Fake Ransomware

I criminali informatici stanno diffondendo una minaccia malware che si atteggia a ransomware tramite siti Web corrotti che presumibilmente offrono contenuti per adulti e soggetti a limiti di età. Quando viene attivata sui dispositivi delle vittime, la minaccia viene tracciata poiché il Fake Ransomware agisce più da vicino a un wiper che lascerà i dati interessati in uno stato irrecuperabile. I siti Web armati hanno nomi simili a sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org e sexy-photo(dot)online.

Secondo i ricercatori di sicurezza informatica che per primi hanno rilasciato dettagli sull'operazione di attacco, questi siti inganneranno gli utenti attivando automaticamente il download di quello che viene presentato come un file immagine volgare. Se gli utenti accettano il download, un file eseguibile denominato "SexyPhotos.JPG.exe" verrà eliminato e attivato sui loro computer.

Dettagli di Fake Ransomware

Quando viene eseguito, il file rilascerà quattro file eseguibili e un file batch sul dispositivo della vittima. Il file batch ha il compito di stabilire la persistenza copiando tutti e quattro i file eseguibili nella cartella di avvio di Windows. Quando sarà completamente stabilito, Fake Ransomware prenderà di mira oltre 70 diverse estensioni di file e più cartelle scelte in modo specifico. Tutti i file e le cartelle di destinazione avranno i loro nomi originali modificati in "Locked_[Number].Locked_fille", che li lascerà in uno stato inutilizzabile. Tuttavia, tieni presente che non è in corso alcuna crittografia. La minaccia ha anche un elenco di esclusioni contenente estensioni di file che rimarranno intatte.

La nota di riscatto e il meccanico di pulizia

Dopo aver finito di rinominare tutti i suoi obiettivi, Fake Ransomware rilascerà un file di testo chiamato "Readme.txt" sul dispositivo. Il file verrà quindi copiato in una moltitudine di cartelle diverse, nonché aperto automaticamente sullo schermo. La richiesta di riscatto contiene istruzioni in più lingue, tra cui inglese, tedesco, spagnolo, francese, turco e altre. Gli aggressori affermano che i file della vittima sono stati crittografati e che gli utenti interessati dovranno ora pagare un riscatto di $ 300 se desiderano ripristinare i propri dati. Il prezzo sarà raddoppiato a $600 3 giorni dopo gli attacchi, mentre dopo 7 giorni i codici di decrittazione verranno cancellati e tutti i file bloccati diventeranno irrecuperabili.

Tuttavia, come abbiamo detto in precedenza, Fake Ransomware non ha una routine di crittografia. Di conseguenza, è estremamente improbabile che anche gli aggressori siano in grado di ripristinare i file interessati poiché la minaccia non tiene traccia dei nomi dei file originali.