Licenser för flera enheter (volymrabatter)
Threat Database Ransomware Fake Ransomware

Fake Ransomware

Med Mezo år Ransomware
Översätt till:
Svenska

Cyberbrottslingar sprider ett hot mot skadlig programvara som utger sig som ransomware via korrupta webbplatser som förmodligen erbjuder vuxet innehåll och åldersbegränsat innehåll. När den aktiveras på offrens enheter spåras hotet när den falska ransomwaren agerar närmare en torkare som lämnar den påverkade datan i ett oåterställbart tillstånd. De beväpnade webbplatserna har namn som liknar sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org och sexy-photo(dot)online.

Enligt cybersäkerhetsforskarna som först släppte detaljer om attacken, kommer dessa webbplatser att lura användare genom att automatiskt aktivera nedladdningen av det som presenteras som en busig bildfil. Om användare accepterar nedladdningen kommer en körbar fil med namnet 'SexyPhotos.JPG.exe' att tas bort och aktiveras på deras datorer.

Fake Ransomware-detaljer

När den körs kommer filen att släppa fyra körbara filer och en batchfil på offrets enhet. Batchfilen har till uppgift att etablera persistens genom att kopiera alla fyra körbara filer till Windows Startup-mapp. När den är helt etablerad kommer Fake Ransomware att rikta in sig på över 70 olika filtillägg och flera specifikt valda mappar. Alla riktade filer och mappar kommer att ändra sina ursprungliga namn till 'Locked_[NUM].Locked_fille', vilket kommer att lämna dem i ett oanvändbart tillstånd. Kom dock ihåg att ingen kryptering äger rum. Hotet har också en undantagslista som innehåller filtillägg som kommer att lämnas intakta.

Lösenlappen och torka mekanikern

När det har bytt namn på alla sina mål, kommer Fake Ransomware att släppa en textfil med namnet 'Readme.txt' på enheten. Filen kommer sedan att kopieras till en mängd olika mappar, samt öppnas automatiskt på skärmen. Lösensedeln innehåller instruktioner på flera språk, inklusive engelska, tyska, spanska, franska, turkiska och mer. Angriparna uppger att offrets filer har krypterats och påverkade användare kommer nu att behöva betala en lösensumma på $300 om de vill återställa sina data. Priset kommer att fördubblas till $600 3 dagar efter attackerna, medan efter 7 dagar kommer dekrypteringskoderna att raderas och alla låsta filer blir oräddningsbara.

Men som vi sa tidigare har Fake Ransomware ingen krypteringsrutin. Som ett resultat är det extremt osannolikt att ens angriparna kommer att kunna återställa de drabbade filerna eftersom hotet inte registrerar de ursprungliga filnamnen.

relaterade inlägg

Trendigt

Mest sedda

Läser in...