10:11
27/7/2013

Zapewne słyszeliście o ludziach, którym komputer zablokował komunikat pochodzący rzekomo od policji. Że niby ściągali pirackie oprogramowanie lub muzykę i z tego powodu odcięto im dostęp do komputera. Blokadę ekranu można było oczywiście usunąć po zapłaceniu kilkusetzłotowego “mandatu”. Klasyczne metody ransomware’u, czyli złośliwego oprogramowania wymuszającego okup od zainfekowanych nim ofiar.

Scaming scamers

Ekran fałszywej blokady wymuszającej okup

Ekran fałszywej blokady wymuszającej okup, fot. cert.pl

Ciekawa rzecz dotycząca ransomware’u zdarzyła się jednak w USA. Okazuje się, że jedna z ofiar amerykańskiego odpowiednika zilustrowanego powyżej oprogramowania, dwudziestoletni Jay Riley, kiedy zobaczył powyższy komunikat, to przypomniał sobie swoje grzeszki. I tak się przeraził, że zrobił rachunek sumienia i postanowił oddać się w ręce policji. Podjechał więc na komisariat i zapytał, czy przypadkiem, oprócz mandatu, nie wystawiono na niego także nakazu aresztowania…

Ćwierćinteligenta wpadka

Co ciekawe, policjanci chyba też nie do końca zdawali sobie sprawę, że wyświetlana na komputerze Jay’a wiadomość to efekt działania złośliwego oprogramowania …i podjęli czynności sprawdzające — przeszukali Jay’a oraz jego laptopa. Wtedy faktycznie natrafili na dziecięcą pornografię.

Dalszych działań organów ścigania można się domyślić. Tym razem rzeczywiście wystawiono nakaz przeszukania domu Jay’a i ostatecznie otrzymał on 3 zarzuty. Jay został aresztowany.

Kto by pomyślał, że jedni przestępcy pomogą policji swoim scamem ująć …innego przestępcę.

Przeczytaj także:

54 komentarzy

Dodaj komentarz
  1. Co dwie głowy to nie jedna :-)

  2. Niestety istnieje jeszcze bardziej chamska wersja tego
    wirusa. Chamska wersja ściąga specjalnie dziecięcą pornografię.
    Dobre to, że AntiVir usuwa je :)

    • Właśnie o tym pomyślałem!

  3. Ciekawe… blokują mi komputer? Hmm, czy to w ogóle jest możliwe i czy da się to obejść jeśli coś takiego by miało miejsce (jakoś nie chce mi się wierzyć że coś takiego nasza “kochana policja” działa)

    • zwykły syf, który dodaje wpis do autostartu, czasem do
      winlogon. usuwasz kilka plików i po problemie

  4. Najgorsza jest wersja która szyfruje Ci dane RSA…

  5. “Robson” Powiedz mi Ty jesteś takim idiotą czy tylko udajesz?

  6. Polska wersja ransomware’u: http://i.imgur.com/1pjRfAL.jpg :D

    • Zwykła pornografia też? To już wali im na mózg czy co? Pierwsze złyszę żeby pornografia w Polsce była zakazana i twierdzę że kto się dał nabraç ten idiota.

    • @darkestkhan: Tylko na to zwróciłeś uwagę? Przecież ilość
      błędów i napuszonego bełkotu (np. „ustawa o lojalności do ludności”
      — dalej nie będę ciągnąć żeby półinteligentom nie robić korekty za
      friko) sama od razu dekonspiruje cały ten malware…

    • “Cyberprzestępczość department”. Seems legit

  7. Bardzo kłopotliwy wirus. Najnowsze jego wersje są rzeczywiście bardzo upierdoliwe. Blokują komputer na tyle, że przy próbie uruchomienia go w trybie awaryjnym od razu jest resetowany. Wystarczy usunąć wpis po explorer.exe rekordu winlogon w rejestrze i rzecz jasna pliki na które wskazuje wpis ;) sam usunąłem takich chyba z 20. W niektórych przypadkach ofiary wystarszone dzwoniły na policję :P

    • Chodzi o ten klucz ?
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
      NT\CurrentVersion\Winlogon

    • Tak, dokładnie ten.

