Fake Ransomware

Siber suçlular, yetişkinlere uygun ve yaş kısıtlamalı içerik sunan bozuk web siteleri aracılığıyla fidye yazılımı gibi görünen bir kötü amaçlı yazılım tehdidi yayıyorlar. Fake Ransomware, kurbanların cihazlarında etkinleştirildiğinde, etkilenen verileri kurtarılamaz bir durumda bırakacak bir siliciye daha yakın hareket ettiğinden tehdit izlenir. Silahlı web siteleri sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org ve sexy-photo(dot)online'a benzer isimlere sahip.

Saldırı operasyonuyla ilgili ayrıntıları ilk kez yayınlayan siber güvenlik araştırmacılarına göre, bu siteler, şehvetli bir görüntü dosyası olarak sunulanların indirilmesini otomatik olarak etkinleştirerek kullanıcıları kandıracak. Kullanıcılar indirmeyi kabul ederse, 'SexyPhotos.JPG.exe' adlı yürütülebilir dosya bilgisayarlarında bırakılır ve etkinleştirilir.

Sahte Fake Ransomware

Yürütüldüğünde, dosya kurbanın cihazına dört yürütülebilir dosya ve bir toplu iş dosyası bırakacaktır. Toplu iş dosyası, dört yürütülebilir dosyanın tümünü Windows Başlangıç klasörüne kopyalayarak kalıcılık sağlamakla görevlidir. Tam olarak kurulduğunda, Fake Ransomware 70'in üzerinde farklı dosya uzantısını ve çok sayıda özel olarak seçilmiş klasörü hedefleyecektir. Hedeflenen tüm dosya ve klasörlerin orijinal adları 'Kilitli_[Sayı].Kilitli_doldur' olarak değiştirilecek ve bu da onları kullanılamaz durumda bırakacaktır. Ancak, hiçbir şifrelemenin gerçekleşmediğini unutmayın. Tehdit ayrıca, bozulmadan bırakılacak dosya uzantılarını içeren bir dışlama listesine sahiptir.

Fidye Notu ve Silme Mekaniği

Tüm hedeflerini yeniden adlandırmayı bitirdikten sonra, Fake Ransomware cihaza 'Readme.txt' adlı bir metin dosyası bırakacaktır. Dosya daha sonra çok sayıda farklı klasöre kopyalanacak ve otomatik olarak ekranda açılacaktır. Fidye notu, İngilizce, Almanca, İspanyolca, Fransızca, Türkçe ve daha pek çok dilde talimatlar içerir. Saldırganlar, kurbanın dosyalarının şifrelendiğini ve etkilenen kullanıcıların verilerini geri yüklemek isterlerse 300 dolar fidye ödemeleri gerektiğini belirtiyor. Saldırılardan 3 gün sonra fiyat iki katına çıkarılarak 600$'a çıkarılacak, 7 gün sonra şifre çözme kodları silinecek ve tüm kilitli dosyalar kurtarılamaz hale gelecek.

Ancak, daha önce de söylediğimiz gibi, Fake Ransomware'in bir şifreleme rutini yoktur. Sonuç olarak, tehdit orijinal dosya adlarının kaydını tutmadığı için saldırganların bile etkilenen dosyaları geri yüklemesi pek olası değildir.