Fake Ransomware

Kibernetski kriminalci širijo grožnjo zlonamerne programske opreme, ki se predstavlja kot izsiljevalska programska oprema prek poškodovanih spletnih mest, ki domnevno ponujajo vsebino za odrasle in starostno omejeno vsebino. Ko je aktivirana na napravah žrtev, se grožnji sledi, saj lažna izsiljevalska programska oprema deluje bližje brisalcu, ki pusti prizadete podatke v stanju, ki ga ni mogoče obnoviti. Spletna mesta z orožjem imajo imena, podobna sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org in sexy-photo(dot)online.

Po mnenju raziskovalcev kibernetske varnosti, ki so prvi objavili podrobnosti o operaciji napada, bodo te strani pretentale uporabnike s samodejnim aktiviranjem prenosa tega, kar je predstavljeno kot nesramna slikovna datoteka. Če uporabniki sprejmejo prenos, bo izvršljiva datoteka z imenom 'SexyPhotos.JPG.exe' izpuščena in aktivirana v njihovih računalnikih.

Podrobnosti o Fake Ransomware

Ko se izvede, bo datoteka spustila štiri izvršljive in eno paketno datoteko na žrtvino napravo. Paketna datoteka je zadolžena za vzpostavitev obstojnosti s kopiranjem vseh štirih izvedljivih datotek v zagonsko mapo sistema Windows. Ko bo lažna izsiljevalska programska oprema popolnoma vzpostavljena, bo ciljala na več kot 70 različnih datotečnih končnic in več posebej izbranih map. Vsem ciljnim datotekam in mapam bodo izvirna imena spremenjena v 'Locked_[NUmber].Locked_fille', kar jih bo pustilo v neuporabnem stanju. Vendar ne pozabite, da šifriranje ne poteka. Grožnja ima tudi seznam izključitev, ki vsebuje končnice datotek, ki bodo ostale nedotaknjene.

Mehanik Ransom Note And Wipe

Ko konča s preimenovanjem vseh svojih tarč, bo lažna izsiljevalska programska oprema v napravi spustila besedilno datoteko z imenom 'Readme.txt'. Datoteka bo nato prekopirana v množico različnih map in samodejno odprta na zaslonu. Obvestilo o odkupnini vsebuje navodila v več jezikih, vključno z angleščino, nemščino, španščino, francoščino, turščino in drugimi. Napadalci navajajo, da so bile datoteke žrtve šifrirane in prizadeti uporabniki bodo zdaj morali plačati odkupnino v višini 300 dolarjev, če bodo želeli obnoviti svoje podatke. Cena se bo 3 dni po napadu podvojila na 600 USD, medtem ko bodo po 7 dneh kode za dešifriranje izbrisane in vse zaklenjene datoteke bodo postale nerešljive.

Vendar, kot smo že povedali, lažna izsiljevalska programska oprema nima rutine šifriranja. Posledično je zelo malo verjetno, da bodo celo napadalci lahko obnovili prizadete datoteke, ker grožnja ne vodi evidence izvirnih imen datotek.