Säkerhetsforskare har hittat ett nytt ransomware som inte bara infekterar din dator med skadlig kod och låser den tills du betalar en lösensumma — den ser även till att nå ut på sociala medier via dina egna konton. Det här är ett hot som tidigare inte skådats, och vi är oroade över utvecklingen.
Traditionell ransomware infekterar din dator, låser den och kräver att du ska betala allt från några hundralappar till åtskilliga tusen kronor för att låsa upp den igen. I bästa fall räcker det att starta om datorn för att otyget ska kunna tas bort, i värsta fall krypteras alla filer bortom all räddning.
Ransoc är namnet på ett nytt ransomware arbetar på ett högst otrevligt sätt. När en dator infekterats försöker Ransoc hittat ut på internettjänster som Facebook, LinkedIn och Skype. Från dessa konton samlas information in som sedan kan användas för att skrämma användaren via ett meddelande på skärmen. Även filerna på hårddisken genomsöks, bland annat efter piratnedladdat material.
Meddelandet berättar att du har gjort något olagligt, att polisen vet om det och att du ska betala 100 dollar för att slippa dras inför domstol. Exakt vilka olagligheter som presenteras beror på vad Ransoc hittar på datorn och de sociala kontona. Målet är att ge intrycket av att polisen faktiskt vet vad du sysslar med som inte är lagligt och på så vis skrämma till snabb betalning.
För att vagga in användaren i en form av trygghet utlovas återbetalning av pengarna efter 180 dagar om inga fler olagligheter “upptäcks på datorn”. Men givetvis kommer inte en enda krona att betalas tillbaka. Det är bara ett trick för att locka till betalning. Risken är att många går på det och faktiskt öppnar plånboken, på värsta möjliga vis.
Ransoc använder registret i Windows
Du måste lämna ut dina betalkortsuppgifter vilket betyder att de kriminella aktörerna bakom Ransoc därefter kan ta ut mer pengar eller handla upp vad som finns kvar på kontot. Många andra ransomware använder så kallad bitcoins vilket är en bättre lösning då du inte behöver ge bort ditt betalkort på samma vis (med e-kort minskar givetvis risken, men du förlorar ändå kring tusenlappen).
Tacksamt nog gör Ransoc inga försök att kryptera filerna eller ens bita sig fast nämnvärt hårt. Allt du behöver göra är att starta om datorn i felsäkert läge och ta bort en registernyckel så försvinner problemet. Säkerhetsforskarna identifierade att den skadliga koden använde registernyckeln “JavaErrorHandler.Ink” under registeradressen: “HKCUSoftwareMicrosoftWindowsCurrentVersionRunJavaErrorHandler”. Om samma registernyckel används för framtida versioner av Ransoc återstår dock att se, skaparna kan enkelt ändra namnet i framtida versioner.
Utmaningen ligger sen i att komma på varför Ransoc hittade in i datorn från första början. Är antivirusprogrammet aktivt och uppdaterat? Finns en brandvägg? Har du laddat ner piratkopierade filer som innehåller virus?
Har du drabbats av Ransoc eller något annat ransomware tidigare? Kommentera gärna och berätta om dina upplevelser!