Wirus żąda od polskich internautów 100 euro za odblokowanie komputera

przez | 19/06/2012

Od maja polscy internauci stali się celem wirusa Weelsof, który uniemożliwia użytkownikom dostęp do komputerów a za usunięcie blokady żąda 100 euro – podaje CERT Polska, działający w ramach instytutu badawczego NASK.

Z treści komunikatu wyświetlanego przez złośliwe oprogramowanie wynika, że blokada jest spowodowana naruszeniem tajemniczych przepisów o „kontroli informacyjnej oraz zabezpieczenia informacji”. Eksperci podkreślają, że staranność przygotowania komunikatu i podszywanie się nadawcy pod polską policję może wprowadzać w błąd wielu internautów.

Wśród wymienionych w komunikacie przyczyn nałożenia blokady znajduje się używanie komputera do odtwarzania zakazanych stron internetowych oraz stron zawierających pornografię dziecięcą, jak również do przekazywania zakazanych informacji i przechowywania nielegalnych plików. Zapłacenie, za pośrednictwem wskazanego systemu płatności internetowej, „opłaty karnej” w wysokości 100 euro ma spowodować przesłanie klucza, dzięki któremu możliwe będzie zdjęcie blokady. Umieszczony w komunikacie logotyp oraz adres e-mail sugeruje, że komputer został zablokowany przez jednostkę policji zajmującą się kontrolą treści w Internecie.

Przyczyną tych problemów jest Weelsof, czyli złośliwe oprogramowanie typu ransomware (z ang.: ransom – okup, software – oprogramowanie), które – wnikając do komputera – blokuje dostęp do jego zasobów, a następnie za usunięcie blokady żąda zapłacenia okupu. Wirus dostaje się do komputera poprzez luki w niezaktualizowanych programach, jak na przykład przeglądarki internetowe czy też czytniki dokumentów, i wyświetla komunikat informujący użytkownika o powodzie blokady. Złośliwe oprogramowanie wyłącza proces Explorera (znika menu „Start”), ukrywa wszystkie okna, a następnie wyświetla komunikat proszący o wniesienie opłaty.

Z przeprowadzonej w laboratorium CERT Polska analizy wynika, że Weelsof nie powoduje żadnych innych szkód w postaci infekowania, kasowania czy szyfrowania pozostałych plików. Dotychczas ten rodzaj złośliwego oprogramowania atakował użytkowników głównie w krajach Europy Zachodniej, takich jak Niemcy, Belgia, Francja, Grecja, Włochy czy Hiszpania. Od maja CERT Polska otrzymuje doniesienia, że wirus aktywny jest również w Polsce. W pierwszej połowie czerwca pojawił się nowy wariant złośliwego oprogramowania, które podaje kwotę opłaty karnej w złotówkach. Dodatkowo, jeżeli użytkownik posiada konto na portalu społecznościowym Facebook – w treści komunikatu ostrzegawczego pojawi się imię i nazwisko zalogowanej osoby.

„Złośliwe oprogramowanie typu ransomware jest znane od dawna. Staranne przygotowanie polskiej wersji wirusa Weelsof pod względem językowym i podawanie się za jednostkę polskiej policji świadczy o tym, że ta forma cyberprzestępczości stale się rozwija i może wprowadzić w błąd wielu polskich internautów.” – mówi Tomasz Bukowski z CERT Polska. „Aby odblokować swój komputer nie trzeba jednak płacić. Najprostszą metodą usunięcia problemu jest wpisanie <<poprawnego>> kodu systemu płatności internetowej UKASH, który wykorzystuje wirus. Weelsof sprawdza jedynie początek kodu, który łatwo można znaleźć w Internecie, nie weryfikuje natomiast czy jest to poprawny, aktywny numer. Innym sposobem, przeznaczonym dla bardziej zaawansowanych użytkowników, jest uruchomienie komputera w trybie awaryjnym i ręczne usunięcie z dysku zmian wprowadzonych przez złośliwe oprogramowanie. Aby skutecznie zabezpieczać się przed zagrożeniem należy pamiętać o legalnym i w pełni funkcjonalnym programie antywirusowym oraz bieżącej aktualizacji systemu Windows i używanych programów.” – podkreśla Tomasz Bukowski.

Więcej informacji na temat opisanego zjawiska znajduje się na stronie CERT Polska: http://www.cert.pl/news/5483