Fake Ransomware

Сајбер криминалци шире претњу злонамерног софтвера представљајући се као рансомваре преко оштећених веб локација које наводно нуде садржај за одрасле и садржај са ограниченим узрастом. Када се активира на уређајима жртава, претња се прати пошто лажни рансомваре делује ближе брисачу који ће оставити погођене податке у неповратном стању. Оружане веб странице имају имена слична секипхотос.козов(дот)цом, нуде-гирлсс.мивире(дот)орг и секи-пхото(дот)онлине.

Према истраживачима сајбер безбедности који су први објавили детаље о операцији напада, ови сајтови ће преварити кориснике тако што ће аутоматски активирати преузимање онога што је представљено као груба датотека слике. Ако корисници прихвате преузимање, извршна датотека под називом 'СекиПхотос.ЈПГ.еке' ће бити испуштена и активирана на њиховим рачунарима.

Детаљи Fake Ransomware

Када се изврши, датотека ће испустити четири извршне и једну батцх датотеку на уређај жртве. Батцх датотека има задатак да успостави постојаност копирањем све четири извршне датотеке у Виндовс Стартуп фолдер. Када се у потпуности успостави, лажни рансомваре ће циљати преко 70 различитих екстензија датотека и више посебно одабраних фасцикли. Оригинални називи свих циљаних датотека и фасцикли биће промењени у „Закључано_[НУМ].Закључано_филле“, што ће их оставити у неупотребљивом стању. Међутим, имајте на уму да се шифровање не одвија. Претња такође има листу изузетака која садржи екстензије датотека које ће остати нетакнуте.

Тхе Рансом Ноте анд Випе Мецханиц

Након што заврши са преименовањем свих својих циљева, лажни Рансомваре ће испустити текстуалну датотеку под називом „Реадме.ткт“ на уређај. Датотека ће затим бити копирана у мноштво различитих фасцикли, као и аутоматски отворена на екрану. Порука о откупнини садржи упутства на више језика, укључујући енглески, немачки, шпански, француски, турски и још много тога. Нападачи наводе да су датотеке жртве шифроване и да ће корисници сада морати да плате откуп од 300 долара ако желе да обнове своје податке. Цена ће бити удвостручена на 600 долара 3 дана након напада, док ће након 7 дана кодови за дешифровање бити избрисани и сви закључани фајлови ће постати непоправљиви.

Међутим, као што смо раније рекли, лажни Рансомваре нема рутину шифровања. Као резултат тога, веома је мало вероватно да ће чак и нападачи моћи да врате погођене датотеке јер претња не води евиденцију о оригиналним именима датотека.