    • żeby być dokładnym, to chodzi o klucz HKLM\SOFTWARE\Microsoft\Windows w którym znajduje się wartość ciągu Shell która powinna mieć wpisane “explorer.exe”. Jeśli jest coś innego, to wystarczy zmienić, przy okazji od razu widać gdzie i pod jaką nazwą siedzi plik malwaru.

      Jednak jest jeszcze jedna wersja tego typu robactwa, nieco “usprawniona” która nie korzysta z tego klucza a instaluje się jako usługa.

    • Eh, nie wiem czemu “obcięło” klucz który podałem, więc na wszelki wypadek: chodzi o ten podany przez @majkel, reszta jak napisałem.

      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

    • A wcale, że nie. Wersja na którą trafiam ostatnio dopisuje
      się do Winlogon ale w HKCU!

    • LOL. Domorośli eksperci nam rosną, analitycy ;)

      Może najpierw dowiedzcie się jaka jest różnica między HKCU a HKLM to zobaczycie dlaczego jeden miał w CU a drugi LM, heh.
      Tyle że wpis w winlogon to najmniejszy problem jakim powinniście się przejmować, ale szukajcie dalej to może poznacie czym jest ADS.

  8. Gość nie ma wyglądu rozgarniętego :)

  9. ,,Blokada,, – tylko z nazwy, wystarczy chwila aby zdjąć z
    pulpitu. Nie ma jakiegokolwiek problemu aby dostać się do dysku,
    lecz przeciętny kowalski nie będzie umiał zdjąć sobie tegoż
    wirusa.

  10. a wystarczylo winshitu nie uzywac…

  11. to ktoś Windowsa jeszcze używa?

    • Łohohoh, jakie zabawne, jakie błyskotliwe. Więcej, więcej!
      Niech wszyscy przejdą na Linuksa, BSD i MacOS! By żyło się
      lepiej!

    • @ktoś a po co na macos’a? na linuxa i po problemie, a windowsa używać tylko jak potrzeba, np office, od razu komputer szybciej zacznie chodzić, aktualizacje będą się instalowały do 3 minut a nie kilkanaście

    • HEhehehehhHHAHhaahahah….

  12. Trzeba mieć ładnie pod kopułą żeby złapać sie na coś
    takiego ;) Ubuntu powinno reklamować się jako idiot friendly,
    przynajmniej pisanie malware wymagałoby więcej zachodu. Lepsza
    wersja mogłaby ściągać ciepłe placki i po tych 48h wysyłać maila do
    naszych misiaków w mundurach.

    • Wiem, że lurkujesz

  13. ComboFix i po problemie :) Najlepsze jest tłumaczenie
    “ofiar” które przynoszą do serwisu zainfekowane komputery xD “Ja
    wcale nie ściągałem”, “To pewnie syn oglądał jakieś gołe baby” itd.
    :)

    • Używanie ComboFix na tego wirusa to tak jak używanie bomby atomowej na szpaki ;)
      Niby działa, ale skutki mogą być zabójcze nie tylko dla celu…

  14. Kumpel toto złapał, oczywiście formata mu znajomek szczelił…
    2-gi kumpel już nie był taki durny i zadzwonił.
    -A porno ściągałeś?
    -Noooo, może to od porno, chyba tam coś coś klikałem…
    -Odłącz net, dalej się pojawia?
    -Nie.
    -To masz karę, nie może z neta korzystać.
    -Nieeee, noe weź, proooszę!
    -Combofix + link do instrukcji.
    Szkodnik zwalczony.

    Ufam oczywiście że świerzsze wersje są odporniejsze i upierdliwsze.

