Δευτέρα 10 Σεπτεμβρίου 2012

Μεταλλαγμένος επιστρέφει ο Ιός της Αστυνομίας στην Ελλάδα για λύτρα


Μετά την αναστάτωση που προκάλεσε ο διαβόητος «ιός της Αστυνομίας» και στην Ελλάδα, μεταλλάχτηκε και κυκλοφορεί με διαφορετικό «πρόσωπο» και μήνυμα. Μάλιστα, αξιοποιεί ακόμα και την κάμερα του συστήματος που προσβάλλει, για να επιτύχει τον εκφοβισμό του χρήστη για τις «αμαρτίες» του και να του αποσπάσει άμεσα χρήματα.

Ήδη από το πρώτο τρίμηνο του 2012 καταγράφεται σημαντική αύξηση του επιθέσεων σε υπολογιστές για λύτρα, του επονομαζόμενου ransomware, μας ενημερώνουν τα Panda Labs. 

Ο ιός, γνωστός ως Police Virus ή «Ιός της Αστυνομίας» εμφανίζει μηνύματα με τα σήματα των υπηρεσιών επιβολής του νόμου (αστυνομία, οργανώσεις κλπ). Έτσι, επιχειρείται να ξεγελαστεί ο χρήστης και να πιστέψει ότι ο υπολογιστής του έχουν «κλειδωθεί» από την αστυνομία -πράγματι, μπλοκάρεται. Το μήνυμα γράφει ότι ο υπολογιστής  κλειδώθηκε επειδή χρησιμοποιήθηκε για επισκέψεις σε «ακατάλληλες» ιστοσελίδες ή το κατέβασμα «πειρατικού» υλικού, δύο μάλλον κοινά «αμαρτήματα» που μπορεί να καταστήσουν το μήνυμα δικαιολογημένο.

8 φωτογραφίες


Για να ξεκλειδώσουν οι χρήστες τους υπολογιστές τους, καλούνται να πληρώσουν ένα «πρόστιμο», συνήθως της τάξης των 100 ευρώ, δολαρίων ή λιρών (ανάλογα με το στόχο της επίθεσης, στο αντίστοιχο νόμισμα). Ωστόσο, αυτά τα μηνύματα δεν προέρχονται από την αστυνομία, είναι πλαστά.

Ο Ιός της Αστυνομίας έχει προσβάλλει υπολογιστές στην Ελλάδα, όπως τεκμηριώνει ο φίλος του tech.in.gr και έμπειρος τεχνικός υπολογιστών και δικτύων, Παναγιώτης Ζ. 

To μήνυμα που κατέγραψε στις αρχές Μαίου 2012 έγραφε:

«Προσοχή!

Αυτό το λειτουργικό σύστημα μπλοκάρεται λόγω παραβίασης των νόμων της Ελλάδας! Σημειώθηκαν οι ακόλουθες παραβάσεις:

Η IP διεύθυνσή σας είναι .... Από αυτή την IP διεύθυνση επισκέφτηκαν ιστοσελίδες που περιέχουν πορνογραφία, την παιδική πορνογραφία, κτηνοβασία και τη βία κατά των παιδιών. Ο υπολογιστής σας  επίσης περιείχε βίντεο που περιλαμβάνει πορνογραφία, βία και παιδική πορνογραφία. Επιπλέον, από το ηλεκτρονικό ταχυδρομείο σας αποστέλλοταν μηνύματα με τη μορφή spam, που περιείχαν τρομοκρατική πρόθεση.

Αυτό το μπλοκάρισμα του υπολογιστή έγινε για να σταματήσουν οι παράνομες δραστηριότητές σας.

Για να ξεκλειδώσετε τον υπολογιστή, πρέπει να πληρώσετε πρόστιμο 100 ευρώ.

Μπορείτε να πληρώσετε ποινή με δύο τρόπους:...»

Η μετάλλαξη του Ιού της Αστυνομίας

Αυτή τη φορά, μέσα Ιουνίου 2012, η τηλεφωνική έκκληση για βοήθεια στον Παναγιώτη Ζ. θύμιζε τον Ιό της Αστυνομίας, ωστόσο η διαδικασία που θα βοηθούσε τον χρήστη να απαλλαγεί από τα εκφοβιστικά μηνύματα δεν απέδιδε. Επιπλέον, το μήνυμα είχε αλλάξει. 


Όπως μπορείτε να παρατηρήσετε στα screenshot, ο χρήστης λαμβάνει μήνυμα που, αρκετά πειστικά, μοιάζει να προέρχεται από την Ελληνική Αστυνομία και την Δίωξη Ηλεκτρονικού Εγκλήματος, χρησιμοποιώντας τα διακριτικά σήματά τους. 

Στην μετάλλαξη αυτή, δεξιά του μηνύματος εμφανίζεται να καταγράφεται ο χρήστης σε βίντεο, αφού ο ιός ενεργοποιεί και την κάμερα (προφανώς, όταν υπάρχει). 

Αυτή τη φορά το μήνυμα δεν είναι προσεκτικά γραμμένο: έχει ορθογραφικά και συντακτικά λάθη και παραθέτει σειρά άρθρων και αυστηρές ποινές (διαβάζουμε για «ποινή από 2 έως 500 κατώτατους μισθούς») για πράξεις που φέρεται να έχει κάνει κάποιος χρήστης του υπολογιστή που εμφανίζεται μπλοκαρισμένος.

Η εκκαθάριση του Ιού της Αστυνομίας

Η διαδικασία εκκαθάρισης προβλέπει ότι ο χρήστης πρέπει να μπει στα Windows σε Safe Mode και να αναζητήσει οτιδήποτε ύποπτο στα προγράμματα που εκτελούνται αυτόματα με την εκκίνηση του λειτουργικού (Startup, Εκκίνηση). 

Στην προκειμένη όμως περίπτωση, τα αρχεία δεν έμοιαζαν ύποπτα, αφού παρέπεμπαν στο εκτελέσιμο αρχείο ctfmon, το οποίο είναι γνωστό ότιεκτελείται στο παρασκήνιο κάθε φορά που ο χρήστης ενεργοποιεί κάποιο από τα προγράμματα του MS Office XP και παραμένει ενεργό ακόμα και μετά το κλείσιμό τους. Το ctfmon όμως ενοχοποιείται και για την διάδοση ιών.

Πιο προσεκτική εξέταση των ιδιοτήτων του φαινομενικά αθώου αυτού αρχείου έδειξε ότι, έδινε την εντολή στο kernel32.dll -ένα dll που φορτώνεται σε προστατευμένο τμήμα της μνήμης κατά την εκκίνηση των Windows και αναλαμβάνει την διαχείριση της μνήμης, του I/O και των interrupt του συστήματος- να τρέξει ένα αρχείο μέσα στον φάκελο temp στο προφίλ του χρήστη. Εκεί αφήνουν οι εφαρμογές που εκτελούμε συχνά προσωρινά αρχεία, τα οποία διαγράφονται αυτόματα από το σύστημα όποτε απαιτείται. 

Το μονοπάτι που οδηγεί στον φάκελο αυτό δεν είναι ίδιο σε κάθε σύστημα. Μπορείτε όμως να οδηγηθείτε σε αυτόν, εάν εξετάσετε τις Ιδιότητες κάθε αρχείου στην Εκκίνηση ή εάν τον αναζητήσετε κάτω από τον φάκελο υπό τον τίτλο Application Data ή AppData (π.χ. C:\Users\<username>\AppData\Local\Temp\<filename> ή 
C:\Documents and Settings\[username]\Local Settings\Application Data\Temp). Οι φάκελοι προσωρινής αποθήκευσης (temp) ενοχοποιούνται συχνά γιατί δεν τους δημιουργεί ο χρήστης και  δεν παρατηρεί καν την ύπαρξή τους. Δεν είναι άσχημη ιδέα να τους βάζετε πρώτους στην σειρά όταν πρόκειται να «τακτοποιήσετε» τον υπολογιστή σας.

Στην προκειμένη περίπτωση, η διαγραφή του επίμαχου αρχείου από το temp είχε προηγηθεί και έτσι ένα reboot απέδειξε ότι η απειλή αποτελούσε πια αξιομνημόνευτο παρελθόν.

Ευχαριστούμε τον Παναγιώτη Ζ. για την ενημέρωση! 

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου