Fake Ransomware

Οι εγκληματίες του κυβερνοχώρου διαδίδουν μια απειλή κακόβουλου λογισμικού που παρουσιάζεται ως ransomware μέσω κατεστραμμένων ιστότοπων που υποτίθεται ότι προσφέρουν περιεχόμενο για ενήλικες και περιορισμένη ηλικία. Όταν ενεργοποιείται στις συσκευές των θυμάτων, η απειλή παρακολουθείται καθώς το Fake Ransomware δρα πιο στενά σε έναν υαλοκαθαριστήρα που θα αφήσει τα επηρεαζόμενα δεδομένα σε μη ανακτήσιμη κατάσταση. Οι οπλισμένοι ιστότοποι έχουν ονόματα παρόμοια με τα sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org και sexy-photo(dot)online.

Σύμφωνα με τους ερευνητές κυβερνοασφάλειας που δημοσίευσαν για πρώτη φορά λεπτομέρειες σχετικά με την επιχείρηση επίθεσης, αυτοί οι ιστότοποι θα εξαπατήσουν τους χρήστες ενεργοποιώντας αυτόματα τη λήψη αυτού που παρουσιάζεται ως ασύλληπτο αρχείο εικόνας. Εάν οι χρήστες αποδεχτούν τη λήψη, ένα εκτελέσιμο αρχείο με το όνομα 'SexyPhotos.JPG.exe' θα απορριφθεί και θα ενεργοποιηθεί στους υπολογιστές τους.

Ψεύτικες λεπτομέρειες Ransomware

Όταν εκτελεστεί, το αρχείο θα αποβάλει τέσσερα εκτελέσιμα και ένα αρχείο δέσμης στη συσκευή του θύματος. Το αρχείο δέσμης έχει επιφορτιστεί με τη δημιουργία εμμονής αντιγράφοντας και τα τέσσερα εκτελέσιμα αρχεία στον φάκελο εκκίνησης των Windows. Όταν δημιουργηθεί πλήρως, το Fake Ransomware θα στοχεύει πάνω από 70 διαφορετικές επεκτάσεις αρχείων και πολλούς ειδικά επιλεγμένους φακέλους. Όλα τα στοχευμένα αρχεία και φάκελοι θα αλλάξουν τα αρχικά τους ονόματα σε "Locked_[NUmber].Locked_fille", κάτι που θα τους αφήσει σε αδύνατη κατάσταση. Ωστόσο, έχετε κατά νου ότι δεν πραγματοποιείται κρυπτογράφηση. Η απειλή έχει επίσης μια λίστα εξαιρέσεων που περιέχει επεκτάσεις αρχείων που θα παραμείνουν ανέπαφες.

The Ransom Note And Wipe Mechanic

Αφού ολοκληρώσει τη μετονομασία όλων των στόχων του, το Fake Ransomware θα ρίξει ένα αρχείο κειμένου με το όνομα «Readme.txt» στη συσκευή. Στη συνέχεια, το αρχείο θα αντιγραφεί σε πολλούς διαφορετικούς φακέλους και θα ανοίξει αυτόματα στην οθόνη. Το σημείωμα λύτρων περιέχει οδηγίες σε πολλές γλώσσες, όπως αγγλικά, γερμανικά, ισπανικά, γαλλικά, τουρκικά και άλλες. Οι εισβολείς δηλώνουν ότι τα αρχεία του θύματος έχουν κρυπτογραφηθεί και οι επηρεαζόμενοι χρήστες θα πρέπει τώρα να πληρώσουν λύτρα 300 $ εάν θέλουν να επαναφέρουν τα δεδομένα τους. Η τιμή θα διπλασιαστεί στα 600 $ 3 ημέρες μετά τις επιθέσεις, ενώ μετά από 7 ημέρες οι κωδικοί αποκρυπτογράφησης θα διαγραφούν και όλα τα κλειδωμένα αρχεία θα γίνουν μη διασώσιμα.

Ωστόσο, όπως είπαμε νωρίτερα, το Fake Ransomware δεν έχει ρουτίνα κρυπτογράφησης. Ως αποτέλεσμα, είναι εξαιρετικά απίθανο ακόμη και οι εισβολείς να μπορέσουν να επαναφέρουν τα επηρεαζόμενα αρχεία, επειδή η απειλή δεν διατηρεί αρχείο με τα αρχικά ονόματα των αρχείων.