Fake Ransomware

Criminalii cibernetici răspândesc o amenințare malware care se prezintă drept ransomware prin intermediul site-urilor web corupte care se presupune că oferă conținut pentru adulți și cu restricții de vârstă. Când este activată pe dispozitivele victimelor, amenințarea este urmărită, deoarece Fake Ransomware acționează mai aproape de un ștergător care va lăsa datele afectate într-o stare irecuperabilă. Site-urile web cu arme au nume similare cu sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org și sexy-photo(dot)online.

Potrivit cercetătorilor în domeniul securității cibernetice care au lansat pentru prima dată detalii despre operațiunea de atac, aceste site-uri vor păcăli utilizatorii activând în mod automat descărcarea a ceea ce este prezentat ca un fișier imagine obscen. Dacă utilizatorii acceptă descărcarea, un fișier executabil numit „SexyPhotos.JPG.exe” va fi aruncat și activat pe computerele lor.

Detalii Fake Ransomware

Când este executat, fișierul va arunca patru fișiere executabile și un fișier batch pe dispozitivul victimei. Fișierul batch are sarcina de a stabili persistența prin copierea tuturor celor patru executabile în folderul Windows Startup. Când este pe deplin stabilit, Fake Ransomware va viza peste 70 de extensii de fișiere diferite și mai multe foldere alese în mod special. Toate fișierele și folderele vizate vor avea numele lor inițiale schimbate în „Locked_[NUmber].Locked_fille”, ceea ce le va lăsa într-o stare inutilizabilă. Cu toate acestea, rețineți că nu are loc nicio criptare. Amenințarea are, de asemenea, o listă de excluderi care conține extensii de fișiere care vor rămâne intacte.

Notele de răscumpărare și mecanicul de ștergere

După ce a terminat de redenumirea tuturor țintelor sale, Fake Ransomware va arunca un fișier text numit „Readme.txt” pe dispozitiv. Fișierul va fi apoi copiat într-o multitudine de foldere diferite, precum și deschis automat pe ecran. Nota de răscumpărare conține instrucțiuni în mai multe limbi, inclusiv engleză, germană, spaniolă, franceză, turcă și multe altele. Atacatorii declară că fișierele victimei au fost criptate, iar utilizatorii afectați vor trebui acum să plătească o răscumpărare de 300 USD dacă doresc să-și restaureze datele. Prețul va fi dublat la 600 USD la 3 zile după atacuri, în timp ce după 7 zile codurile de decriptare vor fi șterse și toate fișierele blocate vor deveni de nesalvat.

Cu toate acestea, așa cum am spus mai devreme, Fake Ransomware nu are o rutină de criptare. Drept urmare, este extrem de puțin probabil ca chiar și atacatorii să poată restaura fișierele afectate, deoarece amenințarea nu păstrează o evidență a numelor fișierelor originale.