Измамниците, които предлагат поддръжка в интернет заимстват идеи ог ransomware разпространителите.
Те са променили своя начин на работа и сега създават малуер, който блокира достъпа на потребителя до неговия компютър, като потребителят трябва да се обади на посочен телефон.
От години подобни измами разчитаха на момента на уплахата, като изкарваха най-различни съобщения, които караха потребителя да си помисли, че има нужда от помощ предоставена от експерт. съобщенията често бяха под формата на попъпи, в които се съобщава, че компютърът е заразен, като в някои варианти дори имаше симулирано сканиране на търсене, което след като приключи съобщава лошите новини, други съобщения пък показваха, че е развален хард дискът, като всеки момент ще спре да работи и пр.
По-късно тези измами еволюираха и създателите им създадоха хитри Джава скриптове, които заключваха интернет браузъра към една определена страница в интернет, където се четяха същите страшни и плашещи съобщения, които имаха за задача да изплашат потребителя и да го накарат да звънне на посочения телефон.
Сега вече тези измами заимстват от криптовирусите и заключват не само браузъра, а и целия компютър, което напомня на ранните дни на ransomware вирусите. Тогава тези вируси не криптираха потребителските файлове, а блокираха достъпа до компютъра, като мишката и клавиатурата не действат и се слагаше изображение върху десктопа, което сочи на кой телефон трябва да се обади потребителят, за да бъде оправен проблемът.
Изследователят по сигурността slipstream/RoL е открил именно един такъв начин за измама, който заключва цели компютър и той, заедно с неговия екип от Malwarebytes се заемат с изследването на проблема.
Те установяват, че киберпрестъпниците разпространяват вирус от типа троянски кон, в комплект с едуер, които се предлагат заедно с нормални програми. Веднъж, след като потребителят инсталира желаната програма, едуерът също се инсталира под формата на троянец.
Троянецът чака до момента, когато потребителят рестартира компютъра си, което неминуемо все някога се случва, и след това показва фалшив екран от Windows Update, където уж започва ъпдейт на системата, но малко преди да приключи се показва съобщение, че ключът на операционната система е изтекъл и трябва да се поднови. разбира се, предоставен е и телефон, на който жертвите трябва да се обадят, за да „оправят“ проблема.
slipstream/RoL е открил че кол центърът се намира някъде в Индия. От екипа на Malwarebytes решили да звъннат на телефона, където били инструктирани да натиснат Ctrl+Shift+T. Когато бъде изпълнена клавишната комбинация се показва скрито копие на TeamViewer, който бива използван, за да може операторът от кол центъра да достъпи отдалечено машината и да ънинсталира троянеца.
Точно когато операторът трябва да ънинсталира вируса, той спира и иска $250 от жертвата.
За щастие slipstream/RoL[url=http://www.kernelmode.info/forum/viewto … c6e345e7c9“ target=“_blank“ rel=“nofollow]е открил[/url], че при натискането на Ctrl+Alt+S потребителят може да спре заключването на екрана, но това не му дава достъп до файловете.
Той е разгледал сорсовете на троянеца и е открил серийни ключове, които могат да ослужат за стартиране на Windows Explorer, чрез който да се достъпи компютърът и да се спре заключването му. Кодовете са:
„g6r-qrp6-h2„, „h7c9-7c67-jb“ и „yt-mq-6w„.
подобен начин на измама се разпространява все повече и към момента вв форумите на Malwarebytes има двама потребители, които се оплакват от такъв проблем. Специалистите за открили, че този малуер се продава чрез реклами във Facebook, което означава, че всеки може да си го купи, от което следва, че тези измами ще нарастват.
