Twórcy kolejnych wersji wirusa wyłudzającego kody Ukash zaczynali od prostych stron z komunikatem o konieczności wpłacenia okupu. Kolejne wersje wprowadziły szyfrowanie plików, udoskonalane w następnych generacjach. Najnowsza odmiana wirusa do arsenału swoich środków dodała kolejny zabieg psychologiczny.
Od czasu, kiedy pół roku opisaliśmy pierwszy wariant wirusa policyjnego, zdążyło powstać wiele wersji tego złośliwego oprogramowania. Najnowsza z nich opisana niedawno przez PandaLabs wycofała się z szyfrowania plików a zamiast niego zaskakuje użytkownika obrazem na żywo z jego kamery internetowej.
Ransomware
Ransomware (ang. ransom – okup) to sposób zarobku wykorzystywany przez cyberprzestępców w celu wyłudzenia od ich ofiar pieniędzy. Jedna ze stosowanych metod polega na zaszyfrowaniu plików użytkownika oraz pozostawieniu notatki, w której atakujący informuje, że klucz potrzebny do odblokowania plików można odkupić.
Tobfy
Tobfy jest wirusem, który wpadł w oko pracownikom Panda Security pod koniec poprzedniego tygodnia. Różni się od innych typów oprogramowania ransomware, ponieważ jego główną strategią jest zastraszenie ofiary przy pomocy sztuczki psychologicznej. Aplikacja wyświetla użytkownikowi stronę podobną to tej pokazanej poniżej.
Oprócz tradycyjnych już dla tego wirusa ostrzeżeń o złamaniu prawa przez użytkownika i żądania przesłania kwoty 100 euro strona wyświetla obraz na żywo z kamery posiadanej przez użytkownika. Wykorzystuje do tego celu wtyczkę Flash obsługującą obraz kamery i sugeruje użytkownikowi, że obraz jest nagrywany (VIDEO REC: ON). Oczywiście nie dochodzi do nagrania, a obraz na ekranie ma jedynie przekonać użytkownika, że organa ścigania nie tylko wiedzą, że złamał prawo, ale także mogą dysponować nagraniem z jego pokoju.
Jak pozbyć się wirusa
Przy okazji opisywania polskiej wersji jednego z kuzynów Tobfy, zwanego Weelsof, zespół CERT Polska przedstawił bardzo prostą i skuteczną metodę usunięcia wirusa. Na stronie CERT opublikowano generator fałszywych kodów Ukash, z którego można skorzystać, by usunąć blokadę ekranu. Po jej usunięciu można już wykorzystać dowolny skuteczny produkt antywirusowy, który usunie szkodnika. Wpisując kod należy odłączyć komputer od sieci, by wirus nie mógł zweryfikować poprawności kodu. Kod wygenerowany na stronie CERT zaczyna się cyframi 718 – w niektórych wersjach wirusa trzeba zastąpić je cyframi 633781.
Osoby zainteresowane samodzielną analizą mechanizmów działania Tobfy mogą z sieci pobrać jego próbkę.
Komentarze
Dziś moja ciocia to złapała ani jeden ani drugi kod nie działa. Twierdzi że ściągała sterowniki do windows media player
Litości…
„klucz potrzebny do odblokowania ów plików” – OWYCH.
To słowo się odmienia i w tym konkretnym przypadku należy użyć wersji „owych”:
„klucz potrzebny do odblokowania owych plików”
Poprawione. I bez przesady, to była pozostałość po poprzedniej wersji zdania – takie błędy gramatyczne się na tej stronie chyba nie zdarzyły i raczej nie zdarzą.