Cine îi mai sperie pe utilizatorii de calculatoare din România?

România a fost, zilele acestea, atât sursa, cât şi victima unui nou tip de atac informatic, cauzat de apariţia lui Gen:Trojan.ShellStartup.GGW@aCmzJwli – cel mai recent scareware / ransomware marcă românească.  Familia ransomware include aplicaţii care „sechestrează” date esentiale de pe calculatorul infectat (sau restricţionează total accesul utilizatorului la acesta) până la efectuarea unei plăţi către atacator.

Scris in Delphi, acest troian de 512 KB se deghizează sub aparenţa unei arhive zip. La prima execuţie, troianul îşi creează o cheie proprie în  HKEY_LOCAL_MACHINESOFTWAREkeytz şi setează valoarea Run la 0. Această valoare reprezintă numărul de rulări.

După infectare, utilizatorul primeşte un mesaj prin care este anunţat că sunt instalate aplicaţii pirat pe sistemul său. De asemenea, fereasta conţine următoarele avertismente:

a)      Sistemul este blocat, iar pentru deblocare, victima acestui scareware va trebui să achiziţioneze o o cartelă Cosmote PrePay de 3 euro şi să trimită codul de reîncărcare la numărul de telefon 0769******. Imediat după trimiterea codului valid, victima va primi o parolă de deblocare, care va dezactiva restricţiile.

b)      În cazul în care utilizatorul va încerca să recurgă la resetarea calculatorului, după două astfel de operaţiuni, datele de pe toate părtiţiile sistemului vor fi şterse. La fiecare re-pornire, troianul va incrementa valoarea salvată în cheia Run.

c)       Chiar dacă utilizatorul decide să reinstaleze sistemul de operare, restricţiile vor reapărea la deschiderea primului fişier.

Deşi pare foarte periculos, Gen:Trojan.ShellStartup.GGW@aCmzJwli nu este decât un instrument de intimidare. Impactul asupra calculatorului infectat se rezumă la ascunderea oricărei ferestre a sistemului de operare care nu are titlul “!!!ALERT!!!” atunci când utilizatorul încearcă să o acceseze. Acest procedeu se bazează pe un timer care verifică fiecare fereastră activă în parte.

Aplicaţia poate fi deblocată cu parola MASTER123, care trebuie tastată în câmpul special din fereastra troianului. După introducerea codului corect, aceasta se închide şi iniţializează un script pentru a se auto-elimina din sistem.

Dacă Gen:Trojan.ShellStartup.GGW@aCmzJwli este un mai mult deranjant decât distructiv, acest lucru nu se aplică la cele mai recente  ameninţări informatice „made in Romania”, care sunt nu numai extrem de distructive, dar şi foarte atent programate: Win32.Worm.Delf.NFW , care caută şi şterge toate fişierele MP3 care conţin titluri de manele şi mai recentul Win32.Worm.IM.J , care se propagă prin serviciile de mesagerie instant prin mesaje ce direcţionează  utilizatorul către site-uri ce găzduiesc malware. Win32.Worm.IM.J este capabil să detecteze cuvinte-cheie folosite de potenţiala victimă şi să poarte o scurtă conversaţie cu aceasta.

Despre BitDefender®   
BitDefender este producătorul uneia dintre cele mai rapide şi eficiente linii de soluţii de securitate a datelor atestate pe plan internaţional. Încă de la începuturile sale, din 2001, BitDefender a creat un nou orizont de aşteptări şi a ridicat standardele în materie de prevenţie proactivă a pericolelor informatice, viteză de reacţie şi actualizare uşoară. În fiecare zi, BitDefender protejează milioane de utilizatori individuali şi companii din întreaga lume, oferindu-le posibilitatea unei experienţe digitale în deplină siguranţă. Soluţiile BitDefender sunt distribuite printr-o reţea globală de parteneri (distribuitori şi reselleri) în peste 100 de ţări din întreaga lume. În România, soluţiile BitDefender sunt disponibile prin partenerii de distribuţie: Agis Computer, Aline Distribution, Asesoft Distribution, RHS Company, SCOP Computers şi în următoarele lanţuri retail cu acoperire naţională: Altex, Auchan, Carrefour, Depozitul de Calculatoare, Domo, Media Galaxy, Metro şi Twister.

Sursa: BitDefender

Etichete: