Fałszywy BSOD pomaga wyłudzić pieniądze

4 grudnia 2017, 12:05 | Bezpieczenstwo IT

Użytkownicy Windows są atakowani przez szkodliwy kod, który najpierw wyświetla fałszywy tzw. Niebieski Ekran Śmierci (BSOD), a później pokazuje instrukcję, jak poradzić sobie z problemem. Wszystko zaś po to, by przekonać użytkowników do zakupu Windows Defender Essentials, nieistniejącej w rzeczywistości wersji Windows Defendera. Oprogramowanie rzekomo rozwiązujące problemy kosztuje 25 dolarów, a zapłacić może za nie za pośrednictwem Paypala.

Firma Malwaerbytes, która wykryła zagrożenie, znalazła szkodliwy kod w zarażonych plikach instalacyjnych innego oprogramowania. Po uruchomieniu robak pobiera pliki odpowiedzialne za wyświetlenie BSOD-a oraz poradnika. Wykonuje też zrzut ekranowy i wysyła go na zdalny adres IP. Obecnie nie wiadomo, po co to robi. Następnie jeden z plików blokuje różne skróty klawiaturowe, co np. uniemożliwia zamkniecie okna kombinacją klawiszy ALT + F4.

Po przeprowadzeniu rzekomej analizy problemu, szkodliwy kod proponuje zakup Windows Defender Essential. Osoby, które zapłacą, odzyskują dostęp do komputera. Są przekierowywane do witryny, która zawiera napis „thankuhitechnovation”. Szkodliwe oprogramowanie rozpoznaje ten tekst i wyłącza się.

Możliwe jest jednak odzyskanie dostępu do komputera bez płacenia. Eksperci z Malwarebytes odkryli, że szkodliwy kod jest wyposażony we własny skrót klawiaturowy. Po wciśnięciu CTRL+O otwiera się okno, w które możemy wpisać adres http://hitechnovation.com/thankyou.txt. Przechodzimy wówczas do witryny, która wyłącza szkodliwy kod. Następnie, postępując zgodnie z opublikowaną w sieci instrukcją, powinniśmy usunąć pliki szkodliwego programu.