Fake Ransomware

Küberkurjategijad levitavad lunavarana esinevat pahavara ohtu rikutud veebisaitide kaudu, mis väidetavalt pakuvad täiskasvanutele ja vanusepiiranguga sisu. Ohvrite seadmetes aktiveerimisel jälgitakse ohtu, kuna võltslunavara toimib rohkem klaasipuhastiga, mis jätab mõjutatud andmed taastamatusse olekusse. Relvastatud veebisaitidel on sarnased nimed: sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org ja sexy-photo(dot)online.

Esmakordselt ründeoperatsiooni üksikasju avaldanud küberjulgeoleku teadlaste sõnul petavad need saidid kasutajaid, aktiveerides automaatselt räpase pildifailina esitatud faili allalaadimise. Kui kasutajad nõustuvad allalaadimisega, eemaldatakse ja aktiveeritakse nende arvutis käivitatav fail nimega „SexyPhotos.JPG.exe”.

Fake Ransomware üksikasjad

Täitmisel kukub fail ohvri seadmesse neli käivitatavat ja üks partiifail. Pakettfaili ülesandeks on luua püsivus, kopeerides kõik neli käivitatavat faili Windowsi käivituskausta. Kui võltslunavara on täielikult loodud, sihib see enam kui 70 erinevat faililaiendit ja mitut konkreetselt valitud kausta. Kõigi sihitud failide ja kaustade algsed nimed muudetakse 'Lukustatud_[ARV].Lukustatud_fail'iks, mis jätab need kasutamiskõlbmatuks. Kuid pidage meeles, et krüptimist ei toimu. Ohul on ka välistuste loend, mis sisaldab faililaiendeid, mis jäetakse puutumata.

Lunaraha märkmete ja puhastusvahendite mehaanik

Pärast kõigi oma sihtmärkide ümbernimetamise lõpetamist viskab võltslunavara seadmesse tekstifaili nimega 'Readme.txt'. Seejärel kopeeritakse fail paljudesse erinevatesse kaustadesse ja avatakse automaatselt ekraanil. Lunarahateatis sisaldab juhiseid mitmes keeles, sealhulgas inglise, saksa, hispaania, prantsuse, türgi ja muus keeles. Ründajad väidavad, et ohvri failid on krüptitud ja mõjutatud kasutajad peavad nüüd maksma 300 dollari suuruse lunaraha, kui nad soovivad oma andmeid taastada. Hind kahekordistub 600 dollarile 3 päeva pärast rünnakuid, samas kui 7 päeva pärast kustutatakse dekrüpteerimiskoodid ja kõik lukustatud failid muutuvad päästmatuks.

Kuid nagu me varem ütlesime, pole võltsitud lunavaral krüpteerimisrutiini. Seetõttu on äärmiselt ebatõenäoline, et isegi ründajad suudavad mõjutatud faile taastada, kuna oht ei pea algsete failinimede üle arvestust.