Malwarebytes a lansat un instrument gratuit de decriptare pentru a ajuta victimele unui recent atac ransomware să-și recupereze datele de la infractorii cibernetici care folosesc o tehnică de înșelătorie cu suport tehnic. Noua variantă de ransomware numită VindowsLocker a apărut săptămâna trecută. Funcționează conectând victimele la tehnicienii falsi Microsoft pentru a le cripta fișierele folosind un Pastebin API.
Escroci de asistență tehnică au vizat utilizatorii de internet care nu bănuiau de ceva vreme. O combinație de inginerie socială și înșelăciune, tactica rău intenționată a evoluat de la apeluri reci la alerte false și, cel mai recent, blocări de ecran. Escrocii de asistență tehnică au adăugat acum ransomware la arsenalul lor de atac.
Jakub Kroustek, cercetător de securitate AVG, a detectat mai întâi ransomware-ul VindowsLocker și a numit amenințarea pe baza extensiei de fișier .vindows se adaugă la toate fișierele criptate. Ransomware-ul VindowsLocker folosește algoritmul de criptare AES pentru a bloca fișierele cu următoarele extensii:
txt, doc, docx, xls, xlsx, ppt, pptx, odt, jpg, png, CSV, sql, mdb, sln, php, asp, aspx, html, xml, psd
VindowsLocker imită înșelătoria de asistență tehnică
Ransomware-ul folosește o tactică tipică pentru majoritatea escrocheriilor de asistență tehnică prin faptul că victimele sunt rugate să sune la un număr de telefon furnizat și să vorbească cu un personal de asistență tehnică. În schimb, atacurile ransomware din trecut solicitau plăți și gestionau cheile de decriptare folosind un portal Dark Web.
acest lucru nu este microsoft vindows suport
v-am blocat fișierele cu virusul zeus
faceți un lucru și apelați tehnicianul de asistență de nivel 5 la 1-844-609-3192
veți înregistra fișierele pentru o taxă de 349,99 USD
Malwarebytes consideră că escrocii operează din India și imită personalul de asistență tehnică Microsoft. VindowsLocker folosește, de asemenea, o pagină de asistență Windows aparent legitimă pentru a da impresia falsă că asistența tehnică este pregătită pentru a ajuta victimele. Pagina de asistență solicită adresa de e-mail și acreditările bancare ale victimei pentru a procesa plata de 349,99 USD pentru a debloca un computer. Cu toate acestea, plata banilor de răscumpărare nu îi ajută pe utilizatori să își recupereze fișierele conform Malwarebytes. Acest lucru se datorează faptului că dezvoltatorii VindowsLocker nu pot acum să decripteze automat un computer infectat din cauza unor erori de codare.
Malwarebytes explică faptul că programatorii de ransomware VindowsLocker au eliminat una dintre cheile API destinate utilizării în sesiuni scurte. În consecință, cheia API expiră după o perioadă scurtă de timp și fișierele criptate intră online, interzicând dezvoltatorilor VindowsLocker să furnizeze victimelor cheile de criptare AES.
Citește și:
- Identificați ransomware-ul care a criptat datele dvs. cu acest instrument gratuit
- Cum să eliminați definitiv ransomware-ul Locky
- Malwarebytes lansează un decriptor gratuit pentru ransomware-ul Telecrypt
- Ransomware-ul Locky se răspândește pe Facebook acoperit ca fișier .svg
