Троянец-блокировщик перехватывает изображение с подключенной к зараженному ПК web-камеры

Компания «Доктор Веб» обнаружила новую версию трояна-блокировщика, который «вымогает» у пользователей плату в 100 евро или 150 долларов США за разблокировку системы. Заразив целевую систему вирус расшифровывает собственный конфигурационный файл, в котором описано, с какими странами и платежными системами работает этот троянец. Троян не содержит в себе никаких графических изображений, так как для блокировки зараженной системы он использует файл в формате XML, получаемый с удаленного командного сервера.

После попадания на систему пользователя программа генерирует уникальный идентификационный номер и отправляет его на удаленный командный сервер вместе с другой информацией об инфицированном компьютере. После этого вредоносная программа получает WHOIS-информацию об IP-адресе зараженного ПК, которая включает в себя местоположение жертвы. Блокировка машины осуществляется лишь в том случае, если пользователь находится в одной из стран из списка, содержащегося в конфигурационном файле трояна. В частности, список включает в себя такие государства, как Канада, Испания, Германия, Франция, Италия, Португалия, Австрия, Швейцария, Великобритания, Австралия или США.

После определения местоположения пользователя троян получает ответ с командного сервера, и компьютер пользователя регистрируется на нем в качестве бота. Впоследствии на зараженную машину загружается ряд XML-файлы, из которых создается изображения и текст блокирующего окна на соответствующем языке.

Как отмечают в «Доктор Веб», троян наделен функцией перехвата изображений с подключенной к зараженному компьютеру web-камеры. Похищенные изображения демонстрируются в блокирующем систему окне с целью запугивания пользователя.

«В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации», - говорится в сообщении экспертов антивирусной компании.

Для того, чтобы разблокировать компьютер жертва должна ввести код ваучера платежной системы, который размещен на чеке, выдающимся платежным терминалом. Если жертва вводит код, его подлинность проверяется управляющим сервером.

«В случае подтверждения факта оплаты управляющий центр отправляет троянцу команду на разблокировку компьютера. Сумма, которую требуют заплатить за эту услугу злоумышленники, составляет 100 евро или 150 долларов США», - отмечают в «Доктор Веб».