Fake Ransomware
Kyberrikolliset levittävät kiristysohjelmina esiintyvää haittaohjelmauhkaa korruptoituneiden verkkosivustojen kautta, joiden oletetaan tarjoavan aikuisille tarkoitettua ja ikärajoitettua sisältöä. Kun se aktivoituu uhrien laitteissa, uhkaa seurataan, kun Fake Ransomware toimii lähempänä pyyhkijää, joka jättää vahingoittuneet tiedot palautumattomaan tilaan. Aseistetuilla verkkosivustoilla on samanlaiset nimet kuin sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org ja sexy-photo(dot)online.
Hyökkäysoperaatiosta ensin julkistaneiden kyberturvallisuustutkijoiden mukaan nämä sivustot huijaavat käyttäjiä aktivoimalla automaattisesti räikeänä kuvatiedostona esitetyn latauksen. Jos käyttäjät hyväksyvät latauksen, suoritettava tiedosto nimeltä "SexyPhotos.JPG.exe" pudotetaan ja aktivoidaan heidän tietokoneillaan.
Fake Ransomware-tiedot
Kun tiedosto suoritetaan, se pudottaa neljä suoritettavaa tiedostoa ja yksi erätiedosto uhrin laitteelle. Erätiedoston tehtävänä on varmistaa pysyvyys kopioimalla kaikki neljä suoritettavaa tiedostoa Windowsin käynnistyskansioon. Kun Fake Ransomware on täysin vakiintunut, se kohdistuu yli 70 eri tiedostopäätteeseen ja useisiin erityisesti valittuihin kansioihin. Kaikkien kohdistettujen tiedostojen ja kansioiden alkuperäiset nimet muutetaan 'Lukittu_[LUKU].Lukittu_tiedosto', mikä jättää ne käyttökelvottomiksi. Muista kuitenkin, että salausta ei tapahdu. Uhalla on myös poissulkemisluettelo, joka sisältää tiedostopäätteet, jotka jätetään ennalleen.
Ransom Note and Wipe Mechanic
Kun fake Ransomware on nimennyt uudelleen kaikki kohteensa, se pudottaa laitteelle tekstitiedoston nimeltä "Readme.txt". Tiedosto kopioidaan sitten useisiin eri kansioihin ja avataan automaattisesti näytölle. Lunnaslappu sisältää ohjeita useilla kielillä, mukaan lukien englanti, saksa, espanja, ranska, turkki ja muut. Hyökkääjät toteavat, että uhrin tiedostot on salattu ja käyttäjien on nyt maksettava 300 dollarin lunnaita, jos he haluavat palauttaa tietonsa. Hinta kaksinkertaistuu 600 dollariin 3 päivää hyökkäyksen jälkeen, kun taas 7 päivän kuluttua salauksen purkukoodit poistetaan ja kaikki lukitut tiedostot muuttuvat pelastamattomiksi.
Kuten aiemmin totesimme, Fake Ransomwarella ei kuitenkaan ole salausrutiinia. Tämän seurauksena on erittäin epätodennäköistä, että jopa hyökkääjät pystyvät palauttamaan vahingoittuneet tiedostot, koska uhka ei pidä kirjaa alkuperäisistä tiedostonimistä.
