Novi ransomware oponaša Microsoftov prozor za aktivaciju

Dovodi korisnike u zabludu: "Licenca za Windows vam je istekla, molimo pozovite broj kako bi je obnovili".

Novi ransomware oponaša Microsoftov prozor za aktivaciju

Nova varijanta ransomware-a (ransomlock-a) dovodi korisnike u zabludu da im je istekla licenca za Windows. Korisnici dobijaju instrukciju da pozovu besplatan broj kako bi produžili licencu. U ovom slučaju, reč je, u stvari, o otključavanju sistema, a ne o produženju licence. U pitanju je prevara poznata kao lažna tehnička podrška u kombinaciji sa zaključavanjem ekrana (ransomware + tech support). U odnosu na ranije prevare ove vrste, sada napadači koriste renomirano ime.

Symantec pretnju (freedownloadmanager.exe) prepoznaje kao Trojan.Ransomlock.AT. Nije bilo puno ovih napada do sada, a desili su se uglavnom u SAD-u. Korisniku se najpre na ekranu pojavi poruka: "Licenca za Windows vam je istekla, molimo pozovite broj 1-888-303-5121 kako bi je obnovili".

Trojan.Ransomlock.AT

Screenshot zaključanog ekrana

Poruka je uverljiva zato što izgleda kao da je stigla od Microsofta, mada ima nekih neobičnosti (reč "licenca" napisana je kao "licence" što je uobičajeno za Kanadu i UK, dok se u SAD-u piše "license"; ima i neobičnosti u korišćenju velikih slova, interpunkciji i gramatici, ali na prvi pogled korisnik to verovatno neće ni primetiti).

Iz Symanteca su pozvali gore navedeni broj radi detaljnijeg objašnjenja i informisanja o ceni, ali ni nakon 90 minuta čekanja nije im se javio niko iz "tehničke podrške". Muzika koja ide dok ste na čekanju i poruka koja se periodično ponavlja su vrlo ubedljivi i liče na legitimnu podršku.

Na sreću, daljom analizom malvera nađeno je rešenje za otključavanje i bez zvanja tehničke podrške. Naime, autor malvera je ostavio šifru za otključavanje na vidnom mestu, a nije koristio ni neku od tehnika maskiranja. Sam po sebi, malver je jednostavan i nije povezan sa C&C serverom. Kao što se može videti na slici, šifra za otključavanje je 8716098676542789 i nalazi se u izvornom kodu.

Šifra za otključavanje u izvornom kodu

Šifra za otključavanje u izvornom kodu

Postoji izgleda još jedan način zarađivanja povezan sa ovom prevarom i to preko naštelovanih rezultata pretrage. Naime, neki korisnici će sigurno izguglati ponuđeni telefonski broj kako bi videli da li negde na internetu postoji rešenje za problem. U pretrazi se pojavljuju desetine sajtova koji su napravljeni da izgledaju kao sajtovi na kojima se pruža pomoć za uklanjanje malvera. Koriste se različite taktike zastrašivanja kako bi se posetioci naterali da poslušaju uputstvo za uklanjanje. Naravno, kao rešenja se nude uopšteni saveti koji nisu od pomoći.

Naštelovani rezultati pretrage

Naštelovani rezultati pretrage

Ova prevara predstavlja evoluciju prethodnih prevara sa tehničkom podrškom. Ono što je izdvaja je to što su prevaranti pažljivo isplanirali kako da izvuku što veću zaradu kombinujući poznati ransomware i manipulaciju sa rezultatima pretrage.

Zaštita od ove, kao i od drugih ransomware prevara je uobičajena, ali nije na odmet ponoviti:

  • Redovno pravite backup fajlova.
  • Redovno ažurirajte aplikacije koje koristite za zaštitu sistema.
  • Koristite najnoviju verziju operativnog sistema i svih aplikacija.
  • Brišite sumnjivu elektronsku poštu, naročito ako sadrži linkove i atačmente.

Symantec i Norton proizvodi u stanju su da detektuju ovu novu varijantu ransomware-a.

Izvor: Symantec Connect