Fake Ransomware
網絡犯罪分子正在通過據稱提供成人和年齡限制內容的損壞網站傳播偽裝成勒索軟件的惡意軟件威脅。當在受害者的設備上激活時,會跟踪威脅,因為假勒索軟件會更接近擦除器,從而使受影響的數據處於不可恢復的狀態。這些武器化網站的名稱類似於sexyphotos.kozow(dot)com、nude-girlss.mywire(dot)org 和sexy-photo(dot)online。
根據最先發布攻擊操作細節的網絡安全研究人員的說法,這些網站將通過自動激活下載呈現為粗俗圖像文件的內容來欺騙用戶。如果用戶接受下載,一個名為“SexyPhotos.JPG.exe”的可執行文件將被刪除並在他們的計算機上激活。
假勒索軟件詳細信息
執行時,該文件將在受害者的設備上放置四個可執行文件和一個批處理文件。批處理文件的任務是通過將所有四個可執行文件複製到 Windows 啟動文件夾中來建立持久性。完全建立後,假勒索軟件將針對 70 多種不同的文件擴展名和多個特別選擇的文件夾。所有目標文件和文件夾的原始名稱都將更改為“Locked_[NUMber].Locked_fille”,這將使它們處於不可用狀態。但是,請記住,沒有進行加密。該威脅還有一個排除列表,其中包含將保持不變的文件擴展名。
贖金筆記和擦拭技工
在完成所有目標的重命名後,Fake Ransomware 將在設備上放置一個名為“Readme.txt”的文本文件。然後該文件將被複製到多個不同的文件夾中,並在屏幕上自動打開。贖金說明包含多種語言的說明,包括英語、德語、西班牙語、法語、土耳其語等。攻擊者表示,受害者的文件已被加密,受影響的用戶現在必須支付 300 美元的贖金才能恢復數據。攻擊後 3 天價格將翻倍至 600 美元,而 7 天后解密代碼將被刪除,所有鎖定的文件將無法挽救。
然而,正如我們之前所說,假勒索軟件沒有加密程序。因此,即使是攻擊者也極不可能恢復受影響的文件,因為威脅不會保留原始文件名的記錄。
