Νέο ransomware που κλειδώνει την οθόνη κάνει ότι είναι το παράθυρο ενεργοποίησης των Windows και ζητά από τους χρήστες να καλέσουν έναν δωρεάν αριθμό για να ξαναποκτήσουν την πρόσβασή τους στον υπολογιστή, στοχεύει κυρίως ανθρώπους στις ΗΠΑ.
Το ransomware αρχικά εντοπίστηκε από τον ερευνητή ασφαλείας S!Ri και αργότερα από την ομάδα της Symantec. Αξίζει να σημειώσουμε ότι δεν έγινε μαζική διανομή, όπως με άλλες απειλές, με μερικές μολύνσεις εδώ και εκεί.
Εκείνο που κάνει αυτό το ransomware διαφορετικό είναι μερικές λεπτομέρειες που αποκαλύπτουν ότι αυτή δεν είναι η κλασσική οθόνη κλειδώματος ενός ransomware που αγοράστηκε από το Dark Web από κάποιον τυχαίο απατεώνα, αλλά ότι κάτι είχε σχεδιαστεί εξαρχής.
Πρώτα από όλα, οι μολύνσεις ήλθαν μέσω ενός προγράμματος με το όνομα freedownloadmanager.exe, το οποίο κάποιοι χρήστες ίσως και να εγκατέστησαν στον υπολογιστή τους.
Αυτό στην πραγματικότητα εγκαθιστά ένα ransomware, το οποίο παίρνει τον έλεγχο του υπολογιστή του χρήστη και δείχνει μια οθόνη με ένα στάνταρ Windows 10 wallpaper και ένα πεδίο εισαγωγής. Πάνω από το εν λόγω πεδίο εισαγωγής υπάρχει το παρακάτω μήνυμα:
“ Your Windows Licence has Expired, Please get a new one by calling on 1-888-303-5121 ”
(“Η άδεια των Windows σας έχει λήξει, παρακαλώ ανανεώστε καλώντας στο 1-888-303-5121”)
Πάνω από αυτό το μήνυμα υπάρχουν εικονίδια δύο εφαρμογών, των LogMeIn και TeamViewer. Και οι δύο είναι νόμιμες και ασφαλείς εφαρμογές που επιτρέπουν σε κάποιον να συνδεθεί εξ’ αποστάσεως σε έναν υπολογιστή.
Ο ρόλος των δύο αυτών εφαρμογών είναι ασαφής προς το παρόν, αλλά μπορεί και να είναι και πλήρως λειτουργικές εφαρμογές μέσα στο ransomware και μπορεί να επιτρέπουν στον απατεώνα να συνδεθεί στην επιφάνεια εργασίας του χρήστη για να επανεργοποιήσει τον υπολογιστή όταν καλεί τον δωρεάν αριθμό.
Πρόκειται μόνο για μια εικασία, μιας και η Symantec κάλεσε τον αριθμό που εμφανίζεται στην οθόνη, ως δοκιμή, αλλά κανένας δεν απάντησε για 90 λεπτά. Έτσι, η τιμή για να ξεκλειδώσει το εν λόγω ransomware είναι προς το παρόν άγνωστη.
Τα πράγματα έγιναν πιο περίεργα κατά την αναζήτηση στην Google για τον δωρεάν αριθμό. Η αναζήτηση έβγαλε έναν μεγάλο αριθμό αποτελεσμάτων που συμβούλευαν τους χρήστες να πληρώσουν τα λύτρα για να απαλλαχθούν από την οθόνη ενεργοποίησης.
Η Symantec λέει ότι πρόκειται για μολυσμένα αποτελέσματα αναζήτησης, μάλλον δημιουργημένα και προωθημένα με τη χρήση black hat SEO τεχνικών από χάκερς για να ωθήσουν τους χρήστες στο να πληρώσουν τα λύτρα για την ενεργοποίηση.
Ευτυχώς, οι προγραμματιστές της Symantec και ο VMRay προγραμματιστής Chad Loeven ανακάλυψαν ότι η πληκτρολόγηση του 8716098676542789 στο πεδίο ενεργοποίησης αφαιρεί το ransomware.
