România a fost, zilele acestea, atât sursa, cât și victima unui nou tip de atac informatic, cauzat de apariția lui Gen:Trojan.ShellStartup.GGW@aCmzJwli - cel mai recent scareware / ransomware marcă românească. Familia ransomware include aplicații care „sechestrează" date esentiale de pe calculatorul infectat (sau restricționează total accesul utilizatorului la acesta) până la efectuarea unei plăți către atacator.
Scris în Delphi, acest troian de 512 KB se deghizează sub aparența unei arhive zip. La prima execuție, troianul își creează o cheie proprie în HKEY_LOCAL_MACHINE\SOFTWARE\keytz\ și setează valoarea Run la 0. Această valoare reprezintă numărul de rulări.
După infectare, utilizatorul primește un mesaj prin care este anunțat că sunt instalate aplicații pirat pe sistemul său. De asemenea, fereastra conține următoarele avertismente:
a) Sistemul este blocat, iar pentru deblocare, victima acestui scareware va trebui să achiziționeze o cartelă Cosmote PrePay de 3 euro și să trimită codul de reîncărcare la numărul de telefon 0769******. Imediat după trimiterea codului valid, victima va primi o parolă de deblocare, care va dezactiva restricțiile.
b) În cazul în care utilizatorul va încerca să recurgă la resetarea calculatorului, după două astfel de operațiuni, datele de pe toate partițiile sistemului vor fi șterse. La fiecare re-pornire, troianul va incrementa valoarea salvată în cheia Run.
c) Chiar dacă utilizatorul decide să reinstaleze sistemul de operare, restricțiile vor reapărea la deschiderea primului fișier.
Deși pare foarte periculos, Gen:Trojan.ShellStartup.GGW@aCmzJwli nu este decât un instrument de intimidare. Impactul asupra calculatorului infectat se rezumă la ascunderea oricărei ferestre a sistemului de operare care nu are titlul "!!!ALERT!!!" atunci când utilizatorul încearcă să o acceseze. Acest procedeu se bazează pe un timer care verifică fiecare fereastră activă în parte.
Aplicația poate fi deblocată cu parola MASTER123, care trebuie tastată în câmpul special din fereastra troianului. După introducerea codului corect, aceasta se închide și inițializează un script pentru a se auto-elimina din sistem.
Dacă Gen:Trojan.ShellStartup.GGW@aCmzJwli este un mai mult deranjant decât distructiv, acest lucru nu se aplică la cele mai recente amenințări informatice „made in Romania", care sunt nu numai extrem de distructive, dar și foarte atent programate: Win32.Worm.Delf.NFW , care caută și șterge toate fișierele MP3 care conțin titluri de manele și mai recentul Win32.Worm.IM.J , care se propagă prin serviciile de mesagerie instant prin mesaje ce direcționează utilizatorul către site-uri ce găzduiesc malware. Win32.Worm.IM.J este capabil să detecteze cuvinte-cheie folosite de potențiala victimă și să poarte o scurtă conversație cu aceasta.
READ MORE