    • “Szczelił”? “Świerzsze”? Maaaatkooooo…

  15. Skrypty do trollowania na lekcjach informatyki były trudniejsze do usunięcia niż ten wirus… Nie wiem jak z tymi nowszymi, ale niestety, pomimo braku antywirusa nigdy nie byłem zainfekowany pomijając włam na pocztę gdy miałem 10 lat :)

    • Zastanawia mnie tylko jakim sposobem nie mając antywirusa możesz stwierdzić że wirusa nie było…

    • @Marian: Widzę, że moje odzywki przeszły generację dalej :D Zawsze mnie śmieszyli ludzie jak Marcin:

      -nie mam antywirusa i nigdy nie miałem wirusa!
      -skąd wiesz?
      -eeee, bo nie mam.
      -zdebuggowałeś każdy plik wykonywalny w OSie?
      -a co to jest?
      -debugger?
      -nie, “OSie”.

    • @Ninja

      A mnie zawsze śmieszyli i śmieszą ludzie jak ty. Po co AV i po co coś debugować (??)? Nie masz w systemie logów z których odczytasz kiedy i jakie zmiany były dokonywane w systemie? Jeśli to mało, to nie masz narzędzi takich jak OTL? A jeśli to nadal mało to nie masz narzędzi jak OSSEC?

    • http://www.ossec.net/ AV to chyba najgorsze i najmniej
      skuteczne zabezpieczenie jakie wymyślono, ale reklama robi swoje…
      Później mamy ludzi ślepo polegających na tego typu produktach które
      w rzeczywistości w ogóle się nie sprawdzają. Nie dalej niż wczoraj
      usuwałem podobną infekcję o jakiej tu mowa z komputera na którym
      była zainstalowana najnowsza wersja Nortona, świetnie się spisał,
      nawet nie pisnął słowa userowi że coś mu robi kuku. Ale jasne,
      polegajmy ślepo na takich rzeczach zamiast zabezpieczyć sobie
      system jak należy korzystając choćby z SRP.

  16. łoesu… widząc tę przenikliwość po obu stronach, pornografię dziecięcą odnaleźli w postaci listu 14letniej afrykańskiej księżniczki chcącej przelać mu połowę fortuny i proszącą o dyskrecję…

  17. USA.

  18. Brak słów! Takie bajki jak tu opisujecie to szok. Od lat
    używam jednocześnie AVG, AVASTA i legalnego MS Esentials. Nigdy w
    życiu nie miałem ani jednego wirusa. System Xp bądź Vista.
    Szok…

    • To nieźle kompa musi mulić. A wybór antywirusów… eh.

    • vista to wirus sam w sobie
      tych 3 antyvirow uzywasz jednoczesnie? gratuluje

    • Ani jednego, o ktorym bys wiedzial …

      Dzis malware ma pozostawac niewidoczny i wychodzi mu to znakomicie. A fakt, ze potrafi wylaczac sobie antywirusy na platformie Windowsowej mowi az nadto zarowno o tych programach, jak i o samej platformie.

      Sugerowalbym zatem wstrzymac sie nieco z ta pycha i pewnoscia siebie, bo mozna sie zbyt daleko zagalopowac nie wiedzac nawet, ze tuz pod nosem bryka nam rootkit, trojan, czy cos podobnego.

    • @Henry

      Co tutaj ma do rzeczy platforma na której jest zainstalowany AV? Od lat są znane luki w tego typu oprogramowaniu pozwalające robić twórcy malware co chce.
      Jak pisałem wyżej, AV to najgorsze i najmniej skuteczne zabezpieczenie i na nim po prostu nie można polegać.

      Problem leży w edukacji userówi lenistwie OEMów i to ci drudzy są największym problem. Wraz z systemem dostają całą masę narzędzi i możliwości dzięki którym mogą przygotować “bezpieczną platformę”, dokładnie w takim sam sposób jak robimy to w firmach. Wykorzystując SRP, MIC i GP i całą resztę tego co system oferuje, ale zamiast tego wolą walnąć jakąś ‘reklamówkę’ McAfee i umyć ręce.

