Fake Ransomware
Nettkriminelle sprer en trussel mot skadelig programvare som utgir seg for løsepengevare via korrupte nettsteder som angivelig tilbyr voksent innhold og aldersbegrenset innhold. Når den aktiveres på ofrenes enheter, spores trusselen ettersom den falske ransomwaren virker tettere på en visker som vil etterlate de berørte dataene i en uopprettelig tilstand. De bevæpnede nettstedene har navn som ligner sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org og sexy-photo(dot)online.
Ifølge cybersikkerhetsforskerne som først ga ut detaljer om angrepsoperasjonen, vil disse nettstedene lure brukere ved automatisk å aktivere nedlastingen av det som presenteres som en frekk bildefil. Hvis brukere godtar nedlastingen, vil en kjørbar fil med navnet 'SexyPhotos.JPG.exe' bli slettet og aktivert på datamaskinene deres.
Fake Ransomware-detaljer
Når den er utført, vil filen slippe fire kjørbare filer og én batch-fil på offerets enhet. Batchfilen har i oppgave å etablere utholdenhet ved å kopiere alle fire kjørbare filene til Windows Startup-mappen. Når den er fullt etablert, vil Fake Ransomware målrette mot over 70 forskjellige filutvidelser og flere spesifikt valgte mapper. Alle målrettede filer og mapper vil få sine opprinnelige navn endret til 'Locked_[NUMBER].Locked_fille', noe som vil etterlate dem i en ubrukelig tilstand. Vær imidlertid oppmerksom på at ingen kryptering finner sted. Trusselen har også en ekskluderingsliste som inneholder filutvidelser som vil forbli intakte.
Løsepenge- og tørkemekanikeren
Etter at den er ferdig med å gi nytt navn til alle målene, vil Fake Ransomware slippe en tekstfil med navnet 'Readme.txt' på enheten. Filen vil da bli kopiert til en mengde forskjellige mapper, samt automatisk åpnet på skjermen. Løsepengene inneholder instruksjoner på flere språk, inkludert engelsk, tysk, spansk, fransk, tyrkisk og mer. Angriperne opplyser at offerets filer er kryptert og berørte brukere vil nå måtte betale løsepenger på $300 hvis de ønsker å gjenopprette dataene sine. Prisen vil dobles til $600 3 dager etter angrepene, mens etter 7 dager vil dekrypteringskodene bli slettet og alle låste filer vil bli ubergbare.
Imidlertid, som vi sa tidligere, har ikke Fake Ransomware en krypteringsrutine. Som et resultat er det ekstremt usannsynlig at selv angriperne vil være i stand til å gjenopprette de berørte filene fordi trusselen ikke registrerer de originale filnavnene.
