Порносайты стали запугивать пользователей и вымогать биткоины именем ЦРУ и ФСБ

Запугивание и шантаж Посетители порносайтов стали объектом атаки со стороны новойвредоносной программы, которая не причиняет реального вреда пользовательскимданным, но весьма умело запугивает владельца компьютера. Программа, распространяющаяся в виде .scr-файлов (эторасширение скринсейверов Windows), после первой же перезагрузки компьютеравыводит пространное сообщение, в котором указывается, что вся информация оместоположении пользователя, а также скриншоты, файлы cookie, пароли и историябраузеров загружены на удаленный сервер и через сутки будет отправлена вправоохранительные органы. Указывается, что этого, дескать, будет достаточно,чтобы отправить пользователя в тюрьму минимум на год. И единственный способизбежать этого, — перевести выкуп в размере 0,01 биткоина (порядка $110 иличуть больше 6 тыс. руб.) на специально созданный адрес. За что именно предполагается посадить пользователя, в самомсообщении не сказано. Однако обои рабочего стола Windows заменяются на сплошнойчёрный экран с надписью «Выявлена детская порнография». Географическиепризнаки Примечательно, что само сообщение составлено на более-менееграмотном английском, но в списке правоохранительных органов, куда планируетсяотправить донос, фигурируют, помимо ФБР и Интерпола, еще и ЦРУ, а также МВД(MVD) и ФСБ (FSB). Это обстоятельство, равно как и использование «Яндекс.карт»,может указывать на территориальную принадлежность авторов вредоноса. http://filearchive.cnews.ru/img/news/2017/11/08/facebookporno600.jpg"> Порносайты затерроризировали посетителей вредоносами-шантажистами Кроме самого сообщения, вредоносная программа генерирует рядпапок и файлов с реальными логами, информацией о компьютере, свежимискриншотами активных окон и изображением из Google Maps или «Яндекс.карт»,отображающим физическое местоположение пользователя. Проанализировавперехваченные сэмплы вредоноса, эксперты по безопасности пришли к выводу, что вдействительности он ничего никуда не отправляет: речь идет только озапугивании. Список адресов кошельков биткоин, на которые злоумышленникитребуют перевести выкуп, выглядит следующим образом: 1NziehGLXiEP11f3Ei8WjCXyuTdFZVsL2j,1CzrDKSSCSJQgWKPMNCUmk6XM3FJosa6JD, 1CKpj2r2qLPcK4BL1FpP1MsATCCntLvy5q, 18AfNuXM1XSyz5zTdm4S87N1HCgM8ni5pW,12nkyXjwYrqjDWRnPg4HVhnpfjH84bmtdU, 1GVTebsPjvFPsRZbZfCMXY4HGobFtMQGAD, 1P8VNkE5eVxZeDZWDsSJRfD14A46sLr6C4,1LoUuj2EkqSiP5U1ejw8KR56dfopgSJuw4. Судя по их содержимому, как минимум трое пользователейподдались на «внушение» и выплатили выкуп. Без активного соучастия пользователя, то есть, без «ручного»запуска сомнительного .scr-файла, вредонос не активируется. «Данная вредоносная программа — хороший пример того, какзлоумышленники целиком и полностью полагаются на социальную инженерию, причем оченьнеплохо таргетированную, — считает [b]ОлегГалушкин[/b], эксперт по информационной безопасности компании SEC ConsultServices. — Авторы вредоноса хорошо знают, как и кого брать на испуг, притом,что с технической точки зрения этот вредонос явно не представляет собой ничегоособенного. Затраты на его создания по определению куда меньше, чем в случае сшифровальщиками, а эффективность в теории может быть сравнимой, а то ипревосходящей». [b]Признаки заражения[/b] Файлы, ассоциируемые свредоносом выглядят