Fake Ransomware

사이버 범죄자들은 성인용 및 연령 제한 콘텐츠를 제공하는 것으로 추정되는 손상된 웹사이트를 통해 랜섬웨어로 가장하는 악성코드 위협을 퍼뜨리고 있습니다. 피해자의 기기에서 활성화되면 가짜 랜섬웨어가 와이퍼에 더 밀접하게 작용하여 영향을 받은 데이터를 복구할 수 없는 상태로 유지하기 때문에 위협이 추적됩니다. 무기화된 웹사이트의 이름은 sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org 및 sexy-photo(dot)online과 비슷합니다.

공격 작업에 대한 세부 정보를 처음 공개한 사이버 보안 연구원에 따르면 이러한 사이트는 야한 이미지 파일로 표시되는 다운로드를 자동으로 활성화하여 사용자를 속일 것입니다. 사용자가 다운로드를 수락하면 'SexyPhotos.JPG.exe'라는 실행 파일이 컴퓨터에서 삭제되고 활성화됩니다.

가짜 랜섬웨어 세부정보

실행되면 파일은 피해자의 장치에 실행 파일 4개와 배치 파일 1개를 드롭합니다. 배치 파일은 4개의 실행 파일을 모두 Windows 시작 폴더에 복사하여 지속성을 설정하는 작업을 수행합니다. Fake Ransomware가 완전히 구축되면 70개 이상의 다양한 파일 확장자와 특별히 선택된 여러 폴더를 대상으로 합니다. 모든 대상 파일과 폴더는 원래 이름이 'Locked_[숫자].Locked_fille'로 변경되어 사용할 수 없는 상태가 됩니다. 그러나 암호화가 발생하지 않는다는 점에 유의하십시오. 위협 요소에는 손상되지 않은 파일 확장자가 포함된 제외 목록도 있습니다.

몸값 메모 및 닦음 정비공

모든 대상의 이름을 변경한 후 Fake Ransomware는 'Readme.txt'라는 텍스트 파일을 장치에 떨어뜨립니다. 그러면 파일이 여러 다른 폴더에 복사되고 화면에서 자동으로 열립니다. 몸값 메모에는 영어, 독일어, 스페인어, 프랑스어, 터키어 등 여러 언어로 된 지침이 포함되어 있습니다. 공격자는 피해자의 파일이 암호화되어 영향을 받은 사용자가 데이터를 복원하려면 300달러의 몸값을 지불해야 한다고 말합니다. 가격은 공격 3일 후 $600로 두 배가 되며, 7일 후에는 암호 해독 코드가 삭제되고 잠긴 파일은 모두 복구할 수 없게 됩니다.

그러나 앞서 말했듯이 Fake Ransomware에는 암호화 루틴이 없습니다. 결과적으로 위협 요소가 원본 파일 이름을 기록하지 않기 때문에 공격자라도 영향을 받는 파일을 복원할 가능성은 극히 낮습니다.