Fake Ransomware

Os cibercriminosos estão espalhando uma ameaça de malware que se apresenta como ransomware por meio de sites corrompidos que supostamente oferecem conteúdo adulto e com restrição de idade. Quando ativado nos dispositivos das vítimas, a ameaça é rastreada, pois o Fake Ransomware age mais de perto com um limpador que deixará os dados afetados em um estado irrecuperável. Os sites armados têm nomes semelhantes a sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org e sexy-photo(dot)online.

De acordo com os pesquisadores de segurança cibernética que divulgaram os primeiros detalhes sobre a operação de ataque, esses sites enganarão os usuários ativando automaticamente o download do que é apresentado como um arquivo de imagem atrevido. Se os usuários aceitarem o download, um arquivo executável chamado 'SexyPhotos.JPG.exe' será descartado e ativado em seus computadores.

Detalhes sobre o Fake Ransomware

Quando executado, o arquivo soltará quatro arquivos executáveis e um de lote no dispositivo da vítima. O arquivo em lote tem a tarefa de estabelecer a persistência copiando todos os quatro executáveis para a pasta de inicialização do Windows. Quando totalmente estabelecido, o Fake Ransomware terá como alvo mais de 70 extensões de arquivo diferentes e várias pastas escolhidas especificamente. Todos os arquivos e pastas de destino terão seus nomes originais alterados para 'Locked_[Número].Locked_fille', o que os deixará em um estado inutilizável. No entanto, lembre-se de que nenhuma criptografia está ocorrendo. A ameaça também tem uma lista de exclusões contendo extensões de arquivo que serão deixadas intactas.

A Nota de Resgate e as Demandas dos Atacantes

Depois que terminar de renomear todos os seus alvos, o Fake Ransomware soltará um arquivo de texto chamado 'Readme.txt' no dispositivo. O arquivo será então copiado em várias pastas diferentes, bem como aberto automaticamente na tela. A nota de resgate contém instruções em vários idiomas, incluindo inglês, alemão, espanhol, francês, turco e muito mais. Os invasores afirmam que os arquivos da vítima foram criptografados e os usuários afetados agora terão que pagar um resgate de US$300 se quiserem restaurar seus dados. O preço será dobrado para US$600 3 dias após os ataques, enquanto após 7 dias os códigos de descriptografia serão excluídos e todos os arquivos bloqueados se tornarão irrecuperáveis.

No entanto, como dissemos anteriormente, o Fake Ransomware não possui uma rotina de criptografia. Como resultado, é extremamente improvável que mesmo os invasores consigam restaurar os arquivos afetados porque a ameaça não mantém um registro dos nomes dos arquivos originais.