Ransomware øger troværdigheden ved at læse ofres browsere

Forfatterne af politiet-tema ransomware har begyndt at bruge browsinghistorierne fra inficerede computere for at gøre deres svindel mere troværdige, ifølge en uafhængig malwareforsker.

Ransomware er en klasse af ondsindede applikationer designet til at afprøve penge fra brugere ved at deaktivere vigtig systemfunktionalitet eller ved at kryptere deres personlige filer. En særlig variant af denne type trussel viser meddelelser, der maskeres som meddelelser fra retshåndhævende myndigheder.

Sproget for meddelelserne og agenturnavne, der anvendes i dem, ændres afhængigt af ofrenes beliggenhed, men i næsten alle tilfælde er ofrene fortalte at deres computere er blevet låst, fordi de har adgang til eller downloadet ulovligt indhold. For at genvinde adgangen til deres computere, bliver brugerne bedt om at betale en bøde.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

En ny ransomware-variant, der anvender dette trick, blev spottet i weekenden af en uafhængig malwareanalytiker kendt online som Kafeine. Dubbelt Kovter, denne version skiller sig ud fordi den bruger oplysninger indsamlet fra offerets browser historie for at gøre scam beskeden mere troværdig, sagde Kafeine fredag ​​i et blogindlæg.

Kovter viser en falsk advarsel angiveligt fra US Department of Justice, USA's Department of Homeland Security og FBI, der hævder, at offerets computer blev brugt til at downloade og distribuere ulovligt indhold. Meddelelsen indeholder også en liste over computerens IP-adresse, dens værtsnavn og et websted, hvorfra det ulovlige materiale angiveligt blev downloadet.

Malware kontrollerer, om et af de websteder, der allerede findes i computerens browserhistorik, findes i en fjernliste over porno websteder, hvis indhold ikke nødvendigvis er ulovligt, og hvis der er en kamp, ​​viser den det i meddelelsen. Ved at bruge denne teknik og navngive et websted, som offeret faktisk har besøgt som kilden til det påståede ulovlige indhold, forsøger ransomwareforfatterne at øge troværdigheden af ​​deres besked.

Hvis der ikke findes nogen match, når du kontrollerer browserens historie mod fjernliste, vil malware bare bruge et tilfældigt porno-sted i meddelelsen, siger Kafeine.

Ny taktik øger truslen

Forfatterne af politimetoden ransomware forsøger konstant at forbedre deres succesrate, og det er bare det senest i en lang række tricks, de har tilføjet. Nogle varianter bruger faktisk computerens webcam, hvis man er til stede, for at tage et billede af brugeren og inkludere det i meddelelsen for at give indtryk af, at myndighederne registrerer brugeren. En anden variant giver ofrene en frist på 48 timer til at betale den færdige bøde, før deres computerdrev er reformateret, og deres data ødelægges.

Det gennemsnitlige antal daglige infektionsforsøg med politiet-tema ransomware er fordoblet i de første måneder af 2013, ifølge Sergey Golovanov, en malwareekspert i det globale forsknings- og analyseteam hos antivirusleverandøren Kaspersky Lab. Fordelingen af ​​denne trussel var på en høj tid i februar og marts, sagde han mandag via email.

Ifølge Golovanov er det vigtigste for ransomware ofre ikke at betale cyberkriminelle penge. "Hvad du skal gøre er at gå til en anden computer og begynde at søge efter en løsning, som du altid kan finde på internettet," sagde han. "Alle antivirusvirksomheder sender gratis instruktioner og hjælpeprogrammer til at hjælpe brugere med at blokere deres computere."

"I værste fald, hvis du står over for en unik blokering, kan du altid henvende dig til antivirusvirksomhedernes specialiserede fora eller kontakte tech støtte til ekspertrådgivning og løsninger, "sagde han. "Selvfølgelig kan det tage lidt tid, men det vigtigste er ikke at betale op og finansiere denne afpresning."