Fake Ransomware

Els ciberdelinqüents estan estenent una amenaça de programari maliciós que es fa passar per ransomware a través de llocs web corruptes que suposadament ofereixen contingut per a adults i amb restriccions d'edat. Quan s'activa als dispositius de les víctimes, l'amenaça es fa un seguiment a mesura que el Fake Ransomware actua més a prop d'un netejador que deixarà les dades afectades en un estat irrecuperable. Els llocs web armats tenen noms semblants a sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org i sexy-photo(dot)online.

Segons els investigadors de ciberseguretat que van publicar per primera vegada els detalls sobre l'operació d'atac, aquests llocs enganyaran els usuaris activant automàticament la descàrrega del que es presenta com un fitxer d'imatge descarada. Si els usuaris accepten la descàrrega, s'eliminarà un fitxer executable anomenat 'SexyPhotos.JPG.exe' i s'activarà als seus ordinadors.

Detalls falsos del ransomware

Quan s'executa, el fitxer deixarà quatre fitxers executables i un fitxer per lots al dispositiu de la víctima. El fitxer per lots s'encarrega d'establir la persistència copiant els quatre executables a la carpeta d'inici de Windows. Quan estigui completament establert, el Fake Ransomware apuntarà a més de 70 extensions de fitxers diferents i a diverses carpetes escollides específicament. Els noms originals de tots els fitxers i carpetes orientats es canviaran a "Locked_[NUmber].Locked_file", cosa que els deixarà en un estat inutilitzable. Tanmateix, tingueu en compte que no hi ha cap xifratge. L'amenaça també té una llista d'exclusions que conté extensions de fitxer que es deixaran intactes.

La nota de rescat i el mecànic de neteja

Un cop hagi acabat de canviar el nom de tots els seus objectius, el Fake Ransomware deixarà caure un fitxer de text anomenat "Readme.txt" al dispositiu. Aleshores, el fitxer es copiarà en una multitud de carpetes diferents i s'obrirà automàticament a la pantalla. La nota de rescat conté instruccions en diversos idiomes, com ara anglès, alemany, espanyol, francès, turc i molt més. Els atacants afirmen que els fitxers de la víctima s'han xifrat i els usuaris afectats ara hauran de pagar un rescat de 300 dòlars si volen restaurar les seves dades. El preu es duplicarà fins als 600 dòlars 3 dies després dels atacs, mentre que al cap de 7 dies s'eliminaran els codis de desxifrat i tots els fitxers bloquejats es tornaran irrecuperables.

Tanmateix, com hem dit anteriorment, el Fake Ransomware no té una rutina de xifratge. Com a resultat, és molt poc probable que fins i tot els atacants puguin restaurar els fitxers afectats perquè l'amenaça no manté un registre dels noms dels fitxers originals.