Nieuws
image

Nieuwe ransomware gebruikt Facebookprofiel slachtoffer

woensdag 16 november 2016, 07:29 door Redactie, 5 reacties

Onderzoekers hebben een nieuw ransomware-exemplaar ontdekt dat Facebook-, Skype- en LinkedIn-gegevens en de downloadgeschiedenis van slachtoffers gebruikt om geld te vragen. De ransomware wordt Ransoc genoemd en verspreidt zich via besmette advertenties, zo meldt beveiligingsbedrijf Proofpoint.

Eenmaal actief zoekt de ransomware op de computer naar kinderporno en mediabestanden die via torrents zijn gedownload en laat op basis hiervan een waarschuwing zien. In de waarschuwing staan ook socialmediagegevens van de gebruiker, zoals Facebookprofielfoto en naam. Hiervoor maakt de ransomware verbinding met het Facebook- of LinkedIn-profiel van het slachtoffer of start Skype. Volgens de waarschuwing moet het slachtoffer een paar honderd dollar betalen, anders zullen de gevonden gegevens openbaar worden gemaakt en volgt er een rechtszaak.

"In tegenstelling tot de meeste ransomware-exemplaren is hier de reputatie van het slachtoffer het doelwit in plaats van zijn bestanden", aldus de onderzoekers. Verder schakelt de ransomware programma's als Regedit, MSconfig en Taakbeheer uit. Aangezien de ransomware alleen een sleutel aan het Register toevoegt om te worden gestart is het opnieuw opstarten van de computer in Veilige Modus voldoende om de ransomware te kunnen verwijderen.

Reacties (5)
16-11-2016, 15:18 door PietdeVries - Bijgewerkt: 16-11-2016, 15:23
Op welke wijze zoekt de ransomware naar kinderporno? Heeft 't daarvoor een geweldig algoritme aan boord dat alle .JPG files scant op bloot en dan probeert op basis van gezichtsherkenning te bepalen hoe oud de personen op de foto zijn? Of een lijst met hashes van bekende kinderporno foto's?

Mijn Picasa krijgt 't maar met moeite voor elkaar om gezichten te herkennen, laat staan dat de leeftijd van de personen op de foto kan worden bepaald en kan worden gemeten of het porno is dan wel een vakantie foto van het strand in Spanje...

Ach kijk - het verhaal van Proofpoint geeft uitsluitsel:
Further examination revealed that the malware scanned local media filenames for strings associated with child pornography.

Beetje vaag verhaal dit...
16-11-2016, 16:06 door Anoniem
Lijkt op iets dat ik al eens eerder heb gezien (gelijkmatig).
Alleen was dat een JavaScript hoster bij aws.amazon.com ..
17-11-2016, 02:10 door Anoniem
Hoe haalt deze ransomware je social media gegevens op, via de browser cache ?
Ik neem aan dat als je de wachtwoorden nooit opslaat in je browser dat je als gebruiker veilig bent ?
17-11-2016, 23:19 door Anoniem
"In tegenstelling tot de meeste ransomware-exemplaren is hier de reputatie van het slachtoffer het doelwit in plaats van zijn bestanden"

Dus snel maar mn storage-disk hernoemen van "Definatelynotkiddiepron" :p
18-11-2016, 09:16 door Anoniem
Dit is iets dat ik tegenkwam wat iemand deelde. Heb nog niet alles kunnen bekijken, geen tijd voor gehad. Maar het doet iets met een chrome extension en Facebook. Wat het ook doet is waarschijnlijk via die chrome extension anti-virus bedrijven.domeinen blokkeren.


Eff via TOR browser benaderen, voor je eigen privacy!
http://jvwzr5naay3o6vct.onion/forums/topic/8789-decode-jse-code/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search