Licenser til flere enheder (volumenrabatter)
Threat Database Ransomware Fake Ransomware

Fake Ransomware

Med Mezo i Ransomware
Oversæt til:
Dansk

Cyberkriminelle spreder en malwaretrussel, der udgør ransomware, via korrupte websteder, der angiveligt tilbyder voksen- og aldersbegrænset indhold. Når den aktiveres på ofrenes enheder, spores truslen, da den falske ransomware virker tættere på en visker, der vil efterlade de påvirkede data i en uoprettelig tilstand. De bevæbnede websteder har navne, der ligner sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org og sexy-photo(dot)online.

Ifølge de cybersikkerhedsforskere, der først udgav detaljer om angrebsoperationen, vil disse websteder narre brugere ved automatisk at aktivere download af det, der præsenteres som en frække billedfil. Hvis brugere accepterer download, vil en eksekverbar fil med navnet 'SexyPhotos.JPG.exe' blive slettet og aktiveret på deres computere.

Fake Ransomware-detaljer

Når den er udført, vil filen slippe fire eksekverbare og en batch-fil på offerets enhed. Batchfilen har til opgave at etablere persistens ved at kopiere alle fire eksekverbare filer til Windows Startup-mappen. Når den er fuldt etableret, vil den falske ransomware målrette mod over 70 forskellige filtypenavne og flere specifikt valgte mapper. Alle målrettede filer og mapper vil få deres oprindelige navne ændret til 'Locked_[NUM].Locked_fille', hvilket vil efterlade dem i en ubrugelig tilstand. Husk dog, at ingen kryptering finder sted. Truslen har også en ekskluderingsliste, der indeholder filtypenavne, der vil forblive intakte.

Løsepenge- og aftørringsmekanikeren

Når den er færdig med at omdøbe alle sine mål, vil den falske ransomware slippe en tekstfil med navnet 'Readme.txt' på enheden. Filen vil derefter blive kopieret til et væld af forskellige mapper, samt automatisk åbnet på skærmen. Løsesedlen indeholder instruktioner på flere sprog, inklusive engelsk, tysk, spansk, fransk, tyrkisk og mere. Angriberne oplyser, at ofrets filer er blevet krypteret, og berørte brugere skal nu betale en løsesum på $300, hvis de vil gendanne deres data. Prisen vil blive fordoblet til $600 3 dage efter angrebene, mens efter 7 dage vil dekrypteringskoderne blive slettet, og alle låste filer vil blive uoprettelige.

Men som vi sagde tidligere, har Fake Ransomware ikke en krypteringsrutine. Som følge heraf er det ekstremt usandsynligt, at selv angriberne vil være i stand til at gendanne de berørte filer, fordi truslen ikke registrerer de originale filnavne.

Relaterede indlæg

Trending

Mest sete

Indlæser...