Pelotin ransomware: lapsipornosta doj-varoituksiin

"Jos asennat mikrotietokoneeseen…, tämän käyttöoikeuden ehtojen nojalla maksat PC Cyborg Corporationille kokonaan näiden ohjelmien vuokrauskustannukset." Jos luet näitä sanoja tietokoneellasi vuonna 1989, onnittelut - olit ensimmäisten joukossa ransomware-ohjelmien, erityisesti Aidsin tietolevyn tai PC Cyborg Trojanin, kirjoittanut Joseph Popp.

Tällä viikolla BBC kertoi uudesta ransomware-muodosta, joka kertoo tietokoneiden käyttäjille, että heidän tietokoneellaan on ollut lapsipornoa ja heidän tietokoneensa lukitaan luvattoman verkon toiminnan takia. Haittaohjelmat aiheuttavat Saksan liittovaltion tietoturvaviraston (BKI) ja sen tekijänoikeuslaitoksen, mutta se on vain tarjous saada sinut luopumaan henkilökohtaisista tiedoista.

Wikipedian mukaan Poppilla ja muilla ransomware-kirjoittajilla on yhteiset piirteet. Ei, ei se tosiasia, että Popp julistettiin kelpaamattomaksi oikeudenkäyntiin, vaikka Wikipedia ilmoittaa olevansa. Sen sijaan Popp ja muut ransomware-tekijät eivät vain saastuta tietokonetta - he ilmoittavat käyttäjälle, että heidän tietokoneensa on vaarannettu, ja tarjoavat yleensä ratkaisun. Tietysti käyttäjä maksaa - joko maksulliseen ulkomaanpuheluun, lataamalla "korjauksen" (joka voi sisältää muun haittaohjelman käynnistää) tai maksamalla haittaohjelman tekijälle useiden salattujen tiedostojen lukituksen.

Viime aikoina ransomware-kirjoittajat ovat kääntyneet häpeään motivoidakseen uhrejaan. Vaikka käyttäjät saattavat olla halukkaita romuttamaan tartunnan saaneen tietokoneen, he todennäköisesti maksavat maksun, jos he uskovat poliisin olevan pornografian tai muun rikoksen yhteydessä - varsinkin jos kyseessä on sellainen, jota he eivät itse asiassa tehdä. Tässä on lyhyt historia huonoimmista lunastusohjelmista, jotka ovat koskaan saaneet PC: tä.

Jos näet nämä, lopeta ja ajattele. Olet jo saanut tartunnan. Löydä erillinen tietokone (tai puhelin) ja käy PCMag-verkkosivustolla kuinka lopettaa ohjelmistot. Mutta ensimmäinen ja paras askel? Käytä yhtä hyväksytyistä tietoturvaratkaisuistamme. Mutta varoita: yhdessä kappaleessa lunaohjelmia näkyy PCMag.com-logo. Selvitä mikä seuraavista sivuista.

1 Winlock

Yksi ensimmäisistä ransomware-yrityksistä Winlock näytti pornografisia kuvia ja pyysi käyttäjiä lähettämään premium-hintaisen tekstiviestin, joka maksaa noin 10 dollaria saadakseen koodin, joka avasi heidän koneensa. Huijaus koski suurta määrää käyttäjiä ympäri Venäjää ja naapurimaita - Wikipedian mukaan ansaitsee konsernille yli 16 miljoonaa dollaria. ( Kuva )



2 Master Boot Record lukittu

Oficla-perheen troijalainen lataa ja asentaa MBR-lunastusohjelman. Kun käynnistät uudelleen sen jälkeen, kun se kirjoittaa Windowsin pääkäynnistystietueen, näyttöön tulee tämä kuvakaappaus. Väite, että kaikki kiintolevyt ovat salattuja, on valhe, eikä sinun tarvitse mennä heidän verkkosivustolleen salasanaa. Salasana "aaaaaaciip" palauttaa alkuperäisen MBR: n, jotta Windows käynnistyy uudelleen kaikissa järjestelmissä, joita vaikutus koskee.



