Atac: un nou troian ameninţă calculatoarele din România

România a fost, zilele acestea, atât sursa, cât şi victima unui nou tip de atac informatic, cauzat de apariţia lui Gen:Trojan.ShellStartup.GGW@aCmzJwli - cel mai recent scareware / ransomware marcă românească. Familia ransomware include aplicaţii care „sechestrează" date esentiale de pe calculatorul infectat (sau restricţionează total accesul utilizatorului la acesta) până la efectuarea unei plăţi către atacator.


Scris în Delphi, acest troian de 512 KB se deghizează sub aparenţa unei arhive zip. La prima execuţie, troianul îşi creează o cheie proprie în HKEY_LOCAL_MACHINE\SOFTWARE\keytz\ şi setează valoarea Run la 0. Această valoare reprezintă numărul de rulări.

După infectare, utilizatorul primeşte un mesaj prin care este anunţat că sunt instalate aplicaţii pirat pe sistemul său. De asemenea, fereastra conţine următoarele avertismente:
a) Sistemul este blocat, iar pentru deblocare, victima acestui scareware va trebui să achiziţioneze o cartelă Cosmote PrePay de 3 euro şi să trimită codul de reîncărcare la numărul de telefon 0769******. Imediat după trimiterea codului valid, victima va primi o parolă de deblocare, care va dezactiva restricţiile.
b) În cazul în care utilizatorul va încerca să recurgă la resetarea calculatorului, după două astfel de operaţiuni, datele de pe toate partiţiile sistemului vor fi şterse. La fiecare re-pornire, troianul va incrementa valoarea salvată în cheia Run.
c) Chiar dacă utilizatorul decide să reinstaleze sistemul de operare, restricţiile vor reapărea la deschiderea primului fişier.



Deşi pare foarte periculos, Gen:Trojan.ShellStartup.GGW@aCmzJwli nu este decât un instrument de intimidare. Impactul asupra calculatorului infectat se rezumă la ascunderea oricărei ferestre a sistemului de operare care nu are titlul "!!!ALERT!!!" atunci când utilizatorul încearcă să o acceseze. Acest procedeu se bazează pe un timer care verifică fiecare fereastră activă în parte.

Aplicaţia poate fi deblocată cu parola MASTER123, care trebuie tastată în câmpul special din fereastra troianului. După introducerea codului corect, aceasta se închide şi iniţializează un script pentru a se auto-elimina din sistem.

Dacă Gen:Trojan.ShellStartup.GGW@aCmzJwli este un mai mult deranjant decât distructiv, acest lucru nu se aplică la cele mai recente ameninţări informatice „made in Romania", care sunt nu numai extrem de distructive, dar şi foarte atent programate: Win32.Worm.Delf.NFW , care caută şi şterge toate fişierele MP3 care conţin titluri de manele şi mai recentul Win32.Worm.IM.J , care se propagă prin serviciile de mesagerie instant prin mesaje ce direcţionează utilizatorul către site-uri ce găzduiesc malware. Win32.Worm.IM.J este capabil să detecteze cuvinte-cheie folosite de potenţiala victimă şi să poarte o scurtă conversaţie cu aceasta.READ MORE