Túszul ejtették a gépem

Kipróbáltam a tegnapi ransomware-t. A gépemnek vége.

A virtuális gépemnek. De még ez se igaz. Telepítettem a tegnap vizsgált ransomware-t, hogy lássam mit tesz. A Microsoft van olyan jó, hogy ingyen biztosít virtuális gépeket az összes windows kiadással, az összes internet explorer verzióval. 

Így egy Win7 + IE8 gépen megpróbáltam elkapni a vírust. De nem sikerült. A boncolgatott JS nem esett áldozatul a fájlnak. Így manuálisan le kellett töltenem a .dat fájlt. Erre az IE8(!!!!) figyelmeztetett, hogy ez a fájl nem biztonságos. De azért letöltöttem.

Átneveztem .exe kiterjesztésre és futtattam. Bármilyen ablak vagy jel nélkül futott és egyszer csak ez fogadott.

Túszul ejtették a gépem – @Yzahkin Image 1

Egy gépi női hang (alap beépített funkciója a Windows-nak, bármelyik program hozzáfér) elkezdte mondogatni, hogy veszélyben vagyok, a fájlok el vannak titkosítva.

A megnyitott kép alatt ez volt látható:

Túszul ejtették a gépem – @Yzahkin Image 2

Az onion oldalt inkább nem reklámozom itt. Meglátogatva egy “file not found” feliratot kaptam, de ha a ID-t is beszúrom utána, akkor bizony újabb fenyegetés fogad. Először megállapítja nem vagyok-e robot.

Túszul ejtették a gépem – @Yzahkin Image 3

Ezután jön a lényeg:

Túszul ejtették a gépem – @Yzahkin Image 4

És itt meg is álltam. 

Egyébként be kellett kapcsolnom a javascript-et, ami a háttérben megint egy túlbonyolított kódot tartalmazott, amit már nem volt türelmem kibogozni. Ránézésre annyiról szólt, hogy a saját ID-mhez tartozó számlálóhoz küldjön.

Ami a fájlok titkosítását illeti: nem úgy tűnt mintha tényleg történt volna bármi. A képek, zenék, videók mind elérhetőek voltak. Az asztali háttérképet lecserélte a fent mutogatott képre. A gépet újraindítva se volt semmi hatás. Szóval valószínűleg ez csak megrémíti az áldozatot.

Ennél mélyebben nem tudok és nincs hangulatom bele ásni.