Fake Ransomware

Kyberzločinci šíří malwarovou hrozbu vystupující jako ransomware prostřednictvím poškozených webových stránek, které údajně nabízejí obsah pro dospělé a věkově omezený obsah. Při aktivaci na zařízeních obětí je hrozba sledována, protože falešný ransomware působí blíže k stěrači, který zanechá zasažená data v neobnovitelném stavu. Webové stránky vybavené zbraněmi mají názvy podobné sexyphotos.kozow(tečka)com, nude-girlss.mywire(tečka)org a sexy-photo(tečka) online.

Podle výzkumníků kybernetické bezpečnosti, kteří jako první zveřejnili podrobnosti o operaci útoku, tyto stránky oklamou uživatele tím, že automaticky aktivují stahování toho, co je prezentováno jako prostopášný obrazový soubor. Pokud uživatelé přijmou stažení, spustitelný soubor s názvem 'SexyPhotos.JPG.exe' bude zrušen a aktivován na jejich počítačích.

Podrobnosti o falešném ransomwaru

Po spuštění soubor umístí čtyři spustitelné a jeden dávkový soubor na zařízení oběti. Dávkový soubor má za úkol zajistit trvalost zkopírováním všech čtyř spustitelných souborů do složky Po spuštění systému Windows. Po úplném zavedení se Fake Ransomware zaměří na více než 70 různých přípon souborů a více specificky vybraných složek. Všechny cílové soubory a složky budou mít své původní názvy změněny na 'Locked_[NUM].Locked_fille', což je ponechá v nepoužitelném stavu. Mějte však na paměti, že neprobíhá žádné šifrování. Hrozba má také seznam výjimek obsahující přípony souborů, které zůstanou nedotčeny.

Výkupné Note And Wipe Mechanic

Poté, co falešný ransomware dokončí přejmenování všech svých cílů, zahodí na zařízení textový soubor s názvem „Readme.txt“. Soubor se poté zkopíruje do mnoha různých složek a automaticky se otevře na obrazovce. Výkupné obsahuje pokyny v několika jazycích, včetně angličtiny, němčiny, španělštiny, francouzštiny, turečtiny a dalších. Útočníci uvádějí, že soubory oběti byly zašifrovány a postižení uživatelé nyní budou muset zaplatit výkupné ve výši 300 dolarů, pokud chtějí obnovit svá data. Cena se zdvojnásobí na 600 $ 3 dny po útocích, zatímco po 7 dnech budou dešifrovací kódy smazány a všechny uzamčené soubory se stanou nezachránitelnými.

Nicméně, jak jsme řekli dříve, Fake Ransomware nemá šifrovací rutinu. V důsledku toho je extrémně nepravděpodobné, že i útočníci budou schopni obnovit postižené soubory, protože hrozba neuchovává záznamy o původních názvech souborů.