как%UserProfile%\AppData\Roaming\bg_robin.jpg, %UserProfile%\AppData\Roaming\Robin\,%UserProfile%\AppData\Roaming\temps.exe, %UserProfile%\Robin\, %UserProfile%\Robin\server_logs,%UserProfile%\Robin\server_logs\browser-cookies, %UserProfile%\Robin\server_logs\browser-cookies\firefox-cookies.sqlite,%UserProfile%\Robin\server_logs\browser-cookies\google-chrome-cookies, %UserProfile%\Robin\server_logs\browser-cookies\google-chrome-history,%UserProfile%\Robin\server_logs\desktop_screens\, %UserProfile%\Robin\server_logs\desktop_screens\desktop_[time].jpg,%UserProfile%\Desktop\READ_ME.txt Вредонос обращается кследующим внешним ресурсам: maps.googleapis.com/maps/api/geocode/json?latlng=,mobile.maps.yandex.net/cellid_location/?wifinetworks=, iplogger.com/1zHjN6. Хэши имеют видa3e8b2a7399fd333e965dbc5f463a270efe9d9b35d0e314ec0a5c7a3e0eae4fe,c932638dc6f55ca6e33f0dfc4b09945b19910a1c8bb44934ff22ea6e2cb60653, 7e08b7b5f3fec3b3c6099d5ccfc50734c153b7d98f2648961fcb88760396a064.[img]http://filearchive.cnews.ru/img/news/2017/11/08/facebookporno600.jpg"> Порносайты затерроризировали посетителей вредоносами-шантажистами Кроме самого сообщения, вредоносная программа генерирует рядпапок и файлов с реальными логами, информацией о компьютере, свежимискриншотами активных окон и изображением из Google Maps или «Яндекс.карт»,отображающим физическое местоположение пользователя. Проанализировавперехваченные сэмплы вредоноса, эксперты по безопасности пришли к выводу, что вдействительности он ничего никуда не отправляет: речь идет только озапугивании. Список адресов кошельков биткоин, на которые злоумышленникитребуют перевести выкуп, выглядит следующим образом: 1NziehGLXiEP11f3Ei8WjCXyuTdFZVsL2j,1CzrDKSSCSJQgWKPMNCUmk6XM3FJosa6JD, 1CKpj2r2qLPcK4BL1FpP1MsATCCntLvy5q, 18AfNuXM1XSyz5zTdm4S87N1HCgM8ni5pW,12nkyXjwYrqjDWRnPg4HVhnpfjH84bmtdU, 1GVTebsPjvFPsRZbZfCMXY4HGobFtMQGAD, 1P8VNkE5eVxZeDZWDsSJRfD14A46sLr6C4,1LoUuj2EkqSiP5U1ejw8KR56dfopgSJuw4. Судя по их содержимому, как минимум трое пользователейподдались на «внушение» и выплатили выкуп. Без активного соучастия пользователя, то есть, без «ручного»запуска сомнительного .scr-файла, вредонос не активируется. «Данная вредоносная программа — хороший пример того, какзлоумышленники целиком и полностью полагаются на социальную инженерию, причем оченьнеплохо таргетированную, — считает ОлегГалушкин, эксперт по информационной безопасности компании SEC ConsultServices. — Авторы вредоноса хорошо знают, как и кого брать на испуг, притом,что с технической точки зрения этот вредонос явно не представляет собой ничегоособенного. Затраты на его создания по определению куда меньше, чем в случае сшифровальщиками, а эффективность в теории может быть сравнимой, а то ипревосходящей». Признаки заражения Файлы, ассоциируемые свредоносом выглядят как%UserProfile%\AppData\Roaming\bg_robin.jpg, %UserProfile%\AppData\Roaming\Robin\,%UserProfile%\AppData\Roaming\temps.exe, %UserProfile%\Robin\, %UserProfile%\Robin\server_logs,%UserProfile%\Robin\server_logs\browser-cookies, %UserProfile%\Robin\server_logs\browser-cookies\firefox-cookies.sqlite,%UserProfile%\Robin\server_logs\browser-cookies\google-chrome-cookies, %UserProfile%\Robin\server_logs\browser-cookies\google-chrome-history,%UserProfile%\Robin\server_logs\desktop_screens\, %UserProfile%\Robin\server_logs\desktop_screens\desktop_[time].jpg,%UserProfile%\Desktop\READ_ME.txt Вредонос обращается кследующим внешним ресурсам: maps.googleapis.com/maps/api/geocode/json?latlng=,mobile.maps.yandex.net/cellid_location/?wifinetworks=, iplogger.com/1zHjN6. Хэши имеют видa3e8b2a7399fd333e965dbc5f463a270efe9d9b35d0e314ec0a5c7a3e0eae4fe,c932638dc6f55ca6e33f0dfc4b09945b19910a1c8bb44934ff22ea6e2cb60653, 7e08b7b5f3fec3b3c6099d5ccfc50734c153b7d98f2648961fcb88760396a064.