Разделы

ПО Безопасность Интернет

Порносайты стали запугивать пользователей и вымогать биткоины именем ЦРУ и ФСБ

С сайтов для взрослых стало распространяться вредоносное ПО, которое выводит на экран вымогательское сообщение с угрозой отправить в местные правоохранительные органы донос на тему просмотра якобы детской порнографии. В отличие от популярных нынче шифровальщиков-вымогателей эта программа не причиняет вреда данным на компьютере жертвы. Но уже отмечены несколько случаев, когда злоумышленникам платили выкуп.

Запугивание и шантаж

Посетители порносайтов стали объектом атаки со стороны новой вредоносной программы, которая не причиняет реального вреда пользовательским данным, но весьма умело запугивает владельца компьютера.

Программа, распространяющаяся в виде .scr-файлов (это расширение скринсейверов Windows), после первой же перезагрузки компьютера выводит пространное сообщение, в котором указывается, что вся информация о местоположении пользователя, а также скриншоты, файлы cookie, пароли и история браузеров загружены на удаленный сервер и через сутки будет отправлена в правоохранительные органы. Указывается, что этого, дескать, будет достаточно, чтобы отправить пользователя в тюрьму минимум на год. И единственный способ избежать этого, — перевести выкуп в размере 0,01 биткоина (порядка $110 или чуть больше 6 тыс. руб.) на специально созданный адрес.

За что именно предполагается посадить пользователя, в самом сообщении не сказано. Однако обои рабочего стола Windows заменяются на сплошной чёрный экран с надписью «Выявлена детская порнография».

Географические признаки

Примечательно, что само сообщение составлено на более-менее грамотном английском, но в списке правоохранительных органов, куда планируется отправить донос, фигурируют, помимо ФБР и Интерпола, еще и ЦРУ, а также МВД (MVD) и ФСБ (FSB). Это обстоятельство, равно как и использование «Яндекс.карт», может указывать на территориальную принадлежность авторов вредоноса.

Порносайты затерроризировали посетителей вредоносами-шантажистами

Кроме самого сообщения, вредоносная программа генерирует ряд папок и файлов с реальными логами, информацией о компьютере, свежими скриншотами активных окон и изображением из Google Maps или «Яндекс.карт», отображающим физическое местоположение пользователя. Проанализировав перехваченные сэмплы вредоноса, эксперты по безопасности пришли к выводу, что в действительности он ничего никуда не отправляет: речь идет только о запугивании.

Список адресов кошельков биткоин, на которые злоумышленники требуют перевести выкуп, выглядит следующим образом: 1NziehGLXiEP11f3Ei8WjCXyuTdFZVsL2j, 1CzrDKSSCSJQgWKPMNCUmk6XM3FJosa6JD, 1CKpj2r2qLPcK4BL1FpP1MsATCCntLvy5q, 18AfNuXM1XSyz5zTdm4S87N1HCgM8ni5pW, 12nkyXjwYrqjDWRnPg4HVhnpfjH84bmtdU, 1GVTebsPjvFPsRZbZfCMXY4HGobFtMQGAD, 1P8VNkE5eVxZeDZWDsSJRfD14A46sLr6C4, 1LoUuj2EkqSiP5U1ejw8KR56dfopgSJuw4.

Судя по их содержимому, как минимум трое пользователей поддались на «внушение» и выплатили выкуп. Без активного соучастия пользователя, то есть, без «ручного» запуска сомнительного .scr-файла, вредонос не активируется.

«Данная вредоносная программа — хороший пример того, как злоумышленники целиком и полностью полагаются на социальную инженерию, причем очень неплохо таргетированную, — считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Авторы вредоноса хорошо знают, как и кого брать на испуг, притом, что с технической точки зрения этот вредонос явно не представляет собой ничего особенного. Затраты на его создания по определению куда меньше, чем в случае с шифровальщиками, а эффективность в теории может быть сравнимой, а то и превосходящей».

Признаки заражения

Файлы, ассоциируемые с вредоносом выглядят как %UserProfile%\AppData\Roaming\bg_robin.jpg, %UserProfile%\AppData\Roaming\Robin\, %UserProfile%\AppData\Roaming\temps.exe, %UserProfile%\Robin\, %UserProfile%\Robin\server_logs, %UserProfile%\Robin\server_logs\browser-cookies, %UserProfile%\Robin\server_logs\browser-cookies\firefox-cookies.sqlite, %UserProfile%\Robin\server_logs\browser-cookies\google-chrome-cookies, %UserProfile%\Robin\server_logs\browser-cookies\google-chrome-history, %UserProfile%\Robin\server_logs\desktop_screens\, %UserProfile%\Robin\server_logs\desktop_screens\desktop_[time].jpg, %UserProfile%\Desktop\READ_ME.txt

Евгений Некипелов, «БКЕ»: При переходе на российское ПО нам было важно, чтобы бурение нефти не останавливалось
Импортонезависимость

Вредонос обращается к следующим внешним ресурсам: maps.googleapis.com/maps/api/geocode/json?latlng=, mobile.maps.yandex.net/cellid_location/?wifinetworks=, iplogger.com/1zHjN6.

Хэши имеют вид a3e8b2a7399fd333e965dbc5f463a270efe9d9b35d0e314ec0a5c7a3e0eae4fe, c932638dc6f55ca6e33f0dfc4b09945b19910a1c8bb44934ff22ea6e2cb60653, 7e08b7b5f3fec3b3c6099d5ccfc50734c153b7d98f2648961fcb88760396a064.

Роман Георгиев