz do czynienia z unikalnym blokerem, zawsze możesz skorzystać z wyspecjalizowanych forów firm antywirusowych lub skontaktować się z technikami wsparcie dla fachowych porad i rozwiązań "- powiedział. "Oczywiście, może to zająć trochę czasu, ale najważniejsze jest, aby nie płacić i nie finansować tego wyłudzenia."