Fake Ransomware
ينشر مجرمو الإنترنت تهديدًا من البرامج الضارة يمثلون برامج الفدية عبر مواقع الويب التالفة التي يُفترض أنها تقدم محتوى للبالغين ومقيّدًا بالفئة العمرية. عند تنشيطه على أجهزة الضحايا ، يتم تعقب التهديد حيث تعمل Fake Ransomware عن كثب إلى ممسحة تترك البيانات المتأثرة في حالة غير قابلة للاسترداد. تحتوي المواقع المُسلَّحة على أسماء مشابهة لـ sexyphotos.kozow (dot) com و nude-girlss.mywire (dot) org و sexy-photo (dot) على الإنترنت.
وفقًا لباحثي الأمن السيبراني الذين نشروا لأول مرة تفاصيل حول عملية الهجوم ، فإن هذه المواقع ستخدع المستخدمين تلقائيًا عن طريق تنشيط تنزيل ما يتم تقديمه كملف صور بذيء. إذا وافق المستخدمون على التنزيل ، فسيتم إسقاط ملف تنفيذي باسم "SexyPhotos.JPG.exe" وتنشيطه على أجهزة الكمبيوتر الخاصة بهم.
تفاصيل Fake Ransomware
عند التنفيذ ، سيقوم الملف بإسقاط أربعة ملفات قابلة للتنفيذ وملف دفعي واحد على جهاز الضحية. تم تكليف الملف الدفعي بإنشاء استمرارية عن طريق نسخ جميع الملفات التنفيذية الأربعة في مجلد بدء تشغيل Windows. عند إنشائها بالكامل ، ستستهدف Fake Ransomware أكثر من 70 امتدادًا مختلفًا للملفات والعديد من المجلدات المختارة على وجه التحديد. سيتم تغيير أسمائها الأصلية لجميع الملفات والمجلدات المستهدفة إلى "Locked_ [NUmber] .Locked_fille" ، مما يجعلها في حالة غير قابلة للاستخدام. ومع ذلك ، ضع في اعتبارك أنه لا يوجد تشفير. يحتوي التهديد أيضًا على قائمة استثناءات تحتوي على امتدادات الملفات التي سيتم تركها كما هي.
مذكرة فدية ومسح ميكانيكي
بعد الانتهاء من إعادة تسمية جميع أهدافه ، سيقوم Fake Ransomware بإسقاط ملف نصي باسم "Readme.txt" على الجهاز. سيتم بعد ذلك نسخ الملف إلى العديد من المجلدات المختلفة ، بالإضافة إلى فتحه تلقائيًا على الشاشة. تحتوي مذكرة الفدية على تعليمات بلغات متعددة ، بما في ذلك الإنجليزية والألمانية والإسبانية والفرنسية والتركية وغيرها. يذكر المهاجمون أن ملفات الضحية قد تم تشفيرها وسيتعين على المستخدمين المتأثرين الآن دفع فدية قدرها 300 دولار إذا كانوا يريدون استعادة بياناتهم. سيتم مضاعفة السعر إلى 600 دولار بعد 3 أيام من الهجمات ، بينما بعد 7 أيام سيتم حذف رموز فك التشفير وستصبح جميع الملفات المقفلة غير قابلة للإصلاح.
ومع ذلك ، كما قلنا سابقًا ، لا يحتوي Fake Ransomware على روتين تشفير. نتيجة لذلك ، من غير المرجح أن يتمكن حتى المهاجمون من استعادة الملفات المتأثرة لأن التهديد لا يحتفظ بسجل لأسماء الملفات الأصلية.
