Scareware wyłudza kasę

Cyberprzestępcy od kilku dni wykorzystują do atakowania użytkowników Windows złośliwe oprogramowanie nowego typu. Nowy szkodnik łączy w sobie cechy dwóch zagrożeń - tzw. ransomware'u oraz scareware'u.

Ransomware to program, który po zainfekowaniu komputera w jakiś sposób blokuje użytkownikowi dostęp (np. szyfrując dane) do cennych dla niego plików - np. dokumentów lub fotografii. Zwykle towarzyszy temu wyświetlenie komunikatu z... żądaniem okupu - autor ransmoware'u informuje ofiarę, że jeśli otrzyma odpowiednio wysoką kwotę, pliki zostaną odblokowane.

Scareware to z kolei stosunkowo nowe zjawisko - tym mianem określa się programy, podszywające się pod aplikacje zabezpieczające (np. antywirusy). Zadaniem takiego oprogramowania jest wyłudzenie od użytkownika pieniędzy - scareware najpierw wyświetla na zainfekowanym komputerze nieprawdziwą informacje o poważnych błędach w zabezpieczeniach, zaś później proponuje zakup "programu zabezpieczającego" w cudowny sposób usuwającego wszystkie problemy.

Nowe zagrożenie wykorzystuje obie te metody do przeprowadzenia dość skomplikowanej operacji, której celem jest, rzecz jasne, wyciągnięcie pieniędzy od internautów. Pierwszym etapem działania jest zainstalowanie w systemie ofiary konia trojańskiego (atak może nastąpić np. przez stronę WWW żądającą zainstalowania kodeka lub błąd w zabezpieczeniach systemu operacyjnego lub przeglądarki).

Trojan przez cały czas monitoruje aktywność użytkownika - za każdym razem, gdy otwarty zostanie jakieś dokument (m.in. MS Word, Excell, PDF) lub plik multimedialny, "szkodnik" automatycznie szyfruje go i kopiuje do folderu Moje dokumenty. Gdy użytkownik próbuje otworzyć taki plik, pojawia się okno (do złudzenia przypominające oficjalny komunikat systemowy) z informacją:

"Windows detected that some of your MS Office and media files are corrupted. Click here to download and install recommended file repair application" (Windows wykrył, że niektóre z twoich plików MS Office oraz multimediów są uszkodzone. Kliknij tutaj aby pobrać i zainstalować zalecaną aplikację do naprawienia plików).

Po kliknięciu na ów URL zostanie pobrany i zainstalowany program o nazwie FileFix Pro, który w ramach demonstracji możliwości odblokuje jeden z zaszyfrowanych plików. Jeśli użytkownik będzie chciał odzyskać resztę, będzie musiał kupić pełną wersję aplikacji - za 50 USD.

"To zupełnie nowa taktyka ataków w Internecie - ale z drugiej strony, mamy przykład kolejnego przeniesienia do świata WWW kolejnego klasycznego numeru tradycyjnych oszustów. Faktem jest, że do tej pory nie zetknęliśmy się z atakiem oprogramowania ransomware o takim stopniu wyrafinowania i złożoności" - mówi David Perry z firmy Trend Micro.

Na szczęście specjaliści ds. bezpieczeństwa przyszli z pomocą użytkownikom - okazuje się, że ofiary trojana nie muszą kupować owego programu. Pliki można bez problemu odblokowac korzystając np. z darmowej aplikacji "Anti FileFix" (dostępnej w serwisie Bleeping Computer) lub specjalnego online'owego narzędzia stworzonego przez firmę FireEye.


Zobacz również