Fake Ransomware

פושעי סייבר מפיצים איום תוכנה זדונית המתחזה לתוכנת כופר דרך אתרים פגומים המציעים כביכול תוכן למבוגרים ומוגבלת גיל. כאשר היא מופעלת במכשירים של הקורבנות, האיום נבדק כאשר תוכנת הכופר המזויפת פועלת קרוב יותר למגב שישאיר את הנתונים המושפעים במצב בלתי ניתן לשחזור. לאתרים המכילים נשק יש שמות הדומים ל- sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org ו- sexy-photo(dot)online.

לטענת חוקרי אבטחת הסייבר שפרסמו לראשונה פרטים על פעולת התקיפה, אתרים אלו יטעו משתמשים על ידי הפעלה אוטומטית של ההורדה של מה שמוצג כקובץ תמונה גס. אם המשתמשים מקבלים את ההורדה, קובץ הפעלה בשם 'SexyPhotos.JPG.exe' יוסר ויופעל במחשביהם.

פרטי כופר מזויפים

לאחר ביצוע, הקובץ יוריד ארבעה קבצי הפעלה וקבצי אצווה אחד על המכשיר של הקורבן. על קובץ האצווה מוטלת המשימה לבסס התמדה על ידי העתקת כל ארבעת קובצי ההפעלה לתיקיית ההפעלה של Windows. כשהתוקמה במלואה, תוכנת הכופר המזוייפת תכוון ליותר מ-70 הרחבות קבצים שונות ותיקיות מרובות שנבחרו במיוחד. שמותיהם המקוריים של כל הקבצים והתיקיות הממוקדים ישתנו ל-'Locked_[מספר].Locked_fille', מה שישאיר אותם במצב בלתי שמיש. עם זאת, זכור כי לא מתבצעת הצפנה. לאיום יש גם רשימת אי הכללות המכילה סיומות קבצים שיישארו ללא פגע.

מכונאי כופר ומנגבים

לאחר שהיא תסיים לשנות את שמות כל היעדים שלה, תוכנת הכופר המזויף תפיל קובץ טקסט בשם 'Readme.txt' במכשיר. לאחר מכן הקובץ יועתק למספר רב של תיקיות שונות, וכן ייפתח אוטומטית על המסך. שטר הכופר מכיל הוראות במספר שפות, כולל אנגלית, גרמנית, ספרדית, צרפתית, טורקית ועוד. התוקפים מצהירים כי הקבצים של הקורבן הוצפנו ומשתמשים מושפעים יצטרכו כעת לשלם כופר של 300 דולר אם הם רוצים לשחזר את הנתונים שלהם. המחיר יוכפל ל-$600 3 ימים לאחר ההתקפות, בעוד לאחר 7 ימים קודי הפענוח יימחקו וכל הקבצים הנעולים יהפכו לבלתי ניתנים להצלה.

עם זאת, כפי שאמרנו קודם, ל-Fake Ransomware אין שגרת הצפנה. כתוצאה מכך, זה מאוד לא סביר שאפילו התוקפים יוכלו לשחזר את הקבצים המושפעים מכיוון שהאיום אינו שומר תיעוד של שמות הקבצים המקוריים.