Udawany ransomware

Ransomware to jeden z najgroźniejszych i najbardziej dokuczliwych dla ofiary cyber-ataków. Sytuacja, gdy tracimy ważne dla nas pliki albo sporą kwotę pieniędzy, jest nie do pozazdroszczenia, a gdy chodzi o infrastrukturę firmy – chwila niefrasobliwości może szybko przerodzić się w koszmar

Przestępcy oczywiście o tym wiedzą. Ale – jak się okazuje – bywają też całkiem sprytni. Do stopnia, by postraszyć nas ransomware, który… nie robi krzywdy. Ale potrafi porządnie przestraszyć.

(nie) Masz wirusa!

Robi wrażenie? Nie na wszystkich, bo to z daleka pachnie fałszywym antywirusem, nietrudno jednak wyobrazić sobie internautę, który widząc taką pełną rzekomych ostrzeżeń, błyszczącą, kolorową „choinkę” bez namysłu wybierze opcję „Back Safety” (tak, powinno być „Safely”, jednak oszuści tego nie dojrzeli).

Taki zmasowany atak na nasze zmysły to prosta socjotechniczna sztuczka. Mamy natychmiast poczuć duże emocje, że nasze bezpieczeństwo jest zagrożone. Zagrożone tak bardzo, że musimy COŚ kliknąć. A to coś – traf chciał – jest w zielonym kolorze, wyraźnie odcinając się od czerwonego tła. Do tego mamy tło, podszywające się pod Microsoft, a fakt, iż zostało wyszarzone, znacząco utrudnia spojrzenie, że adres w pasku przeglądarki nie ma nic wspólnego z producentem Windows Defendera, na który się powołuje.

Co ciekawe, nieważne co byśmy kliknęli, kolejny krok będzie dokładnie taki sam. A ofiara zobaczy coś takiego:

Zrzut ekranu został zrobiony po wyjściu z „ransomware”. Normalnie nie widać niczego poza ekranem, strona zaś skutecznie udaje ekran blokady, charakterystyczny dla oprogramowania, wymuszającego okup.

To w końcu ransomware, czy nie?

Nie, ale sprytnie go udaje. Po wciśnięciu czegokolwiek na stronie pojawia się „ogłupiąjący” efekt stroboskopowy (w naszym przypadku spowodował chwilowe zawahanie), a następnie wyskakuje to, co widać powyżej, w trybie pełnego ekranu.

Dlaczego nie rzuciliśmy się do wyłączania komputera? Przede wszystkim dlatego, że uruchomiliśmy stronę na maszynie wirtualnej. I szybko okazało się, że przytrzymanie odpowiednio długo przycisku Esc powoduje… wyjście z trybu pełnoekranowego przeglądarki! I wtedy oczom naszym ukazał się adres, zakończony dość zabawnym w tym kontekście adresem /alert/win.

Wygrać w tej sytuacji mógł jednak co najwyżej wyłącznie sprytny oszust:

jednak po wpisaniu adresu w jednym z serwisów, pozwalających na sprawdzenie stanu konta kryptowalutowego portfela, okazało się, że jest na nim okrągłe ZERO. I oby tak dalej!

Skąd to się wzięło?

Podczas analizy w przypadku jednej ze strony odnaleźliśmy jej związek z reklamami Google. Znając schemat działania przestępców można z dużym prawdopodobieństwem założyć, iż przestępcy użyli tzw. SEO Poisoning, w efekcie czego w wyszukiwarce wysoko znalazł się link do ich strony, podszywający się pod jakąś atrakcyjną dla potencjalnego odbiorcy treść. Wystarczyło weń kliknąć – i do ofiary trafiała informacja o rzekomej infekcji komputera.

Nie oznacza to jednak, że każdy taki link okaże się oszukanym ransomware. Więc jeśli nie macie pewności, co robicie, stanowczo zalecamy – nie róbcie tego w domu. Kliknęliśmy w tamten link, żebyście Wy nie musieli tego robić!

A jeśli kiedykolwiek pokaże Wam się takie okienko, zalecamy:

• spokój
• zamknięcie przeglądarki
• szybkie zastanowienie się, skąd tam weszliście

Jeśli natomiast macie jakiekolwiek obawy:

• odłączenie komputera od sieci
• przeskanowanie go programem antywirusowym

I pamiętajcie – jeśli macie wątpliwości co do maila, czy linku – wyślijcie go na cert.opl@orange.com! Gdy Wasze wątpliwości natomiast wzbudza SMS – prześlijcie go dalej na nr 508 700 900. Jeśli korzystacie z usług dostępu do internetu Orange Polska, nie zaszkodzi też wejść na stronę CyberTarczy, by sprawdzić bezpieczeństwo domowej sieci. A najlepiej ustawić ją jako stronę główną.
Dbania o bezpieczeństwo nigdy za wiele.