蓝盟IT小贴士，来喽！
传播方式
这两种locker类型主要通过广告网络传播，主要目的是入侵性地销售成人内容和电影。 例如，加载包含嵌入广告模块(弹出窗口)的页面，或单击页面上的任意位置(单击下面)，然后通过访问网站顶部打开的选项卡或窗口进行传播。 推测网络犯罪分子会花钱买广告，弹出窗口中会显示浏览器锁定器的内容。
类型#1.伪装成俄罗斯内务省的虚假网站：“给我钱”
最初的locker类型模仿俄罗斯内政部(MVD  )的网站，主要面向俄罗斯用户。 2020年第四季度，有55，000多个用户遭遇了这样的欺诈。
如果登录到假的browlock站点，用户通常会从浏览器中看到警告弹出窗口，告诉用户离开页面后可能无法保存某些更改。
除了用户关闭标签，什么也不会发生。 但是，如果单击页面上的任意位置，locker的主要内容将展开到全屏。 然后，在用户面前显示带有打开的浏览器的模拟计算机的画面。 底部有一个带有谷歌chrome图标的任务栏，顶部有一个显示MVD实际URL的地址栏。 根据页面通知，设备因违法被锁定。 网站以罚款为借口，指示受害者将一定数额的资金转入移动账户，金额为3000至10000卢布(40-130美元)。 如果拒绝，威胁软件将因俄罗斯《刑法》第242条规定的刑事责任而受到威胁，并主张对文件进行加密。 此页还附有录音，录音要求用户支付罚款。
技术细节
如果骗子使用全屏模式，用户将难以访问浏览器窗口的控制和任务栏，从而难以创建锁定效果。 另外，为了让受害者确信鼠标不能响应，攻击者通过操作CSS属性cursor来隐藏光标。
执行该代码后，将显示以下代码： escape  (密钥代码=27 )、ctrl  (密钥代码=17 )、alt  (密钥代码=18 )、tab  (密钥代码=9)、F1、F3、F4、F5
另一个有趣的细节是假设的文件加密过程的动画，如下面的屏幕快照所示。 为了模拟系统目录中被认为是加密的文件的枚举，它由无数连续的随机数字和字符组成。页面地址
网络罪犯通常使用字母数字域名。 数字序列对应于接近域名注册日期的日期，字母序列是“mpa”(俄语是“市政法律法”的缩写)和“kad”(“国土办公室”)等缩写。 欺诈域名示例： 0402mpa21 [。 ]
我们还看到了由“police”和“mvd”等基于主题的单词组成的域名。 网络罪犯利用他们模仿执法机关合法网站的地址，如mvd-ru  [。 ]技术。
虚假MVD网站的移动版
移动设备上也存在这种威胁。 要确定正在传播的设备类型，请检查HTTP请求标头的用户代理字段。 和“完整”版一样，受害者被指控违法并被罚款，但与电脑版相比，移动版的威胁金额要少得多。

文/上海蓝盟  IT外包专家

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 蓝盟IT外包，ase和零的信任都是不可缺少的

• 分享到：