Ransomware. Escrocherii pe internet
De câteva zile, un nou troian îşi face de cap de internet, iar dacă numele „de scenă” Rogue:W32/DotTorrent.A nu vă spune prea multe, poate comportamentul să vi se pară cunoscut.
Utilizatorii sunt informaţi că un „scaner anti-piraterie” a detectat conţinut ilegal, li se serveşte un raport (mai mult sau mai puţin convingător, şi-am să vă explic la ce mă refer), odată cu propunerea unei înţelegeri „amiabile” şi plata unei amenzi de 400 de dolari, alternativele fiind ani grei de puşcărie (vreo 5 la număr) şi daune considerabile (250.000 de dolari).
În spatele acestei nebunii, şi în numele deţinătorilor legali ai drepturilor de autor, ar acţiona o anume „ICPP Foundation”, o organizaţie fictivă… dar cu site.
Cei de la F-Secure au mers pe urmele acestei excrocherii, dovedind (dacă mai era nevoie) că NU există o asemenea fundaţie ICPP, site-ul respectiv (şi care a fost închis între timp) e fals, datele de înregistrare ale domeniului erau fictive, iar pagina găzduită într-o reţea somaleză de maximă securitate… se găseşte în Moldova.
Ce este „fundaţia” ICPP ?
Aşa cum vă spuneam câteva rânduri mai sus, chiar dacă site-ul icpp-online.com a fost închis, este interesant modul în care aceşti indivizi au decis să acţioneze, prezentându-se ca fiind:
„…a law firm which specialises in assisting intellectual property rights holders exploit and enforce their rights globally. Illegal file sharing costs the creative industries billions of pounds every year. The impact of this is huge, resulting in job losses, declining profit margins and reduced investment in product development. Action needs to be taken and we believe a coordinated effort is needed now, before irreparable damage is done.”
Aproape că te lasă fără cuvinte şi nu poţi decât să aprobi, spăşit (uneori şi cu conştiinţa încărcată)… că AŞA E. Însă nu întotdeauna lucrurile sunt ceea ce par a fi. Aparenţele înşeală un ochi mai puţin experimentat.
Altfel cum s-ar explica mesajul de avertizare ce conţine greşeli de scriere („recieved” în loc de „received”, ori „subopena” în loc de „subpoena” / citaţie) ?
Nu mai spun că la o simplă verificare a ip-ului şi datelor de înregistrare, povestea capătă accente comice. Acelaşi Shoen Overns, un nume care apare asociat şi în „afacerile” Koobface sau Zeus, un e-mail pe yahoo şi un număr de telefon din Italia (unde, surpriză, nu răspunde nimeni), sunt elemente suficiente pentru ca şi cei mai slabi de înger dintre noi, să se lămurească cum stă treaba cu „fundaţia” ICPP.
Dar asta nu însemnă că pericolul nu există.
Ce este troianul Rogue:W32/DotTorrent.A ?
O ameninţare cât de poate de reală, din păcate. Modul agresiv în care acţionează, avertizările repetate (fiecare restart este însoţit de un ecran ce recomandă, mai mult decât ferm, că ar fi bine ca utilizatorul să accepte această înţelegere / „pre-trial settlement”) şi chiar perfidia de care dă dovadă troianul, fiindcă în acel raport nu este exclus să existe într-adevăr fişiere torrent descărcate, personalizarea mesajului în nu mai puţin de 10 limbi (cehă, slovacă, engleză, franceză, germană, olandeză, italiană, portugheză, slovacă şi spaniolă), i-au determinat pe unii utilizatori să plătească. Şi aici nu mă refer la suma de 400 de dolari.
Nu există un sistem de plată online, singurul scop al acelui formular este de a colecta informaţii de la creduli. S-ar putea spune că au „plătit”, iar unii ar invoca o justiţie „divină”, în sensul că ameninţarea este destinată doar acelora care folosesc software neautorizat. Nimic mai neadevărat !
Atenţie ! Rogue:W32/DotTorrent.A, este un ransomware (soft de extorcare / extortion malware), va detecta software ilegal CHIAR DACĂ aşa ceva nu există pe sistemul în cauză.
Plus că nu orice fişier torrent este ilegal şi vă rog să scuzaţi platitudinea celor spuse. E drept că denumirea de torrent a căpătat (nemeritat) o conotaţie negativă mai ales după povestea cu The Pirate Bay sau Mininova, dar BitTorrent este doar un protocol peer-to-peer (P2P) de partajare a fişierelor, folosit pentru distribuirea unor cantităţi mari de date.
