Fake Ransomware

Кіберзлочинці поширюють загрозу зловмисного програмного забезпечення під виглядом програми-вимагача через пошкоджені веб-сайти, які нібито пропонують вміст для дорослих і вікові обмеження. Під час активації на пристроях жертви загроза відстежується, оскільки підроблене програмне забезпечення-вимагач діє ближче до очищувача, що залишає заражені дані у стані, який неможливо відновити. Веб-сайти із застосуванням зброї мають назви, схожі на sexyphotos.kozow(dot)com, nude-girlss.mywire(dot)org і sexy-photo(dot)online.

За словами дослідників з кібербезпеки, які першими оприлюднили подробиці операції атаки, ці сайти обманюють користувачів, автоматично активуючи завантаження того, що представлено як непристойний файл зображення. Якщо користувачі погодяться на завантаження, виконуваний файл під назвою «SexyPhotos.JPG.exe» буде видалено та активовано на їхніх комп’ютерах.

Деталі Fake Ransomware

Під час виконання файл скине чотири виконуваних і один пакетний файл на пристрій жертви. Пакетному файлу доручено встановити стійкість шляхом копіювання всіх чотирьох виконуваних файлів у папку запуску Windows. Після повного встановлення підроблене програмне забезпечення-вимагач націлиться на понад 70 різних розширень файлів і кілька спеціально вибраних папок. Початкові назви всіх цільових файлів і папок буде змінено на «Locked_[NUMmber].Locked_fille», що залишить їх у непридатному для використання стані. Однак майте на увазі, що шифрування не відбувається. Загроза також має список виключень, що містить розширення файлів, які залишаться недоторканими.

The Ransom Note And Wipe Mechanic

Після завершення перейменування всіх своїх цілей Fake Ransomware скине на пристрій текстовий файл із назвою «Readme.txt». Потім файл буде скопійовано в безліч різних папок, а також автоматично відкрито на екрані. Записка про викуп містить інструкції кількома мовами, зокрема англійською, німецькою, іспанською, французькою, турецькою тощо. Зловмисники стверджують, що файли жертви були зашифровані, і тепер постраждалим користувачам доведеться заплатити викуп у розмірі 300 доларів, якщо вони хочуть відновити свої дані. Через 3 дні після атак ціна буде подвоєна до 600 доларів США, а через 7 днів коди розшифровки буде видалено, а всі заблоковані файли стануть неможливими для відновлення.

Однак, як ми вже говорили раніше, підроблене програмне забезпечення-вимагач не має процедури шифрування. Як наслідок, дуже малоймовірно, що навіть зловмисники зможуть відновити уражені файли, оскільки загроза не зберігає записи оригінальних імен файлів.