Порносайты стали запугивать пользователей и вымогать биткоины именем ЦРУ и ФСБ

С сайтов для взрослых
стало распространяться вредоносное ПО, которое выводит на экран вымогательское
сообщение с угрозой отправить в местные правоохранительные органы донос на тему
просмотра якобы детской порнографии. В отличие от популярных нынче
шифровальщиков-вымогателей эта программа не причиняет вреда данным на
компьютере жертвы. Но уже отмечены несколько случаев, когда злоумышленникам
платили выкуп.

Запугивание и шантаж

Посетители порносайтов стали объектом атаки со стороны новойвредоносной программы, которая не причиняет реального вреда пользовательскимданным, но весьма умело запугивает владельца компьютера.

Программа, распространяющаяся в виде .scr-файлов (эторасширение скринсейверов Windows), после первой же перезагрузки компьютеравыводит пространное сообщение, в котором указывается, что вся информация оместоположении пользователя, а также скриншоты, файлы cookie, пароли и историябраузеров загружены на удаленный сервер и через сутки будет отправлена вправоохранительные органы. Указывается, что этого, дескать, будет достаточно,чтобы отправить пользователя в тюрьму минимум на год. И единственный способизбежать этого, — перевести выкуп в размере 0,01 биткоина (порядка $110 иличуть больше 6 тыс. руб.) на специально созданный адрес.

За что именно предполагается посадить пользователя, в самомсообщении не сказано. Однако обои рабочего стола Windows заменяются на сплошнойчёрный экран с надписью «Выявлена детская порнография».

Географическиепризнаки

Примечательно, что само сообщение составлено на более-менееграмотном английском, но в списке правоохранительных органов, куда планируетсяотправить донос, фигурируют, помимо ФБР и Интерпола, еще и ЦРУ, а также МВД(MVD) и ФСБ (FSB). Это обстоятельство, равно как и использование «Яндекс.карт»,может указывать на территориальную принадлежность авторов вредоноса.

Порносайты затерроризировали посетителей вредоносами-шантажистами

Кроме самого сообщения, вредоносная программа генерирует рядпапок и файлов с реальными логами, информацией о компьютере, свежимискриншотами активных окон и изображением из Google Maps или «Яндекс.карт»,отображающим физическое местоположение пользователя. Проанализировавперехваченные сэмплы вредоноса, эксперты по безопасности пришли к выводу, что вдействительности он ничего никуда не отправляет: речь идет только озапугивании.

Список адресов кошельков биткоин, на которые злоумышленникитребуют перевести выкуп, выглядит следующим образом: 1NziehGLXiEP11f3Ei8WjCXyuTdFZVsL2j,1CzrDKSSCSJQgWKPMNCUmk6XM3FJosa6JD, 1CKpj2r2qLPcK4BL1FpP1MsATCCntLvy5q, 18AfNuXM1XSyz5zTdm4S87N1HCgM8ni5pW,12nkyXjwYrqjDWRnPg4HVhnpfjH84bmtdU, 1GVTebsPjvFPsRZbZfCMXY4HGobFtMQGAD, 1P8VNkE5eVxZeDZWDsSJRfD14A46sLr6C4,1LoUuj2EkqSiP5U1ejw8KR56dfopgSJuw4.

Судя по их содержимому, как минимум трое пользователейподдались на «внушение» и выплатили выкуп. Без активного соучастия пользователя, то есть, без «ручного»запуска сомнительного .scr-файла, вредонос не активируется.

«Данная вредоносная программа — хороший пример того, какзлоумышленники целиком и полностью полагаются на социальную инженерию, причем оченьнеплохо таргетированную, — считает ОлегГалушкин, эксперт по информационной безопасности компании SEC ConsultServices. — Авторы вредоноса хорошо знают, как и кого брать на испуг, притом,что с технической точки зрения этот вредонос явно не представляет собой ничегоособенного. Затраты на его создания по определению куда меньше, чем в случае сшифровальщиками, а эффективность в теории может быть сравнимой, а то ипревосходящей».

Признаки заражения

Файлы, ассоциируемые свредоносом выглядят как%UserProfile%AppDataRoamingbg_robin.jpg, %UserProfile%AppDataRoamingRobin,%UserProfile%AppDataRoamingtemps.exe, %UserProfile%Robin, %UserProfile%Robinserver_logs,%UserProfile%Robinserver_logsbrowser-cookies, %UserProfile%Robinserver_logsbrowser-cookiesfirefox-cookies.sqlite,%UserProfile%Robinserver_logsbrowser-cookiesgoogle-chrome-cookies, %UserProfile%Robinserver_logsbrowser-cookiesgoogle-chrome-history,%UserProfile%Robinserver_logsdesktop_screens, %UserProfile%Robinserver_logsdesktop_screensdesktop_[time].jpg,%UserProfile%DesktopREAD_ME.txt

Вредонос обращается кследующим внешним ресурсам: maps.googleapis.com/maps/api/geocode/json?latlng=,mobile.maps.yandex.net/cellid_location/?wifinetworks=, iplogger.com/1zHjN6.

Хэши имеют видa3e8b2a7399fd333e965dbc5f463a270efe9d9b35d0e314ec0a5c7a3e0eae4fe,c932638dc6f55ca6e33f0dfc4b09945b19910a1c8bb44934ff22ea6e2cb60653, 7e08b7b5f3fec3b3c6099d5ccfc50734c153b7d98f2648961fcb88760396a064.