Polícia rozložila gang za policajným ransomwarom, aký sa šíril aj na Slovensku

DSL.sk, 14.2.2013

Španielska polícia v spolupráci s Europolom v stredu uskutočnila záťah proti kriminálnemu gangu, ktorý stojí za tzv. policajným ransomwarom.

Ransomware je typom škodlivého kódu, ktorým zločinci vydierajú užívateľov aby im títo zaplatili buď sumy pre fiktívny dôvody alebo priamo výkupné za ich dáta. Policajný ransomware je ransomwarom prvého typu, keď sa tváril ako upozornenie od polície alebo iných orgánov činných v trestnom konaní zvyčajne na porušovanie autorského práva alebo sledovanie a distribúciu detskej pornografie.

Užívateľom ponúkal možnosť vykúpiť sa z trestného stíhania zaplatením pokuty vo výške 100 eur. Na rozdiel od iných nebezpečnejších ransomwarov súbory užívateľa nešifroval.

Polícia v Španielsku zatkla desať ľudí, ktorých úlohou bolo prať peniaze zaplatené obeťami cez Ukash, PaySafeCard a MoneyPak. V Spojených arabských emirátoch bol zatknutý 27-ročný Rus, ktorý mal ransomware vytvoriť a distribuovať.

Gang pral peniaze podľa oznámenia napríklad cez online kasína a virtuálne meny a následne ich vyberal pomocou kradnutých kreditných kariet z bankomatov. Pri záťahu polícia našla 200 kreditných kariet.

Gang mal za rok zarábať viac ako milión eur, prvý výskyt ransomwaru bol detekovaný v máji 2011. Všetky zatknuté osoby sú z bývalých sovietskych republík, okrem vodcu pochádza z Ruska ďalších šesť zatknutých osôb, dvaja sú Ukrajinci a dvaja Gruzínci.

Slovenská lokalizovaná verzia výzvy ransomwaru, kliknite pre zväčšenie (screenshot: Eset)

Na jeseň minulého roka sa objavila aj slovenská verzia policajného ransomwaru, ktorá mala rovnaké parametre ako ransomware šírený sovietskym gangom. Či za slovenskou verziou stál aktuálne rozložený gang alebo niekto tento ransomware kopíroval nie je zatiaľ potvrdené.

Slovenská verzia sa tvárila ako upozornenie od polície hneď na päť údajných priestupkov respektíve trestných činov užívateľa, na porušenie autorského práva, nedovolenú distribúciu detskej pornografie, šírenie spamu, neoprávnený prístup k údajom na iných počítačoch a porušenie vymysleného zákona o používaní osobného počítača a jeho zanedbaní.

Ransomware sa pokúsil po infikovaní aktivovať webkameru a odfotiť užívateľa, jeho fotku následne vkladal do časti výzvy s ilustračným obrázkom rúk v putách. Výzva bola zobrazená cez celú pracovnú plochu a neumožnila už užívateľovi prepnúť na inú aplikáciu, počítač bolo potrebné reštartovať. Text výzvy bol ale amatérskym až strojovým prekladom a pozornému užívateľovi musela byť výzva na prvý pohľad podozrivá.




Najnovšie články:



Diskusia:

video Od: Alino. | Pridané: 14.2.2013 9:11 Video zo zasahu: http://www.youtube.com/watch?v=wBMyaOa4Xnw Odpovedať Známka: 8.9 Hodnotiť:

Re: video Od: qark | Pridané: 14.2.2013 9:49 hehe .. najviac ma pobavilo, ako policia triedi najdene kreditky podla farby .. ze jake profesionalne :)))) Odpovedať Známka: 8.6 Hodnotiť:

Re: video Od: PeePay | Pridané: 14.2.2013 13:12 A este pekny zaber na kameru, aby sa pomaly aj meno dalo precitat... Odpovedať Známka: 4.5 Hodnotiť:

kvety valentine Od: loa | Pridané: 14.2.2013 9:14 nebolo treba restartovat, stacilo sa cez ctrl+alt+del prihlasit pod druhym kontom a subor tohto virusu zmazat, vyliecene aj bez antivirusu za 2 minuty Odpovedať Známka: 1.6 Hodnotiť:

Re: kvety valentine Od: fdsir | Pridané: 14.2.2013 9:20 Bolo viacero verzii. Ja som sa stretol s takou, ze sa spustila aj v Safe mode. Jedine co ju dokazalo odtranit bol Windows Defender - bootovany z USBcka. Odpovedať Známka: 8.9 Hodnotiť:

Re: kvety valentine Od: loa | Pridané: 14.2.2013 9:21 preto treba dve konta, s obmedzenym uzivatelom na pouzivanie a administratorske na riesenie problemov, kedze virus pod obmedzenym uzivatelom nemoze nic, akurat sa mu do jeho profilu nahrat a po prihlaseni pod adminom je virus neaktivny Odpovedať Známka: 6.0 Hodnotiť:

Re: kvety valentine Od reg.: TOSOMJAHALAVA | Pridané: 14.2.2013 9:37 cakam kedy sa ozve prvy linuxak Odpovedať Známka: -1.5 Hodnotiť:

Re: kvety valentine Od: PeePay | Pridané: 14.2.2013 10:19 Toto riesi UAC, netreba dva ucty. (Samozrejme, netreba ale virusu pri pokuse o preniknutie povolit pristup, lebo potom ide uz o ludsku blbost, nie o bezpecnost systemu.) Odpovedať Známka: 7.3 Hodnotiť:

Re: kvety valentine Od: loa | Pridané: 14.2.2013 11:39 ano, lenze stari rodicia su schopni kliknut na uac aj ked nevedia co sa deje...takze je bezpecnejsie im dat obmedzeny ucet, a admin ucet s heslom... Odpovedať Známka: 8.5 Hodnotiť:

Re: kvety valentine Od: PeePay | Pridané: 14.2.2013 11:43 No, ved hovorim ze potom uz ide o ludsku blbost :) (Bez urazky k tvojim starym rodicom, moji by boli na tom rovnako.) Odpovedať Známka: 8.5 Hodnotiť:

Re: kvety valentine Od reg.: roob_ | Pridané: 14.2.2013 12:59 UAC neriesi nic! uac je absolutna kktina, pokial to je zavisle na kliknuti uzivatela na OK. Ja som vcera riesil tento "virus" a nesiel ani normalny rezim, nedala sa spustit ani obnova win7, nudzovy rezim sa restartoval hned po nabehnuti plochy. Obnova z image, prepisanie IPcky + kavicka 10 minut. Kavu som este potom dopijal... Odpovedať Známka: 0.0 Hodnotiť:

Re: kvety valentine Od: Houston | Pridané: 15.2.2013 10:10 Ked mas ADMIN ucet tak UAC neriesi nic, lebo je to len kliknutie. Ked mas USER ucet tak UAC riesi skoro vsetko, lebo musis vediet heslo k ADMIN uctu - kliknutie nestaci. Takze "kktina" je to co pises ty. P.S.: Odstranoval som ten virus u 5-tich ludi. Vzdy iny mesiac a vzdy aj inak vyzeral, vzdy sa inak volal, vzdy bol na inom mieste. Prvy isiel aj cez Task Manager, na posledne vsak stacil obycajny zabudovany RECOVERY ENVIRONMENT s konzolou, lebo som uz trochu tusil, kde a co mam asi hladat. P.S.2.: Nie kazdy ma tvrdy image urobeny 5 minut pred infekciou. Preco pre pana jana, prepisovanie IPcky???? Odpovedať Známka: 6.7 Hodnotiť:

Re: kvety valentine Od: 2Maniak33 | Pridané: 15.2.2013 13:46 By som rád videl, kto urobí 20GB iamge čistej inštalácie za 10 minút a potom obnovu za ďalších 10 minút! To tam máš iné TURBO... Celý image disku či partície po roku stráca akýkoľvek zmysel. Odpovedať Hodnotiť:

Re: kvety valentine Od reg.: AeroPo | Pridané: 14.2.2013 18:49 Ja som to kamošovi riešil cez Kaspersky Recovery Disk, odomkol som Win, prebehol ces Malwarebytes s pozitivnou detekciou 3x Trojan a 2x červ + 1x podozrivy nalez v registroch s odkazom na "FacebookUpdater" A po reštarte bolo zahojené. Odpovedať Známka: 3.3 Hodnotiť:

Re: kvety valentine Od: M@jo | Pridané: 14.2.2013 22:07 UAC nie je vseliek. Pokrocily malware, typicky rozne bootkity, vedia UAC pekne obchadzat bez toho, aby user musel potvrdzovat UAC okno. Odpovedať Známka: -5.0 Hodnotiť:

Re: kvety valentine Od: blue | Pridané: 14.2.2013 10:46 alebo : Avira rescue system - http://dopice.sk/54o Odpovedať Známka: 6.0 Hodnotiť:

xxxxx Od: XMen | Pridané: 14.2.2013 9:16 ach, este ze mame slovencinu, do ktore sa neda automaticky prekladat a musi to napisat len celkom zdatny slovak Odpovedať Známka: 7.9 Hodnotiť:

Re: xxxxx Od: Anonymko | Pridané: 14.2.2013 14:16 Byť autorom vírusu, dám každý jazyk v ktorej krajine chcem parazitovať preložiť niekomu zdatnému :) Odpovedať Známka: 8.2 Hodnotiť:

Re: xxxxx Od: veto2 | Pridané: 15.2.2013 7:23 hlavne keby neboli hamyzni, tak daju pokutu 33eur, resp 20 eur, a mali by ovela vyssie zisky, kedze by to dotknute osoby, stalo menej alebo rovnako, ako odvirenie firmou. Odpovedať Známka: -3.3 Hodnotiť:

Re: xxxxx Od: čitateľ | Pridané: 15.2.2013 11:18 hamyzni? Odpovedať Hodnotiť:

Re: xxxxx Od: blablabla | Pridané: 18.2.2013 10:39 lakomy Odpovedať Hodnotiť:

Štvrtok, 14. februára 2013, dnes má meniny Valentín, zajtra Pravoslav Pošli kvety Od: PeePay | Pridané: 14.2.2013 9:40 "Sovietskym"? Ja som si myslel, ze to uz je 22 rokov za nami... Odpovedať Známka: 5.0 Hodnotiť:

Re: Štvrtok, 14. februára 2013, dnes má meniny Valentín, zajtra Pravoslav Pošli kvety Od: asdf223 | Pridané: 14.2.2013 9:48 "z bývalých sovietskych republík..." Odpovedať Známka: 8.3 Hodnotiť:

Re: Štvrtok, 14. februára 2013, dnes má meniny Valentín, zajtra Pravoslav Pošli kvety Od: dimitrij | Pridané: 14.2.2013 10:09 sovietsky zvaz bolo zoskupenie krajin vychodneho bloku. ak viaceri utocnici boli z tychto krajin preco to slovo nenapisat. ako mohli napisat post-sovietskych, to uznavam, ale v principe je kazdemu jasne, co tym chcel autor povedat. Odpovedať Známka: 6.4 Hodnotiť:

Re: Štvrtok, 14. februára 2013, dnes má meniny Valentín, zajtra Pravoslav Pošli kvety Od: PeePay | Pridané: 14.2.2013 10:17 Mne to je jasne, ale je to nieco podobne, ako keby niekto bol v Bosne a Hercegovine, potom v Chorvatsku, potom v Srbsku, v Ciernej Hore - a povedal by, ze bol v Juhoslavii. Pochopili by to ludia? Pochopili. Ale bolo by to spravne pomenovanie? Nebolo. Odpovedať Známka: 5.7 Hodnotiť:

odstranenie Od: luck | Pridané: 14.2.2013 10:04 tak to si mal asi staru verziu toho viru, ja som videl teraz jeden pc s nim, ale aj ked si dal ineho uzivatela ci safe mode aj tak sa spustil :D to uz by si tak lahko neodstranil :D Odpovedať Známka: 3.3 Hodnotiť:

nadpis Od: čitateľ | Pridané: 14.2.2013 10:06 gang za mestom, gang za hranicami, gang za školou gang za ransomwarom? znie to jak maďarská dedina : ) Odpovedať Známka: 8.3 Hodnotiť:

polucia Od: .em | Pridané: 14.2.2013 10:16 ach tie nadpisy... normalne som si skoro zacal mysliet, ze slovenska policia nieco dokazala rozlozit... Odpovedať Známka: 2.0 Hodnotiť:

dokonca gang Od: čitateľ | Pridané: 14.2.2013 10:23 gang, no krásne slovenské slovo Odpovedať Známka: 2.5 Hodnotiť:

Re: dokonca gang Od: hmm | Pridané: 14.2.2013 14:44 Ake slovo by si pouzil ty, ty mudrlant? Odpovedať Známka: 5.6 Hodnotiť:

Re: dokonca gang Od: loa | Pridané: 14.2.2013 15:44 dzurindova skupinka! Odpovedať Známka: 0.9 Hodnotiť:

Re: dokonca gang Od: čitateľ | Pridané: 14.2.2013 15:58 vidíš, a o tomto to je, národ osprostieva, a zabúda vlastné slová veď si to daj do slovníka, ale ani veľmi nemusíš, na zlodejov a podvodníkov máme dosť slov : ) ináč, kľudne to mohol byť výpalník ako vyšitý rozmýšľaj aj sám Odpovedať Známka: 2.0 Hodnotiť:

Re: dokonca gang Od: ... | Pridané: 14.2.2013 16:44 Vazne? Gang je predsa vseobecne pomenovanie zlocineckej organizacie ktora sa nemusi sustredit iba na jednu zlocinecku aktivitu. Slova ktore si uviedol by boli sice spravne, no zase by sa jednalo iba o akesi "zaskatulkovanie", nikde predsa nie je napisane ze sa venovali iba tejto jednej konkretnej cinnosti, mohli mat viac takych nelegalnych aktivit. Preto slovo "gang", alebo pekne po slovensky "zlocinecka organizacia", co uz by bolo trochu moc dlhe do nadpisu. ;) Odpovedať Známka: 3.3 Hodnotiť:

Re: polucia Od: hmm | Pridané: 14.2.2013 14:46 Priznam sa ze ja tiez, ale to bolo este predtym nez mi zaucinkovala kava a tak pozornemu oku neunikne ze sa tam nepise o slovenskej policii ale o policii vseobecne. Lebo nielen na slovensku existuje policia. :-) Odpovedať Známka: 6.0 Hodnotiť:

Re: polucia Od: .em | Pridané: 14.2.2013 15:22 na Slovensku su iba Experti :) dopice.sk/54E Odpovedať Známka: -3.3 Hodnotiť:

Re: polucia Od: ... | Pridané: 14.2.2013 15:42 Hm, ja ti neviem.. mal by som sa smiat? Lebo do smiechu mi moc nie je ked vidim tu fotku. Pride mi to skor smutne ze take nieco clovek odfoti a este sa tomu aj tesi pretoze clovek co to fotil si mozno neuvedomil ze to iste sa kludne moze stat aj jemu a nech uz sa to stane komukolvek, nie je to nikdy nic prijemne a teda ani smiesne. Tym sa nesnazim zastavat policajtov, skor naznacit ze vsetci bez rozdielu sme len ludia, nikto nie je dokonaly a zivot mame iba jeden. Ked on takmer prideme, nie je spravne ak to vyvolava smiech. Odpovedať Známka: 6.7 Hodnotiť:

Re: polucia Od: .em | Pridané: 14.2.2013 20:06 no smiat veru nie... kedze budes tvrdo makat, aby mali na dalsie... Odpovedať Známka: -5.0 Hodnotiť:

Re: polucia Od: ... | Pridané: 14.2.2013 20:19 Dobre, to je jedna stranka veci, snad to neurobili schvalne a to auto nevyzera takto velmi poskodene ze by museli dostat nove. Na druhu stranu, budme radi ze sa aspon chlapcom nic nestalo. Odpovedať Hodnotiť:

Re: polucia Od: veto2 | Pridané: 15.2.2013 7:25 a ty si myslis, ze tie auta nie su poistene? Odpovedať Hodnotiť:

Re: polucia Od: Fetucinni | Pridané: 14.2.2013 20:34 Tieto moralisticke kecy si nehaj pre tebe podobnych. Odpovedať Hodnotiť:

Re: polucia Od: ... | Pridané: 14.2.2013 23:21 Zeby nas pan fotograf? :-) Cloveka vidis z rychlika (alebo v tomto pripade z rychle iduceho auta) a uz vies aky je ked tak posudzujes? Zaujimave. A mna podla coho sudis? Podla toho ze si vazim ludsky zivot? A co je na tom zle prosim pekne? Okrem toho, nevidel si ma ani na rozmazanej fotke ako tych policajtov a uz ma zaskatulkujes s "pre tebe podobnych"? No, aj to daco vypoveda o charaktere.. Odpovedať Hodnotiť:

ransomware Od: hmm | Pridané: 14.2.2013 14:52 Sam som mal dost problem s tymto virusom, vyzeral ale inak ako ten na obrazku. Myslim ze je viac verzii, dufam ale ze vsetka ta haved pochadza z toho isteho zdroja a teraz uz bude pokoj. Dobra praca policia, takto sa mi to paci, ked policia konecne chrani aj slusnych ludi. ;D V kazdom pripade by bolo velmi dobre zhabat tomu ruksakovi zdrojovy kod toho virusu, analyzovat a vydat nejaky cistiaci/opravny nastroj. Pretoze virus samotny som sice odstranil, ale chyby v systeme, zmenene hodnoty v registroch a pod. zatial sama voda.. :/ Odpovedať Známka: 0.0 Hodnotiť:

Re: ransomware Od: marianODjazera | Pridané: 14.2.2013 16:11 cistiaci nastroj na to je, vola sa RogueKiller jednoduchy ucinny Odpovedať Známka: 10.0 Hodnotiť:

Re: ransomware Od: MissyE | Pridané: 14.2.2013 20:36 Lammerko, zdrojaky vobec nemusia mat k dispozicii... Odpovedať Známka: 6.0 Hodnotiť:

Re: ransomware Od: Houston | Pridané: 15.2.2013 10:14 Odstranoval som 5 roznych verzii toho virusu ale po vymazani suborov virusu a odstraneni poloziek, kde sa pri starte spustal som nenasiel ziadne chyby v systeme ani ine zmenene hodnoty v registroch. Naco by to aj robil, ked uplne zablokoval PC? Takze chyby v systeme a registroch maju zrejme inu pricinu. Okrem toho, prechadzal by si zdrojaky vsetkych verzii, keby boli k dispozicii???? Odpovedať Známka: 10.0 Hodnotiť:

kozääääää vän Od: gramernazy | Pridané: 14.2.2013 16:34 vazne? este nikto? ok, here it comes --- ---> deteGovali <---- :) Odpovedať Známka: 3.3 Hodnotiť:

Re: kozääääää vän Od: čitateľ | Pridané: 15.2.2013 11:24 a nestačilo by zistili? Odpovedať Hodnotiť:

ComboFix Od: Mikkes | Pridané: 15.2.2013 9:28 ja som to riešil cez Combofix, v podstate ani nič iné nepoužívam, nemám čas, zatiaľ sa mi to osvedčilo na 99%. Priznám sa však, že ma to značne vytáča, keď mi takto infikované počítače donesú, ľudská hlúposť a nadržanosť nepozná medzí a každý kliká len na YES, občas by to chcelo použiť aj NO :-) Odpovedať Hodnotiť:

Re: ComboFix Od: PeePay | Pridané: 15.2.2013 15:00 No... aj majster tesar sa utne: http://www.eset.cz/cz/o-nas/blog/article/ combofix-byl-k-dispozici-s-neprijemnym-brouckem/ (zmazat medzeru z linku) Odpovedať Hodnotiť:

da sa to rucne za 5 min odstranit Od reg.: mikospy | Pridané: 12.7.2013 14:10 ale nie je mozne napisat taky dlhy text ked mate niekto zaujem piste na mrc-software@mrc-software.com rad mu navod napisem Odpovedať Hodnotiť:

ransomware navod 1 Od reg.: mikospy | Pridané: 12.7.2013 14:22 Navod na odstranenie je pomerne jednoduchy... potrebny je k tomu ccleaner alebo autoruns 1 F8 pri starte PC 2 Safe mode with command promt (aby sa zamedzilo spustanu aplikacii z HKLM\Software\Microsoft\CurrentVersion\Run). Standardny Safe mode tuto sekciu spusta Odpovedať Hodnotiť:

navod 2 Od reg.: mikospy | Pridané: 12.7.2013 14:23 3. po spusteni systemu a zobrazeni command promptu(cierne okno) zadat prikaz explorer, cim sa spusti plocha :) ale bez HKLM\Software\Microsoft\CurrentVersion\Run kde sa nachadza odkaz na spustenie virusu 4. Odstranit z danej sekcie subor s virusom a vymazat ho aj z disku... nazov sa zisti podla nezmyselneho mena napodobujuceho nazov realneho programu vačsinou s priponou dat... ale postihnuty subor moze mat aj iny nezmyselny nazov Pre menej zbehlych pomoze vymazanie obsahu adresarov C:\documents and settings\[nazov pouz]\Appdata\Local\temp (adresar je skryty) c:\windows\temp. adresare treba nechat, len zmazat obsah... Odpovedať Hodnotiť:

navod 3 Od reg.: mikospy | Pridané: 12.7.2013 14:24 5. Restartovat... pre tych ktory mazali temp adresare sa po starte zobrazi hlaska o chybajucom subore z adresara temp(co je vlastne samotny virus) takze odkaz nan sa da cez autoruns uz v pohode najst a vymazat. 6. spustit nejaky antivirak Odpovedať Hodnotiť:

Pridať komentár