3 lapsipornografiaa löytynyt!

Vaikka viimeisin ransomware näyttää ilmeisesti kuvia itse lapsipornosta, tämä ei ole ensimmäinen kerta, kun huijarit ovat tasoittaneet nämä syytökset. Vuonna 2011 BitDefender löysi Trojan.Agent.ARVPin Russia -yrityksen, joka lukitsi tartunnan saaneen tietokoneen, ja näytti viestin, jonka mukaan tietokone oli lukittu johtuen siitä, että käyttäjän järjestelmästä löytyi lapsipornografiaa. Se vaati 500 ruplan sakon maksamista 12 tunnin kuluessa. ( Kuva )



4 FakeAV

FakeAV naamioi itsensä "todelliseksi" virustorjuntaohjelmaksi, joka on yksi ransomware-ilmiön vaikeimmista muodoista, ja sitten viestit siitä, kuinka tietokoneesi on "tartunnan saanut". Puhdista ne oikein, tietysti, sinun on ladattava ohjelmisto maksua vastaan. Tämän ransomware-ohjelman käyttämä sosiaalinen tekniikka on päätä ja hartioita normaalien hyökkäysten yläpuolella, mikä on usein havaittavissa huonojen kielioppien tai muiden virheiden kautta. ( Kuva )



5 Talking Ransomware

Se ei riitä vain kuvien näyttämiseen. Trend Micro sai äskettäin raportin, että uudella poliisin troijalais variantilla on jopa "ääni". Tunnistettu nimellä TROJ_REVETON.HM, se lukitsee tartunnan saaneen järjestelmän, mutta sen sijaan, että vain näyttäisi viestiä, kehottaa käyttäjiä nyt maksamaan suullisesti. Käyttäjän ei tarvitse kääntäjää ymmärtää haittaohjelman sanoja - se puhuu uhrin sijaintimaan kieltä. ( Kuva )



6 Hiljaisuuden kaappi

Huhtikuussa "Silence Locker" -niminen ransomware-ohjelmisto aloitti kierrosten tarjoamisen "parantaa" PC: tä maksua vastaan. ( Kuva )



7 GPCODE.AD

Vuonna 2006 GPCODE napsautti uhrien tietokoneita ja salaa kaikki tiedostot 660-bittisellä avaimella, jonka huijarit avasivat vasta maksun jälkeen. Vuonna 2008 TROJ_GPCODE.AD syntyi Trend Micro -yrityksen mukaan salaamalla kaikki tiedostot tietyillä tiedostotunnisteilla monimutkaisemmalla 1024-bittisellä avaimella, mikä tekee tiedostoista lukukelvottomia. Se näyttää seuraavan viestiruudun, joka ilmoittaa käyttäjälle tiedostojen salauksesta, ja antaa sitten sähköpostiosoitteen yhteyshenkilölle, jolla on salauksen purkuohjelma, jota hän voi käyttää tiedostojensa takaisin saamiseen. ( Kuva )



8 Poliisit / Ukash

Asiaan liittyvä Silence Locker -versio tarjoaa Ison-Britannian uhreille oikeuden ostaa vapautensa Ukashissa, kun mato on lukinnut järjestelmänsä. ( Kuva )



9 DOJ-versio poliisiohjelmasta

Jotkut käyttäjät ovat löytäneet tietokoneistaan ​​viestejä Yhdysvaltain oikeusministeriöltä, jotka väittävät käyneensä verkkosivustoilla, joissa ylläpidetään laitonta sisältöä. Tosiasiassa viesti oli osa haittaohjelmainfektiota, eikä Trusteer Intelligence -yrityksen tutkijoiden mukaan sillä ollut mitään tekemistä oikeussuojan kanssa. Käyttäjät tarttuvat ransomware-ohjelmalla Reveton osana suurempaa drive-by-lataushyökkäystä, joka asentaa Citadel-haittaohjelman tietokoneilleen. Tämä hyökkäys ilmestyi toukokuussa 2012.