Tot printr-un torent se poate descărca şi ultima distribuţie de Ubuntu sau OpenOffice.org. Nu e nimic ilegal în a instala un client de torrent (de exemplu utorrent) şi de a-l folosi, traficul prin BitTorrent, estimându-se a fi între 27-55% din traficul total, desfăşurat pe Internet.
În loc de încheiere…
Nu sunt naiv să cred că utilizatorii din România se vor grăbi să plătească online cei 400 de dolari, dar excrocheria poate îmbrăca şi alte forme, iar aceşti tâlhari nu se sfiesc să folosească drept arme, propriile voastre slăbiciuni.
Frica de consecinţele legale (întemeiată până la un punct) şi declanşată de valul de procese având ca scop combaterea pirateriei, poate deveni un factor important în proliferarea acestui tip de ameninţări informatice. Păcat că utilizatorii nu dau dovadă de aceleaşi sentimente, şi înainte de descărca software ilegal (ori mai degrabă a cărui folosire este ilegală).
După cum am mai spus în paginile acestui blog, reiterez apelul de nu folosi software ilegal sau descărcat din surse îndoielnice. Nu aveţi nevoie de Photoshop pentru redimensionarea unei fotografii, cd-urile se pot scrie şi cu CDBurnerXP, VLC Player sau KM Player sunt gratuite, iar OpenOffice.org este o alternativă decentă la Microsoft Office. Consultaţi categoria SOFTWARE GRATUIT, pentru găsi aplicaţii freeware, free software, dar şi reduceri şi promoţii.
Feriţi-vă de escrocheriile pe internet şi aveţi mare grijă ce softuri instalaţi.
Informaţii despre această ameninţare găsiţi şi pe blogul Trendmicro, pe Zdnet, pe blogul lui Dancho Danchev, ori pe F-secure.
Sursă foto (2 şi 3):
- http://www.f-secure.com/weblog/archives/00001931.html
Materiale bibliografice:
- http://blog.trendmicro.com/%E2%80%9Ccopyright-violations%E2%80%9D-used-for-a-fakeav-like-scam/
- http://blogs.zdnet.com/security/?p=6095
- http://www.f-secure.com/weblog/archives/00001931.html
- http://ddanchev.blogspot.com/2010/04/copyright-violation-alert-themed.html
- http://www.wired.com/threatlevel/2010/04/ransomware
Acest tip de amenintare a devenit mai popular de vreo 3 ani si dupa cum vad din rapoarte este destul de folosit,dar este foarte greu de detectat spre deosebire de botneti / worm / alte amenintari de acest fel care se raspandesc singure.
Si in plus se recripteaza de 2 – 3 ori pe saptaman ca sa fie detectat de max 3 % dintre antivirusi clasici
Mai nou “virusi” lucreaza impreuna (ex: Rogue + Rootkit.TDSS sau Botneti + Drive by)
Si in final felicitari pentru tema dezbatuta si articol
Salut. Mda,destul de rău ca se întinde ca un flagel,zicând bine MalwareList ca de vreo 3 ani a devenit mai populara aceasta amenințare. Nu este de gluma,articolul vine la timp,amenințările de acest gen putând avea consecințe diverse și nefaste . Andrei,ai zis foarte bine,sa fim ATENȚI la ce software instalam și la excrocheriile de pe internet,e un nou semnal de alarma. Felicitări pentru articolul bine conceput și sfaturile bune din final! STIMA.
Salut. Ai dreptate, dar cineva apasă şi pe acele bannere, fiindcă dacă n-ar exista masa de creduli, probabil că ar trebui să inventeze ceva mai inteligent. Aşa, nici măcar nu se obosesc că scrie 2-3 cuvinte corect. Ştii ce spunea Einstein despre cele lucruri care se presupun a fi infinite… dar nu era prea sigur în legătură cu universul.
Din cate observ, acest gen de malware nu trece de cel mai bun firewall: bunul simt. Daca nu apesi pe bannerul cu premiul de 1 milion de $ sunt sanse mari sa nu pui botu nici la asta.
@andrei
)
atunci n-o să-l consider trojan, ci instrument de selecție naturală
Ma bucur ca nu am fost singurul care am comentat la acest articol , inseamna ca mai sunt si alti vizitatori care mai stiu una alta despre “securitatea it” nu doar (YM / HI5 … )