Ransoc: убедительный вымогатель

Блокировщик Ransoc собирает данные из соцсетей и сведения о файлах с жесткого диска — и использует это все в предъявляемом обвинении.

Ransoc: убедительный вымогатель

«Это ФБР, вам грозит арест на 20 лет и штраф $200 тысяч за хранение нелегального контента, если вы тут же не заплатите $100 в биткойн-эквиваленте!» — вдруг говорит компьютер и отказывается закрывать назойливо мигающее окно. «Ха! — подумает пользователь. — Ишь, разбежался, троян-блокировщик. Ничего я тебе не заплачу. А чтобы тебя выкорчевать, у меня найдется специальная утилита«.

Трояны-блокировщики для компьютеров были «в моде» в 2012–2014 годах, а сейчас перекочевали на телефоны, тогда как на десктопах их место заняли шифровальщики — с ними значительно сложнее бороться. К тому же многие люди выучили, что ФБР не рисует красивые картинки с логотипами и не отправляет их через порносайты.

Тем не менее, как показывает практика, блокировщики для настольных компьютеров вовсе не вымерли и вполне себе эволюционируют, используя все более эффективные методы убеждения. Например, недавно исследователи обнаружили необычного троянца, которому дали имя Ransoc.

От обычного блокировщика Ransoc отличается именно убедительностью. Он блокирует браузер, и на странице, которую он выводит, жертва неожиданно обнаруживает точные данные о себе и какие-то фотографии из ее аккаунтов в соцсетях. Да еще и требования блокировщик выдвигает такие, что они выглядят обоснованными. Как так получается?

Как только Ransoc попадает на компьютер пользователя (в основном с сайтов «для взрослых»), он начинает анализировать содержимое накопителя. Во-первых, он копается в мультимедийных файлах и ищет признаки наличия чего-нибудь связанного с детской порнографией или авторским контентом, скачанным с торрентов. Во-вторых, зловред проверяет профили в Skype, Facebook и LinkedIn.

Данные из соцсетей он добавляет в уведомление, чтобы оно выглядело более адресным, а информацию о наличии на компьютере чего-либо связанного с детской порнографией и нелегально загруженным контентом использует, чтобы сформировать список обвинений — тоже для пущей убедительности.

Получается, что пользователь видит уведомление, которое действительно относится к нему лично: вот его персональные данные, а вот информация о тех нехороших вещах, которые он действительно делал. Если у трояна не получается найти ни детской порнографии в названиях файлов, ни скачанных с торрентов фильмов, то он не станет предъявлять жертве никаких обвинений. Такой вот «справедливый» зловред.

Также Ransoc угрожает опубликовать имеющийся у него компромат, что, с учетом наличия у него доступа к аккаунтам в соцсетях, выглядит вполне убедительно.

При этом Ransoc каждые 100 миллисекунд отслеживает, не пытается ли пользователь запустить утилиты regedit, msconfig или taskmgr, и «убивает» их процессы, чтобы его не вычистили из системы.

Интересно и то, что злоумышленники предлагают переводить им выкуп банковским переводом. С одной стороны, так легче вычислить получателя, что ставит план мошенников под угрозу. С другой — они, видимо, посчитали, что так будет куда убедительнее, чем требовать от пользователя покупать какие-то непонятные биткойны. Ведь в данном случае киберпреступники действительно очень старательно выдают себя за настоящие госорганы — а настоящим госорганам положены легитимные способы оплаты.

В общем, Ransoc — это своего рода блокировщик 2.0, улучшенная и дополненная версия похожих зловредов трехлетней давности.

Против таких блокировщиков есть две эффективные меры противодействия:

1. Сохраняйте спокойствие и не поддавайтесь на социальную инженерию. Несмотря на все усилия злоумышленников, это все равно не похоже на то, как будут действовать госорганы. Ничего ужасного не произошло, просто мошенники стали немного техничнее.

2. Используйте на каждом устройстве надежное защитное решение. Kaspersky Internet Security в курсе о существовании Ransoc и успевает выгнать его из системы до того, как зловред начнет предъявлять вам обвинения. А если он уже оказался в системе, то с помощью Kaspersky Internet Security его можно выгнать.

Подробнее о разновидностях вымогателей и способах борьбы с ними вы можете узнать из этого текста.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.