CERT Polska ostrzega: złośliwe oprogramowanie chce okupu za odblokowanie komputera
Foto: Fotolia
Okupu wynoszącego 100 euro za odblokowanie komputera żąda złośliwe oprogramowanie, podające się za policję, które pojawia się ostatnio na komputerach polskich użytkowników - poinformował na swojej stronie zespół CERT Polska.
CERT Polska jest zespołem powołanym do reagowania na zdarzenia naruszające bezpieczeństwo w sieci. Działa w strukturach instytutu badawczego NASK, który podlega Ministerstwu Nauki i Szkolnictwa Wyższego.
W komputerze zainfekowanym złośliwym oprogramowaniem pojawia się sygnowana logiem policji informacja w języku polskim, że komputer został zablokowany przez "system automatycznej kontroli informacyjnej", i że mogło to nastąpić, ponieważ komputer był używany do przechowywania pirackich plików, nielegalnych treści czy oglądania niedozwolonych stron internetowych. Aby odblokować komputer należy - zgodnie z rzekomymi przepisami o "kontroli informacyjnej oraz zabezpieczenia informacji" - uiścić opłatę w wysokości 100 euro. Opłatę taką należy wykonać podając numer vouchera UKASH.
Eksperci z CERT zaznaczają na swojej stronie, że jest to program typu ransomware (ang. ransom – okup, software – oprogramowanie). Jest to rodzaj złośliwego oprogramowania, który blokuje pewne funkcje komputera (np. szyfruje pliki, blokuje możliwość uruchomienia programów itp.), a następnie za usunięcie blokady żąda wpłacenia okupu. Po zapłaceniu użytkownik dostaje zazwyczaj kod odblokowujący. "Na ogół kwota okupu nie jest duża – co sprzyjać ma wybraniu przez użytkownika +sponsorowanej+ metody usunięcia problemu" - zaznaczono na stronie CERT Polska.
"Najprostsza metoda usunięcia (tego oprogramowania - PAP) polega po prostu na wpisaniu +poprawnego+ kodu UKASH. Z analizy malware wynika, iż malware sprawdza jedynie początek kodu, nie sprawdza natomiast, czy jest to poprawny, aktywny numer vouchera. W internecie można znaleźć informację, iż poprawny kod zaczynia się od ciągu 633781 lub 718 po których następuje 13 cyfr" - poinformowano na stronie CERT Polska i podano link do prostego generatora takich kodów: http://cert.pl/tools/genukash.php
Eksperci wyjaśniają, że ten właśnie ransomware jedynie dodaje parę wpisów do rejestru systemowego, wyłącza proces Explorera (przez co znika menu "start"), ukrywa wszystkie okna, a następnie wyświetla komunikat proszący o wniesienie opłaty. Z przeprowadzonej w laboratorium CERT Polska analizy wynika, iż malware nie podejmuje żadnych innych działań (tzn. nie infekuje, nie kasuje ani nie szyfruje innych plików).
CERT Polska powołując się na serwis: https://www.abuse.ch/?p=3718, informuje, że ten rodzaj złośliwego oprogramowania atakował już wcześniej poza Polską, m.in. w Austrii, Finlandii, Niemczech, Belgii, Francji, Grecji, Włochach, Holandii, Polsce, Portugalii, Hiszpanii, Szwecji.
Szczegółowe informacje i zrzut z ekranu zainfekowanego komputera można znaleźć pod adresem: http://www.cert.pl/news/5483
PAP - Nauka w Polsce
lt/ agt/
Przed dodaniem komentarza prosimy o zapoznanie z Regulaminem forum serwisu Nauka w Polsce.
