Oszuści wysyłają e-mail, na przykład podszywając sie pod Pocztę Polską. Wiadomość zawiera informację o oczekującej przesyłce kurierskiej oraz karze, którą zapłacimy za jej nieodebranie. W treści jest link, który pozwala zdaniem autora e-maila uzyskać więcej informacji. Drugi odnośnik ma być linkiem do wypisania się z subskrypcji. Kliknięcie w każdy z nich powoduje pobranie wirusa.
Wiadomość wygląda tak:
Oczywiście cyberoszuści nie podszywają się tylko pod Pocztę Polską - wiadomość może pochodzić od dostawcy usług internetowych, prądu, gazu, opłat za czynsz czy inne usługi. Jak zidentyfikować fałszywkę? Przede wszystkim należy zwrócić uwagę na fakt, że pracownicy polskich instytucji znają język polski. Treść e-maili od oszustów z językiem polskim ma niewiele wspólnego (proszę przeczytać e-mail od poczty, który zamieściliśmy powyżej). Jeśli e-mail wygląda na tłumaczenie wykonane przez popsuty translator - pod żadnym pozorem nie klikajmy w odnośniki. Nie klikajmy również, aby sprawdzić, co zawierają e-maile, których absolutnie się nie spodziewaliśmy (np. od dostawców usług, których nie posiadamy, z których nie korzystamy).
Co dzieje się po kliknięciu w link? W komputerze instaluje się wirus typu ransomware, najczęściej Crypto Locker lub jego mutacja. Powoduje zaszyfrowanie plików, o rozszerzeniach: 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx.
Oznacza to, że system działa, ale użytkownik nie ma dostępu do praktycznie żadnego swojego pliku - dokumentu, zdjęcia, muzyki, archiwum. Crypto Locker potrafi zablokować serwery oraz programy księgowe i kasowe, tym samym "wyłączyć" każdą firmę, w której komputerach się zainstaluje.
Oszuści oferują kupienie klucza odszyfrowującego, za który żądają około 300 dolarów. Taka informacja wyświetla się na ekranie zainfekowanego komputera. Należność płaci się w wirtualnej walucie bitcoin, za pomocą jednorazowego konta i identyfikatora, w szyfrowanej sieci TOR. Nie ma sposobu, aby odszukać oszusta w Internecie, tym samym jak na razie pozostają bezkarni. Nie ma możliwości zabezpieczenia się za pomocą programów antywirusowych - w przypadku infekcji ransomware są one nieskuteczne.
Jedyną dobrą metodą odzyskania danych (nie płacąc za klucz odszyfrowujący) jest wykonywanie regularnych kopii zapasowych systemu i plików, które przechowujemy w chmurze. Co istotne - z chmurą powinniśmy się łączyć za pomocą przeglądarki i rozłączać się po każdej sesji. Nie korzystajmy z programów, które utrzymują stałe połączenie z chmurą i same wykonują kopie zapasowe.
Ponadto - bezpieczniej jest korzystać z poczty e-mail nie używając klientów typu outlook, thunderbird i innych. Lepiej logować się przez stronę www.
Ale najważniejsze - NIE KLIKAJMY W ZAŁĄCZNIKI I ODNOŚNIKI JAKICHKOLWIEK PODEJRZANYCH WIADOMOŚCI. Najlepiej ich w ogóle nie otwierać, tylko od razu usuwać.