Fake Ransomware

Ang mga cybercriminal ay nagpapakalat ng banta ng malware na nagpapanggap bilang ransomware sa pamamagitan ng mga sirang website na sinasabing nag-aalok ng nilalamang pang-adult at pinaghihigpitan sa edad. Kapag na-activate sa mga device ng mga biktima, ang banta ay sinusubaybayan habang ang Pekeng Ransomware ay kumikilos nang mas malapit sa isang wiper na mag-iiwan sa naapektuhang data sa isang hindi mababawi na estado. Ang mga website na may armas ay may mga pangalan na katulad ng sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org at sexy-photo(dot)online.

Ayon sa mga mananaliksik sa cybersecurity na unang naglabas ng mga detalye tungkol sa operasyon ng pag-atake, lilinlangin ng mga site na ito ang mga user sa pamamagitan ng awtomatikong pag-activate ng pag-download ng kung ano ang ipinakita bilang isang bastos na file ng imahe. Kung tatanggapin ng mga user ang pag-download, ang isang executable na file na pinangalanang 'SexyPhotos.JPG.exe' ay i-drop at ia-activate sa kanilang mga computer.

Mga Detalye ng Fake Ransomware

Kapag naisakatuparan, ang file ay mag-drop ng apat na executable at isang batch file sa device ng biktima. Ang batch file ay nakatalaga sa pagtatatag ng pagpupursige sa pamamagitan ng pagkopya sa lahat ng apat na executable sa folder ng Windows Startup. Kapag ganap na naitatag, ang Fake Ransomware ay magta-target ng higit sa 70 iba't ibang mga extension ng file at maramihang partikular na napiling mga folder. Ang lahat ng mga naka-target na file at folder ay mapapalitan ang kanilang orihinal na mga pangalan sa 'Locked_[NUmber].Locked_fille,' na mag-iiwan sa kanila sa isang hindi magagamit na estado. Gayunpaman, tandaan na walang pag-encrypt na nagaganap. Ang banta ay mayroon ding listahan ng mga pagbubukod na naglalaman ng mga extension ng file na maiiwang buo.

Ang Ransom Note At Wipe Mechanic

Pagkatapos nitong palitan ang pangalan ng lahat ng mga target nito, ang Fake Ransomware ay maglalagay ng text file na pinangalanang 'Readme.txt' sa device. Ang file ay makokopya sa maraming iba't ibang mga folder, pati na rin ang awtomatikong bubuksan sa screen. Ang ransom note ay naglalaman ng mga tagubilin sa maraming wika, kabilang ang English, German, Spanish, French, Turkish at higit pa. Sinasabi ng mga umaatake na ang mga file ng biktima ay na-encrypt at ang mga apektadong user ay kailangan na ngayong magbayad ng ransom na $300 kung gusto nilang ibalik ang kanilang data. Dodoblehin ang presyo sa $600 3 araw pagkatapos ng mga pag-atake, habang pagkalipas ng 7 araw ay tatanggalin ang mga decryption code at ang lahat ng naka-lock na file ay magiging hindi na maililigtas.

Gayunpaman, tulad ng sinabi namin kanina, ang Pekeng Ransomware ay walang nakagawiang pag-encrypt. Bilang resulta, napakalamang na kahit na ang mga umaatake ay magagawang ibalik ang mga apektadong file dahil ang banta ay hindi nagtatago ng talaan ng mga orihinal na pangalan ng file.