Fake Ransomware

Kibernetiniai nusikaltėliai skleidžia kenkėjiškų programų grėsmę, kuri yra išpirkos reikalaujanti programa, per sugadintas svetaines, kuriose tariamai siūlomas suaugusiesiems skirtas ir ribojamas amžius. Kai suaktyvinama aukų įrenginiuose, grėsmė stebima, nes netikra Ransomware veikia arčiau valytuvo, dėl kurio paveikti duomenys bus neatkuriami. Ginkluotų svetainių pavadinimai panašūs į sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org ir sexy-photo(dot)online.

Anot kibernetinio saugumo tyrėjų, kurie pirmą kartą paskelbė išsamią informaciją apie atakos operaciją, šios svetainės apgaudins vartotojus automatiškai suaktyvindamos atsisiuntimą, kas pateikiama kaip niūrus vaizdo failas. Jei naudotojai sutinka su atsisiuntimu, vykdomasis failas pavadinimu „SexyPhotos.JPG.exe“ bus išmestas ir suaktyvintas jų kompiuteriuose.

Fake Ransomware informacija

Vykdant failą aukos įrenginyje bus keturi vykdomieji ir vienas paketinis failas. Paketiniam failui pavesta nustatyti patvarumą, nukopijuojant visus keturis vykdomuosius failus į Windows paleisties aplanką. Kai bus visiškai sukurta, „Fake Ransomware“ bus taikoma daugiau nei 70 skirtingų failų plėtinių ir kelių specialiai pasirinktų aplankų. Visų tikslinių failų ir aplankų pradiniai pavadinimai bus pakeisti į „Užrakintas_[SKAIČIUS].Užrakintas_failas“, todėl jie bus netinkami naudoti. Tačiau atminkite, kad šifravimas nevyksta. Grėsmė taip pat turi išimčių sąrašą, kuriame yra failų plėtinių, kurie bus palikti nepažeisti.

„Ransom Note“ ir „Wipe“ mechanikas

Baigus pervadinti visus savo taikinius, netikra Ransomware įrenginyje išmes tekstinį failą pavadinimu „Readme.txt“. Tada failas bus nukopijuotas į daugybę skirtingų aplankų ir automatiškai atidaromas ekrane. Išpirkos raštelyje pateikiamos instrukcijos keliomis kalbomis, įskaitant anglų, vokiečių, ispanų, prancūzų, turkų ir kt. Užpuolikai teigia, kad aukos failai buvo užšifruoti, o paveikti vartotojai dabar turės sumokėti 300 USD išpirką, jei norės atkurti savo duomenis. Praėjus 3 dienoms po atakų, kaina padvigubės iki 600 USD, o po 7 dienų iššifravimo kodai bus ištrinti ir visi užrakinti failai taps neišsaugomi.

Tačiau, kaip minėjome anksčiau, „Feke Ransomware“ neturi šifravimo tvarkos. Dėl to labai mažai tikėtina, kad net užpuolikai galės atkurti paveiktus failus, nes grėsmė neišsaugo originalių failų pavadinimų.