Fake Ransomware
Cyberprzestępcy rozpowszechniają złośliwe oprogramowanie podszywające się pod ransomware za pośrednictwem uszkodzonych stron internetowych, które rzekomo oferują treści dla dorosłych i z ograniczeniami wiekowymi. Po aktywacji na urządzeniach ofiar zagrożenie jest śledzone, ponieważ fałszywe oprogramowanie ransomware działa bliżej wycieraczki, która pozostawia dane w stanie niemożliwym do odzyskania. Uzbrojone strony internetowe mają nazwy podobne do sexyphotos.kozow(kropka)com, nude-girlss.mywire(kropka)org i sexy-photo(kropka)online.
Według badaczy cyberbezpieczeństwa, którzy jako pierwsi ujawnili szczegóły operacji ataku, witryny te oszukują użytkowników, automatycznie aktywując pobieranie tego, co jest przedstawiane jako sprośny plik obrazu. Jeśli użytkownicy zaakceptują pobieranie, plik wykonywalny o nazwie „SexyPhotos.JPG.exe” zostanie usunięty i aktywowany na ich komputerach.
Szczegóły Fake Ransomware
Po uruchomieniu plik umieści cztery pliki wykonywalne i jeden plik wsadowy na urządzeniu ofiary. Zadaniem pliku wsadowego jest ustalenie trwałości poprzez skopiowanie wszystkich czterech plików wykonywalnych do folderu startowego systemu Windows. Po pełnym ustanowieniu fałszywe oprogramowanie ransomware będzie atakować ponad 70 różnych rozszerzeń plików i wiele specjalnie wybranych folderów. Wszystkie docelowe pliki i foldery będą miały swoje oryginalne nazwy zmienione na „Locked_[Number].Locked_fille”, co spowoduje, że będą bezużyteczne. Należy jednak pamiętać, że szyfrowanie nie odbywa się. Zagrożenie zawiera również listę wykluczeń zawierającą rozszerzenia plików, które pozostaną nienaruszone.
Notatka okupu i mechanika wymazywania
Po zakończeniu zmiany nazwy wszystkich celów fałszywe oprogramowanie ransomware umieści na urządzeniu plik tekstowy o nazwie „Readme.txt”. Plik zostanie następnie skopiowany do wielu różnych folderów, a także automatycznie otwarty na ekranie. Nota o okupie zawiera instrukcje w wielu językach, w tym angielskim, niemieckim, hiszpańskim, francuskim, tureckim i innych. Osoby atakujące twierdzą, że pliki ofiary zostały zaszyfrowane, a użytkownicy, których dotyczyły, będą musieli zapłacić okup w wysokości 300 USD, jeśli będą chcieli przywrócić swoje dane. Cena zostanie podwojona do 600 USD 3 dni po atakach, natomiast po 7 dniach kody deszyfrujące zostaną usunięte, a wszystkie zablokowane pliki staną się niemożliwe do odzyskania.
Jednak, jak powiedzieliśmy wcześniej, Fake Ransomware nie ma procedury szyfrowania. W rezultacie jest bardzo mało prawdopodobne, że nawet osoby atakujące będą w stanie przywrócić zaatakowane pliki, ponieważ zagrożenie nie przechowuje oryginalnych nazw plików.
