Ransoc ransomware extorsiona usuarios que acceden a contenido cuestionable
Una nueva variante ransomware apodado Ransoc se distribuye actualmente a través de campañas de publicidad maliciosa, el bloqueo de escritorio del usuario, la búsqueda de contenido sensible, y el empleo de la información que se encuentra en un intento de extorsionar a los usuarios que acceden a contenido cuestionable en el pago de una tarifa de rescate, disfrazado de "notificación de multa."De acuerdo con Proofpoint, Ransoc se distribuye actualmente a través de campañas de publicidad maliciosa en los sitios web para adultos.
Las primeras infecciones de Ransoc aparecieron a principios de noviembre, pero Foxit INTELL investigador Frank Ruiz identificados a finales de octubre una campaña de publicidad maliciosa similar que redirige a los usuarios a un navegador que utiliza una nota de rescate visualmente idéntica a la utilizada por Ransoc.
El navegador sólo dirigido a los usuarios de IE en Windows y los usuarios de Safari en Mac. Los objetivos Ransoc ransomware sólo los usuarios de Windows.
Ransoc no cifra los archivos del usuario. A diferencia de la mayoría de las variantes de ransomware activo, Ransoc no cifra los archivos del usuario y deja todo como se encuentre.
En su lugar, Ransom escanea el ordenador del usuario para los perfiles de medios sociales, los clientes de mensajería instantánea, archivos del torrente, y las cadenas asociadas con la pornografía infantil.
Ransoc reúne todos estos datos en una nota de rescate diseñado inteligentemente que bloquea el escritorio del usuario con una advertencia legal que pone en peligro al usuario con una demanda inminente.
La nota de rescate se muestra en el interior del escritorio es personalizado por víctima, en función de los datos que se encuentran en cada equipo. El aviso legal puede ser debido a que viola los derechos de propiedad intelectual si el usuario ha descargado el material con derechos de autor a través de clientes torrent, o por delitos graves si Ransoc encuentra evidencia de que el usuario ha accedido a sitios que contengan material para adultos cuestionable que puede ser interpretado como la pornografía infantil.
El ransomware contiene código para escanear y recopila datos de cada víctima, como la dirección IP y la información de WiFi.
Ransoc también puede recoger datos de Skype, Facebook y perfiles de LinkedIn. El ransomware no roba las contraseñas de estas cuentas de redes sociales, pero sólo raspa perfiles para obtener información para su uso en las notas de rescate, tales como nombres, apodos, fechas de nacimiento, correos electrónicos, números de teléfono, lugares y fotos.
También hay una función que busca en los archivos descargados a través de clientes de torrent, y una función que intenta acceder a la cámara web del usuario.
La información que se encuentra para perfiles en redes sociales de la víctima aparece a continuación el aviso legal, para asustar al usuario de que su identidad en el mundo real ha sido desenmascarada. Un mapa Google también se muestra en algunos casos, utilizando la dirección IP del usuario para mostrar su ubicación general.
La tarifa de rescate también varía de víctima a víctima. A diferencia de muchos ransomware de hoy en día, Ransoc no maneja pagos a través de Bitcoin, sino que utiliza los pagos directos de tarjetas de crédito.
Gestionar los pagos de esta manera permite a las autoridades policiales rastrear a los ladrones siguiendo el rastro del dinero. Sin embargo, debido a la categoría de víctimas que están focalización (personas que violaron las leyes de copyright y los espectadores sospechosos de pornografía infantil), ladrones creen que hay una pequeña posibilidad de que las víctimas se quejaban a la policía.
Cómo eliminar el armario de escritorio Ransoc
Ransoc comprueba cada 100 ms si el usuario ha iniciado aplicaciones como el Administrador de tareas, regedit y MSConfig, y mata a los procesos antes de que el usuario puede retirar la nota de rescate de su pantalla.Los usuarios infectados con Ransoc pueden estar feliz de saber que hay una manera de eliminar del escritorio y recuperar el acceso a su PC.
Todo lo que tienen que hacer es reiniciar el PC en modo seguro y encontrar y eliminar un claves del Registro de Windows que permiten que el ransomware para iniciar con cada arranque del PC. La clave de registro es: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaErrorHandler
El valor de la clave del registro que Proofpoint vio en las instalaciones Ransoc activos era un archivo de acceso directo denominado JavaErrorHandler.lnk. Una víctima también puede mirar las propiedades de este archivo de acceso directo para determinar qué software malicioso ejecutable al que hace referencia. A continuación, puede utilizar esta información borrar el archivo ejecutable asociado con Ransoc.
