Fake Ransomware

साइबर अपराधी कथित रूप से वयस्क और आयु-प्रतिबंधित सामग्री की पेशकश करने वाली भ्रष्ट वेबसाइटों के माध्यम से रैंसमवेयर के रूप में मैलवेयर का खतरा फैला रहे हैं। पीड़ितों के उपकरणों पर सक्रिय होने पर, खतरे को ट्रैक किया जाता है क्योंकि नकली रैंसमवेयर एक वाइपर के अधिक निकटता से कार्य करता है जो प्रभावित डेटा को एक अप्राप्य स्थिति में छोड़ देगा। हथियारबंद वेबसाइटों के नाम sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org और sexy-photo(dot) online जैसे नाम हैं।

साइबर सुरक्षा शोधकर्ताओं के अनुसार, जिन्होंने पहले हमले के संचालन के बारे में विवरण जारी किया था, ये साइटें उपयोगकर्ताओं को एक घटिया छवि फ़ाइल के रूप में प्रस्तुत किए जाने वाले डाउनलोड को स्वचालित रूप से सक्रिय करके धोखा देंगी। यदि उपयोगकर्ता डाउनलोड को स्वीकार करते हैं, तो उनके कंप्यूटर पर 'सेक्सीफोटोस.जेपीजी.एक्सई' नामक एक निष्पादन योग्य फ़ाइल को हटा दिया जाएगा और सक्रिय कर दिया जाएगा।

Fake Ransomware विवरण

निष्पादित होने पर, फ़ाइल पीड़ित के डिवाइस पर चार निष्पादन योग्य और एक बैच फ़ाइल छोड़ देगी। बैच फ़ाइल को विंडोज स्टार्टअप फ़ोल्डर में सभी चार निष्पादन योग्य कॉपी करके दृढ़ता स्थापित करने का काम सौंपा गया है। पूरी तरह से स्थापित होने पर, नकली रैंसमवेयर 70 से अधिक विभिन्न फ़ाइल एक्सटेंशन और कई विशेष रूप से चुने गए फ़ोल्डरों को लक्षित करेगा। सभी लक्षित फ़ाइलों और फ़ोल्डरों के मूल नाम बदलकर 'Locked_[NUMber].Locked_fille' हो जाएंगे, जो उन्हें अनुपयोगी स्थिति में छोड़ देगा। हालाँकि, ध्यान रखें कि कोई एन्क्रिप्शन नहीं हो रहा है। खतरे में फ़ाइल एक्सटेंशन वाली एक बहिष्करण सूची भी है जिसे बरकरार रखा जाएगा।

फिरौती नोट और वाइप मैकेनिक

अपने सभी लक्ष्यों का नाम बदलने के बाद, नकली रैंसमवेयर डिवाइस पर 'Readme.txt' नाम की एक टेक्स्ट फ़ाइल छोड़ देगा। फिर फ़ाइल को कई अलग-अलग फ़ोल्डरों में कॉपी किया जाएगा, साथ ही स्क्रीन पर स्वचालित रूप से खोला जाएगा। फिरौती नोट में अंग्रेजी, जर्मन, स्पेनिश, फ्रेंच, तुर्की और अन्य सहित कई भाषाओं में निर्देश हैं। हमलावरों का कहना है कि पीड़ित की फाइलें एन्क्रिप्ट की गई हैं और प्रभावित उपयोगकर्ताओं को अब अपने डेटा को पुनर्स्थापित करने के लिए $ 300 की फिरौती देनी होगी। हमलों के 3 दिन बाद कीमत दोगुनी होकर $600 हो जाएगी, जबकि 7 दिनों के बाद डिक्रिप्शन कोड हटा दिए जाएंगे और सभी लॉक की गई फाइलें अप्राप्य हो जाएंगी।

हालाँकि, जैसा कि हमने पहले कहा, नकली रैंसमवेयर में एन्क्रिप्शन रूटीन नहीं होता है। नतीजतन, यह बेहद कम संभावना है कि हमलावर भी प्रभावित फाइलों को पुनर्स्थापित करने में सक्षम होंगे क्योंकि खतरा मूल फ़ाइल नामों का रिकॉर्ड नहीं रखता है।