Fake Ransomware

Kyberzločinci šíria malvérovú hrozbu vystupujúcu ako ransomvér prostredníctvom poškodených webových stránok, ktoré údajne ponúkajú obsah pre dospelých a vekovo obmedzený obsah. Keď sa aktivuje na zariadeniach obetí, hrozba sa sleduje, pretože falošný ransomvér pôsobí bližšie k stieraču, ktorý zanechá ovplyvnené údaje v neobnoviteľnom stave. Webové stránky s zbraňami majú názvy podobné sexyphotos.kozow(bodka)com, nude-girlss.mywire(bodka)org a sexy-photo(bodka) online.

Podľa výskumníkov v oblasti kybernetickej bezpečnosti, ktorí ako prví zverejnili podrobnosti o operácii útoku, tieto stránky oklamú používateľov automatickou aktiváciou sťahovania toho, čo je prezentované ako ohavný obrazový súbor. Ak používatelia prijmú sťahovanie, spustiteľný súbor s názvom „SexyPhotos.JPG.exe“ sa zruší a aktivuje sa na ich počítačoch.

Podrobnosti o Fake Ransomware

Po spustení súbor umiestni štyri spustiteľné a jeden dávkový súbor na zariadenie obete. Dávkový súbor má za úlohu vytvoriť stálosť skopírovaním všetkých štyroch spustiteľných súborov do priečinka Po spustení systému Windows. Po úplnom zavedení sa falošný ransomvér zameria na viac ako 70 rôznych prípon súborov a viacero špecificky vybraných priečinkov. Všetky cieľové súbory a priečinky budú mať pôvodné názvy zmenené na „Locked_[NUM].Locked_fille“, čo ich ponechá v nepoužiteľnom stave. Majte však na pamäti, že neprebieha žiadne šifrovanie. Hrozba má tiež zoznam vylúčení obsahujúci prípony súborov, ktoré zostanú nedotknuté.

Výkupné Note And Wipe Mechanic

Po dokončení premenovania všetkých svojich cieľov falošný ransomvér umiestni na zariadenie textový súbor s názvom „Readme.txt“. Súbor sa potom skopíruje do množstva rôznych priečinkov a automaticky sa otvorí na obrazovke. Výkupné obsahuje pokyny vo viacerých jazykoch vrátane angličtiny, nemčiny, španielčiny, francúzštiny, turečtiny a ďalších. Útočníci uvádzajú, že súbory obete boli zašifrované a dotknutí používatelia budú musieť zaplatiť výkupné 300 dolárov, ak chcú obnoviť svoje údaje. Cena sa 3 dni po útokoch zdvojnásobí na 600 dolárov, pričom po 7 dňoch budú dešifrovacie kódy vymazané a všetky uzamknuté súbory sa stanú nezachrániteľnými.

Ako sme však už povedali, falošný ransomvér nemá rutinu šifrovania. V dôsledku toho je extrémne nepravdepodobné, že aj útočníci budú schopní obnoviť postihnuté súbory, pretože hrozba neuchováva záznamy o pôvodných názvoch súborov.