Po zainfekowaniu komputera programem typu ransomware naturalnym etapem jest zastanawianie się, czy warto jest zapłacić okup, aby odzyskać swoje elektroniczne życie. Kaspersky Lab nie zaleca ulegania tej pokusie i przekazywania pieniędzy w takich sytuacjach, a w przypadku ransomware o nazwie Ranscam nie ma to sensu w ogóle: szkodnik i tak usuwa pliki.
![[Obrazek: Blackhole-Featured.jpg]](https://3u7uz325mk63ba4h41783fnltr-wpengine.netdna-ssl.com/files/2016/07/Blackhole-Featured.jpg)
W serwisie Threatpost pojawiła się informacja o
Niestety ten młot – jak to młot – ma całkiem sporą siłę rażenia, a dokładniej niszczenia. O ile celem wyszukanych programów ransomware jest wyłudzenie od ofiar pieniędzy, a następnie (z założenia) przywrócenie plików lub systemu plików, które zostały zaszyfrowane w drodze ataku, o tyle Ranscam jest zwykłym oszustwem.
Jak działa Ranscam?
Po przedostaniu się w ten czy inny sposób jakiegoś szkodliwego programu do systemu użytkownik widzi informację z żądaniem okupu. Tutaj na pierwszy rzut oka scenariusz wygląda podobnie, ale jest jedna pozornie nieistotna różnica. Zamiast przekierowywać użytkowników do lokalizacji zewnętrznej, w której płatność ma zostać weryfikowana, na komunikacie znajduje się przycisk: „I made payment, please verify” (Zapłaciłem okup, zweryfikuj).
![[Obrazek: RansomNote.jpg]](https://3u7uz325mk63ba4h41783fnltr-wpengine.netdna-ssl.com/files/2016/07/RansomNote.jpg)
rzeczywistości różnica jest duża. Gdy użytkownik kliknie przycisk, pojawia się komunikat z informacją, że płatność nie została zweryfikowana oraz że za każdym razem, gdy przycisk zostanie użyty bez zapłacenia przestępcom, zostanie usunięty jeden plik. Prawdopodobnie takie działanie ma na celu wywołanie zdenerwowania u użytkowników i nakłonienie ich do płacenia kilka razy.
Tymczasem jest to zwykły blef — i to jest ta dobra informacja dla ofiar. Ransomware twierdzi, że przeniósł pliki użytkownika do „ukrytej, zaszyfrowanej partycji”, choć tak naprawdę usunął je jeszcze zanim wyświetlił komunikat. A więc nie można ich w żaden sposób odzyskać.
Jak
W tej chwili Ranscam nie jest skojarzony z żadnym innym większym atakiem, można więc go uznać jako przypomnienie, że zapłacenie okupu nie jest równoznaczne z odzyskaniem plików (nie wspominając o tym, że płacenie utwierdza przestępców, że używanie takich programów to świetny sposób na zarabianie).
Plików usuniętych przez Ranscam nie można w żaden sposób przywrócić, a jedynym sposobem na zabezpieczenie się jest działanie proaktywne.
Oto prosty plan:
W serwisie Threatpost pojawiła się informacja o
[Aby zobaczyć linki, zarejestruj się tutaj]
, w której podkreślono, że w przeciwieństwie do ostatniego ransomware, które działało w sposób dosyć zorganizowany, Ranscam wydaje się być leniwy lub nieszczególnie kompetentny. Taki młot pośród skalpeli.Niestety ten młot – jak to młot – ma całkiem sporą siłę rażenia, a dokładniej niszczenia. O ile celem wyszukanych programów ransomware jest wyłudzenie od ofiar pieniędzy, a następnie (z założenia) przywrócenie plików lub systemu plików, które zostały zaszyfrowane w drodze ataku, o tyle Ranscam jest zwykłym oszustwem.
Jak działa Ranscam?
Po przedostaniu się w ten czy inny sposób jakiegoś szkodliwego programu do systemu użytkownik widzi informację z żądaniem okupu. Tutaj na pierwszy rzut oka scenariusz wygląda podobnie, ale jest jedna pozornie nieistotna różnica. Zamiast przekierowywać użytkowników do lokalizacji zewnętrznej, w której płatność ma zostać weryfikowana, na komunikacie znajduje się przycisk: „I made payment, please verify” (Zapłaciłem okup, zweryfikuj).
rzeczywistości różnica jest duża. Gdy użytkownik kliknie przycisk, pojawia się komunikat z informacją, że płatność nie została zweryfikowana oraz że za każdym razem, gdy przycisk zostanie użyty bez zapłacenia przestępcom, zostanie usunięty jeden plik. Prawdopodobnie takie działanie ma na celu wywołanie zdenerwowania u użytkowników i nakłonienie ich do płacenia kilka razy.
Tymczasem jest to zwykły blef — i to jest ta dobra informacja dla ofiar. Ransomware twierdzi, że przeniósł pliki użytkownika do „ukrytej, zaszyfrowanej partycji”, choć tak naprawdę usunął je jeszcze zanim wyświetlił komunikat. A więc nie można ich w żaden sposób odzyskać.
Jak
[Aby zobaczyć linki, zarejestruj się tutaj]
badacze z Cisco Talos Security Intelligence and Research Group, niszczenie plików sugeruje, że przestępcy mogą nie znać zasad związanych blokowaniem plików czy blokowaniem z użyciem szyfrowania.W tej chwili Ranscam nie jest skojarzony z żadnym innym większym atakiem, można więc go uznać jako przypomnienie, że zapłacenie okupu nie jest równoznaczne z odzyskaniem plików (nie wspominając o tym, że płacenie utwierdza przestępców, że używanie takich programów to świetny sposób na zarabianie).
Plików usuniętych przez Ranscam nie można w żaden sposób przywrócić, a jedynym sposobem na zabezpieczenie się jest działanie proaktywne.
Oto prosty plan:
- Nie otwieraj załączników i nie klikaj podejrzanych odnośników. Nie wiadomo, jak rozprzestrzenia się Ranscam, ale prawdopodobnie wykorzystuje załączniki do wiadomości e-mail i szkodliwe lub zhakowane strony. Zatem jeśli nie jesteś na 100% pewny, nie klikaj.
- Regularnie twórz kopie zapasowe swoich danych i przechowuj je na pamięci zewnętrznej. Jeśli jakiś ransomware zaszyfruje lub usunie Twoje pliki, użyjesz ich kopii.
- Używaj dobrego antywirusa.
[Aby zobaczyć linki, zarejestruj się tutaj]
wykrywa Ranscam jako Trojan-Ransom.MSIL.Agent i zapobiega wprowadzaniu zmian przez takie programy.