Fake Ransomware

Cybercriminelen verspreiden een malwarebedreiging die zich voordoet als ransomware via corrupte websites die zogenaamd inhoud voor volwassenen en leeftijdsbeperkingen aanbieden. Wanneer geactiveerd op de apparaten van de slachtoffers, wordt de dreiging gevolgd omdat de nep-ransomware dichter bij een wisser werkt die de getroffen gegevens in een onherstelbare staat achterlaat. De bewapende websites hebben namen die lijken op sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org en sexy-photo(dot)online.

Volgens de cybersecurity-onderzoekers die voor het eerst details over de aanvalsoperatie hebben vrijgegeven, zullen deze sites gebruikers misleiden door automatisch de download te activeren van wat wordt gepresenteerd als een ordinair afbeeldingsbestand. Als gebruikers de download accepteren, wordt een uitvoerbaar bestand met de naam 'SexyPhotos.JPG.exe' neergezet en geactiveerd op hun computers.

Fake Ransomware-details

Wanneer het wordt uitgevoerd, laat het bestand vier uitvoerbare bestanden en één batchbestand op het apparaat van het slachtoffer vallen. Het batchbestand is belast met het vaststellen van persistentie door alle vier de uitvoerbare bestanden naar de Windows Startup-map te kopiëren. Wanneer het volledig is ingesteld, zal de nep-ransomware zich richten op meer dan 70 verschillende bestandsextensies en meerdere specifiek gekozen mappen. Alle doelbestanden en -mappen zullen hun oorspronkelijke naam veranderen in 'Locked_[NUmber].Locked_fille', waardoor ze onbruikbaar blijven. Houd er echter rekening mee dat er geen encryptie plaatsvindt. De dreiging heeft ook een lijst met uitsluitingen met bestandsextensies die intact blijven.

De losgeldbrief en veegmonteur

Nadat het klaar is met het hernoemen van al zijn doelen, zal de nep-ransomware een tekstbestand met de naam 'Readme.txt' op het apparaat neerzetten. Het bestand wordt vervolgens gekopieerd naar een groot aantal verschillende mappen en automatisch geopend op het scherm. De losgeldbrief bevat instructies in meerdere talen, waaronder Engels, Duits, Spaans, Frans, Turks en meer. De aanvallers stellen dat de bestanden van het slachtoffer zijn versleuteld en dat de getroffen gebruikers nu een losgeld van $ 300 moeten betalen als ze hun gegevens willen herstellen. De prijs wordt 3 dagen na de aanvallen verdubbeld tot $ 600, terwijl na 7 dagen de decoderingscodes worden verwijderd en alle vergrendelde bestanden onherstelbaar worden.

Zoals we eerder zeiden, heeft de nep-ransomware echter geen coderingsroutine. Als gevolg hiervan is het uiterst onwaarschijnlijk dat zelfs de aanvallers de getroffen bestanden kunnen herstellen, omdat de dreiging de oorspronkelijke bestandsnamen niet bijhoudt.