      Z mojego punktu widzenia Windows w postaci jakiej wychodzi z Redmond to tylko “produkt wyjściowy” wokół którego każdy może zbudować dowolną “dystrybucję”, podobnie jak w świecie nixów, ustalając konkretną politykę bezpieczeństwa, dodając jakieś [przydatne] oprogramowanie itp. Problem jest w tym, że nikomu się nie chce. A i pewno userzy będą się zaraz skarżyć i rzucać błotem, bo np. nie mogą uruchomić programu z dowolnego miejsca (np. pendrive) albo że muszą podawać hasło do konta admina kiedy chcą zmienić datę…

  19. podpowiedz: niektore wersje tego ransomueru mozna usunac (w momencie pojawienia sie okna ‘police has you’) naciskajac magiczne 3 klawisze i wylaczajac przegladarke ;]

    buziaczki :*

  20. Gang Olsena.

  21. Kolejna wersja z którą się spotkałem dotyczy pliku w folderze \User\AppData\Roaming\cache.dat
    Usuńcie go :)

  22. Wiecie, jak zrobić takie coś? Chciałbym mamie na PC coś takiego walnąć :>

    • Proponuje zalogowac sie pod Win na koncie admina, wylaczyc
      antywirusa, odpalic przegladarke (najlepiej jakies stare IE, choc
      inne tez powinny sobie poradzic), wpisac w google hasla w stylu
      “porn free download”, “crack serial free download”, itp. a
      nastepnie klikac na wszystkie pojawiajace sie bannery i PopUpy, dla
      pewnosci klikajac “OK” w kazdym oknie dialogowym, ktore przy okazji
      wyskoczy. Po niedlugim czasie operacja powinna zakonczyc sie
      sukcesem przewyzszajacym oczekiwania :D.

  23. Ostatnio miałem spotkanie z upierdliwą wersją tego czegoś,
    Kaspersky wykrył i usunął wirusa, ale ekran wyświetlający się na
    monitorze jest osobną aplikacją i nie został już rozpoznawany jako
    szkodliwa aplikacja, trzeba było ręcznie usuwać z
    rejestru.

  24. W USA dziecieca pornografia to jednak ma szersze pojęcie niż np w Polsce, tam za dzieciece porno uważane jest to, co u nas nie budzi sensacji.

  25. http://www.pokomp.pl/uploads/1/1/7/9/11793411/3629714_orig.jpg

    -Halo? W moim komputerze siedzi wirus “Komorowski”, proszę przyjechać!

    • najciekawsza jest “integracja” z zainstalowanym na
      komputerze antywirusem Panda :D “Przy poparciu i obronie kampanii”.
      Osobiście, znam już 3 osoby, które zapłaciły okup programom typu
      weelsoft, security platinum … a tłumaczenia “ofiar” to już
      materiał na artykuł, nie komentarz :)))

  26. […] Na marginesie warto wspomnieć, że siłą rzeczy, czasem taki komunikat oskarżający przypadkowego internautę o naruszanie praw autorskich, lub pedofilę może się okazać strzałem w dziesiątek — trzy miesiące temu opisywaliśmy przypadek ofiary ataku ransomware’u, która oddała się w ręce policji, myśląc, że to rzeczywiście funkcjonariusze zablokowali mu komputer… […]

  27. AV jak najbardziej pod windę jest konieczny może nie norton bo jest poprostu słaby jeśli chodzi o nieznane mu zagrożenia bo nie analizuje zachowań programów(lub robi to bardzo słabo), ale są lepsze od niego antyviry reklamować nie będę, ale AV mózgu nie zastąpi, ale ten co wyjechał z OTL i OSSEC to pojechał po bandzie, chyba nie ma nic innego do roboty tylko codzień nic innego nie robi tylko logi śledzi na swoim własnym kompie, a wyobraziłem sobie jego rozwiązanie w środowisku corpo(twarzo-palma), osobiście uważam że nie ma rozwiązań doskonałych są co najwyżej słabo przetestowane, nic nie zastąpi rozsądku, amatorzy fapstronek chyba powinni rozważyć instalację Linux Mint, Ubuntu bądź czegoś w tym stylu obok ich ukochanego i jedynego słusznego systemu, winda do pracy linuch do pornuchów i liczba infekcji spadnie.

    Pozdrawiam myślących

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: