Fake Ransomware

Киберпреступники распространяют вредоносное ПО, выдавая себя за программы-вымогатели, через поврежденные веб-сайты, предположительно предлагающие контент для взрослых и возрастные ограничения. При активации на устройствах жертв угроза отслеживается, поскольку Fake Ransomware действует более близко к очистителю, который оставляет затронутые данные в невосстановимом состоянии. Веб-сайты с оружием имеют названия, похожие на sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org и sexy-photo(dot)online.

По словам исследователей кибербезопасности, которые первыми опубликовали подробности об операции атаки, эти сайты будут обманывать пользователей, автоматически активируя загрузку того, что представлено как непристойный файл изображения. Если пользователи примут загрузку, исполняемый файл с именем «SexyPhotos.JPG.exe» будет удален и активирован на их компьютерах.

Сведения о Fake Ransomware

При выполнении файл сбрасывает четыре исполняемых файла и один командный файл на устройство жертвы. Пакетному файлу поручено установить сохраняемость путем копирования всех четырех исполняемых файлов в папку автозагрузки Windows. После полной установки Fake Ransomware будет нацелен на более чем 70 различных расширений файлов и несколько специально выбранных папок. Исходные имена всех целевых файлов и папок будут изменены на «Locked_[NUmber].Locked_fille», что сделает их непригодными для использования. Однако имейте в виду, что никакого шифрования не происходит. У угрозы также есть список исключений, содержащий расширения файлов, которые останутся нетронутыми.

Записка о выкупе и механика стирания

После завершения переименования всех своих целей поддельная программа-вымогатель поместит на устройство текстовый файл с именем «Readme.txt». Затем файл будет скопирован во множество разных папок, а также автоматически открыт на экране. Записка о выкупе содержит инструкции на нескольких языках, включая английский, немецкий, испанский, французский, турецкий и другие. Злоумышленники заявляют, что файлы жертвы были зашифрованы, и теперь пострадавшим пользователям придется заплатить выкуп в размере 300 долларов, если они хотят восстановить свои данные. Цена будет удвоена до 600 долларов через 3 дня после атак, а через 7 дней коды дешифрования будут удалены, а все заблокированные файлы станут невосстановимыми.

Однако, как мы уже говорили ранее, Fake Ransomware не имеет процедуры шифрования. В результате крайне маловероятно, что даже злоумышленники смогут восстановить затронутые файлы, поскольку угроза не сохраняет записи исходных имен файлов.