Fake Ransomware

A kiberbűnözők zsarolóprogramként terjesztő rosszindulatú programokat terjesztenek olyan sérült webhelyeken keresztül, amelyek állítólag felnőtteknek szóló és korhatáros tartalmat kínálnak. Amikor aktiválják az áldozatok eszközein, a fenyegetés nyomon követhető, mivel a hamis zsarolóvírus közelebbről hat az ablaktörlőhöz, amely az érintett adatokat visszaállíthatatlan állapotban hagyja. A fegyveres weboldalak neve hasonló a sexyphotos.kozow(dot)com, a nude-girlss.mywire(dot)org és a sexy-photo(dot)online oldalakhoz.

A kiberbiztonsági kutatók szerint, akik először adtak ki részleteket a támadásról, ezek az oldalak becsapják a felhasználókat azáltal, hogy automatikusan aktiválják a rosszindulatú képfájl letöltését. Ha a felhasználók elfogadják a letöltést, a „SexyPhotos.JPG.exe” nevű végrehajtható fájl eldobásra kerül és aktiválódik a számítógépükön.

Fake Ransomware részletek

Végrehajtáskor a fájl négy végrehajtható és egy kötegfájlt dob az áldozat eszközére. A kötegfájl feladata a perzisztencia biztosítása úgy, hogy mind a négy végrehajtható fájlt a Windows Startup mappájába másolja. Ha teljesen létrejön, a Fake Ransomware több mint 70 különböző fájlkiterjesztést és több, kifejezetten kiválasztott mappát céloz meg. Minden megcélzott fájl és mappa eredeti neve 'Zárolt_[SZÁM].Zárolt_fájlra' módosul, ami használhatatlanná teszi őket. Ne feledje azonban, hogy nem történik titkosítás. A fenyegetésnek van egy kizárási listája is, amely érintetlenül hagyja a fájlkiterjesztéseket.

The Ransom Note and Wipe Mechanic

Miután befejezte az összes célpont átnevezését, a Fake Ransomware egy "Readme.txt" nevű szövegfájlt dob az eszközre. A fájl ezután sok különböző mappába másolódik, és automatikusan megnyílik a képernyőn. A váltságdíj-jegyzet több nyelven is tartalmaz utasításokat, többek között angolul, németül, spanyolul, franciául, törökül stb. A támadók kijelentik, hogy az áldozat fájljait titkosították, és az érintett felhasználóknak mostantól 300 dollár váltságdíjat kell fizetniük, ha vissza akarják állítani adataikat. Az árat a támadások után 3 nappal megduplázzák, 600 dollárra, míg 7 nap elteltével a visszafejtő kódok törlődnek, és az összes zárolt fájl menthetetlenné válik.

Azonban, ahogy korábban említettük, a hamis zsarolóprogramnak nincs titkosítási rutinja. Ennek eredményeként rendkívül valószínűtlen, hogy még a támadók is vissza tudják állítani az érintett fájlokat, mivel a fenyegetés nem tartja nyilván az eredeti fájlneveket.