Malwarebytes udostępnił bezpłatne narzędzie deszyfrujące, które pomaga ofiarom niedawnego ataku ransomware odzyskać dane od cyberprzestępców wykorzystujących technikę oszustwa technicznego. Nowy wariant oprogramowania ransomware o nazwie VindowsLocker pojawiły się w zeszłym tygodniu. Działa, łącząc ofiary z fałszywymi technikami firmy Microsoft w celu zaszyfrowania ich plików przy użyciu rozszerzenia Pastebin API.
Oszuści korzystający z pomocy technicznej od dłuższego czasu atakują niczego niepodejrzewających użytkowników Internetu. Złośliwa taktyka, będąca połączeniem inżynierii społecznej i oszustwa, ewoluowała od zimnych telefonów do fałszywych alertów, a ostatnio blokad ekranu. Oszuści wsparcia technicznego dodali teraz oprogramowanie ransomware do swojego arsenału ataków.
Jakub Kroustek, analityk bezpieczeństwa AVG, jako pierwszy wykrył ransomware VindowsLocker i nazwał zagrożenie na podstawie rozszerzenia pliku .vindows dołącza do wszystkich zaszyfrowanych plików. Ransomware VindowsLocker używa algorytmu szyfrowania AES do blokowania plików z następującymi rozszerzeniami:
tekst, doc, docx, xls, xlsx, ppt, pptx, odt, jpg, png, csv, sql, mdb, sln, php, żmija, aspx, html, xml, psd
VindowsLocker naśladuje oszustwo związane z pomocą techniczną
Oprogramowanie ransomware stosuje taktykę typową dla większości oszustw związanych z pomocą techniczną, polegającą na tym, że ofiary proszone są o zadzwonienie pod podany numer telefonu i rozmowę z personelem pomocy technicznej. Z kolei ataki ransomware w przeszłości wymagały płatności i obsługiwały klucze odszyfrowywania za pomocą portalu Dark Web.
to nie jest obsługa Microsoft vindows
zablokowaliśmy twoje pliki wirusem zeus
zrób jedną rzecz i zadzwoń do technika pomocy technicznej firmy Microsoft na poziomie 5 pod numer 1-844-609-3192
zwrócisz jednorazową opłatę w wysokości 349,99 USD
Malwarebytes uważa, że oszuści działają w Indiach i naśladują personel pomocy technicznej firmy Microsoft. VindowsLocker wykorzystuje również pozornie legalną stronę pomocy technicznej systemu Windows, aby dać fałszywe wrażenie, że wsparcie techniczne jest gotowe pomóc ofiarom. Strona pomocy prosi o podanie adresu e-mail ofiary i danych logowania do konta bankowego, aby przetworzyć płatność 349,99 USD za odblokowanie komputera. Jednak według Malwarebytes zapłacenie okupu nie pomaga użytkownikom w odzyskaniu plików. Dzieje się tak, ponieważ programiści VindowsLocker nie mogą teraz automatycznie odszyfrować zainfekowanego komputera z powodu pewnych błędów kodowania.
Malwarebytes wyjaśnia, że programiści ransomware VindowsLocker spartaczyli jeden z kluczy API przeznaczonych do użycia w krótkich sesjach. W konsekwencji klucz API wygasa po krótkim czasie, a zaszyfrowane pliki przechodzą do trybu online, uniemożliwiając programistom VindowsLocker udostępnianie ofiarom kluczy szyfrowania AES.
Przeczytaj także:
- Zidentyfikuj oprogramowanie ransomware, które zaszyfrowało Twoje dane za pomocą tego bezpłatnego narzędzia
- Jak na dobre usunąć oprogramowanie ransomware Locky
- Malwarebytes udostępnia darmowy deszyfrator ransomware Telecrypt
- Ransomware Locky rozprzestrzeniające się na Facebooku zamaskowane jako plik .svg
- Problemy z Malwarebytes
- Oprogramowanie ransomware