Зловред Ransoc угрожает не файлам пользователей, а их репутации

Компания Proofpoint обнаружила новый зловред-шифровальщик Ransoc, который отличается весьма нестандартной схемой действия. Подобно многим своим собратьям, Ransoc распространяется через вредоносные рекламные объявления, преимущественно на сайтах «для взрослых», и угрожает пользователям браузеров Internet Explorer (Windows) и Safari (OS X). Однако, инфицируя систему, вредоносное ПО не приступает к немедленному шифрованию файлов. Вместо этого Ransoc тщательно анализирует файлы на компьютере, а также учетные записи пользователя в Skype и социальных сетях. И блокировка активируется лишь в том случае, если обнаруживаются файлы, загруженные с помощью torrent-клиентов либо логи посещения ресурсов, содержащих порнографические материалы с участием несовершеннолетних.

Если подобные свидетельства найдены, компьютер блокируется, и на экран выводится уведомление о том, что пользователь уличен в противоправной активности. Жертвам предлагается оплатить «штраф» – в противном случае их ждет судебное разбирательство и публичное разглашение информации об их незаконных действиях в сети. Исследователи Proofpoint отмечают чрезвычайную психологическую точность такой схемы: ведь в большинстве случаев владельцу заблокированного устройства действительно есть, что скрывать. Ransoc угрожает не только и даже не столько файлам пользователя, сколько его репутации, а это весьма серьезный стимул заплатить выкуп.

Зловред отличают и еще две интересных особенности. Во-первых, он применяет метод не только кнута, но и пряника – в уведомлении о блокировке содержится пункт, который утверждает, что сумма штрафа будет возвращена, если в течение полугода пользователь не будет вновь уличен в противоправных действиях. А во-вторых, выкуп предлагается заплатить не в криптовалюте биткоин (как действуют большинство шифровальщиков), а с помощью банковской карты. Это также повышает правдоподобность «легенды» о том, что блокировка является санкцией властей, а не обычным, пусть и усовершенствованным, вымогательством хакеров.