Pisałem nie tak wcale dawno o trojanach szyfrujących pliki użytkowników, które można odzyskać uiszczając opłatę w wysokości 10$ (uprzednio kontaktując się z autorem w kwestii sposobu płatności). Jak się okazuje nie wszystko jest tym na co wygląda. W konkretnym opisywanym przypadku jeden z czytelników bloga firmy Fireeye, po zainfekowaniu swojego systemu złośliwą aplikacją napisał do autora trojana w celu deszyfracji, a ten odpisał mu, że aby uratować dane musi dokonać wpłaty 50$ (a nie 10) na jego konto w systemie PayPal.
Szybka i konkretna renegocjacja oferty :] Zamiast 10$ pojawiło się 50$. Albo autor złośliwej aplikacji zdobył masę ofiar zaaferowanych utraconym dostępem do danych, które są gotowe zapłacić każdą w miarę rozsądną cenę i postanowił ów fakt wykorzystać i zarobić jeszcze więcej albo wręcz przeciwnie ofiar zdobył mało i postanowił zwiększając cenę dorobić do oczekiwanych zarobków.
Po bardziej wnikliwej analizie okazało się, że trojan dodatkowo zostawia sobie backdoora w systemie oraz kradnie dane związane z wszelakimi hasłami czy danymi identyfikującymi.
Wniosek nasuwa mi się jeden. Współpracując w jakikolwiek sposób z terrorystami (choćby spełniając ich żądania) – zwyczajowo doprowadzamy do większych strat i tragedii ;]
PS: Przypominam, że istnieje darmowa odtrutka deszyfrująca utracone pliki.
Źródło: http://blog.fireeye.com/research/2009/06/ransome-pay-me-more-part-ii.html
4 komentarze do
24 czerwca, 2009 o godzinie 13:40
Trochę offtop, blog fireeye jest świetny!
Zwłaszcza podobała mi się seria wpisów „Bad Actors”. Polecam!
Borys, jaka jest szansa, że np. na łamach bothunters.pl mogłyby pojawiać się mniej lub bardziej dokładne analizy kodu malware, analizy dostawców, ruchu malware, itd.? Trochę jak blog fireeye, czy sudosecure.
Mamy w ogóle w Polsce jakąś organizację publikującą bardziej skomplikowane analizy? O cert wiem : ) To jest bardziej centrum reagowania, chociaż jakimiś raportami i analizami się dzieli.
25 czerwca, 2009 o godzinie 00:40
Mogą się pojawiać tylko ktoś je musi najpierw napisać ;] Zapraszam.
Sporadycznie w różnych miejscach spotykam takie analizy ale nie ma nic w miarę stałego. Ja powolutku zabieram się do stworzenia małego labu z wirtualnym środowiskiem ale jak zawsze są ważniejsze priorytety :]
25 czerwca, 2009 o godzinie 13:36
Może kiedyś się skuszę ;)
11 grudnia, 2012 o godzinie 19:03
a mogę prosić o adres tej odtrutki bo ktoś mnie uraczył tym wirusem