Fake Ransomware
网络犯罪分子正在通过据称提供成人和年龄限制内容的损坏网站传播伪装成勒索软件的恶意软件威胁。当在受害者的设备上激活时,会跟踪威胁,因为假勒索软件会更接近擦除器,从而使受影响的数据处于不可恢复的状态。这些武器化网站的名称类似于sexyphotos.kozow(dot)com、nude-girlss.mywire(dot)org 和sexy-photo(dot)online。
根据最先发布攻击操作细节的网络安全研究人员的说法,这些网站将通过自动激活下载呈现为粗俗图像文件的内容来欺骗用户。如果用户接受下载,一个名为“SexyPhotos.JPG.exe”的可执行文件将被删除并在他们的计算机上激活。
假勒索软件详细信息
执行时,该文件将在受害者的设备上放置四个可执行文件和一个批处理文件。批处理文件的任务是通过将所有四个可执行文件复制到 Windows 启动文件夹中来建立持久性。完全建立后,假勒索软件将针对 70 多种不同的文件扩展名和多个特别选择的文件夹。所有目标文件和文件夹的原始名称都将更改为“Locked_[NUMber].Locked_fille”,这将使它们处于不可用状态。但是,请记住,没有进行加密。该威胁还有一个排除列表,其中包含将保持不变的文件扩展名。
赎金笔记和擦拭技工
在完成所有目标的重命名后,Fake Ransomware 将在设备上放置一个名为“Readme.txt”的文本文件。然后该文件将被复制到多个不同的文件夹中,并在屏幕上自动打开。赎金说明包含多种语言的说明,包括英语、德语、西班牙语、法语、土耳其语等。攻击者表示,受害者的文件已被加密,受影响的用户现在必须支付 300 美元的赎金才能恢复数据。攻击后 3 天价格将翻倍至 600 美元,而 7 天后解密代码将被删除,所有锁定的文件将无法挽救。
但是,正如我们之前所说,假勒索软件没有加密程序。因此,即使是攻击者也极不可能恢复受影响的文件,因为威胁不会保留原始文件名的记录。
