Fake Ransomware

Kibernoziedznieki izplata ļaunprātīgas programmatūras draudus, kas tiek uzskatīti par izpirkuma programmatūru, izmantojot bojātas vietnes, kurās it kā tiek piedāvāts saturs pieaugušajiem un ar vecuma ierobežojumiem. Kad tas tiek aktivizēts upuru ierīcēs, draudi tiek izsekoti, jo viltotā Ransomware darbojas ciešāk pret tīrītāju, kas atstāj ietekmētos datus neatgūstamā stāvoklī. Ieroču vietņu nosaukumi ir līdzīgi sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org un sexy-photo(dot)online.

Saskaņā ar kiberdrošības pētnieku teikto, kuri pirmo reizi izplatīja informāciju par uzbrukuma operāciju, šīs vietnes apmānīs lietotājus, automātiski aktivizējot tā lejupielādi, kas tiek attēlots kā rupjš attēla fails. Ja lietotāji pieņems lejupielādi, izpildāmais fails ar nosaukumu "SexyPhotos.JPG.exe" tiks izmests un aktivizēts viņu datoros.

Fake Ransomware informācija

Kad fails tiks izpildīts, upura ierīcē tiks ievietoti četri izpildāmie un viens sērijveida fails. Pakešfaila uzdevums ir nodrošināt noturību, kopējot visus četrus izpildāmos failus Windows startēšanas mapē. Kad viltota Ransomware būs pilnībā izveidota, tā būs vērsta uz vairāk nekā 70 dažādiem failu paplašinājumiem un vairākām īpaši izvēlētām mapēm. Visu atlasīto failu un mapju sākotnējie nosaukumi tiks mainīti uz “Bloķēts_[SKAITS].Bloķēts_fails”, tādējādi tie paliks nelietojams. Tomēr paturiet prātā, ka šifrēšana nenotiek. Draudim ir arī izņēmumu saraksts, kurā ir failu paplašinājumi, kas tiks atstāti neskarti.

Izpirkuma piezīmju un salvešu mehāniķis

Kad viltota Ransomware ir pabeigusi visu savu mērķu pārdēvēšanu, ierīcē tiks ievietots teksta fails ar nosaukumu “Readme.txt”. Pēc tam fails tiks kopēts daudzās dažādās mapēs, kā arī automātiski atvērts ekrānā. Izpirkuma piezīmē ir norādījumi vairākās valodās, tostarp angļu, vācu, spāņu, franču, turku un citās valodās. Uzbrucēji norāda, ka upura faili ir šifrēti un ietekmētajiem lietotājiem tagad būs jāmaksā izpirkuma maksa 300 USD apmērā, ja viņi vēlas atjaunot savus datus. 3 dienas pēc uzbrukumiem cena tiks dubultota līdz 600 USD, savukārt pēc 7 dienām atšifrēšanas kodi tiks dzēsti un visi bloķētie faili kļūs neglābjami.

Tomēr, kā jau teicām iepriekš, viltotajai Ransomware nav šifrēšanas rutīnas. Rezultātā ir ļoti maz ticams, ka pat uzbrucēji spēs atjaunot ietekmētos failus, jo draudi nereģistrē sākotnējos failu nosaukumus.