Fake Ransomware

مجرمان سایبری از طریق وب‌سایت‌های خرابی که ظاهراً محتوای محدود شده برای بزرگسالان و سن را ارائه می‌کنند، یک تهدید بدافزار را منتشر می‌کنند که به عنوان باج‌افزار ظاهر می‌شود. وقتی باج‌افزار جعلی در دستگاه‌های قربانی فعال می‌شود، این تهدید ردیابی می‌شود، زیرا باج‌افزار جعلی نزدیک‌تر به پاک‌کنی عمل می‌کند که داده‌های آسیب‌دیده را در حالت غیرقابل بازیابی قرار می‌دهد. وب‌سایت‌های مسلح شده نام‌هایی شبیه به sexyphotos.kozow(dot)com، nude-girls.mywire(dot)org و sexy-photo(dot) online دارند.

به گفته محققان امنیت سایبری که برای اولین بار جزئیات مربوط به عملیات حمله را منتشر کردند، این سایت‌ها با فعال کردن خودکار دانلود آنچه به عنوان یک فایل تصویری بداخلاقی ارائه می‌شود، کاربران را فریب می‌دهند. اگر کاربران دانلود را بپذیرند، یک فایل اجرایی با نام 'SexyPhotos.JPG.exe' حذف می شود و در رایانه آنها فعال می شود.

جزئیات باج افزار جعلی

پس از اجرا، فایل چهار فایل اجرایی و یک فایل دسته‌ای روی دستگاه قربانی می‌ریزد. فایل دسته ای وظیفه ایجاد پایداری را با کپی کردن هر چهار فایل اجرایی در پوشه Windows Startup دارد. هنگامی که باج‌افزار جعلی به طور کامل تاسیس شد، بیش از 70 پسوند فایل مختلف و چندین پوشه خاص انتخاب شده را هدف قرار می‌دهد. نام اصلی همه فایل‌ها و پوشه‌های مورد نظر به «Locked_[NUmber].Locked_fille» تغییر می‌کند، که باعث می‌شود آنها در حالت غیرقابل استفاده باقی بمانند. با این حال، به خاطر داشته باشید که هیچ رمزگذاری انجام نمی شود. این تهدید همچنین دارای یک لیست استثنائات حاوی پسوند فایل است که دست نخورده باقی خواهد ماند.

The Ransom Note And Wipe Mechanic

پس از اتمام تغییر نام همه اهداف، باج‌افزار جعلی یک فایل متنی به نام «Readme.txt» را روی دستگاه می‌اندازد. سپس فایل در بسیاری از پوشه های مختلف کپی می شود و همچنین به طور خودکار روی صفحه باز می شود. یادداشت باج حاوی دستورالعمل هایی به چندین زبان از جمله انگلیسی، آلمانی، اسپانیایی، فرانسوی، ترکی و غیره است. مهاجمان می‌گویند که فایل‌های قربانی رمزگذاری شده‌اند و کاربران آسیب‌دیده اگر بخواهند داده‌های خود را بازیابی کنند، اکنون باید ۳۰۰ دلار باج بپردازند. قیمت 3 روز پس از حملات دو برابر می شود و به 600 دلار می رسد، در حالی که پس از 7 روز کدهای رمزگشایی حذف می شوند و تمام فایل های قفل شده غیرقابل ذخیره می شوند.

با این حال، همانطور که قبلاً گفتیم، باج‌افزار جعلی روال رمزگذاری ندارد. در نتیجه، بسیار بعید است که حتی مهاجمان بتوانند فایل‌های آسیب‌دیده را بازیابی کنند، زیرا تهدید پرونده‌ای از نام فایل‌های اصلی را نگه نمی‌دارد.