Fake Ransomware

Penjenayah siber menyebarkan ancaman perisian hasad yang menyamar sebagai perisian tebusan melalui laman web yang rosak yang dikatakan menawarkan kandungan dewasa dan sekatan umur. Apabila diaktifkan pada peranti mangsa, ancaman itu dijejaki kerana Fake Ransomware bertindak lebih rapat dengan pengelap yang akan meninggalkan data yang terjejas dalam keadaan tidak dapat dipulihkan. Tapak web bersenjata mempunyai nama yang serupa dengan sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org dan sexy-photo(dot)online.

Menurut penyelidik keselamatan siber yang mula-mula mengeluarkan butiran tentang operasi serangan itu, laman web ini akan menipu pengguna dengan mengaktifkan muat turun secara automatik apa yang dipersembahkan sebagai fail imej yang tidak senonoh. Jika pengguna menerima muat turun, fail boleh laku bernama 'SexyPhotos.JPG.exe' akan digugurkan dan diaktifkan pada komputer mereka.

Butiran Fake Ransomware

Apabila dilaksanakan, fail itu akan menjatuhkan empat fail boleh laku dan satu kumpulan pada peranti mangsa. Fail kelompok ditugaskan untuk mewujudkan kegigihan dengan menyalin semua empat boleh laku ke dalam folder Windows Startup. Apabila mantap sepenuhnya, Fake Ransomware akan menyasarkan lebih 70 sambungan fail yang berbeza dan berbilang folder yang dipilih secara khusus. Semua fail dan folder yang disasarkan akan ditukar nama asalnya kepada 'Locked_[NUmber].Locked_fille,' yang akan meninggalkannya dalam keadaan tidak boleh digunakan. Walau bagaimanapun, perlu diingat bahawa tiada penyulitan sedang berlaku. Ancaman ini juga mempunyai senarai pengecualian yang mengandungi sambungan fail yang akan dibiarkan utuh.

Nota Tebusan Dan Mekanik Lap

Selepas ia selesai menamakan semula semua sasarannya, Fake Ransomware akan menggugurkan fail teks bernama 'Readme.txt' pada peranti. Fail itu kemudiannya akan disalin ke dalam banyak folder yang berbeza, serta dibuka secara automatik pada skrin. Nota tebusan mengandungi arahan dalam berbilang bahasa, termasuk Inggeris, Jerman, Sepanyol, Perancis, Turki dan banyak lagi. Penyerang menyatakan bahawa fail mangsa telah disulitkan dan pengguna yang terjejas kini perlu membayar wang tebusan sebanyak $300 jika mereka ingin memulihkan data mereka. Harga akan dinaikkan dua kali ganda kepada $600 3 hari selepas serangan, manakala selepas 7 hari kod penyahsulitan akan dipadamkan dan semua fail yang dikunci akan menjadi tidak boleh diselamatkan.

Walau bagaimanapun, seperti yang kami katakan sebelum ini, Ransomware Palsu tidak mempunyai rutin penyulitan. Akibatnya, penyerang tidak mungkin dapat memulihkan fail yang terjejas kerana ancaman itu tidak menyimpan rekod nama fail asal.