Fake Ransomware
Tội phạm mạng đang phát tán một mối đe dọa phần mềm độc hại dưới dạng ransomware thông qua các trang web bị hỏng được cho là cung cấp nội dung dành cho người lớn và giới hạn độ tuổi. Khi được kích hoạt trên thiết bị của nạn nhân, mối đe dọa sẽ được theo dõi vì Phần mềm Ransomware giả mạo hoạt động chặt chẽ hơn với một cái gạt nước sẽ khiến dữ liệu bị ảnh hưởng ở trạng thái không thể khôi phục được. Các trang web được vũ khí hóa có tên tương tự như sexyphotos.kozow (dot) com, nude-girlss.mywire (dot) org và sexy-photo (dot) trực tuyến.
Theo các nhà nghiên cứu an ninh mạng, những người đầu tiên công bố thông tin chi tiết về hoạt động tấn công, các trang web này sẽ đánh lừa người dùng bằng cách tự động kích hoạt tải xuống những gì được trình bày dưới dạng tệp hình ảnh thô. Nếu người dùng chấp nhận tải xuống, tệp thực thi có tên 'SexyPhotos.JPG.exe' sẽ bị xóa và kích hoạt trên máy tính của họ.
Fake Ransomware giả mạo
Khi được thực thi, tệp sẽ giảm bốn tệp thực thi và một tệp hàng loạt trên thiết bị của nạn nhân. Tệp lô có nhiệm vụ thiết lập tính bền vững bằng cách sao chép tất cả bốn tệp thực thi vào thư mục Khởi động Windows. Khi được thiết lập đầy đủ, Fake Ransomware sẽ nhắm mục tiêu hơn 70 phần mở rộng tệp khác nhau và nhiều thư mục được chọn cụ thể. Tất cả các tệp và thư mục được nhắm mục tiêu sẽ có tên ban đầu được thay đổi thành 'Locked_ [NUmber] .Locked_fille,' sẽ khiến chúng ở trạng thái không sử dụng được. Tuy nhiên, hãy nhớ rằng không có mã hóa nào đang diễn ra. Mối đe dọa cũng có một danh sách loại trừ chứa các phần mở rộng tệp sẽ được giữ nguyên.
Cơ chế xóa sổ và ghi chú tiền chuộc
Sau khi hoàn thành việc đổi tên tất cả các mục tiêu của nó, Fake Ransomware sẽ thả một tệp văn bản có tên 'Readme.txt' trên thiết bị. Sau đó, tập tin sẽ được sao chép vào vô số thư mục khác nhau, cũng như được mở tự động trên màn hình. Thông báo đòi tiền chuộc có chứa các hướng dẫn bằng nhiều ngôn ngữ, bao gồm tiếng Anh, tiếng Đức, tiếng Tây Ban Nha, tiếng Pháp, tiếng Thổ Nhĩ Kỳ và hơn thế nữa. Những kẻ tấn công tuyên bố rằng các tệp của nạn nhân đã được mã hóa và người dùng bị ảnh hưởng giờ đây sẽ phải trả khoản tiền chuộc là 300 đô la nếu họ muốn khôi phục dữ liệu của mình. Giá sẽ tăng gấp đôi lên 600 đô la 3 ngày sau các cuộc tấn công, trong khi sau 7 ngày, các mã giải mã sẽ bị xóa và tất cả các tệp bị khóa sẽ trở nên không thể xóa được.
Tuy nhiên, như chúng tôi đã nói trước đó, Fake Ransomware không có quy trình mã hóa. Do đó, rất khó có khả năng ngay cả những kẻ tấn công sẽ khôi phục được các tệp bị ảnh hưởng vì mối đe dọa không lưu giữ hồ sơ về tên tệp gốc.
