Szerző: Biztonságportál | Utolsó módosítás: 2017.09.25.
https://biztonsagportal.hu/meztelen-fotokat-kovetel-az-nransom-virus.html
Egy olyan károkozó lepleződött le, amely a számítógépeket zárolja, majd tíz meztelen fénykép feltöltését követeli a felhasználótól. Nem szabad bedőlni a kártevőnek!
A MalwareHunterTeam kutatói egy érdekes programra lettek figyelmesek, amelynek jelenlegi változata ugyan nem okoz közvetlen károkat, viszont alkalmas a felhasználók megtévesztésére, miközben nem kevés bosszúságot okoz. Ez a károkozó is zsarolással próbál hasznot húzni a fertőzésből, de mindezt meglehetősen szokatlan módon teszi. Manapság az a bevált szokásuk a kiberbűnözőknek, hogy a nemkívánatos szerzeményeikkel fájlokat titkosítanak, majd pénzt (vagy kriptopénzt) követelnek a felhasználótól a dekódoláshoz szükséges kulcsokért. Ezzel szemben az nRansom nem pénzért sóvárog, hanem egészen másért. A felhasználótól tíz darab saját készítésű, meztelen fotót követel.
A zsaroló program a fertőzése során az átmeneti fájlok tárolására szolgáló Temp mappába hoz létre egy könyvtárat véletlenszerű névvel. Ebbe bemásol egy nRansom.exe fájlt, néhány DLL-állományt, valamint egy your-mom-gay.mp3 nevű audió fájlt. Ezt követően az nRansom.exe veszi át a főszerepet, és lecseréli a Windows háttérképét, majd lejátsza az MP3-formátumú állományát. Az operációs rendszert a teljes képernyőt beterítő képével zárolja, és egy üzenet révén közli a felhasználóval a teendőket. A zsarolók azt az utasítást adják, hogy a Protonmailen regisztrálni kell egy fiókot, majd a megadott e-mail címre küldeni kell egy levelet. Amikor a válasz megérkezik, akkor tíz darab meztelen fényképet kell küldeni, amit a csalók ellenőriznek, és akár értékesíthetik is azokat különféle feketepiaci szereplőknek. Ha pedig teljesültek a követeléseik, akkor egy kód segítségével feloldható lesz a zárolás. Legalábbis elméletben.
Ne dőljön be, mert a vírus hibás!
Az nRansom egyik legfontosabb sajátossága, hogy több sebből vérzik, és ezért sem szabad teljesíteni a zsarolók követeléseit. Egyrészt a Protonmail már letiltotta a csalók által megadott e-mail címet. Másrészt a károkozó több hibát is tartalmaz, aminek köszönhetően hamar "kiakasztható". Ilyenkor összeomlik, és a számítógép újra használhatóvá válik. Nem utolsó sorban pedig az "12345" kóddal feloldható a zárolás.
