Так повелося, що користувачів Windows дуже часто атакують віруси, шкідливі програми. І знову в мережі новий вірус виманює гроші за неіснуюче програмне забезпечення.
Кілька днів тому дослідник безпеки з компанії Malwarebytes Пітер Арнтцен (Pieter Arntz) виявив нову шахрайську схему, у рамках якої шахраї використовують повідомлення про помилку й підроблений застосунок Troubleshooter for Windows, щоб обманом змусити користувача купити неіснуюче ПЗ Windows Defender Essentials за $25. У якості методу оплати користувачам пропонується використовувати PayPal.
Як відбувається зараження
Шахраї підробляють засіб усунення проблем з “синім екраном смерті”. Замість того, щоб надавати доступ до захищеної авторським правом програми, він встановлює підроблений сайт з технічною підтримкою на комп’ютері. Коли програма установки буде запущена, вона завантажить різні виконувані файли з сайту hitechnovation.com і збереже їх у різних папках. Потім він налаштує один з цих файлів як службу Windows, щоб він автоматично запускав і редагував деякі записи реєстру, для відключення різних гарячих клавіш. Так, зокрема, під час запуску установника на комп’ютер користувача завантажується 4 виконуваних файлів: BSOD.exe (підроблене попередження про збої), troubleshoot.exe (фальшивий інструмент для усунення неполадок), scshtrv.exe (робить знімок екрана жертви) та adwizz.exe (показує рекламні оголошення).
Після завантаження файлів програма BSOD.exe відобразить підроблений BSOD на робочому столі, в якому говориться, що є проблема з файлом system32.dll і знову буде відтворювати дратівливий звуковий сигнал.
Потім програма Troubleshoot.exe запуститься й відобразить вікно під назвою «Пошук та усунення несправностей Windows». Ця програма претендує на роль засобу усунення неполадок Windows, в якому зазначено, що на комп’ютері відсутні файли реєстру «.dll», і пропонується почати пошук та усунення несправностей комп’ютера.
Коли ви приступите до усунення неполадок, він буде прикидатися, що виконує сканування, в якому говориться, що він не може виправити виявлені проблеми.
Потім він пропонує вам або звернутися в службу підтримки за допомогою включеної чат-програми, або придбати «Захисник Windows Essentials» за допомогою PayPal. Якщо натиснути на опцію Купити Windows Defender Essentials, то відкриє сторінку PayPal, де вони запросять покупку програми за $ 25.
Якщо користувач здійснює платіж, він буде перенаправлений на http://hitechnovation.com/thankyou.txt, який містить рядок «thankuhitechnovation». Коли програма виявляє цей конкретний рядок, вона відкриває новий екран, який претендує на виправлення проблем і дозволяє закрити програму.
Звісно, ви побачите повідомлення, що усе гаразд. Насправді ніяких проблем у вас не було, але $25 вже не повернете.
Як захиститися від вірусу?
Виявилося, що обдурити шкідливе програмне забезпечення дуже легко. Досить, при появі сторінки з реквізитами PayPal, натиснути на Ctrl + O щоб відкрити діалогове вікно та ввести адресу http: / /hitechnovation.com/thankyou.txt. Після цієї події шкідлива програма вважатиме, що ви з ними розплатилися й вимкнеться.
Дослідники також відзначили, що є ще одна неприємна особливість цієї шахрайської технічної підтримки. Її суть полягає в тому, що вірус створить скріншот активного екрану жертви та виведе його на FTP-сервер у 182.50.132.48 з використанням жорстко закодованих облікових даних. Для чого він це робить, так і залишається таємницею. Але є припущення, що для шантажу, крадіжки особистих даних або виявлення детекторів безпеки. Будьте уважні в мережі!!!
Джерело: Bleeping Computer
