Για να ξεκλειδώσουν οι χρήστες τους υπολογιστές τους, καλούνται να πληρώσουν ένα «πρόστιμο», συνήθως της τάξης των 100 ευρώ, δολαρίων ή λιρών (ανάλογα με το στόχο της επίθεσης, στο αντίστοιχο νόμισμα). Ωστόσο, αυτά τα μηνύματα δεν προέρχονται από την αστυνομία, είναι πλαστά.
Ο Ιός της Αστυνομίας έχει προσβάλλει υπολογιστές στην Ελλάδα, όπως τεκμηριώνει ο φίλος του tech.in.gr και έμπειρος τεχνικός υπολογιστών και δικτύων, Παναγιώτης Ζ.
To μήνυμα που κατέγραψε στις αρχές Μαίου 2012 έγραφε:
«Προσοχή!
Αυτό το λειτουργικό σύστημα μπλοκάρεται λόγω παραβίασης των νόμων της Ελλάδας! Σημειώθηκαν οι ακόλουθες παραβάσεις:
Η IP διεύθυνσή σας είναι .... Από αυτή την IP διεύθυνση επισκέφτηκαν ιστοσελίδες που περιέχουν πορνογραφία, την παιδική πορνογραφία, κτηνοβασία και τη βία κατά των παιδιών. Ο υπολογιστής σας επίσης περιείχε βίντεο που περιλαμβάνει πορνογραφία, βία και παιδική πορνογραφία. Επιπλέον, από το ηλεκτρονικό ταχυδρομείο σας αποστέλλοταν μηνύματα με τη μορφή spam, που περιείχαν τρομοκρατική πρόθεση.
Αυτό το μπλοκάρισμα του υπολογιστή έγινε για να σταματήσουν οι παράνομες δραστηριότητές σας.
Για να ξεκλειδώσετε τον υπολογιστή, πρέπει να πληρώσετε πρόστιμο 100 ευρώ.
Μπορείτε να πληρώσετε ποινή με δύο τρόπους:...»
Η μετάλλαξη του Ιού της Αστυνομίας
Αυτή τη φορά, μέσα Ιουνίου 2012, η τηλεφωνική έκκληση για βοήθεια στον Παναγιώτη Ζ. θύμιζε τον Ιό της Αστυνομίας, ωστόσο η διαδικασία που θα βοηθούσε τον χρήστη να απαλλαγεί από τα εκφοβιστικά μηνύματα δεν απέδιδε. Επιπλέον, το μήνυμα είχε αλλάξει.
Όπως μπορείτε να παρατηρήσετε στα screenshot, ο χρήστης λαμβάνει μήνυμα που, αρκετά πειστικά, μοιάζει να προέρχεται από την Ελληνική Αστυνομία και την Δίωξη Ηλεκτρονικού Εγκλήματος, χρησιμοποιώντας τα διακριτικά σήματά τους.
Στην μετάλλαξη αυτή, δεξιά του μηνύματος εμφανίζεται να καταγράφεται ο χρήστης σε βίντεο, αφού ο ιός ενεργοποιεί και την κάμερα (προφανώς, όταν υπάρχει).
Αυτή τη φορά το μήνυμα δεν είναι προσεκτικά γραμμένο: έχει ορθογραφικά και συντακτικά λάθη και παραθέτει σειρά άρθρων και αυστηρές ποινές (διαβάζουμε για «ποινή από 2 έως 500 κατώτατους μισθούς») για πράξεις που φέρεται να έχει κάνει κάποιος χρήστης του υπολογιστή που εμφανίζεται μπλοκαρισμένος.
Η εκκαθάριση του Ιού της Αστυνομίας
Η διαδικασία εκκαθάρισης προβλέπει ότι ο χρήστης πρέπει να μπει στα Windows σε Safe Mode και να αναζητήσει οτιδήποτε ύποπτο στα προγράμματα που εκτελούνται αυτόματα με την εκκίνηση του λειτουργικού (Startup, Εκκίνηση).
Στην προκειμένη όμως περίπτωση, τα αρχεία δεν έμοιαζαν ύποπτα, αφού παρέπεμπαν στο εκτελέσιμο αρχείο ctfmon, το οποίο είναι γνωστό ότι εκτελείται στο παρασκήνιο κάθε φορά που ο χρήστης ενεργοποιεί κάποιο από τα προγράμματα του MS Office XP και παραμένει ενεργό ακόμα και μετά το κλείσιμό τους. Το ctfmon όμως ενοχοποιείται και για την διάδοση ιών.
Πιο προσεκτική εξέταση των ιδιοτήτων του φαινομενικά αθώου αυτού αρχείου έδειξε ότι, έδινε την εντολή στο kernel32.dll -ένα dll που φορτώνεται σε προστατευμένο τμήμα της μνήμης κατά την εκκίνηση των Windows και αναλαμβάνει την διαχείριση της μνήμης, του I/O και των interrupt του συστήματος- να τρέξει ένα αρχείο μέσα στον φάκελο temp στο προφίλ του χρήστη. Εκεί αφήνουν οι εφαρμογές που εκτελούμε συχνά προσωρινά αρχεία, τα οποία διαγράφονται αυτόματα από το σύστημα όποτε απαιτείται.
Το μονοπάτι που οδηγεί στον φάκελο αυτό δεν είναι ίδιο σε κάθε σύστημα. Μπορείτε όμως να οδηγηθείτε σε αυτόν, εάν εξετάσετε τις Ιδιότητες κάθε αρχείου στην Εκκίνηση ή εάν τον αναζητήσετε κάτω από τον φάκελο υπό τον τίτλο Application Data ή AppData (π.χ. C:\Users\
C:\Documents and Settings\[username]\Local Settings\Application Data\Temp). Οι φάκελοι προσωρινής αποθήκευσης (temp) ενοχοποιούνται συχνά γιατί δεν τους δημιουργεί ο χρήστης και δεν παρατηρεί καν την ύπαρξή τους. Δεν είναι άσχημη ιδέα να τους βάζετε πρώτους στην σειρά όταν πρόκειται να «τακτοποιήσετε» τον υπολογιστή σας.
Στην προκειμένη περίπτωση, η διαγραφή του επίμαχου αρχείου από το temp είχε προηγηθεί και έτσι ένα reboot απέδειξε ότι η απειλή αποτελούσε πια αξιομνημόνευτο παρελθόν.
Ευχαριστούμε τον Παναγιώτη Ζ. για την ενημέρωση!
Στο Found.gr μπορείτε να βλέπετε καθημερινά μαζεμένες όλες τις
προσφορές όλων των site προσφορών. Με ένα κλικ τις έχετε μπροστά σας!
in.gr
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου