Fake Ransomware

Cyberkriminalci šire prijetnju zlonamjernim softverom koji se predstavlja kao ransomware putem oštećenih web stranica koje navodno nude sadržaj za odrasle i dobno ograničen. Kada se aktivira na uređajima žrtava, prijetnja se prati jer Lažni Ransomware djeluje bliže brisaču koji će zahvaćene podatke ostaviti u nepopravljivom stanju. Naoružane web stranice imaju imena slična sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org i sexy-photo(dot)online.

Prema istraživačima kibernetičke sigurnosti koji su prvi objavili pojedinosti o operaciji napada, te će stranice prevariti korisnike automatskim aktiviranjem preuzimanja onoga što je predstavljeno kao nepristojna slikovna datoteka. Ako korisnici prihvate preuzimanje, izvršna datoteka pod nazivom 'SexyPhotos.JPG.exe' bit će ispuštena i aktivirana na njihovim računalima.

Pojedinosti o lažnom ransomwareu

Kada se izvrši, datoteka će ispustiti četiri izvršne i jednu batch datoteku na žrtvin uređaj. Skupna datoteka ima zadatak uspostaviti postojanost kopiranjem sve četiri izvršne datoteke u mapu za pokretanje sustava Windows. Kada se potpuno uspostavi, Lažni Ransomware će ciljati preko 70 različitih ekstenzija datoteka i višestruko odabranih mapa. Izvorni nazivi svih ciljanih datoteka i mapa bit će promijenjeni u 'Locked_[BROJ].Locked_fille', što će ih ostaviti u neupotrebljivom stanju. Međutim, imajte na umu da se ne vrši šifriranje. Prijetnja također ima popis izuzetaka koji sadrži ekstenzije datoteka koje će ostati netaknute.

The Ransom Not And Wipe Mechanic

Nakon što završi s preimenovanjem svih svojih ciljeva, Lažni Ransomware ispustit će tekstualnu datoteku pod nazivom 'Readme.txt' na uređaj. Datoteka će se zatim kopirati u mnoštvo različitih mapa, kao i automatski otvoriti na zaslonu. Poruka o otkupnini sadrži upute na više jezika, uključujući engleski, njemački, španjolski, francuski, turski i druge. Napadači navode da su žrtvine datoteke šifrirane te će pogođeni korisnici sada morati platiti otkupninu od 300 dolara ako žele vratiti svoje podatke. Cijena će se udvostručiti na 600 dolara 3 dana nakon napada, dok će nakon 7 dana kodovi za dešifriranje biti izbrisani i sve zaključane datoteke neće biti moguće spasiti.

Međutim, kao što smo ranije rekli, lažni ransomware nema rutinu šifriranja. Kao rezultat toga, vrlo je malo vjerojatno da će čak i napadači moći vratiti zahvaćene datoteke jer prijetnja ne čuva izvorne nazive datoteka.