محققان امنیتی میگویند بدافزار Ransoc سامانههای ویندوزی را هدف قرار داده است و قابلیت اصلی این باجافزار یک قفلکنندهی مرورگر است که در بسترهای-متقابل کار میکند. این قفلکننده مرورگر در اکتبر مورد بررسی قرار گرفته و کشف شده که توسط پویشهای تبلیغاتی توزیع میشود. این قفلکنندهی مرورگر بر روی ویندوز مرورگر اینترنت اکسپلورر و بر روی سامانهی مک ایکس مرورگر سافاری را هدف قرار داده است.
اخیراً باجافزار جدیدی کشف شده که برخلاف گونههای مشابه خود، پروندههای موجود بر روی سامانه را رمزنگاری نمیکند بلکه با اتصال به حسابهای شبکههای اجتماعی، پروندههای تورنت و فعالیتهای غیرمجاز را پیدا کرده و از قربانی باج درخواست میکند.
(تکنــــــــــــــازدانلود)این باجافزار با نام Ransoc به شبکههای اجتماعی مانند لینکدین، فیسبوک و اسکایپ متصل میشود. بعد از اینکه بر روی سامانهی آلوده به شبکههای اجتماعی متصل شد، به دنبال پروندههای تورنت و هرگونه فعالیت غیرمجاز میگردد و در نهایت باتوجه به پروندههایی که پیدا کرده، پیغام باجخواهی را نمایش میدهد.
محققان امنیتی میگویند بدافزار Ransoc سامانههای ویندوزی را هدف قرار داده است و قابلیت اصلی این باجافزار یک قفلکنندهی مرورگر است که در بسترهای-متقابل کار میکند. این قفلکننده مرورگر در اکتبر مورد بررسی قرار گرفته و کشف شده که توسط پویشهای تبلیغاتی توزیع میشود. این قفلکنندهی مرورگر بر روی ویندوز مرورگر اینترنت اکسپلورر و بر روی سامانهی مک ایکس مرورگر سافاری را هدف قرار داده است.
پس از تحلیل این بدافزار محققان دریافتند که این باجافزار بررسی بر روی آدرس IP انجام داده و تمامی ترافیک را تحت شبکهی Tor منتقل میکند. همچنین کشف شده است که این باجافزار زمانی پیغام باجخواهی را نمایش میدهد که شواهد کافی از پورنوگرافی کودکان و پروندههای بارگیریشده توسط تورنت در سامانهی آلوده وجود داشته باشد.
باتوجه به اتصال این باجافزار به شبکههای اجتماعی، پیغام باجخواهی که نمایش داده میشود با اطلاعات دقیق حساب کاربر مانند تصویر پروفایل سفارشیسازی شده است. قربانی با اطلاعاتی که توسط باجافزار جمعآوری شده تهدید میشود. در این تهدید به قربانی گفته میشود اگر باج درخواستی را پرداخت نکند، اطلاعات حساس او بهطور عمومی افشاء خواهد شد. همچنین مهاجمان با روش مهندسی اجتماعی پیام را طوری ارسال میکنند که کاربر فریب خورده و فکر کند این پیام از طرف بخشهای اصلی شبکهی اجتماعی است.
مشاهده شده که در کد این باجافزار قابلیت راهاندازی وبکم سامانهی قربانی نیز وجود دارد ولی محققان میگویند این قابلیت فعال نشده و مورد استفاده قرار نگرفته است. پیغام باجخواهی در یک پنجرهی تمام صفحه نمایش داده شده و همچون یک قفلکنندهی مرورگر عمل میکند و اجازهی کار با سامانه عامل و بستن مرورگر را به قربانی نمیدهد. علاوه بر این باجافزار Ransoc هر ۱۰۰ میلیثانیه یکبار فرآیندهای regedit ،msconfig و taskmgr را بررسی کرده و به این فرآیندها خاتمه میدهد. با این کار مانع از این میشود که قربانی بتواند این باجافزار را متوقف نماید.
همچنین محققان کشف کردند که این باجافزار تنها از یک کلید خودکار رجیستری برا ماندگاری استفاده میکند. در نتیجه قربانی میتواند با راهاندازی مجدد سامانه در حالت امن این آلودگی را حذف کند. توسعهدهندگان این باجافزار از رویکرد خاصی برای پرداخت باج استفاده کرده و شماره کارت را در پیغام باجخواهی اعلام کردهاند. با این رویکرد مراجع قضایی به راحتی میتوانند مهاجمان را ردیابی کنند. هرچند مهاجمان مطمئن هستند که کاربر بخاطر فعالیتهای غیرمجازی که داشته، این مسئله را با مراجع قضایی در میان نمیگذارد.
همچنین باتوجه به اینکه پیغام باجخواهی پس از یافتن پروندههای پورنوگرافی و فعالیتهای غیراخلاقی و غیرمجاز نمایش داده میشود، این احتمال وجود دارد که این بدافزار از طریق تبلیغات در وبگاههای پورنوگرافی و دوستیابی توزیع شده باشد. در این پیغام باجخواهی همچنین اشاره شده است که اگر قربانی در ۱۸۰ روز آینده فعالیتهای غیرمجاز نداشته باشد، باج به او برگردانده خواهد شد.