Malwarebytes wydało bezpłatne narzędzie deszyfrujące, aby pomóc ofiarom niedawnego ataku ransomware odzyskać dane od cyberprzestępców stosujących technikę oszustwa wsparcia technicznego. W zeszłym tygodniu pojawiła się nowa wersja oprogramowania ransomware o nazwie VindowsLocker. Działa poprzez łączenie ofiar z fałszywymi technikami Microsoft w celu zaszyfrowania ich plików za pomocą API Pastebin.

Oszuści pomocy technicznej od dłuższego czasu atakują niczego niepodejrzewających użytkowników Internetu. Połączenie inżynierii społecznej i oszustwa, złośliwa taktyka ewoluowała od zimnych połączeń do fałszywych alarmów, a ostatnio także blokad ekranu. Oszuści pomocy technicznej dodali teraz ransomware do swojego arsenału ataku.

Jakub Kroustek, badacz bezpieczeństwa AVG, po raz pierwszy wykrył oprogramowanie ransomware VindowsLocker i nazwał zagrożenie na podstawie rozszerzenia pliku.vindows dołącza do wszystkich zaszyfrowanych plików. Oprogramowanie ransomware VindowsLocker wykorzystuje algorytm szyfrowania AES do blokowania plików z następującymi rozszerzeniami:

VindowsLocker naśladuje oszustwo związane z pomocą techniczną

Ransomware stosuje taktykę typową dla większości oszustw związanych z pomocą techniczną, polegającą na tym, że ofiary proszone są o zadzwonienie pod podany numer telefonu i skontaktowanie się z personelem pomocy technicznej. Natomiast w przeszłości ataki oprogramowania ransomware wymagały płatności i obsługiwały klucze deszyfrowania za pomocą portalu Dark Web.

to nie obsługuje Microsoft Windows

zablokowaliśmy twoje pliki wirusem Zeus

zrób jedną rzecz i zadzwoń do technika wsparcia poziomu 5 pod numerem 1-844-609-3192

zarchiwizujesz za jednorazową opłatą 349, 99 USD

Malwarebytes uważa, że ​​oszuści działają w Indiach i naśladują personel pomocy technicznej Microsoft. VindowsLocker używa również pozornie legalnej strony wsparcia Windows, aby dać fałszywe wrażenie, że wsparcie techniczne jest gotowe pomóc ofiarom. Strona pomocy wymaga podania adresu e-mail ofiary i poświadczeń bankowych do przetworzenia płatności w wysokości 349, 99 USD w celu odblokowania komputera. Jednak według Malwarebytes płacenie okupu nie pomaga użytkownikom odzyskać plików. Wynika to z faktu, że programiści VindowsLocker nie mogą teraz automatycznie odszyfrować zainfekowanego komputera z powodu niektórych błędów kodowania.

Malwarebytes wyjaśnia, że ​​twórcy oprogramowania ransomware VindowsLocker spartaczyli jeden z kluczy API przeznaczonych do użycia w krótkich sesjach. W rezultacie klucz API wygasa po krótkim czasie, a zaszyfrowane pliki przechodzą w tryb online, co uniemożliwia programistom VindowsLocker udostępnianie ofiarom kluczy szyfrowania AES.

Czytaj także:

• Zidentyfikuj oprogramowanie ransomware, które szyfruje dane za pomocą tego bezpłatnego narzędzia
• Jak usunąć Locky ransomware na dobre
• Malwarebytes wydaje bezpłatny deszyfrator dla ransomware Telecrypt
• Locky ransomware rozprzestrzeniający się na Facebooku zamaskowany jako plik.svg